Медкарта и право пациента на защиту персональных данных

Отвечает эксперт службы правового консалтинга «Гарант» Лариса Амирова:

— Согласно ч.1 ст.79 Федерального закона № 323 от 21.11.2011 «Об основах охраны здоровья граждан в Российской Федерации» медорганизация обязана вести медицинскую документацию в установленном порядке и представлять отчетность по видам, формам, в сроки и в объеме, которые установлены уполномоченным федеральным органом исполнительной власти; обеспечивать учет и хранение медицинской документации, в том числе бланков строгой отчетности (п.11 и 12 ч.1 ст.79).

Основной учетный медицинский документ медорганизации (иной организации), оказывающей медицинскую помощь, – медицинская карта пациента (учетная форма № 025/у), форма и порядок заполнения которой утверждены Приказом Минздрава России № 834н от 15.12.2014. Медкарта заполняется на каждого впервые обратившегося за медпомощью в амбулаторных условиях пациента врачом. Медработники со средним профобразованием, ведущие самостоятельный прием, заполняют журнал учета пациентов, получающих медицинскую помощь в амбулаторных условиях. Сведения, содержащиеся в медкарте, необходимы для составления отчетности по всем видам и формам, которые установлены для медорганизаций.

Сроки хранения первичной медицинской документации, в частности медкарты, учреждений здравоохранения составляет 25 лет (письмо Минздрава РФ № 13-2/1538 от 07.12.2015). При этом нормативными актами не предусмотрено удаление из медицинской карты амбулаторного больного ранее выполненных записей (решение Балаковского районного суда Саратовской области от 30.12.2019 по делу № 2-3371/2019).

Федеральным законом № 326 от 29.11.2010 «Об обязательном медицинском страховании в Российской Федерации» предусмотрено внедрение современных информационных систем в здравоохранение в целях создания единой государственной информационной системы в сфере здравоохранения, в том числе ведение медицинских карт пациентов в электронном виде. Приказом Минздрава РФ № 947н от 07.09.2020 утвержден Порядок организации системы документооборота в сфере охраны здоровья в части ведения медицинской документации в форме электронных документов. В соответствии с ним ведение меддокументации в форме электронных медицинских документов (ЭМД) включает: формирование, подписание и хранение ЭМД, их регистрацию в Единой государственной информационной системе в сфере здравоохранения (ЕГИСЗ), предоставление доступа к медицинской документации, ведение которой осуществляется в форме ЭМД. Решение о полном или частичном переходе на электронный документооборот принимается медорганизацией самостоятельно, исходя из технической готовности.

Электронный медицинский документ формируется медработником или фармацевтическим работником с использованием медицинской информационной системы (МИС) медорганизации, информационной системы фарморганизации, государственной информационной системы в сфере здравоохранения субъекта РФ, информационной системы, предназначенной для сбора, хранения, обработки и предоставления информации, касающейся деятельности медорганизаций и предоставляемых ими услуг, или федеральной ЕГИСЗ (п.5 Порядка № 947н).

Как следует из положений п.20 и 21 Порядка, ЭМД хранятся в информационной системе не менее срока хранения соответствующих медицинских документов на бумажном носителе. В случае внесения исправлений в ЭМД должно обеспечиваться хранение всех версий ЭМД, а также их подписей в составе метаданных версий ЭМД на протяжении всего срока хранения ЭМД.

Как гласит п.2 Порядка № 947н, по умолчанию медицинская документация ведется только в электронной форме, однако при наличии письменного волеизъявления пациента или его законного представителя может дублироваться на бумажном носителе при условии выполнения требований, установленных главами II–VI Порядка. То есть пациенту (его представителю) предоставлено лишь право заявить о ведении его медицинской документации в бумажном виде. Однако это не означает, что медорганизация обязана прекратить ведение этой документации в электронной форме, поскольку такая обязанность возложена действующим законодательством в сфере здравоохранения. Медицинская документация, включая медкарту пациента, — не собственность пациента. Соответственно, граждане не уполномочены требовать уничтожения тех или иных медицинских документов до истечения сроков их хранения (решение Ленинского районного суда г. Перми Пермского края от 01.02.2018 по делу № 2-503/2018, решение Чайковского городского суда Пермского края от 23.10.2019 по делу № 2а-3054/2019).

Не противоречит ведение медицинской документации как на бумажном носителе, так и в электронной форме Федеральному закону № 152 от 27.07.2006 «О персональных данных». По общему правилу, сформулированному в ст.6 и 10 этого закона, обработка персональных данных (ПД) возможна только с согласия субъектов ПД, которое должно быть конкретным и информированным, то есть содержать информацию, позволяющую однозначно сделать вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объеме обрабатываемых ПД.

Ч.2 ст.9 закона № 152-ФЗ закреплено право субъекта в любое время отозвать свое согласие на обработку его персональных данных. В этом случае оператор обязан прекратить их обработку или обеспечить прекращение такой обработки, а если сохранение ПД более не требуется для целей обработки ПД, — уничтожить в срок, не превышающий 30 дней с даты поступления указанного отзыва, если оператор не вправе осуществлять обработку ПД без согласия субъекта ПД на основаниях, предусмотренных законом № 152-ФЗ или другими федеральными законами.

При этом оператор может продолжить обработку персональных данных без согласия физического лица при наличии оснований, указанных в п.2-11 ч.1 ст.6, ч.2 ст.10 и ч.2 ст.11 закона № 152-ФЗ. В частности, такая обработка допускается, если она необходима для достижения целей, предусмотренных законом, осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей (п.2 ч.1 ст.6 закона № 152-ФЗ); для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому выступает субъект ПД, а также для заключения договора по инициативе субъекта ПД или договора, по которому субъект ПД будет выгодоприобретателем или поручителем (п.5 ч.1 ст.6 закона № 152-ФЗ).

П.4 ч.2 ст.10 закона № 152-ФЗ предусмотрено, что обработка специальных категорий персональных данных, касающихся в числе прочего состояния здоровья физического лица, осуществляемая в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка ПД осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну, допускается без согласия этого лица. Конституционный суд РФ в определении № 1176-О от 16.07.2013 разъяснил, что приведенное законоположение позволяет хранить информацию о состоянии здоровья граждан исключительно в целях реализации их права на охрану здоровья и медицинскую помощь, при этом конфиденциальность ПД обеспечивается врачебной тайной, а потому оно не может рассматриваться как нарушающее конституционные права граждан. Иными словами, такая обработка персональных данных будет законна без согласия пациента при ее осуществлении исключительно медицинским персоналом. Аналогичная позиция изложена в Письме Минздрава России № 18-1/10/2-6945 от 11.09.2014. Данный вывод разделяют и суды (см., например, решение Ленинского районного суда Краснодара № 2-7599/2014 от 24.07.2014, постановление Восьмого арбитражного апелляционного суда № 08АП-3812/18 от 31.05.2018, апелляционное определение СК по гражданским делам Тюменского областного суда от 07.08.2017 по делу № 33-4427/2017).

Отметим также, что не требуется согласия субъекта персональных данных на обработку конфиденциальной информации, если она осуществляется в соответствии с законодательством об обязательном медицинском страховании (п.8 ч.2 ст.10 закона № 152-ФЗ).

Согласно закону № 326-Ф медорганизации обязаны бесплатно оказывать застрахованным в системе ОМС гражданам медицинскую помощь в рамках программ ОМС. Причем исполнение данной обязанности не связывается с наличием или отсутствием согласия застрахованного лица на обработку его персональных данных. Необходимое предварительное условие оказания медуслуг – дача информированного добровольного согласия гражданина или его законного представителя на медицинское вмешательство, без которого обслуживание пациента не допускается, за исключением случаев, строго регламентированных в ч.9 ст.20 закона № 323-ФЗ.

На возможность обработки персональных данных пациента без его согласия указано также в п.8 и 9 ч.4 ст.13 закона № 323-ФЗ, в силу которых сведения о факте обращения гражданина за оказанием медпомощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении (врачебная тайна), могут передаваться при обмене информацией медорганизациями, в том числе размещенной в МИС, в целях оказания медпомощи с учетом требований законодательства о ПД, а также в целях осуществления учета и контроля в системе обязательного социального страхования.

Таким образом, пока между пациентом и медорганизацией существуют правоотношения, связанные с оказанием медицинских услуг в рамках ОМС, медорганизация вправе обрабатывать необходимый объем информации о пациенте без его согласия в течение установленного срока. Если же обработка ПД выходит за рамки указанных отношений, то необходимо заручиться письменным согласием пациента или его законных представителей, содержание которого должно соответствовать требованиям ч.4 ст.9 закона № 152-ФЗ. Например, такое согласие потребуется, если медпомощь оказывается на платной основе, вне программы государственных гарантий, и сведения передаются третьим лицам (организациям) – в страховую организацию и (или) страхователю по дополнительному медицинскому страхованию; если информация о состоянии здоровья пациента передается лицам, указанным самим пациентом или его законным представителем (ч.5 ст.19 закона № 323-ФЗ); если передача медицинских документов, содержащих ПД пациента, осуществляется по открытым каналам связи (интернет, электронная почта); если при осуществлении трансграничной передачи ПД пациента на территорию другого государства, иностранному лицу, не участнику Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1981 года не обеспечивается адекватная защита прав субъектов ПД (с.12 закона № 152-ФЗ).

Равным образом ведение медицинской документации не нарушает конституционное право пациента на неприкосновенность частной жизни, личную и семейную тайну (ч.1 ст.23 Конституции РФ). Сведения о себе и состоянии своего здоровья пациент добровольно предоставляет в распоряжение медорганизации, обращаясь за помощью в рамках ОМС, а п.1 ст.152.2 Гражданского кодекса РФ не признает нарушением сбор, хранение, распространение и использование информации о частной жизни гражданина в случаях, если информация была раскрыта самим гражданином или по его воле. К тому же, данная информация охраняется институтом врачебной тайны.

В ч.1 ст.14 закона № 152-ФЗ закреплено право субъекта ПД получать информацию об обработке его ПД конкретным оператором в объеме, определенном ч.7 ст.14. Причем, исходя из буквального содержания приведенной нормы, данное право не обусловлено какими-либо причинами. То есть гражданин в любое время может запросить интересующую его информацию, и оператор обязан в течение 30 дней ее предоставить либо направить мотивированный отказ со ссылкой на конкретную норму права. Право субъекта ПД на доступ к его ПД может быть ограничено только в случаях, перечисленных в ч.8 ст.14 закона № 152-ФЗ. Но наличие указанного правомочия не означает, что оператор, получив запрос пациента, должен прекратить обработку его ПД.

Обработка ПД должна ограничиваться достижением конкретных, заранее определенных и законных целей (ч.2 ст.5 закона № 152-ФЗ). Хранение ПД должно осуществляться в форме, позволяющей определить субъекта ПД, не дольше, чем этого требуют цели обработки ПД, если срок хранения ПД не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому выступает субъект ПД. Лишь по достижении целей обработки или в случае утраты необходимости в достижении этих целей обрабатываемые ПД подлежат уничтожению либо обезличиванию, если иное не предусмотрено федеральным законом (ч.7 ст.5 закона № 152-ФЗ).