CC BY
54
в М УНИВЕРСИТЕТА
™ и мени О. Е. Кугафи на (МПОА)
Реализация охраны персональных данных
в сфере медицины
Аннотация. Статья посвящена ряду вопросов правовой охраны и защиты персональных данных в сфере медицины и здравоохранения, подходам к охране персональных данных, содержащихся в медицинских документах, в Российской Федерации и в Евросоюзе; особенностям соотношения правовой охраны персональных данных и врачебной тайны; актуальным кейсам предоставления медицинских документов, содержащих персональные данные умерших лиц; проблематике совершенствования законодательства об основах охраны здоровья граждан в Российской Федерации в соответствии с законодательством о персональных данных.
При решении вопроса о том, могут ли родственники в случае смерти гражданина получить доступ к информации о состоянии здоровья умершего, содержащейся в медицинских документах, необходимо учитывать баланс интересов пациентов, родственников, супругов и других лиц в вопросах получения доступа к медицинской информации пациента в случае его смерти.
Ключевые слова: правовая охрана, врачебная тайна, тайна персональных данных, медицинская документация, обработка и распространение персональных данных, раскрытие персональных данных, роль государства в защите персональных данных, принципы права.
DOI: 10.17803/2311-5998.2022.92.4.120-126
Борис Александрович ОКИШЕВ,
аспирант кафедры информационного права и цифровых технологий Университета имени О.Е. Кутафина (МГЮА) Okishev7713@gmail.com 125993, Россия, г. Москва, ул. Садовая-Кудринская, д. 9
© Б. А. Окишев, 2022
ВОRIS A. OKISHEV, postgraduate student of the Department of information law and digital technologies of the Kutafin Moscow State Law University (MSAL) Okishev7713@gmail.com 9, ul. Sadovaya-Kudrinskaya, Moscow, Russia, 125993 Implementation of Personal Data Protection in Medicine Abstract. The article is devoted to the issues of legal protection of personal data in medicine and health care; approaches to the protection of personal data contained in medical records in the Russian Federation and in the European Union; specifics of the relationship between legal protection of personal data and medical secrecy; relevant cases of providing medical records containing personal data on deceased persons; problems of improving the legislation on the basis of health protection of citizens in the Russian Federation in accordance with the legislation on personal data.
ВЕСТНИК Окишев Б. А. Л О Л
УНИВЕРСИТЕТА Реализация охраны персональных данных в сфере медицины ' '
имени О.Е. Кутафина (МГЮА)
When deciding whether relatives, in the event of the death of a citizen, can get access to information about the state of health of the deceased contained in medical documents, it is necessary to take into account the balance of interests of patients, relatives, spouses and other persons in obtaining access to the patient's medical information in case of his death. Keywords: legal protection, medical secrecy, secrecy of personal data, medical records, processing and dissemination of personal data, disclosure of personal data, the role of the state in the protection of personal data, the principles of law.
Персональные данные, составляющие сведения о здоровье граждан, представляют собой медицинские данные. Федеральным законом «О персональных данных»1 (далее — Закон о персональных данных) сведения о состоянии здоровья отнесены к персональным данным.
Сфера данных о здоровье гражданина охватывает широкий спектр информации. Сюда входит личная информация о гражданине (именуемая персональными данными), относящаяся к состоянию здоровья человека, а также медицинская информация (например, рецепт врача, направления, протоколы медицинских осмотров, лабораторные анализы и т.д.), административная и финансовая информация о здоровье (в частности расписание приемов к врачу, счета за медицинские услуги, медицинские справки для оформления больничных листов и т.д.).
Стоит обратить внимание, что напрямую вопросы здоровья граждан регламентированы именно медицинской информацией (медицинскими данными, содержащимися в медицинских документах), в то время как административная и финансовая информация лишь косвенно затрагивает медицинские данные гражданина, выполняя «обслуживающие» функции. Данное разделение имеет практическое значение в части реализации охраны персональных данных граждан в сфере медицины, так как от того, какая именно информация закреплена и какими именно документами она подтверждается, зависит круг лиц, которым сведения, составляющие информацию о здоровье граждан, могут быть переданы. Например, отделу кадров работника, находящегося на больничном, медицинской организацией будет разглашена информация, составляющая персональные данные в сфере медицины, лишь косвенно затрагивающая вопросы здоровья работника, а именно в виде листка нетрудоспособности, что по выделенной нами классифи- ^
кации относится к административной и финансовой информации.
Ввиду того, что медицинские данные считаются конфиденциальными данными, на них распространяются особо строгие правила и обрабатывать их могут В-только медицинские работники, связанные обязательством сохранения врачеб- рн ной тайны. Кроме того, организация должна принять необходимые меры безопас- м ^ ности, чтобы медицинские данные были защищены и не подлежали несанкцио- ц п нированному разглашению.
не
□м
1 Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 02.07.2021) «О персональных дан- о ы
ных» // СЗ РФ. 2006. № 31 (ч. I). Ст. 3451 ; 2021. № 27 (ч. I). Ст. 5159. права
л т иу на
>
в Я УНИВЕРСИТЕТА
L-—и мени О. Е. Кутафи на (МПОА)
В рамках темы медицинских данных граждан существует несколько неоднозначных вопросов: как коррелируют между собой правовые режимы персональных данных и врачебной тайны; кто несет ответственность за сохранность персональных данных пациентов; можно ли разглашать сведения о персональных данных пациентов, составляющих медицинские данные, работодателю или отделу кадров; в случае смерти гражданина можно ли получить доступ к информации о состоянии здоровья умершего, содержащейся в медицинских документах, могут ли данные сведения быть разглашены третьим лицам.
Фактически к персональным данным можно отнести любую информацию, которая характеризует и прямо или косвенно позволяет определить физическое лицо. В случае если данные не позволяют идентифицировать физическое лицо, к персональным такие данные не относятся.
Интересным в контексте определения персональных данных через возможность идентификации лица представляется европейский подход, согласно которому обезличенные данные являются обратимыми. Данный подход основывается на том, что в случае, если обезличенные данные могут быть возвращены к такому состоянию, при котором они позволяют косвенно определить лицо, информацию о котором эти данные содержат, то такие данные являются персональными2.
В свою очередь, в понятие врачебной тайны законодатель включает любые сведения о факте обращения гражданина за медицинской помощью, о состоянии здоровья, диагнозе, а также иные сведения, полученные в ходе обследования и (или) лечения гражданина.
Обратимся к специальному законодательству в сфере охраны здоровья граждан. Так, статьей 79 Федерального закона «Об основах охраны здоровья граждан в Российской Федерации»3 установлена обязанность медицинской организации по соблюдению врачебной тайны, в том числе по соблюдению конфиденциальности персональных данных, используемых в медицинских информационных системах.
В данной норме законодатель фактически определил, что правовой режим персональных данных является частью правового режима врачебной тайны. При этом мы видим четкое указание на то, что обработка и распространение персональных данных, касающихся здоровья граждан, выполняются посредством медицинских информационных систем.
Прежде всего отметим, что сфера персональных данных гораздо шире сферы врачебной тайны, так как включает, помимо последней, иные специальные режимы правовой охраны информации. Врачебная тайна по своему характеру является отдельным видом персональных данных, правовая охрана которого регламентирована специальным законодательством об основах охраны здоровья граждан.
В порядке закономерного развития информационного общества сфера персональных данных граждан в части медицинских данных была также затронута
2 Opinion 4/2007 on the Concept of Personal Data. WP 136, 20 June 2007. Article 29 Data Protection Working Party. P. 16—18.
3 Федеральный закон от 21.11.2011 № 323-ф3 (ред. от 02.07.2021) «Об основах охраны здоровья граждан в Российской Федерации» // СЗ РФ. 2011. № 48. Ст. 6724 ; № 27 (ч. I). Ст. 5186.
в
ЕСТНИК
Окишев Б. А.
УНИВЕРСИТЕТА Реализация охраны персональных данных в сфере медицины
имени О.Е. Кугафина (МГЮА)
цифровизацией, для эффективной оптимизации процесса обработки и распространения персональных данных граждан о состоянии их здоровья были разработаны медицинские информационные системы медицинских организаций. Требования к данным системам четко регламентированы приказом Минздрава России от 24.12.2018 № 911н4.
С одной стороны, одним из плюсов развития медицинских информационных систем является возможность ведения электронных медицинских карт пациента. Данная мера позволяет без излишней бумажной волокиты и временных затрат передать сведения о состоянии здоровья пациента из одного медицинского учреждения в другое5. Еще более легальным данное преимущество стало после внесения изменений в Закон о персональных данных в 2021 г., которыми были разграничены моменты предоставления согласия гражданина на обработку персональных данных и согласия на распространение персональных данных, в результате чего подписание соглашения на обработку персональных данных перестало быть автоматическим согласием также и на распространение персональных данных.
С другой стороны, медицинские информационные системы несут дополнительный груз ответственности в части технического обеспечения сохранности персональных данных граждан, касающихся их состоянии здоровья. В связи с цифровизацией процесса обработки, хранения и распространения данных о состоянии здоровья граждан обострилась проблема, связанная с разглашением данных о состоянии здоровья третьим лицам, к которым такие сведения могут попасть как «по ошибке», так и преступным путем.
Главным актором (фактически менеджером), выполняющим административные функции по сбору персональных данных о состоянии здоровья граждан, являются медицинские организации. При этом как при подписании договора на оказание медицинских услуг, так и при подписании отдельных самостоятельных соглашений на обработку персональных данных мало кто обращает внимание на то, к каким именно персональным данным предоставляют граждане доступ и правом на передачу каких именно данных они наделяют медицинские организации.
Подобная невнимательность и халатность со стороны самих субъектов персональных данных может привести к тому, что сведения о диагнозе или же о состоянии здоровья гражданина могут попасть к третьим лицам, целью деятельности которых является извлечение прибыли, к примеру в результате оказания ритуальных услуг. Так, лица с «тяжелыми» заболеваниями, которым назначено ^
паллиативное лечение, становятся объектом номер один для организаций, спе- т
циализирующихся на оказании ритуальных услуг населению. н >
он
4 Приказ Минздрава России от 24.12.2018 № 911н «Об утверждении Требований к госу- р ы
дарственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и ир информационным системам фармацевтических организаций» // URL: http://www.pravo. оо
СП
gov.ru, 19.06.2019.
Тимофеев И. В. Цифровая информатизация и информационная безопасность в совре- □ м
менном здравоохранении: конституционно-правовой подход к проблеме // Конституци- о Ц
онное и муниципальное право. 2019. № 12. С. 23—26. права
>
5
в М УНИВЕРСИТЕТА
4-—^ и мени О. Е. Кутафи на (МПОА)
В целом представляется необходимым провести комплекс мероприятий, направленных на повышение уровня эффективности обеспечения безопасности и сохранности персональных данных, полученных медицинскими организациями, обрабатываемых медицинскими информационными системами. Кроме того, важно обеспечить понимание сотрудниками в медицинских учреждениях важности охраны медицинских данных пациентов и знание ими мер уголовной и гражданско-правовой ответственности, применяемых в случаях незаконного разглашения сведений, относящихся к персональным данным граждан о состоянии здоровья и составляющих врачебную тайну.
В трудах Э. В. Талапиной встречается следующий тезис: «В эпоху цифрового капитализма изменилось само понятие человеческого»6. В контексте поднятой проблемы можно добавить, что в процессе развития информационного общества не только меняется понятие человеческого, но и поддается активному давлению все «человечное», так как незаконное разглашение сведений, относящихся к персональным данным, зачастую приводит к душевным переживаниям индивида, именно поэтому так распространены иски с требованиями о взыскании компенсации морального вреда за раскрытие персональных данных и так актуальна проблема обеспечения надлежащей защиты персональных данных7.
Представляется необходимым установить следующие ключевые моменты в работе с персональными данными, составляющими врачебную тайну.
1. Данные о здоровье граждан должны обрабатываться только медицинскими организациями. Отдел кадров компании, в которой работает гражданин, должен получать только административные данные, необходимые для оформления больничного листа (к ним относятся, например, данные о количестве дней больничного листа и код болезни). Подобная мера позволит избежать дискриминации на местах и случаев незаконного увольнения в связи с возможными проблемами со здоровьем у сотрудников. В Евросоюзе подобная проблема встречается крайне редко, что позволяет говорить о высоком уровне охраны персональных данных, касающихся состояния здоровья сотрудников.
Кроме того, в период распространения новой коронавирусной инфекции COVID-19, а также вспышек данной инфекции в начала 2022 г. выявилась проблема, связанная со своевременным получением больничного листа в медицинских организациях с целью его дальнейшего предъявления по месту требования (чаще всего по месту работы) и закрытием больничного.
В целях сохранения баланса интересов, в частности соблюдения баланса между запретом на разглашение медицинских данных третьим лицам и снижения уровня бумажной волокиты при закрытии больничного, предлагается обеспечить возможность подключения компаний к работе медицинских информационных систем в части обеспечения оперативного документооборота, т.е. предоставить
6 Талапина Э. В. Защита персональных данных в цифровую эпоху: российское право в европейском контексте // Труды Института государства и права РАН. 2018. № 5. С. 118— 119.
7 Бачило И. Л., Сергиенко Л. А., Кристальный Б. В., Арешев А. Г. Персональные данные в структуре информационных ресурсов. Основы правового регулирования. Минск : Белл^фонд, 2006. 474 с.
в
ЕСТНИК
Окишев Б. А.
УНИВЕРСИТЕТА Реализация охраны персональных данных в сфере медицины
имени О.Е. Кугафина (МГЮА)
возможность медицинским учреждениям по прямым каналам связи направлять больничный лист сразу в компанию работника, без необходимости его личного присутствия в медицинском учреждении.
2. Необходимо надлежащее информирование лиц сотрудниками медицинских учреждений о том, согласие на обработку каких именно персональных данных, касающихся состояния здоровья, они предоставляют медицинскому учреждению. Реализация данной меры обусловлена тем, что зачастую пациентам молча передают на подпись соглашение на обработку персональных данных либо включают данное условие в договор на оказание медицинских услуг, не разъясняя, на что именно они соглашаются, кому и в каком объеме могут быть переданы данные о состоянии здоровья, что абсолютно противоречит принципу прозрачности (открытости) информации, а также способствует введению в заблуждение посредством молчаливого бездействия.
Отдельного внимания заслуживает вопрос о том, могут ли родственники в случае смерти гражданина получить доступ к информации о состоянии здоровья умершего, содержащейся в медицинских документах. Согласно судебной практике последних четырех лет данный вопрос является актуальным в связи с неоднозначной позицией судов.
Во-первых, сам факт получения информации о состоянии здоровья умершего причиняет моральный вред его родственникам, что не может даже ставиться под сомнение и требует особого внимания при разрешении подобной категории дел. Во-вторых, при решении вопроса о разглашении медицинских данных умершего лица необходимо учитывать причины обращения за разглашением такой информации.
Значимым судебным актом, разрешающим затронутые вопросы, является постановление Конституционного Суда РФ от 13.01.2020 № 1-П8. В постановлении прямо подчеркнуто, что Закон «Об основах охраны здоровья граждан в Российской Федерации» не содержит положений, регламентирующих правовой режим доступа к информации о состоянии здоровья и медицинской документации после смерти пациента. Соответственно, отсутствует регламентация круга лиц, объема информации, формы и сроков предоставления информации, касающейся здоровья умершего лица.
В действительности при разрешении данного вопроса необходимо учитывать баланс интересов пациентов, родственников, супругов и других лиц в вопросах получения доступа к медицинской информации пациента в случае его смерти. ;>
Так, если сведения о причине смерти и диагнозе пациента доступны заинтересованному лицу в силу закона, сохранение в тайне от него информации, касающейся медицинского вмешательства, в том числе о диагностике, лечении и В-назначенных препаратах, не может во всех случаях оправдываться необходимо- р — стью защиты врачебной тайны, особенно с учетом мотивов и целей обращения м^ за такими сведениями. ц п
ир
оо
1—сп
8 Постановление Конституционного Суда РФ от 13.01.2020 № 1-П «По делу о проверке
конституционности частей 2 и 3 статьи 13, пункта 5 части 5 статьи 19 и части 1 статьи 20 гм
Федерального закона "Об основах охраны здоровья граждан в Российской Федерации"
в связи с жалобой гражданки Р. Д. Свечниковой» // СЗ РФ. 2020. № 3. Ст. 275. права
л
т
иу —а
>
в М УНИВЕРСИТЕТА
4-—^ и мени О. Е. Кутафи на (МПОА)
В судебной практике часто встречаются «отказные дела» по искам о взыскании компенсации морального вреда с медицинских учреждений, в результате действий или бездействия сотрудников которых наступила смерть пациента. Безусловно, следует учитывать, что зачастую у родственников умерших пациентов эмоции провоцируют обращение в суд с подобными исками, однако количество таких исков все же заставляет задуматься о надлежащем исполнении обязанностей сотрудниками медицинских учреждений. Подобные иски являются чаще отказными ввиду отсутствия надлежащей доказательственной базы; это обусловлено отказом в предоставлении медицинских документов, содержащих сведения о ходе и методике лечения, что также лишает заявителей возможности провести свою экспертизу на предмет соответствия действий сотрудников медицинских учреждений обстоятельствам и состоянию здоровья пациента.
Как указал Конституционный Суд РФ, при рассмотрении данной категории дел судам следует руководствоваться принципами соразмерности и справедливости принятия решения о необходимости ознакомить заинтересованное лицо со сведениями, относящимися к истории болезни умершего пациента, в той мере, в какой это необходимо для эффективной защиты прав заявителя и прав умершего.
Конституционный Суд РФ также подчеркнул, что, несмотря на несколько десятков принятых поправок в Закон об основах охраны здоровья граждан РФ, ни одна из них не была направлена на совершенствование нормативного регулирования доступа заинтересованных лиц к медицинской документации умершего пациента. В результате сложилось неоднозначное, нечеткое и противоречивое правовое регулирование вопроса о предоставлении доступа к медицинской документации, регламентирующей состояние здоровья, методику лечения умершего пациента, что не соответствует Конституции РФ.
Таким образом, следует внести изменения в действующий Закон об основах охраны здоровья граждан РФ, дополнив его положениями о допустимости предоставления медицинских данных умерших пациентов супругам, родственникам и иным заинтересованным лицам по их запросу. При этом необходимо учитывать цели такого запроса, чтобы минимизировать риск обнародования или использования полученных сведений в корыстных целях.
БИБЛИОГРАФИЯ
1. Бачило И. Л., Сергиенко Л. А., Кристальный Б. В., Арешев А. Г. Персональные данные в структуре информационных ресурсов. Основы правового регулирования. — Минск : Белл1тфонд, 2006. — 474 с.
2. Талапина Э. В. Защита персональных данных в цифровую эпоху: российское право в европейском контексте // Труды Института государства и права РАН. — 2018. — № 5. — С. 118—119.
3. Тимофеев И. В. Цифровая информатизация и информационная безопасность в современном здравоохранении: конституционно-правовой подход к проблеме // Конституционное и муниципальное право. — 2019. — № 12. — С. 23—26.
