Федеральный закон от 27 июля 2006 года №152-ФЗ «О персональных данных» регулирует отношения, связанные с обработкой персональных данных, осуществляемой в том числе медицинскими организациями.
Медицинская организация с целью исполнения договора об оказании медицинских услуг обрабатывает персональные данные пациента (законного представителя пациента): фамилия, имя, отчество; дата рождения; адрес проживания; пол; вес; рост; сведения о состоянии здоровья и др.
Обработка персональных данных медицинской организацией допускается с согласия субъекта персональных данных либо при наличии иных оснований, предусмотренных частью 1 статьи 6 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
Так, согласно пункту 6 части 1 статьи 6 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», допускается обработка персональных данных, необходимая для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.
Согласно статьи 10 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», обработка медицинской организацией специальных категорий персональных данных (состояния здоровья) пациента возможна, в том числе в следующих случаях:
— обработка персональных данных осуществляется для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;
— обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну;
— обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.
Субъект персональных данных, в соответствии со ст. 14 Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных», имеет право на получение от медицинской организации информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом о персональных данных;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу.
В соответствии с требованиями ч. 5 ст.18 Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных», при сборе персональных данных организации обязаны обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 указанного Федерального закона.
При обработке персональных данных медицинская организация в соответствии со ст. 18.1, 19 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» обязана принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
В соответствии с требованиями ст. 7 Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных», медицинские организации, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
В соответствии с частью 1 статьи 22 Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных» медицинские организации до начала обработки персональных данных обязаны уведомить уполномоченный орган по защите прав субъектов персональных данных об осуществлении (намерении осуществлять) обработку персональных данных.
Организации, оказывающие услуги в сфере жилищно-коммунального хозяйства, должны уведомлять Роскомнадзор (Территориальный орган Роскомнадзор по месту регистрации организации в налоговом органе) о начале или осуществлении обработки персональных данных за исключением случаев:
— когда осуществляется обработка персональных данных, включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
— если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;
— когда осуществляется обработка персональных данных в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
В случае изменения сведений, указанных в уведомлении о намерении осуществлять обработку персональных данных, оператор не позднее 15-ого числа месяца, следующего за месяцем, в котором возникли такие изменения, обязаны уведомить Роскомнадзор (Территориальный орган Роскомнадзор по месту регистрации организации в налоговом органе) обо всех произошедших за указанный период изменениях.
В случае прекращения обработки персональных данных оператор обязан уведомить об этом Роскомнадзор (Территориальный орган Роскомнадзор по месту регистрации организации в налоговом органе) в течение десяти рабочих дней с даты прекращения обработки персональных данных.
Приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28.10.2022 № 180 (зарегистрировано в Минюсте России 15.12.2022 № 71532) утверждены формы уведомления о намерении осуществлять обработку персональных данных, уведомления об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, уведомления о прекращении обработки персональных данных.
На портале персональных данных Роскомнадзора (www.pd.rkn.gov.ru) оператору предоставлена возможность сформировать и отправить уведомления в территориальный орган Роскомнадзора одним из следующих способов:
1. в бумажном виде;
2. в электронном виде с использованием усиленной квалифицированной электронной подписи;
3. в электронном виде с использованием средств аутентификации ЕСИА.