Законность передачи медицинских данных между частными клиниками без ведома пациента

Обмен медицинскими данными между частными клиниками без согласия пациента: правовой анализ

Вы столкнулись с ситуацией, когда одна частная клиника передала результаты ваших анализов в другую без вашего ведома и, как вы полагаете, без вашего согласия. Такая ситуация вызывает вопросы о соблюдении врачебной тайны и законодательства о персональных данных. Давайте проведем детальный правовой анализ.

1. Общий запрет на разглашение врачебной тайны

Сведения о факте вашего обращения за медицинской помощью, состоянии здоровья и диагнозе составляют врачебную тайну. Закон устанавливает прямой запрет на ее разглашение без вашего согласия.

"Сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну." (Источник: Федеральный закон от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации", Статья 13, часть 1)

"Не допускается разглашение сведений, составляющих врачебную тайну, в том числе после смерти человека, лицами, которым они стали известны при обучении, исполнении трудовых, должностных, служебных и иных обязанностей, за исключением случаев, установленных частями 3 и 4 настоящей статьи." (Источник: Федеральный закон от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации", Статья 13, часть 2)

Медицинские организации также обязаны соблюдать врачебную тайну и конфиденциальность персональных данных.

"Медицинская организация обязана... соблюдать врачебную тайну, в том числе конфиденциальность персональных данных, используемых в медицинских информационных системах..." (Источник: Федеральный закон от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации", Статья 79, пункт 4 части 1)

2. Правовые основы для передачи данных: почему нужно ваше согласие

Сами по себе сведения о состоянии здоровья являются специальной категорией персональных данных. Их обработка (включая передачу, что прямо указано в определении обработки) без вашего согласия по общему правилу запрещена.

"Обработка специальных категорий персональных данных, касающихся... состояния здоровья... не допускается..." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", Статья 10, часть 1)

В определении обработки персональных данных прямо указана их "передача (распространение, предоставление, доступ)" (Ст. 3 152-ФЗ).

Закон «О персональных данных» прямо обязывает получивших доступ к данным лиц не раскрывать их без вашего согласия.

"Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", Статья 7)

Обмен информацией между медицинскими организациями допускается, но при этом закон требует соблюдения законодательства о персональных данных, которое, как мы видим, предполагает наличие вашего согласия.

"...при обмене информацией медицинскими организациями, в том числе размещенной в медицинских информационных системах, в целях оказания медицинской помощи с учетом требований законодательства Российской Федерации о персональных данных." (Источник: Федеральный закон от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации", Статья 13, пункт 8 части 4)

Ключевой момент: Для того чтобы вторая клиника могла получить ваши данные от первой, вы должны были дать на это согласие. Наличие общего условия о врачебной тайне в договоре с первой клиникой говорит о ее обязанности хранить данные, а не о вашем разрешении на их передачу.

"Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", Статья 9, часть 1)

Письменное согласие обязательно должно включать, среди прочего, цель обработки, перечень данных и перечень действий с ними. Как вы указали, в вашем договоре не было прописано разрешение на передачу данных в другие организации. Следовательно, ваше информированное согласие на такую передачу получено не было. Отсутствие в договоре пункта о порядке передачи третьим лицам не дает клинике права действовать по своему усмотрению, а, наоборот, означает, что такое право ей не предоставлено.

3. Исключения: когда передача возможна без согласия?

Существуют исключения, позволяющие передавать врачебную тайну без согласия, например, когда пациент не способен выразить свою волю, и это необходимо для его лечения. Однако маловероятно, что ваша ситуация подпадает под это исключение, так как вы были в сознании и могли дать согласие. Данный случай касается экстренной медицинской помощи.

"...в целях проведения медицинского обследования и лечения гражданина, который в результате своего состояния не способен выразить свою волю..." (Источник: Федеральный закон от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации", Статья 13, пункт 1 части 4)

Также закон допускает обработку данных о здоровье без согласия в медико-профилактических целях, для установления диагноза и оказания медуслуг, но при условии, что это делает лицо, обязанное хранить врачебную тайну. Эта норма регулирует действия конкретного врача внутри лечебного процесса в одной организации и не дает права одной клинике произвольно передавать накопленные данные в другую, не связанную с первой договорными отношениями по вашему лечению, без вашего согласия.

"...обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", Статья 10, часть 2, пункт 4)

Таким образом, из предоставленной информации следует, что действия клиник по обмену вашими данными без вашего прямо выраженного согласия незаконны.

4. Ответственность и порядок обжалования

За нарушение законодательства о персональных данных и врачебной тайне предусмотрена гражданская, административная и уголовная ответственность. Вы имеете право обжаловать действия операторов (клиник) и требовать компенсации морального вреда.

Куда обращаться с жалобой:

Выбранный вами орган будет зависеть от того, на каком аспекте нарушения вы хотите сделать акцент. Можно подать жалобы параллельно в несколько инстанций.

1. Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций): Это основной орган по защите прав субъектов персональных данных. В его компетенции — контроль за обработкой персональных данных, и по вашей жалобе он обязан провести проверку.

   "Уполномоченным органом по защите прав субъектов персональных данных является федеральный орган исполнительной власти, осуществляющий самостоятельно функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства..." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", Статья 23, часть 1)

   "Субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", Статья 17, часть 1)

   Роскомнадзор по вашему заявлению может потребовать от оператора (медорганизации) прекратить неправомерную обработку, а также привлечь виновных к административной ответственности (Статья 23, часть 3, пункт 9 152-ФЗ).

2. Органы прокуратуры: Нарушение врачебной тайны является серьезным правонарушением. Прокуратура осуществляет общий надзор за соблюдением законодательства и может провести проверку, а при наличии оснований — возбудить дело об административном правонарушении или направить материалы в следственные органы для решения вопроса о возбуждении уголовного дела.

3. Суд: В судебном порядке вы можете потребовать компенсации морального вреда, причиненного незаконным распространением ваших персональных данных.

   "Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных... подлежит возмещению в соответствии с законодательством Российской Федерации." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", Статья 24, часть 2)

Рекомендации

1. Зафиксируйте факт нарушения: Запросите во второй клинике выписку или иной документ, подтверждающий, что врач использовал результаты анализов из первой клиники. Важно зафиксировать, какой именно врач и когда упомянул эти сведения.
2. Определите, кто передал информацию: Для этого можно направить письменный запрос (заказным письмом с уведомлением о вручении) в обе клиники с требованием разъяснить, на каком правовом основании произошла передача ваших медицинских данных.
3. Подготовьте жалобу: Составьте жалобу в Роскомнадзор и (или) прокуратуру. В жалобе подробно опишите ситуацию: наименования клиник, даты обращения, известные вам факты передачи данных. Укажите, что вы не давали письменного согласия на передачу сведений, составляющих врачебную тайну, в другую медицинскую организацию. Приложите копии имеющихся у вас документов (договоры с клиниками, ответы на запросы, если они есть).
4. Обратитесь к специалисту: Для подготовки процессуальных документов и определения точной суммы компенсации морального вреда в суде целесообразно обратиться за помощью к адвокату, специализирующемуся на медицинском праве или защите прав потребителей.

Таким образом, передача ваших медицинских данных между частными клиниками без вашего отдельного, конкретного и осознанного согласия является нарушением законодательства о врачебной тайне и персональных данных. У вас есть все основания для подачи жалобы в контролирующие органы и взыскания компенсации морального вреда.