Теперь разберём, требуется ли директору получать от пациента письменное согласие на обработку его ПД. Ключевым здесь является то, какие именно ПД обрабатываются. Фамилия и адрес относятся к обычным ПД, а сведения о состоянии здоровья (диагноз, результаты обследований и т.д.) — к специальной категории ПД, обработка которых по общему правилу запрещена (ст. 10 Закона о ПД). Однако для медицинской деятельности Закон предусматривает исключение.
Статья 10. Специальные категории персональных данных
- Обработка специальных категорий персональных данных, касающихся ... состояния здоровья, ... не допускается, за исключением случаев, предусмотренных частями 2 и 2.1 настоящей статьи.
- Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:
- субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
- обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательс
— Федеральный закон «О персональных данных», ст. 10
Как видно, п. 4 ч. 2 ст. 10 допускает обработку ПД о состоянии здоровья без согласия пациента, если она осуществляется в медико-профилактических целях (для установления диагноза, оказания медицинских услуг) и при условии, что обработку проводит лицо, профессионально занимающееся медицинской деятельностью и обязанное сохранять врачебную тайну. Врачи клиники как раз являются такими лицами, а ведение медицинских карт — это часть оказания помощи. Следовательно, в части сведений о состоянии здоровья, вносимых врачами в карты, письменное согласие пациента на их обработку может не требоваться. Однако это исключение не означает, что оператор (клиника в лице директора) вовсе освобождён от обязанности информировать пациента об обработке его ПД и от выполнения иных требований Закона. Кроме того, у пациента есть право знать, какие именно ПД обрабатываются, для каких целей и на каком основании.
Для обычных ПД — фамилии и адреса — Закон предлагает несколько возможных оснований обработки без согласия. Одно из них — исполнение договора, стороной которого является субъект ПД.
Статья 6. Условия обработки персональных данных: 1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; 5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
— Федеральный закон «О персональных данных», ст. 6
Фамилия и адрес пациента объективно необходимы клинике для исполнения договора на оказание медицинских услуг: чтобы идентифицировать пациента, вести его медицинскую документацию, направлять уведомления, выписывать рецепты. Поэтому обработка этих обычных ПД может осуществляться без отдельного согласия на основании п. 5 ч. 1 ст. 6 Закона о ПД (как необходимая для исполнения договора). Это отвечает на второй вопрос: для обработки фамилии и адреса согласие может не требоваться в силу наличия иного законного основания (исполнение договора). Однако директор должен знать, что если он вдруг решит использовать эти данные для иных целей (например, для маркетинга или передачи третьим лицам), то потребуется отдельное согласие.
Но даже при наличии законного основания обработки (по договору или по специальному исключению для медуслуг) директор обязан соблюдать требования к сбору ПД, предусмотренные ст. 18 Закона о ПД. При получении ПД непосредственно от пациента (а именно так происходит при оформлении в клинику) оператор должен предоставить пациенту определённую информацию.
Статья 18. Обязанности оператора при сборе персональных данных. Часть 2: Если в соответствии с федеральным законом предоставление персональных данных и (или) получение оператором согласия на обработку персональных данных являются обязательными, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку. Часть 3: Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию: 1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя; 2) цель обработки персональных дан
— Федеральный закон «О персональных данных», ст. 18
В данном контексте пациент сам сообщает свои ПД при обращении — это данные получены от субъекта. Следовательно, часть 3 ст. 18 не применяется (она для случаев, когда данные получены не от субъекта). Однако часть 2 ст. 18 обязывает оператора, если закон предусматривает обязательность предоставления ПД (а в медицине для идентификации и ведения карты предоставление фамилии и адреса фактически обязательно), разъяснить пациенту юридические последствия отказа предоставить эти данные. Директор обязан проинформировать пациента о том, что без фамилии и адреса договор не может быть заключён и медицинская помощь не будет оказана. Если директор этого не делает, он нарушает ст. 18 ч. 2. Кроме того, даже если согласие на обработку не требуется, оператор должен обеспечить реализацию прав субъекта ПД, в частности права на получение информации об обработке (ст. 14, вне контекста, но это общий принцип). В любом случае, игнорирование обязанности разъяснения — нарушение.
Относительно паспортных данных в договоре. Закон не требует обязательно включать их в текст договора на оказание медицинских услуг. Однако для оформления письменного согласия на обработку ПД (если оно всё же потребуется, например, для передачи данных куда-либо) ст. 9 Закона о ПД устанавливает, что такое согласие должно содержать номер основного документа, удостоверяющего личность.
Статья 9. Согласие субъекта персональных данных на обработку его персональных данных. 1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. ... 4. ... Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности: 1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; ...
— Федеральный закон «О персональных данных», ст. 9
Поскольку в рассматриваемой ситуации директор не получает письменного согласия вовсе, вопрос о включении паспортных данных в согласие не стоит. Но если бы он решил оформлять такое согласие (например, на случай передачи данных страховщику по требованию), то паспортные данные в нём обязательны. Для самого договора паспортные данные не обязательны — их можно не включать, это не является нарушением. Однако для однозначной идентификации пациента в ряде случаев (например, при оказании помощи в стационаре) закон может требовать указания паспортных данных в иной документации, но не в договоре.
Наконец, необходимо учитывать требования о врачебной тайне. Сведения, содержащиеся в медицинских картах (фамилия, адрес, диагноз), составляют врачебную тайну (ст. 13 Федерального закона «Об основах охраны здоровья граждан в РФ»).
Статья 13. Соблюдение врачебной тайны. 1. Сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну. 2. Не допускается разглашение сведений, составляющих врачебную тайну, в том числе после смерти человека, лицами, которым они стали известны при обучении, исполнении трудовых, должностных, служебных и иных обязанностей, за исключением случаев, установленных частями 3 и 4 настоящей статьи.
— Федеральный закон «Об основах охраны здоровья граждан в Российской Федерации», ст. 13
Директор клиники, а также врачи являются лицами, которым эти сведения стали известны при исполнении трудовых обязанностей. Утверждение директора о том, что он «не передаёт данные никуда», формально свидетельствует о соблюдении режима врачебной тайны (разглашения не происходит). Однако сам по себе факт обработки медицинских карт (сбор, хранение) без принятия мер по защите конфиденциальности может быть нарушением, если доступ к картам имеют посторонние лица (техперсонал, уборщики и т.д.). Закон о ПД (ст. 7) также обязывает оператора не раскрывать ПД без согласия, но это не равнозначно обязанности принимать организационные и технические меры защиты — последние предусмотрены ст. 19 Закона о ПД, которая не вошла в предоставленный контекст, но её наличие необходимо учитывать. В рамках данного анализа можно указать, что директор должен обеспечить ограниченный доступ к медкартам и контроль за их сохранностью.
Таким образом, основные нарушения в описанной ситуации связаны не с отсутствием согласия на обработку ПД (для медицинских целей оно может не требоваться), а с невыполнением обязанности разъяснить пациенту последствия отказа предоставить ПД (ст. 18 ч. 2 Закона о ПД) и, возможно, с отсутствием надлежащего информирования об обработке данных. Отсутствие паспортных данных в договоре нарушением не является. Также нет оснований утверждать, что директор обязан получить письменное согласие на обработку ПД о здоровье, если обработка ведётся исключительно врачами для оказания помощи и без передачи третьим лицам. Однако для подстраховки и с учётом сложившейся правоприменительной практики (особенно требований Роскомнадзора) рекомендуется получать информированное добровольное согласие на обработку ПД хотя бы в минимальной форме — это снизит риски при проверках.