Зачем клиники собирают наши согласия на обработку персональных данных

Поход пациента в медицинскую организацию в первый раз зачастую сопровождается подписанием целого ряда бумаг: согласия на медицинское вмешательство, договора, если клиника частная или государственное учреждение оказывает платные услуги, согласия на обработку персональных данных. 

Если вчитываться в текст согласия на обработку персональных данных, то в нем можно найти условие о том, что субъект персональных данных разрешает медицинской организации обрабатывать свою фамилию, имя, отчество, дату рождения и прочие данные, важным пунктом такого согласия является пункт о возможности организации обрабатывать сведения о состоянии здоровья субъекта. 

Если цель первых двух документов понятна, то наличие третьего вызывает вопрос. Ведь большинство людей посещает медицинское учреждение специально с целью выяснения состояния своего здоровья, что в свою очередь будет неразрывно связано с обработкой данных о здоровье человека. Более того, без этих данных клиника даже не сможет выполнить свою работу и предоставить качественные услуги. Так зачем медицинские организации получают согласие на обработку персональных данных?Разберем в статье. 

Сведения о состоянии здоровья человека — не обычные персональные данные. Законодательство относит эти сведения к специальной категории персональных данных, наряду с данными о расовой, национальной принадлежности, политических взглядах, религиозных, философских убеждениях, жизни и выделяет конкретные ситуации, когда оператор персональных данных (частная компания или государственное учреждение) вправе их обрабатывать. 

В законе «О персональных данных» существует положение, согласно которому сведения о состоянии здоровья могут обрабатываться на основании согласия в письменной форме на обработку персональных данных. 

Сведения о состоянии здоровья могут обрабатываться и без согласия субъекта персональных данных, например, когда их обработка осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну. Помимо этих случаев есть и другие, но они не релевантные для обработки сведений о состоянии здоровья в случае не экстренного обращения в медицинскую организацию. 

Казалось бы, что медицинские организации вправе не получать согласие пациента на обработку персональных данных о его здоровье, потому что закон прямо это предусматривает, однако необходимо обратить внимание на то, что сведения о состоянии здоровья могут обрабатываться без согласия субъекта персональных данных, когда их обработка осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну. 

Обязанность соблюдать врачебную тайну несут медицинские работники и фармацевтические работники, что установлено в соответствии со ст. 73 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в РФ» (далее — ФЗ «Об основах охраны здоровья граждан в РФ»). 

К медицинским работникам законодательство относит лиц, которые имеют медицинское или иное образование, работают в медицинской организации и в трудовые (должностные) обязанности которых входит осуществление медицинской деятельности, либо физические лица, которые являются индивидуальными предпринимателями, непосредственно осуществляющими медицинскую деятельность. 

К фармацевтическим работникам относятся физические лица, которые имеют фармацевтическое образование, работают в фармацевтической организации и в трудовые обязанности которых входят оптовая торговля лекарственными средствами, их хранение, перевозка, розничная торговля лекарственными препаратами для медицинского применения, их изготовление, отпуск, хранение и перевозка.

Таким образом, обрабатывать сведения о состоянии здоровья без согласия субъекта персональных данных вправе только лица, в трудовые обязанности которых входит осуществление медицинской деятельности, то есть врачи и фармацевты медицинской организации. 

Однако, в медицинском учреждении или медицинской клинике мы можем заметить множество работников, помимо медицинских работников или фармацевтов, которые также получают персональные данные о состоянии здоровья. Например, это могут быть работники регистратуры, которые обрабатывают звонки пациентов и записывают их к нужному врачу по жалобе пациента. 

В связи с этим, чтобы все работники медицинской организации, а не только врачи, могли работать с персональными данными пациента, организации обычно просят подписать согласие на обработку персональных данных. 

Анализ условий обработки персональных данных различных онлайн-сервисов 

В последнее время все большую популярность приобретают сервисы телемедицины. Преимущество таких сервисов в том, что записаться и получить консультацию любого, даже узкого специалиста можно день в день на онлайн-встрече, не выходя из дома. Однако, для диагностики состояния пациентов сервис предлагает загрузить результаты предыдущих анализов или описать текущее состояние здоровья. 

В соответствии с ФЗ «Об основах охраны здоровья граждан в РФ» применение телемедицинских технологий при оказании медицинской помощи осуществляется с соблюдением требований, установленных законодательством РФ в области персональных данных, и соблюдением врачебной тайны (статья 36.2). 

Не секрет, что за разработкой большого онлайн-сервиса стоит огромное количество человек, большинство из которых не является медицинскими работниками. Зачастую такие сервисы для хранения данных о диагнозах и назначениях пациентов используют сторонние хранилища данных.

Обслуживать такие хранилища данных также могут работники без медицинского образования. В соответствии с законодательством для правомерного предоставления доступа к сведениям о здоровье пациента для своих не медицинских работников, сервисы телемедицины должны получать у пациентов согласия на обработку персональных данных в письменной форме. 

Мы проанализировали несколько отечественных сервисов и то, как они описывают обработку персональных данных, в том числе о здоровье. Вместе с тем каждый из сервисов определяет свои условия обработки персональных данных, включая сведения о здоровье.

Согласно пункту 2.4 Пользовательского соглашения данные о состоянии здоровья предоставляются непосредственно и только врачам и медицинским организациям, при этом остается под вопросом обработка данных о состоянии здоровья самим сервисом. Например, обработка данных о предыдущих посещениях специалистов, хранение данных о пройденных анализах. 

Согласно условиям Согласия на обработку персональных данных, Сберздоровье самостоятельно обрабатывает ограниченное количество данных, которые не включают в себя данные о здоровье, что на наш взгляд неверно. 

Сервис Яндекс.Здоровье заявляет, что осуществляет обработку персональных данных и их передачу третьим лицам в целях предоставления Пользователю функциональной возможности получения от партнеров Яндекса Консультаций и/или Информационных услуг и в целях оказания медицинской помощи, в том числе в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну. Пользователь не предоставляет дополнительно согласие на обработку персональных данных.

Вместе с тем, можно предположить, что с персональными данными при работе сервиса работают не только медицинские или фармацевтические работники. 

Сервис «НаПоправку» заявляет, что личная информация (ФИО, телефон, заболевания и пр.), размещенная в личном кабинете, доступна только ее владельцу. Но пользователю нужно понимать, что личная информация в том числе о заболеваниях, назначениях хранится в облаке, об этом заявляет сам сервис. А это означает, что к ней также возможен доступ не медицинских работников. 

Вместе с тем сервис «НаПоправку» получает согласие пользователя на обработку только ФИО, номере телефона и адресе электронной почты и данных о пользовательском устройстве. 

Сервис SmartMed позволяет пользователям сохранять данные в медкарте пользователя, включая результаты анализов, назначения, историю записей к медицинским специалистам. 

При регистрации в сервисе пользователь предоставляет согласие на обработку персональных данных в целях установления медицинского диагноза, оказания медицинских (включая медицинскую помощь, оказываемую с применением телемедицинских технологий) и медико-социальных услуг, оказания, ведения учета и систематизации оказанных услуг, в том числе с помощью мобильного приложения SmartMed, в целях исполнения условий договоров по привлечению клиентов, обеспечению функционирования Мобильного приложения SmartMed, а также в целях улучшения качества обслуживания пациентов и проведения маркетинговых программ, статистических, аналитических, научных исследований.

Анализ условий обработки данных о здоровье четырех сервисов телемедицины показывает, что операторы по-разному организуют их обработку. 

Маловероятно, что сервисы телемедицины способны создать условия при которых обработкой данных о состоянии здоровья занимаются только медицинские или фармацевтические работники, поскольку инфраструктуру сервиса, включая базы данных, необходимо поддерживать разработчикам программного обеспечения и иным специалистам. Поэтому наиболее верным подходом из проанализированных, по нашему мнению, является подход сервиса SmartMed. 

Таким образом, операторам, занятым в области оказания медицинских и телемедицинских услуг, важно соблюдать требования законодательства об обработке персональных данных и обеспечивать сбор согласий для обработки данных о здоровье своих пациентов в случае доступа к указанным данным сотрудников или третьих лиц, прямо не относящихся к категориям медицинских и фармацевтических работников. 

С уважением, консалтинговая компания Б-152