Юридическая оценка доступа к персональным данным из государственных систем для внедрения электронных рецептов на льготные лекарства

Правовые основания доступа к персональным данным пациентов для системы электронных рецептов

Анализ ситуации

Ваша IT-компания планирует разработку системы электронных рецептов, требующей доступа к персональным данным пациентов (номер страхового полиса и адрес) из государственных информационных систем. Данная деятельность подпадает под регулирование Федерального закона № 152-ФЗ "О персональных данных" и отраслевого законодательства о здравоохранении.

Правовые основания обработки персональных данных

1. Отнесение данных к специальным категориям

Обрабатываемые данные (номер полиса ОМС и адрес) могут быть отнесены к специальным категориям персональных данных, поскольку связаны с оказанием медицинской помощи:

"Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частями 2 и 2.1 настоящей статьи" (Источник: Федеральный закон № 152-ФЗ, статья 10)

2. Условия правомерности обработки

Для обработки специальных категорий данных необходимо одно из следующих оснований:

"Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если: 4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну" (Источник: Федеральный закон № 152-ФЗ, статья 10)

3. Требование получения согласия

В вашем случае обработка данных для системы электронных рецептов может осуществляться без отдельного согласия, если это предусмотрено федеральным законом:

"Обработка персональных данных допускается в следующих случаях: 2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей" (Источник: Федеральный закон № 152-ФЗ, статья 6)

Доступ к государственным информационным системам

1. Регулирование доступа к системам здравоохранения

Доступ к информационным системам в сфере здравоохранения регламентирован Федеральным законом № 323-ФЗ:

"В системе персонифицированного учета осуществляется обработка следующих персональных данных о лицах, которым оказывается медицинская помощь: 11) номер полиса обязательного медицинского страхования застрахованного лица (при наличии)" (Источник: Федеральный закон № 323-ФЗ, статья 94)

2. Порядок информационного взаимодействия

Для доступа к данным необходимо взаимодействие с операторами соответствующих систем:

"Федеральный фонд, территориальные фонды вправе получать от государственных органов, органов местного самоуправления, иных органов и организаций сведения, необходимые для предоставления государственных услуг в сфере обязательного медицинского страхования" (Источник: Федеральный закон № 326-ФЗ, статья 49)

Требования к защите данных

1. Обеспечение конфиденциальности

При обработке медицинских данных必须 соблюдать строгие требования к защите:

"Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом" (Источник: Федеральный закон № 152-ФЗ, статья 7)

2. Меры безопасности

"Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним" (Источник: Федеральный закон № 152-ФЗ, статья 19)

Рекомендации и порядок действий

1. Правовые основания для запроса данных

Для получения доступа к государственным информационным системам необходимо:

1. Заключение договора с медицинскими организациями или фондами ОМС
2. Определение правового статуса вашей компании как оператора персональных данных
3. Соблюдение отраслевых требований к медицинским информационным системам

2. Порядок оформления запроса

Запрос на доступ к данным должен содержать:

• Обоснование необходимости обработки данных
• Перечень запрашиваемых персональных данных
• Описание мер защиты данных
• Правовые основания обработки (ссылки на законодательство)

3. Обязательные мероприятия

• Уведомление Роскомнадзора о начале обработки персональных данных
• Разработка политики обработки ПДн и локальных актов
• Внедрение технических мер защиты соответствующего уровня
• Обучение сотрудников работе с персональными данными

4. Особенности для льготных препаратов

Для работы с данными о льготных препаратах可能需要 дополнительное регулирование:

"Ведение Федерального регистра граждан, имеющих право на обеспечение лекарственными препаратами... осуществляется уполномоченным федеральным органом исполнительной власти" (Источник: Федеральный закон № 323-ФЗ, статья 44.1)

Выводы

1. Обработка возможна при соблюдении строгих требований законодательства
2. Согласие пациентов может не требоваться, если обработка осуществляется в рамках оказания медицинских услуг
3. Доступ к госсистемам требует установления правовых отношений с операторами этих систем
4. Обязательна реализация специальных мер защиты персональных данных

Рекомендация: Для разработки корректной процедуры запроса и обеспечения правомерности обработки данных рекомендую обратиться к адвокату, специализирующемуся на медицинском праве и защите персональных данных, для детальной проработки документации и процедур взаимодействия с государственными информационными системами.