Этой заметкой хотелось завершить цикл статей, связанных с защитой персональных данных, Роскомнадзором и прочим с этим связанным. Думаю, что в цикле статей по подготовке к проверкам, и в руководстве по заполнению уведомления тему более менее раскрыл. Дальше буду писать на эту тему при появлении какой-нибудь новой информации или если возникнет интересная идея для статьи. По вопросу, выведенному в заголовок решил сделать отдельную заметку, потому что уж очень часто ответственные за обработку ПДн в медицинских учреждениях задают мне этот вопрос.
Начну, пожалуй, с рассмотрения случая, который уже давно стал в определенных кругах своего рода мемом. 22 ноября 2013 года Управление Роскомнадзора по Астраханской области вынесло предписание местной областной клинической больнице об устранении нарушений. Суть претензий регулятора заключалась в том, что в организации собирают согласия с пациентов, а согласно закону «О персональных данных» якобы могут в их случае не собирать.
Маразматичность этого предписания с одной стороны состоит в том, что организацию наказали за перевыполнение требований. Вот представьте себе гипотетическую ситуацию: условно есть требование, что необходимо на входе в «Помещение №1» установить стальную дверь. Вы решили выпендриться и поставить титановую. Приходит регулятор и наказывает вас за то, что ваша дверь более крепкая чем нужно. Сказано же в требованиях: «Дверь должна быть стальная!». Тупо? Тупо. Вот так и здесь.
Но с другой стороны, на самом деле, Роскомнадзор и с точки зрения законодательства не прав. Давайте разбираться.
Пункт 4 части 2 статьи 10 закона говорит следующее:
Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:
обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
Вроде бы все правильно. Но давайте подумаем. Тут ключевым является союз «и». То есть эта норма распространяется на тех, кто и занимается медицинской деятельностью и обязан хранить врачебную тайну одновременно — на профессиональных врачей. Скажите честно, много ли вы знаете медицинских организаций, где доступ к персональным данным пациентов имеют только профессиональные врачи? Вряд ли. В любом подобном учреждении с медицинскими картами работают как минимум сотрудники регистратуры, а как максимум еще и сотрудники отдела медстатистики, медсестры и даже работники столовой могут сверять диету того или иного пациента с электронной картой пациента (если внедрена полноценная информационная система). И при всем к ним уважении, профессиональными врачами эти люди точно не являются. Даже в маленьких частных заведениях, вся деятельность которых сводится к консультациям и оказания услуг, например, массажа, сидит секретарь-регистратор, выдающий посетителям медицинские карты.
Пункт 3 этой же части этой же статьи закона мы рассматривать не будем, так как там речь идет о ситуации когда согласие с пациента нельзя получить. Но даже в психиатрии не все пациенты настолько невменяемые, поэтому пункт также отпадает. И остается 1 пункт, когда специальные категории можно обрабатывать только с письменного согласия субъекта. Поэтому ответ на вопрос из заголовка — да, нужно.