Материал обновлен 11.12.2024. Заявление пациента об отзыве согласия на обработку персональных данных

Статья
Борисов Дмитрий Александрович, кандидат экономических наук, эксперт Федеральной антимонопольной службы России по развитию конкуренции в здравоохранении и образовании

Шаблоны ответов пациенту в связи с продолжением обработки персональных данных без его согласия, прекращением обработки и уничтожением персональных данных

11 Декабря 202419 145 зн.9 A42 910 руб.# 1046Выделить главное вкл выкл 5957

Обновление материала

11.12.2024. Добавлены вопрос 2 и разделы 6 - 10, посвященные уничтожению персональных данных

Вопрос 1. От пациентки поступило заявление об отзыве согласия на обработку персональных данных (далее - ПД) себя и своего несовершеннолетнего ребенка, в котором она требует прекратить обработку и передачу ПД, обеспечить прекращение такой обработки в срок до 30 дней, предоставив акт об уничтожении носителей, файлов и пр., содержащих ПД.

Если пациентка отзывает свое согласие, то мед. учреждение может продолжать обработку ПД вплоть до окончания действия договора на оказание медицинских услуг с соблюдением режима конфиденциальности. Но у нас договор бессрочный, а при каждом последующем приеме заключается доп.соглашение к нему.

Также пациента требует предоставить следующую информацию:

1. Производится ли в данный момент (производилась ли ранее) обработка её ПД

2. Правовые основания обработки ПД с предоставлением ей копии её согласия на обработку ПД

3. Каковы цели обработки её ПД

4. Каким способом ведется обработка: не автоматизированным или автоматизированным

5. Наименование и место нахождения оператора

6. Полный перечень обрабатываемых её ПД(ФИО, адрес, телефон), источник их получения

7. Сроки обработки её ПД, в том числе сроки хранения

8. Информацию об осуществляемой или предполагаемой трансграничной передаче её ПД

В связи со сказанным прошу ответить на вопросы:

1. Как грамотно дать пациентке ответ о невозможности совершения подобных действий до достижения конечной цели такой обработки, а именно, необходимо, например, учесть сроки хранения медицинской карты, ведения статистической и бухгалтерской отчетности. Также не исключается возможность конфликтов с пациентом по качеству предоставления медицинской помощи.

2. Какие документы мед. учреждение обязано предоставить пациентке для подтверждения законности обработки ее ПД.

Ответ на вопрос 1 см. разделы 1 - 5.

 

Вопрос 2. К нам поступил отзыв согласия на обработку персональных данных. Хотели с вами проконсультироваться по данному вопросу. Какие наши действия по уничтожению персональных данных?

Далее приводится извлечение из текста отзыва.

Настоящим отзываю свое согласие на обработку (1) любых моих персональных данных (паспорт, номер телефона, адрес электронной почты, адрес проживания и т. д.) и чувствительных данных специальной категории (любая медицинская информация) в связи с установленными мною фактами их неправомерного использования, а также прошу уничтожить их в установленный законом срок (2).

Обращаю ваше внимание, что в случае неисполнения данного требования в установленный срок, ваши действия будут расценены как неправомерная обработка персональных данных, что согласно ст. 13.11 КоАП РФ влечет наложение административного штрафа. Кроме того, в соответствии со статьей 24 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", я буду вынужден обратиться с жалобой в Роскомнадзор и прокуратуру для принятия мер реагирования.

Прошу подтвердить получение моего заявления и уведомить меня о прекращении обработки персональных данных и их уничтожении (4) по электронной почте. 28.11.2024.

Данный отзыв был направлен по электронной почте и сопровожден следующим текстом.

Здравствуйте, прошу внимательно изучить и принять мое заявление на отзыв и уничтожение персональных данных.

В подтверждение и идентификацию личности прикрепил скан паспорта.

Все включая прикрепленный скан паспорта должны быть уничтоженны в последствии процедуры уничтожения данных. Не даю своего согласия на использование скана моего паспорта в любых иных целях кроме исполнения требований заявления.

Также жду от вас подтверждения об исполнении требований заявления по адресу электронной почты указанной в заявлении (адрес почты, с которого я отправил вам данное письмо).

Ответ на вопрос 2. К сожалению Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - закон N 152-ФЗ, ПДн) способ отзыва согласия не установлен.

Например, согласно части 4 статьи 9 закона N 152-ФЗ равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.

Согласно части 3 стати 14 "Право субъекта персональных данных на доступ к его персональным данным" закона N 152-ФЗ запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

Согласно пункту 8 части 4 статьи 3 согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя способ его отзыва, если иное не установлено федеральным законом.

1. Направление отзыва согласия по электронной почте возможно, если в согласии, которое отзывается, такой способ отзыва указан и электронная почта субъекта персональных данных указана в согласии или договоре предоставления платных медицинских услуг.

То есть, необходимо убедится, что отзыв согласия направлен по электронной почте именно тем субъектом, который давал согласие. Скан паспорта подобным подтверждением не является. Удаление ПДн на основании отзыва, достоверность которого невозможно подтвердить, подпадает под действие части 6 статьи 13.11 "Кодекса Российской Федерации об административных правонарушениях" от 30.12.2001 N 195-ФЗ (далее — КоАП) в части не обеспечения сохранности и неправомерного уничтожения ПДн влечет наложение административного штрафа на юридических лиц в размере от пятидесяти тысяч до ста тысяч рублей.

2. Если в согласии указано, что отзыв может быть подан только в бумажном виде при личной явке, то в удовлетворении требований, направленных по электронной почте можно отказать.

3. Если в согласии не указан способ отзыва, то отказ в уничтожении ПДн на том основании, что невозможно подтвердить достоверность отзыва, может привести к тому, что заявитель подаст жалобу в Роскомнадзор на нарушение части 2 статьи 13.11 КоАП в части обработки персональных данных с нарушением установленных законодательством требований к составу сведений, включаемых в согласие в письменной форме влечет наложение административного штрафа на юридических лиц в размере от трехсот тысяч до семисот тысяч рублей.

По-мнению автора, если в согласии не указан способ отзыва, с учетом размера штрафов за нарушение требований к согласию, отказывать в уничтожении ПДн на том основании, что невозможно подтвердить достоверность отзыва, нецелесообразно, поскольку уничтожение не коснется медицинской документации и договора на предоставление платных медицинских услуг (см. далее).

Анализ представленного отзыва позволяет сделать следующие выводы:

1. Заявитель отзывает согласие на обработку персональных данных (далее — ПДн).

2. Заявитель просит уничтожить ПДн в установленный законом срок.

3. Заявитель просит уведомить его о прекращении обработки и уничтожении ПДн.

Можно предложить следующий алгоритм действий в связи с отзывом согласия:

1) необходимо выяснить какие (1) персональные данные заявителя, в каком виде (2) и как (3) используются в данный момент;

2) необходимо установить как отзыв согласия повлияет на обработку ПДн. То есть, необходимо выяснить какие (1) персональные данные заявителя, в каком виде (2) и как (3) можно и (или) необходимо использовать без его согласия;

3) необходимо прекратить обработку персональных данных, если продолжение обработки без согласия недопустимо;

4) уничтожить ПДн, если продолжение обработки без согласия недопустимо;

5) уведомить об этом в установленные сроки заявителя.

Подробнее см. разделы 6 - 10.

 

Содержание

1. Запрос пациента о предоставлении сведений об обработке персональных данных

2. Правовые основания обработки данных о здоровье пациента без его согласия

3. Примерный текст ответа пациенту на его запрос о предоставлении сведений об обработке персональных данных

4. Сроки обработки, хранения медицинской документации

5. Срок хранения согласия на обработку персональных данных

6. Какие персональные данные заявителя, в каком виде и как используются

7. Последствия отзыва согласия на обработку персональных данных

8. Прекращение обработки персональных данных

9. Уничтожение персональных данных

10. Уведомление заявителя о прекращении обработки и уничтожении персональных данных

 

Перечень нормативных правовых и судебных актов

1. "Кодекс Российской Федерации об административных правонарушениях" от 30.12.2001 N 195-ФЗ

2. Федеральный закон от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации"

3. Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных"

4. Федеральный закон от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации"

5. Приказ Минздрава России от 03.08.2023 N 408 "Об утверждении Перечня документов, образующихся в деятельности Министерства здравоохранения Российской Федерации и подведомственных ему организаций, с указанием сроков хранения"

6. Приказ Минздрава России от 29.06.2016 N 425н "Об утверждении Порядка ознакомления пациента либо его законного представителя с медицинской документацией, отражающей состояние здоровья пациента"

7. Приказ Роскомнадзора от 28.10.2022 N 179 "Об утверждении Требований к подтверждению уничтожения персональных данных"

8. Приказ Федерального архивного агентства от 28.12.2021 N 142 "Об утверждении Перечня типовых архивных документов, образующихся в научно-технической и производственной деятельности организаций, с указанием сроков хранения"

9. Приказ Федерального архивного агентства от 20.12.2019 N 236 "Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения"

10. Определение Конституционного Суда РФ от 16.07.2013 N 1176-О

11. Письмо Минздрава РФ от 07.12.2015 N 13-2/1538 "О сроках хранения медицинской документации"

12. Письмо Минздрава России от 11.09.2014 N 18-1/10/2-6945 "О реализации конституционных прав граждан РФ, не согласных с внедрением электронных документов и автоматизированной обработкой персональных данных"

13. Перечень типовых документов, образующихся в деятельности госкомитетов, министерств, ведомств и других учреждений, организаций, предприятий, с указанием сроков хранения, утвержденный Главархивом СССР 15.08.1988 - утратил силу 17.12.2020

 

1. Запрос пациента о предоставлении сведений об обработке персональных данных

Пациентке необходимо направить мотивированный ответ в течение тридцати дней с даты получения запроса.

Согласно пункта 3 статьи 14 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ) сведения, указанные в части 7 настоящей статьи, предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

Согласно пункта 1 статьи 20 закона N 152-ФЗ оператор обязан сообщить в порядке, предусмотренном статьей 14 настоящего Федерального закона, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.

 

2. Правовые основания обработки данных о здоровье пациента

Как следует из Определения Конституционного Суда РФ от 16.07.2013 N 1176-О гражданин <...> оспаривает конституционность пункта 4 части 2 статьи 10 Закона О персональных данных. Как следует из жалобы и приложенных к ней материалов, <...> обратился в суд с требованием обязать государственное бюджетное учреждение здравоохранения Самарской области «Самарский психоневрологический диспансер» удалить его незаконно обрабатываемые персональные данные. Судом было отказано в удовлетворении его требований со ссылкой на указанное положение закона. По мнению заявителя, оспариваемое законоположение допускает сбор, хранение, использование и распространение информации о частной жизни лица без его согласия и не предусматривает условия прекращения обработки его персональных данных. Конституционный Суд Российской Федерации, изучив представленные <...> материалы, не находит оснований для принятия его жалобы к рассмотрению, поскольку оспариваемое законоположение позволяет хранить информацию о состоянии здоровья граждан исключительно в целях реализации их права на охрану здоровья и медицинскую помощь, при этом конфиденциальность персональных данных обеспечивается врачебной тайной.

 

3. Примерный текст ответа пациенту на его запрос о предоставлении сведений об обработке персональных данных

Согласно пункта 7 статьи 14 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ) субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных.

1. Подтверждение факта обработки персональных данных оператором. Медицинский центр осуществляет хранение и использование в лечебных целях медицинской документации и договора на оказание платных медицинских услуг, содержащих персональные данные пациента.

2. Правовые основания и цели обработки персональных данных. Согласно статьи 9 Закона N 152-ФЗ согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона (пункт 2 статьи 9).

Согласно подпункта 5 пункта 1 статьи 6 Закона N 152-ФЗ обработка персональных данных допускается в случае, если это необходимо для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Таким договором является договор на оказание платных медицинских услуг.

Согласно подпункта 4 пункта 2 статьи 10 Закона N 152-ФЗ обработка специальных категорий персональных данных, касающихся состояния здоровья допускается если она осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну.

3. Цели и применяемые оператором способы обработки персональных данных. Обработка персональных данных необходима для исполнения договора, заключаемого по инициативе субъекта персональных данных, стороной которого является субъект персональных данных.

Обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг. Обработка персональных данных о состоянии здоровья пациента осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну.

Осуществляется хранение медицинской документации и договора на оказание платных медицинских услуг, содержащих персональные данные пациента.

Применяется автоматизированная обработка персональных данных (в случае использования компьютерной техники).

4. Наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона. Оператором является: <указывается наименование и место нахождения медицинской организации> (далее - Оператор).

5. Обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом. Оператором обрабатываются следующие персональные данные: фамилия, имя, отчество, дата рождения, место жительства, паспортные данные, данные о здоровье пациента, полученные от самого пациента, а также в процессе приема врача и осуществления врачебных вмешательств.

6. Сроки обработки персональных данных, в том числе сроки их хранения. Между оператором и пациентом заключен бессрочный договор на оказание платных медицинских услуг. Сроки хранения медицинской документации <согласно перечня, указанного далее>.

7. Порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом. Пациент имеет право на ознакомление с обрабатываемыми персональными данными о состоянии своего здоровья на основании письменного запроса. Порядок ознакомления пациента либо его законного представителя с медицинской документацией, отражающей состояние здоровья пациента, утвержден Приказом Минздрава России от 29.06.2016 N 425н.

8. Информация об осуществленной или о предполагаемой трансграничной передаче данных. Передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу не осуществляется.

9. Наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу. Отсутствуют, обработка персональных данных осуществляется исключительно работниками оператора.

10. Иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами. Отсутствуют.

 

4. Сроки обработки, хранения медицинской документации

Согласно пункта 3 части 1 статьи 3 Закона О персональных данных к обработке персональных данных относится их хранение.

При сборе персональных данных оператор (медицинская организация — прим. авт.) обязан предоставить субъекту персональных данных (пациенту — прим. авт.) по его просьбе информацию, предусмотренную частью 7 статьи 14 настоящего Федерального закона, в том числе о сроках обработки персональных данных, в том числе сроках их хранения (пункт 6).

В письме Минздрава России от 07.12.2015 N 13-2/1538 «О сроках хранения медицинской документации» сообщается, что до утверждения актуального перечня документов (со сроками хранения), образующихся в процессе деятельности медицинских организаций, всем типам медицинских организаций системы здравоохранения, оказывающим медицинскую помощь в амбулаторных и стационарных условиях, следует руководствоваться сроками хранения для наиболее часто используемых видов медицинской документации, согласно приложению.

Следует отметить, что письмо носит рекомендательный характер.

Приложение «Перечень основных учетных документов со сроками их хранения»

N п/п, Наименование формы, N формы, Срок хранения

1. Журнал учета приема пациентов и отказов в госпитализации, N 001/у, 5 лет

2. Журнал учета приема беременных, рожениц, и родильниц, N 002/у, 5 лет

3. Медицинская карта стационарного больного, N 003/у, 25 лет

4. Медицинская карта прерывания беременности, N 003-1/у, 5 лет

5. Листок ежедневного учета движения пациентов и коечного фонда стационара круглосуточного пребывания, дневного стационара при больничном учреждении, N 007/у-02, 1 год

6. Листок ежедневного учета движения больных и коечного фонда дневного стационара при амбулаторно-поликлиническом учреждении, стационара на дому, N 007дс/у-02, 1 год

7. Журнал записи оперативных вмешательств в стационаре, N 008/у, 5 лет

8. Сводная ведомость учета движения больных и коечного фонда стационара круглосуточного пребывания, дневного стационара при больничном учреждении, N 016/у-02, 1 год

9. Статистическая карта выбывшего из стационара круглосуточного пребывания, дневного стационара при больничном учреждении, дневного стационара при амбулаторно-поликлиническом учреждении, стационара на дому, N 066/у-02, 10 лет

10. История родов, N 096/у, 25 лет

11. История развития новорожденного, N 097/у, 25 лет

12. Журнал отделения (палаты) новорожденных, N 102/у, 5 лет

13. История развития ребенка, N 112/у, 25 лет

14. Обменная карта родильного дома, родильного отделения больницы. Сведения женской консультации о беременной, N 113/у, 5 лет

15. Журнал записи вызовов скорой медицинской помощи, N 109/у, 3 года

16. Карта вызова скорой медицинской помощи, N 110/у, 1 год

17. Сопроводительный лист станции (отделения) скорой медицинской помощи и талон к нему, N 114/у, 1 год 18. Дневник работы станции скорой медицинской помощи, N 115/у, 3 года

19. Индивидуальная карта беременной и родильницы, N 111/у, 5 лет

20. Медицинская карта пациента, получающего медицинскую помощь в амбулаторных условиях, N 025/у, 25 лет

21. Талон пациента, получающего медицинскую помощь в амбулаторных условиях, N 025-1/у, 1 год

22. Медицинская карта ребенка, N 026/у, 10 лет

23. Контрольная карта диспансерного наблюдения, N 030/у, 5 лет

24. Паспорт врачебного участка граждан, имеющих право на получение набора социальных услуг, N 030-13/у, 5 лет

25. Журнал записи родовспоможения на дому, N 032/у, 5 лет

26. Медицинская карта стоматологического пациента, N 043/у, 25 лет

27. Медицинская карта ортодонтического пациента, N 043-1/у, 25 лет

28. Журнал записи амбулаторных операций, N 069/у, 5 лет

29. Журнал регистрации и выдачи медицинских справок (формы N 086/у и N 086-1/у), N 086-2/у, 3 года

Согласно «Перечня типовых документов, образующихся в деятельности госкомитетов, министерств, ведомств и других учреждений, организаций, предприятий, с указанием сроков хранения», утв. Главархивом СССР 15.08.1988, в редакции Приказа Минкультуры РФ от 31.07.2007 N 1182, срок хранения документов, в частности:

- номер статьи 703, Медицинские карты (истории болезней):

а) стационарных больных, составляет 25 лет;

б) амбулаторных больных, составляет 5 лет после выбытия;

- номер статьи 705, Журналы регистрации амбулаторных больных, составляет 5 лет.

При наличии соответствующих документов в указанном перечне, руководствоваться следовало сроками хранения, указанными в данном перечне. Таким образом, срок хранения медицинской карты (истории болезни) амбулаторного больного составлял 5 лет после его выбытия. В настоящее время Перечень, утв. Главархивом СССР 15.08.1988, утратил силу в связи с изданием Приказа Росархива от 08.10.2020 N 131.

 

5. Срок хранения согласия на обработку персональных данных

Согласно пункта 441 Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утв. приказом Федерального архивного агентства от 20.12.2019 N 236, срок хранения согласия на обработку персональных данных составляет 3 года после истечения срока действия согласия или его отзыва, если иное не предусмотрено федеральным законом, договором.

Напомним, что согласно подпункта 8 пункта 4 статьи 9 закона N 152-ФЗ согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом.

Таким образом, можно сделать следующие выводы:

1. Допускается обработка медицинскими работниками персональных данных в медико-профилактических целях без согласия пациента

2. В случае необходимости (например, к медицинской карте имеет доступ сотрудник регистратуры - не медик) согласие оформляется на срок хранения медицинской документации

3. В случае отзыва согласия пациент уведомляется об обработке персональных данных в течении срока хранения медицинской документации

4. Согласие хранится 3 года после его отзыва или истечения срока его действия

 

Доступ ограничен

Доступ предоставляется авторизованным пользователям

См. процедуру заказа и стоимость доступа к материалу

Для авторизации, нажмите в верхнем меню ссылку Войти. Далее следуйте инструкциям

См. подробную инструкцию по авторизации