103.PARTNERS
Опубликованы рекомендации по обработке персональных данных в сфере здравоохранения Беларуси
13 декабря 2024 года Национальный центр защиты персональных данных Республики Беларусь (далее — Центр) опубликовал рекомендации по обработке персональных данных в сфере здравоохранения (далее – Рекомендации). Юристы REVERA law group опубликовали обзор основных положений Рекомендаций.
Правовое основание обработки персональных данных
Законодательство Республики Беларусь предусматривает различные правовые основания для обработки персональных данных, в том числе случаи, когда не требуется согласие пациента на обработку.

Согласие пациента не требуется в случаях, когда обработка данных может осуществляться на одном из оснований, предусмотренных в ст. 6 (для «обычных» персональных данных) или ст. 8 (для специальных персональных данных) Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон о защите персональных данных).

В частности, согласие не требуется в следующих случаях:

1. При обработке специальных персональных данных в рамках оказания медицинской помощи.

Законодательством предусмотрена возможность обработки специальных персональных данных без получения согласия в целях организации оказания медицинской помощи при условии, что такие персональные данные обрабатываются медицинским, фармацевтическим или иным работником здравоохранения, на которого возложены обязанности по обеспечению защиты персональных данных и в соответствии с законодательством распространяется обязанность сохранять врачебную тайну.

Подчеркивается, что на указанном правовом основании допускается обработка лицами, на которых прямо не распространяется обязанность сохранять врачебную тайну, например, бухгалтеру или юрисконсульту.

2. При выполнении обязанностей, установленных законодательством.

Обработка персональных данных без согласия пациента также возможна, если это требуется для выполнения обязательств, установленных законодательными актами. Данное основание носит отсылочный характер и применяется в случаях, когда законодательным актом предусмотрена обязанность организации здравоохранения осуществить такую обработку.

3. При оказании экстренной медицинской помощи.

Когда пациенту требуется экстренная медицинская помощь, его персональные данные могут обрабатываться без согласия, при выполнении следующих условий:
  • это необходимо для защиты его жизни и здоровья;
  • состояние пациента не позволяет выразить согласие.
ВАЖНО! В случае, если обработка персональных данных будет осуществляться с помощью средств автоматизации, при оказании субъекту экстренной медицинской помощи при соблюдении указанных условий осуществляется без согласия пациента. После стабилизации состояния пациента и продолжении автоматизированной обработки данных согласие должно быть оформлено (подробнее о согласии читайте ниже).
4. При осуществлении административной процедуры.

Закон о защите персональных данных позволяет обрабатывать персональные данные без согласия при проведении административных процедур, если объем запрашиваемых сведений соответствует законодательным требованиям.
Согласие пациента
В случаях, когда обработка персональных данных не попадает под основания, предусмотренные статьями 6 и 8 Закона о защите персональных данных, такая обработка должна осуществляться только при наличии согласия на обработку.

Требования к согласию установлены ст. 5 Закона о защите персональных данных. При этом законодательством о персональных данных установлено, что может быть получено в письменной форме, в виде электронного документа или иной электронной форме (например, через код после смс-сообщения или отметку на сайте).
Важно учитывать, что также законодательством о здравоохранении предусмотрено, что перед внесением персональных данных, информации, составляющей врачебную тайну, в электронную медицинскую карту пациента, информационную систему, должно быть получено письменное согласие пациента. Согласие дается однократно при первичном посещении государственной организации здравоохранения по форме, утвержденной законодательством о здравоохранении.

Соответственно, согласие субъекта требуется:
  1. при внесении персональных данных субъекта в информационную систему;
  2. при обработке персональных данных в случаях, не предусмотренных ст. 6 и 8 Закона о защите персональных данных (например, для маркетинговой рассылки).

Рекомендации также определяют, что форма и порядок получения согласия негосударственными организациями не определены законодательством. В связи с отсутствием законодательного регулирования у негосударственных организаций здравоохранения есть три варианта определения формы и порядка получения согласия на обработку персональных данных при использовании ими средств автоматизации для обработки персональных данных пациентов для них нет четкого регулирования, поэтому они могут:
  • использовать форму, предусмотренную законодательством о здравоохранении,
  • разработать собственную форму согласия и использовать один из методов получения согласия, предусмотренную законодательством о персональных данных,
  • использовать примерную форму, разработанную Центром.
Определение статуса организации здравоохранения при обработке персональных данных
Одним из ключевых вопросов в сфере обработки персональных данных является определение статуса организации здравоохранения при обработке персональных данных, поскольку от этого зависит распределение обязанностей в рамках Закона о защите персональных данных. Так, в зависимости от того, кто организует и осуществляет обработку персональных данных организация здравоохранения может выступать либо в роли оператора, либо в роли уполномоченного лица.
Важно! Одно и то же лицо может являться оператором в одних правоотношениях и уполномоченным лицом в других, вопрос об определении правового статуса такого лица подлежит рассмотрению в каждом конкретном случае.
Оператором организация здравоохранения будет выступать, например, при:
  • оказании медицинской помощи (медицинской услуги),
  • выдаче справок и иных документов в рамках осуществления административных процедур и т.д.
Уполномоченным лицом организация здравоохранения будет выступать в случаях, когда параметры обработки определены иным субъектом. В частности, в Рекомендациях разъяснено, что организация здравоохранения при осуществлении взаимодействия со страховой организацией будет выступать в роли уполномоченного лица, поскольку в таком случае организация здравоохранения ограничена в определении ключевых параметров исполнения договора, в частности, о круге лиц, целях и сроках обработки, объеме оказываемых услуг и др.

Вместе с тем, при оказании непосредственно медицинской помощи застрахованному лицу и ведении медицинской документации организация здравоохранения является самостоятельным оператором, поскольку в таком случае параметры обработки определены нормами законодательства.
Сроки хранения документов в организации здравоохранения на бумажных носителях
Законодательство о персональных данных устанавливает требование о том, что обработка должна ограничиваться достижением конкретных, заранее заявленных законных целей, а хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
1. Cроки хранения, предусмотренные законодательством.

Постановлением Министерства юстиции Республики Беларусь от 24 мая 2012 г. № 140 «О перечне типовых документов Национального архивного фонда Республики Беларусь» определены минимальные сроки хранения для некоторых документов:
  • cогласие субъекта на обработку персональных данных – 1 год после окончания срока действия согласия,
  • заявление субъекта персональных данных – 1 год,
  • уведомление о нарушениях защиты персональных данных – 3 года.

Вместе с тем, законодательством не установлен срок хранения согласия пациентов, оформленных в соответствии с Постановлением Министерства здравоохранения Республики Беларусь от 7 июня 2021 г. № 74 «О формах и порядке дачи и отзыва согласия на внесение и обработку персональных данных пациента». При этом, согласно Рекомендациям, практика получения согласия в настоящее время предполагает, что эти документы хранятся в медицинской карте пациента, а значит целесообразно установить срок хранения согласий аналогичный сроку, предусматриваемому для хранения такой медицинской документации.

В случае, когда медицинская документация ведется в электронном виде в информационной системе организации при отсутствии бумажных носителей, то хранить согласия пациентов на обработку персональных данных целесообразно в отдельной папке с учетом систематизации таких согласий, например по ФИО пациента, для удобного поиска.

2. Cроки хранения медицинских документов в случаях, не предусмотренных законодательством.

Если срок хранения не определен в акте законодательства, то он определяется самой организацией здравоохранения. Ориентиром выступает рассматриваемая норма Закона о защите персональных данных, а именно – возможность хранить данные не дольше, чем это необходимо для достижения цели их обработки.
Передача персональных данных третьим лицам, в т.ч. трансграничная передача персональных данных
Передача персональных данных третьим лицам (в т.ч. трансграничная передача) имеет важное значение в контексте обработки персональных данных в сфере здравоохранения, поскольку такая обработка сопряжена с категорией специальных персональных данных. Организациям необходимо предпринимать дополнительные меры к тому, чтобы не допустить несанкционированный доступ к персональным данным субъекта.

Рекомендации рассматривают три аспекта передачи персональных данных третьим лицам:

1. Обмен между организациями здравоохранения.

В силу того, что граждане Республики Беларусь закрепляются за государственными учреждениями здравоохранения по их месту жительства (месту пребывания) или по их месту работы, в отдельных случаях для организации своевременного оказания медицинской помощи требуется передача сведений о пациентах (например, передача выписок из медицинских документов) из одной организации здравоохранения в другую.

Постановлением Министерства здравоохранения Республики Беларусь от 2 ноября 2005 г. № 44 «О порядке информирования населения об оказании медицинской помощи в организациях здравоохранения и о порядке направления для получения медицинской помощи» утверждена Инструкция о порядке направления пациентов для получения медицинской помощи в организациях здравоохранения, которой урегулирован порядок такого направления, в том числе установлены документы, необходимые для оказания квалифицированной медицинской помощи и передаваемые из организации здравоохранения в другую организацию здравоохранения и обратно. В таком случае обработка может осуществляться без согласия субъекта, а правовым основанием будет выступать абзац шестой пункта 2 ст. 8 Закона о защите персональных данных.

При обмене персональными данными между организациями здравоохранения важно в том числе учитывать порядок обработки персональных данных посредством информационных систем. Для обмена данными через медицинские информационные системы согласие пациента не требуется, если данные передаются в рамках этих систем. Однако для внесения персональных данных в эти системы необходимо получить согласие пациента.

2. Предоставление персональных данных третьим лицам.

По общему правилу предоставление персональных данных пациентов или работников третьим лицам требует правового основания, установленного Законом о защите персональных данных. Такими правовыми основаниями могут выступать либо согласие субъекта, либо выполнение обязательств, предусмотренных законодательными актами.

В Рекомендациях подчеркивается специфика предоставления персональных данных в сфере здравоохранения, а именно отнесение большинства обрабатываемых персональных данных к врачебной тайне, при обработке которой следует учитывать в том числе требования законодательства о здравоохранении. В частности, в соответствии с частью 7 статьи 46 Закона Республики Беларусь от 18.06.1993 № 2435-XII «О здравоохранении» (далее – Закона о здравоохранении) без согласия пациента информация, составляющая врачебную тайну, может быть передана только по запросу уполномоченных органов, указанных в Законе о здравоохранении, или в случаях, предусмотренных законодательством.

Такой запрос должен содержать цели, объем данных и правовые основания для их обработки, а также иную необходимую информацию (например, ссылку на конкретное требование законодательства, на основании которого третье лицо запрашивает указанную информацию).

В связи с тем, что ответственность за незаконное предоставление персональных данных несет организация здравоохранения, Центр обращает внимание на то, что перед удовлетворением запроса третьих лиц на предоставление информации о пациенте организациям здравоохранения следует оценить такой запрос на предмет наличия всех необходимых реквизитов, наличия правового основания передачи персональных данных, а в случае возникновения сомнений относительно правовых оснований – запросить дополнительную информацию для соблюдения требований законодательства.

3. Трансграничная передача персональных данных.

Трансграничная передача персональных данных в сфере здравоохранения также имеет свои особенности, обусловленные положениями Указа Президента Республики Беларусь от 1 февраля 2010 г. № 60 «О мерах по совершенствованию использования национального сегмента сети Интернет», а также инструкцией о порядке разработки, формирования, ведения, эксплуатации информационных систем, утвержденной Постановлением Министерства здравоохранения Республики Беларусь от 31 июля 2021 г. № 91.

Указанной инструкцией определены условия, которые должны соблюдаться при ведении и эксплуатации информационных систем:
  • информационная система должна располагаться на серверах, расположенных на территории Республики Беларусь, и зарегистрирована в соответствии с законодательством об информации, информатизации и защите информации;
  • используются средства технической и криптографической защиты информации, имеющие сертификат соответствия Национальной системы подтверждения соответствия Республики Беларусь или положительное экспертное заключение по результатам государственной экспертизы, проводимой Оперативно-аналитическим центром при Президенте Республики Беларусь.
Соответственно, при оказании медицинских услуг организации здравоохранения вправе использовать информационные системы, соответствующие критериям, изложенным выше, а перенос обработки персональных данных на информационные системы, расположенные на серверах в иностранном государстве, не допускается.
Осуществление видеонаблюдения в организациях здравоохранения
При осуществлении видеонаблюдения организациям здравоохранения необходимо не только соблюдать требования к обработке, но и уделять внимание справедливому соотношению интересов всех заинтересованных лиц. Что касается правового основания обработки персональных данных, то в данном случае организациям здравоохранения необходимо учитывать положения законодательства.

1. Осуществление видеонаблюдения для обеспечения общественного порядка.

В отдельных случаях камеры видеонаблюдения в организациях здравоохранения устанавливаются в силу требования законодательства, в частности в силу требований Указа Президента Республики Беларусь от 28 ноября 2013 г. № 527 «О вопросах создания и применения системы видеонаблюдения в интересах обеспечения общественного порядка», а также принятых в развитие требований Указа №527 постановлений Совета Министров и Министерства внутренних дел. Так, камеры видеонаблюдения для реализации указанных обязанностей должны быть установлены на территории перед входами, вестибюлях, приемных отделениях и помещениях для хранения наркотических средств. Видеонаблюдение в данных целях не требует согласия субъектов персональных данных, однако установка камер в иных зонах должна соответствовать требованиям Закона о защите персональных данных.

2. Осуществление видеонаблюдения для охраны жизни, здоровья и иных жизненно важных интересов.

В исключительных случаях, когда есть прямая угроза жизни, обработка персональных данных субъекта персональных данных необходима для оказания ему неотложной медицинской помощи, в гуманитарных целях или в чрезвычайных ситуациях гуманитарного характера. В приведенных случаях получение согласия субъекта данных может быть невозможно (например, субъект находится в бессознательном состоянии), а обработка необходима для целей защиты жизни, здоровья или иных жизненно важных интересов либо самого субъекта персональных данных, либо иных лиц. Если указанные два критерия соблюдены, осуществление видеонаблюдения будет осуществляться на основании пункта 2 статьи 8 Закона о защите персональных данных без согласия субъектов персональных данных. К таким ситуациям могут быть отнесены, например, нахождение человека в реанимационном отделении в состоянии, требующем постоянного наблюдения, которое может быть реализовано посредством видеонаблюдения.

3. Осуществление видеонаблюдения для противодействия коррупции.

Видеонаблюдение в организациях здравоохранения может использоваться для борьбы с коррупцией, но только при наличии конкретных высоких рисков коррупционных правонарушений, например, в кабинетах административного персонала.

В Рекомендациях отмечается, что законодательство Республики Беларусь не обязывает организации здравоохранения использовать видеонаблюдение для борьбы с коррупцией, а системы видеонаблюдения должны применяться только в случае, если другие менее вмешивающиеся меры не могут достичь той же цели. Поэтому при размещении камер видеонаблюдения с указанной целью важно соблюдать баланс, чтобы минимизировать вмешательство в права сотрудников и пациентов, принимая во внимание тот факт, что наличие камер не гарантирует предотвращение коррупции.

4. Осуществление видеонаблюдения в целях повышения качества медицинской помощи.

В силу Рекомендаций Центра об обработке персональных данных в связи с трудовой (служебной) деятельностью видеонаблюдение на рабочих местах возможно только при наличии специфических обстоятельств, требующих организации постоянного контроля на рабочем месте. Такое видеонаблюдение может иметь место, в частности, при работе с материальными ценностями или связанной с непрерывным обслуживанием клиентов. В сфере здравоохранения видеозапись может быть использована для оценки качества медицинской помощи, в том числе для защиты работников от необоснованных жалоб.

При этом, Центр обращает внимание, что такое видеонаблюдение связано с обработкой персональных данных и информации, составляющей врачебную тайну, личную и семейную тайну, что требует соблюдения строгих требований законодательства о защите личной информации. В частности, в таких случаях, требуется получение согласия пациентов.

По общему правилу видеонаблюдение не включает аудиозапись, если только это не обусловлено исключительными обстоятельствами, о которых должны быть проинформированы субъекты персональных данных (как работники учреждения здравоохранения, так и пациенты).



Ознакомиться с полным текстом Рекомендаций по обработке персональных данных в сфере здравоохранения можно по ссылке.

Вам также может быть интересно: