Зачем клиники собирают наши согласия на обработку персональных данных

13.01.2023
03/08/23
Б-152
Максим Лагутин
Зачем клиники собирают наши согласия на обработку персональных данных
В статье мы провели анализ условий обработки данных о здоровье четырех сервисов телемедицины
Поход пациента в медицинскую организацию в первый раз зачастую сопровождается подписанием целого ряда бумаг: согласия на медицинское вмешательство, договора, если клиника частная или государственное учреждение оказывает платные услуги, согласия на обработку персональных данных.

Если вчитываться в текст согласия на обработку персональных данных, то в нем можно найти условие о том, что субъект персональных данных разрешает медицинской организации обрабатывать свою фамилию, имя, отчество, дату рождения и прочие данные, важным пунктом такого согласия является пункт о возможности организации обрабатывать сведения о состоянии здоровья субъекта.

Если цель первых двух документов понятна, то наличие третьего вызывает вопрос. Ведь большинство людей посещает медицинское учреждение специально с целью выяснения состояния своего здоровья, что в свою очередь будет неразрывно связано с обработкой данных о здоровье человека. Более того, без этих данных клиника даже не сможет выполнить свою работу и предоставить качественные услуги. Так зачем медицинские организации получают согласие на обработку персональных данных?Разберем в статье.

Сведения о состоянии здоровья человека — не обычные персональные данные. Законодательство относит эти сведения к специальной категории персональных данных, наряду с данными о расовой, национальной принадлежности, политических взглядах, религиозных, философских убеждениях, жизни и выделяет конкретные ситуации, когда оператор персональных данных (частная компания или государственное учреждение) вправе их обрабатывать.

В законе «О персональных данных» существует положение, согласно которому сведения о состоянии здоровья могут обрабатываться на основании согласия в письменной форме на обработку персональных данных.
Сведения о состоянии здоровья могут обрабатываться и без согласия субъекта персональных данных, например, когда их обработка осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну. Помимо этих случаев есть и другие, но они не релевантные для обработки сведений о состоянии здоровья в случае не экстренного обращения в медицинскую организацию.

Казалось бы, что медицинские организации вправе не получать согласие пациента на обработку персональных данных о его здоровье, потому что закон прямо это предусматривает, однако необходимо обратить внимание на то, что сведения о состоянии здоровья могут обрабатываться без согласия субъекта персональных данных, когда их обработка осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну.
Обязанность соблюдать врачебную тайну несут медицинские работники и фармацевтические работники, что установлено в соответствии со ст. 73 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в РФ» (далее — ФЗ «Об основах охраны здоровья граждан в РФ»).

К медицинским работникам законодательство относит лиц, которые имеют медицинское или иное образование, работают в медицинской организации и в трудовые (должностные) обязанности которых входит осуществление медицинской деятельности, либо физические лица, которые являются индивидуальными предпринимателями, непосредственно осуществляющими медицинскую деятельность.

К фармацевтическим работникам относятся физические лица, которые имеют фармацевтическое образование, работают в фармацевтической организации и в трудовые обязанности которых входят оптовая торговля лекарственными средствами, их хранение, перевозка, розничная торговля лекарственными препаратами для медицинского применения, их изготовление, отпуск, хранение и перевозка.

Таким образом, обрабатывать сведения о состоянии здоровья без согласия субъекта персональных данных вправе только лица, в трудовые обязанности которых входит осуществление медицинской деятельности, то есть врачи и фармацевты медицинской организации.

Однако, в медицинском учреждении или медицинской клинике мы можем заметить множество работников, помимо медицинских работников или фармацевтов, которые также получают персональные данные о состоянии здоровья. Например, это могут быть работники регистратуры, которые обрабатывают звонки пациентов и записывают их к нужному врачу по жалобе пациента.

В связи с этим, чтобы все работники медицинской организации, а не только врачи, могли работать с персональными данными пациента, организации обычно просят подписать согласие на обработку персональных данных.
Анализ условий обработки персональных данных различных онлайн-сервисов
В последнее время все большую популярность приобретают сервисы телемедицины. Преимущество таких сервисов в том, что записаться и получить консультацию любого, даже узкого специалиста можно день в день на онлайн-встрече, не выходя из дома. Однако, для диагностики состояния пациентов сервис предлагает загрузить результаты предыдущих анализов или описать текущее состояние здоровья.

В соответствии с ФЗ «Об основах охраны здоровья граждан в РФ» применение телемедицинских технологий при оказании медицинской помощи осуществляется с соблюдением требований, установленных законодательством РФ в области персональных данных, и соблюдением врачебной тайны (статья 36.2).

Не секрет, что за разработкой большого онлайн-сервиса стоит огромное количество человек, большинство из которых не является медицинскими работниками. Зачастую такие сервисы для хранения данных о диагнозах и назначениях пациентов используют сторонние хранилища данных.

Обслуживать такие хранилища данных также могут работники без медицинского образования. В соответствии с законодательством для правомерного предоставления доступа к сведениям о здоровье пациента для своих не медицинских работников, сервисы телемедицины должны получать у пациентов согласия на обработку персональных данных в письменной форме.

Мы проанализировали несколько отечественных сервисов и то, как они описывают обработку персональных данных, в том числе о здоровье. Вместе с тем каждый из сервисов определяет свои условия обработки персональных данных, включая сведения о здоровье.
Условия обработки персональных данных из Согласия на обработку персональных данных сервиса «Сберздоровье»
Условия обработки персональных данных из Пользовательского соглашения сервиса «Сберздоровье»
Согласно пункту 2.4 Пользовательского соглашения данные о состоянии здоровья предоставляются непосредственно и только врачам и медицинским организациям, при этом остается под вопросом обработка данных о состоянии здоровья самим сервисом. Например, обработка данных о предыдущих посещениях специалистов, хранение данных о пройденных анализах.

Согласно условиям Согласия на обработку персональных данных, Сберздоровье самостоятельно обрабатывает ограниченное количество данных, которые не включают в себя данные о здоровье, что на наш взгляд неверно.
Условия обработки персональных данных из Пользовательского соглашения сервиса «Яндекс.Здоровье»
Сервис Яндекс. Здоровье заявляет, что осуществляет обработку персональных данных и их передачу третьим лицам в целях предоставления Пользователю функциональной возможности получения от партнеров Яндекса Консультаций и/или Информационных услуг и в целях оказания медицинской помощи, в том числе в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну. Пользователь не предоставляет дополнительно согласие на обработку персональных данных.

Вместе с тем, можно предположить, что с персональными данными при работе сервиса работают не только медицинские или фармацевтические работники.
Условия обработки персональных данных сервиса «НаПоправку»
Условия обработки персональных данных из согласия на обработку персональных данных сервиса «НаПоправку»
Описание возможности добавить персональные в приложении сервиса «НаПоправку»
Сервис «НаПоправку» заявляет, что личная информация (ФИО, телефон, заболевания и пр.), размещенная в личном кабинете, доступна только ее владельцу. Но пользователю нужно понимать, что личная информация в том числе о заболеваниях, назначениях хранится в облаке, об этом заявляет сам сервис. А это означает, что к ней также возможен доступ не медицинских работников.

Вместе с тем сервис «НаПоправку» получает согласие пользователя на обработку только ФИО, номере телефона и адресе электронной почты и данных о пользовательском устройстве.
Функционал, позволяющий добавить сведения о здоровье в сервисе «SmartMed»
Согласие на обработку персональных данных в сервисе «SmartMed»
Сервис SmartMed позволяет пользователям сохранять данные в медкарте пользователя, включая результаты анализов, назначения, историю записей к медицинским специалистам.

При регистрации в сервисе пользователь предоставляет согласие на обработку персональных данных в целях установления медицинского диагноза, оказания медицинских (включая медицинскую помощь, оказываемую с применением телемедицинских технологий) и медико-социальных услуг, оказания, ведения учета и систематизации оказанных услуг, в том числе с помощью мобильного приложения SmartMed, в целях исполнения условий договоров по привлечению клиентов, обеспечению функционирования Мобильного приложения SmartMed, а также в целях улучшения качества обслуживания пациентов и проведения маркетинговых программ, статистических, аналитических, научных исследований.
Анализ условий обработки данных о здоровье четырех сервисов телемедицины показывает, что операторы по-разному организуют их обработку.
Маловероятно, что сервисы телемедицины способны создать условия при которых обработкой данных о состоянии здоровья занимаются только медицинские или фармацевтические работники, поскольку инфраструктуру сервиса, включая базы данных, необходимо поддерживать разработчикам программного обеспечения и иным специалистам. Поэтому наиболее верным подходом из проанализированных, по нашему мнению, является подход сервиса SmartMed.

Таким образом, операторам, занятым в области оказания медицинских и телемедицинских услуг, важно соблюдать требования законодательства об обработке персональных данных и обеспечивать сбор согласий для обработки данных о здоровье своих пациентов в случае доступа к указанным данным сотрудников или третьих лиц, прямо не относящихся к категориям медицинских и фармацевтических работников.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме