«Обязана ли медорганизация удалять из медицинских документов и информационных систем сведения о персональных данных пациента по его письменному заявлению?».
Отвечает эксперт службы правового консалтинга «Гарант» Александр Василевицкий:
– В соответствии с Федеральным законом № 323-ФЗ от 21.11.2011 «Об основах охраны здоровья граждан в РФ» в обязанности медорганизации входят ведение медицинской документации, а также обеспечение ее учета и хранения в порядке, установленном Минздравом России; предоставление информации в Единую государственную информационную систему в сфере здравоохранения (ЕГИСЗ); соблюдение врачебной тайны, в том числе конфиденциальности персональных данных (ПД), используемых в медицинских информационных системах (МИС).
Ст.91.1 закона № 323-ФЗ устанавливает порядок функционирования Единой госинформсистемы в сфере здравоохранения, определяет поставщиков сведений, в число которых входят медорганизации, порядок предоставления в нее сведений поставщиками информации, порядок доступа. Положением о ЕГИСЗ, утвержденным Постановлением Правительства РФ № 140 от 09.02.2022, установлены сроки предоставления медорганизацией сведений в ЕГИСЗ. Постановлением Правительства РФ № 447 от 12.04.2018 утверждены Правила взаимодействия иных информационных систем, предназначенных для сбора, хранения, обработки и предоставления информации, касающейся деятельности медорганизаций и предоставляемых ими услуг, с информационными системами в сфере здравоохранения и медицинскими организациями.
Рядом приказов Минздрава утверждены формы учетной медицинской документации и порядки их ведения, в частности:
- приказом № 834н от 15.12.2014 утверждены унифицированные формы медицинской документации, используемые в медорганизациях, оказывающих помощь в амбулаторных условиях, и порядки по их заполнению;
- приказом № 530н от 05.08.2022 утверждены унифицированные формы медицинской документации, используемые в медорганизациях, оказывающих помощь в стационарных условиях, в условиях дневного стационара, и порядки их ведения;
- приказом № 1130н от 20.10.2020 утверждены формы учетной медицинской документации по профилю «Акушерство и гинекология».
Приказом Минздрава РФ № 947н от 07.09.2020 утвержден Порядок организации системы документооборота в сфере охраны здоровья в части ведения медицинской документации в форме электронных документов, из которого следует, что медорганизация вправе принять решение о ведении медицинской документации в электронном виде полностью или частично без дублирования на бумажном носителе. Это решение оформляется локальным актом руководителя медорганизации. Однако гражданин вправе подать письменное заявление о ведении его медицинской документации в письменном виде (пункты 2 и 4).
Согласно п.4 приказа № 947н в локальном акте медорганизация должна определить перечень используемых для формирования и хранения электронных медицинских документов, а также для предоставления доступа к электронным медицинским документам МИС, госинформсистем в сфере здравоохранения субъекта РФ и (или) информсистем, предназначенных для сбора, хранения, обработки и предоставления информации, касающейся деятельности медорганизаций и предоставляемых ими услуг.
Приказ № 947н также устанавливает порядок формирования, подписания и хранения меддокументации, сформированной в виде электронных медицинских документов, и порядок регистрации электронных документов в ЕГИСЗ. При этом из пунктов 20 и 21 следует, что срок хранения электронного медицинского документа, в том числе исправлений в нем, в информационной системе должен быть не меньшим, чем срок хранения медицинского документа, оформленного в бумажном виде, а согласно пунктам 5 и 15 регистрация электронных медицинских документов производится в ЕГИЗС в течение одного рабочего дня, направление документов в ЕГИЗС осуществляется с использованием информационных систем, указанных в п.5 Порядка.
Приказом Минздрава № 408 от 03.08.2023, утвердившим Перечень документов, образующихся в деятельности министерства и подведомственных ему организаций, установлены сроки хранения медицинской документации, в том числе созданной в электронном виде, медорганизациями.
Согласно ч.2 ст.9 Федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных» субъект ПД вправе в любое время отозвать согласие на обработку его данных. Способ отзыва согласия, в том числе форма и сроки отзыва, должны предусматриваться в согласии на обработку ПД (п.8 ч.4 ст.9). В этом случае оператор, если он не вправе осуществлять обработку ПД без согласия субъекта данных на основаниях, предусмотренных законом № 152-ФЗ или другими федеральными законами, обязан прекратить их обработку и в случае, если сохранение ПД больше не требуется, уничтожить их в срок до 30 дней с даты поступления отзыва.
При этом оператор может продолжить обработку ПД без согласия физического лица при наличии оснований, указанных в пп. 2—11 ч.1 ст.6, ч.2 ст.10 и ч.2 ст.11 закона № 152-ФЗ, в том числе обработка ПД допускается, если она необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей (п.2 ч.1 ст.6 закона № 152-ФЗ); обработка ПД необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов РФ, органов местного самоуправления и функций организаций, участвующих в предоставлении государственных и муниципальных услуг, предусмотренных Федеральным законом № 210-ФЗ от 27.07.2010 «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта ПД на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг (п.4 ч.1 ст.6 закона № 152-ФЗ); для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение согласия субъекта ПД невозможно (п.6 ч.1 ст.6 закона № 152-ФЗ).
П.4 ч.2 ст.10 закона № 152-ФЗ допускает обработку медорганизацией ПД специальных категорий персональных данных, в том числе сведений о состоянии здоровья и интимной жизни, если обработка осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг. В Определении Конституционного суда РФ № 1176-О от 16.07.2013 разъясняется, что приведенное законоположение позволяет хранить информацию о состоянии здоровья граждан исключительно в целях реализации их права на охрану здоровья и медицинскую помощь, при этом конфиденциальность персональных данных обеспечивается врачебной тайной, а потому оно не может рассматриваться как нарушающее конституционные права граждан.
Надо также отметить, что ст.13 закона № 323-ФЗ допускает предоставление сведений, составляющих врачебную тайну, без согласия пациента (его законного представителя), в том числе:
- при обмене информацией медорганизациями, в том числе размещенной в МИС, в целях оказания медпомощи с учетом требований законодательства РФ о ПД (п.8 ч.4);
- для учета и контроля в системе обязательного социального страхования (п.9 ч.4);
- для осуществления контроля качества и безопасности медицинской деятельности (п.10 ч.4).
Изложенное позволяет сделать вывод, что в случае отзыва пациентом согласия на обработку его персональных данных медорганизация должна уведомить пациента о невозможности сделать это и продолжить обработку ПД до окончания ее целей. Целями обработки персональных данных в данном случае служат: оказание медпомощи пациенту, учет прикрепленного к медорганизации пациента, хранение медицинской документации, содержащей сведения об оказанной помощи, предоставление медорганизацией установленной отчетности и т.п.
По достижении целей обработки или в случае утраты такой необходимости ПД подлежат уничтожению либо обезличиванию, если иное не предусмотрено федеральным законом (ч.7 ст.5 закона № 152-ФЗ).