Передача персональных данных третьим лицам (в т.ч. трансграничная передача) имеет важное значение в контексте обработки персональных данных в сфере здравоохранения, поскольку такая обработка сопряжена с категорией специальных персональных данных. Организациям необходимо предпринимать дополнительные меры к тому, чтобы не допустить несанкционированный доступ к персональным данным субъекта.
Рекомендации рассматривают три аспекта передачи персональных данных третьим лицам:
1. Обмен между организациями здравоохранения.В силу того, что граждане Республики Беларусь закрепляются за государственными учреждениями здравоохранения по их месту жительства (месту пребывания) или по их месту работы, в отдельных случаях для организации своевременного оказания медицинской помощи требуется передача сведений о пациентах (например, передача выписок из медицинских документов) из одной организации здравоохранения в другую.
Постановлением Министерства здравоохранения Республики Беларусь от 2 ноября 2005 г. № 44 «О порядке информирования населения об оказании медицинской помощи в организациях здравоохранения и о порядке направления для получения медицинской помощи» утверждена Инструкция о порядке направления пациентов для получения медицинской помощи в организациях здравоохранения, которой урегулирован порядок такого направления, в том числе установлены документы, необходимые для оказания квалифицированной медицинской помощи и передаваемые из организации здравоохранения в другую организацию здравоохранения и обратно. В таком случае обработка
может осуществляться без согласия субъекта, а правовым основанием будет выступать абзац шестой пункта 2 ст. 8 Закона о защите персональных данных.
При обмене персональными данными между организациями здравоохранения важно в том числе учитывать порядок обработки персональных данных посредством информационных систем. Для обмена данными через медицинские информационные системы согласие пациента не требуется, если данные передаются в рамках этих систем. Однако для внесения персональных данных в эти системы необходимо получить согласие пациента.
2. Предоставление персональных данных третьим лицам. По общему правилу предоставление персональных данных пациентов или работников третьим лицам требует правового основания, установленного Законом о защите персональных данных. Такими правовыми основаниями могут выступать либо согласие субъекта, либо выполнение обязательств, предусмотренных законодательными актами.
В Рекомендациях подчеркивается специфика предоставления персональных данных в сфере здравоохранения, а именно отнесение большинства обрабатываемых персональных данных к врачебной тайне, при обработке которой следует учитывать в том числе требования законодательства о здравоохранении. В частности, в соответствии с частью 7 статьи 46 Закона Республики Беларусь от 18.06.1993 № 2435-XII «О здравоохранении» (далее – Закона о здравоохранении) без согласия пациента информация, составляющая врачебную тайну, может быть передана только по запросу уполномоченных органов, указанных в Законе о здравоохранении, или в случаях, предусмотренных законодательством.
Такой запрос должен содержать цели, объем данных и правовые основания для их обработки, а также иную необходимую информацию (например, ссылку на конкретное требование законодательства, на основании которого третье лицо запрашивает указанную информацию).
В связи с тем, что ответственность за незаконное предоставление персональных данных несет организация здравоохранения, Центр обращает внимание на то, что перед удовлетворением запроса третьих лиц на предоставление информации о пациенте организациям здравоохранения следует оценить такой запрос на предмет наличия всех необходимых реквизитов, наличия правового основания передачи персональных данных, а в случае возникновения сомнений относительно правовых оснований – запросить дополнительную информацию для соблюдения требований законодательства.
3. Трансграничная передача персональных данных.Трансграничная передача персональных данных в сфере здравоохранения также имеет свои особенности, обусловленные положениями
Указа Президента Республики Беларусь от 1 февраля 2010 г. № 60 «О мерах по совершенствованию использования национального сегмента сети Интернет», а также инструкцией о порядке разработки, формирования, ведения, эксплуатации информационных систем, утвержденной Постановлением Министерства здравоохранения Республики Беларусь от 31 июля 2021 г. № 91.
Указанной инструкцией определены условия, которые должны соблюдаться при ведении и эксплуатации информационных систем:- информационная система должна располагаться на серверах, расположенных на территории Республики Беларусь, и зарегистрирована в соответствии с законодательством об информации, информатизации и защите информации;
- используются средства технической и криптографической защиты информации, имеющие сертификат соответствия Национальной системы подтверждения соответствия Республики Беларусь или положительное экспертное заключение по результатам государственной экспертизы, проводимой Оперативно-аналитическим центром при Президенте Республики Беларусь.
Соответственно, при оказании медицинских услуг организации здравоохранения вправе использовать информационные системы, соответствующие критериям, изложенным выше, а перенос обработки персональных данных на информационные системы, расположенные на серверах в иностранном государстве,
не допускается.