Прокуратура Самарской области разъясняет: Может ли пациент отозвать согласие на обработку персональных данных, оформленное ранее для оказания ему медицинских услуг?
Ситуацию комментирует начальник управления по надзору за исполнением федерального законодательства прокуратуры Самарской области Дмитрий Макаров.
Согласие на обработку персональных данных может быть отозвано субъектом персональных данных способом, указанным ранее в таком согласии, в частности путем направления заявления в свободной форме по почте или через интернет
Персональными данными (далее — ПД) является любая информация, относящаяся к определенному или определяемому физическому лицу (субъекту персональных данных). Обработкой ПД признаются любые с ними действия (операции), включая их сбор, запись, систематизацию, накопление, хранение, уточнение, использование, передачу, обезличивание, блокирование, удаление, уничтожение (п. п. 1, 3 ст. 3 Закона от 27.07.2006 N 152-ФЗ).
По общему правилу обработка ПД допускается с согласия субъекта ПД. Такое согласие должно быть конкретным, информированным и сознательным.
В отдельных случаях такое согласие не требуется, в частности когда обработка ПД необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение его согласия невозможно (п. п. 1, 6 ч. 1 ст. 6, ч. 1 ст. 9 Закона № 152-ФЗ).
Согласие на обработку ПД может быть гражданином отозвано способом, указанным ранее в таком согласии, в частности путем подачи (направления) заявления в свободной форме по почте или через Интернет (ч. 2, п. 8 ч. 4 ст. 9 Закона № 152-ФЗ).
Однако в случае отзыва согласия на обработку ПД оператор вправе продолжить обработку ПД без согласия субъекта ПД при наличии определенных оснований. К таким основаниям, относится, в частности, обработка ПД для защиты жизни и здоровья субъекта персональных данных либо в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну (п. 6 ч. 1 ст. 6, ч. 2 ст. 9, п. 4 ч. 2 ст. 10 Закона N 152-ФЗ).
В данном случае хранение соответствующей информации о состоянии здоровья граждан допускается исключительно в целях реализации их права на охрану здоровья и медицинскую помощь, при этом конфиденциальность ПД обеспечивается врачебной тайной (Определение Конституционного Суда РФ от 16.07.2013 N 1176-О).
В случае отзыва согласия на обработку ПД оператор обязан прекратить их обработку и уничтожить, если их сохранение более не требуется для целей обработки ПД. Для этого оператору предоставляется срок, не превышающий 30 дней с даты поступления отзыва, если иное не предусмотрено соглашением между оператором и субъектом ПД либо если оператору не предоставлено право осуществлять обработку ПД без согласия субъекта ПД. При отсутствии возможности уничтожить ПД в этот срок оператор должен их заблокировать и обеспечить уничтожение по общему правилу в срок не более чем шесть месяцев (ч. 5, 6 ст. 21 Закона N 152-ФЗ).
Вместе с тем медицинские организации имеют право создавать медицинские информационные системы, содержащие данные о пациентах и об оказываемой им медицинской помощи, с соблюдением требований, установленных законодательством в области ПД, и соблюдением врачебной тайны. При этом изъятие и аннулирование сведений из баз данных медицинских организаций законодательством не предусмотрено (п. 5 ст. 78 Закона от 21.11.2011 N 323-ФЗ; Письмо Минздрава России от 11.09.2014 N 18-1/10/2-6945).
Также обработка ПД допускается, если она осуществляется в статистических и иных исследовательских целях при условии обязательного обезличивания ПД (п. 9 ч. 1 ст. 6 Закона N 152-ФЗ).