Добавить в корзинуПозвонить
Найти в Дзене
Лаборатория медицинского программного обеспечения "МедСофтЛаб"
26 подписчиков

Алгоритм действий при отзыве пациентом согласия на обработку персональных данных в медицинской организации

7
7 мин
1. Немедленные действия и фиксация требования Первым шагом при обращении пациента с требованием отозвать согласие является фиксация этого факта. Независимо от формы обращения (устной, письменной, электронной), медицинская организация обязана отреагировать. При устном обращении необходимо предложить пациенту оформить требование в письменном виде — это исключит разночтения и станет основой для дальнейших процедур. Заявление регистрируется в журнале входящей корреспонденции как официальный документ. С этого момента начинается отсчет срока, отведенного законодателем на исполнение требования — 30 календарных дней (ч. 3 ст. 21 152-ФЗ). Ответственному лицу или сотруднику, принявшему заявление, следует незамедлительно уведомить руководителя организации и ответственного за обработку персональных данных. Важно понимать, что даже если требование поступило, например, на электронную почту регистратуры, оно считается полученным медицинской организацией в целом. Промедление с началом процедуры может

1. Немедленные действия и фиксация требования

Первым шагом при обращении пациента с требованием отозвать согласие является фиксация этого факта. Независимо от формы обращения (устной, письменной, электронной), медицинская организация обязана отреагировать. При устном обращении необходимо предложить пациенту оформить требование в письменном виде — это исключит разночтения и станет основой для дальнейших процедур. Заявление регистрируется в журнале входящей корреспонденции как официальный документ. С этого момента начинается отсчет срока, отведенного законодателем на исполнение требования — 30 календарных дней (ч. 3 ст. 21 152-ФЗ).

Ответственному лицу или сотруднику, принявшему заявление, следует незамедлительно уведомить руководителя организации и ответственного за обработку персональных данных. Важно понимать, что даже если требование поступило, например, на электронную почту регистратуры, оно считается полученным медицинской организацией в целом. Промедление с началом процедуры может привести к нарушению установленных сроков и последующим санкциям со стороны Роскомнадзора.

2. Анализ законности требования и объема данных

После регистрации требования наступает ключевая аналитическая фаза. Не каждое требование об отзыве согласия подлежит полному и безусловному исполнению. Ответственный за обработку данных должен совместно с юристом и лечащим врачом пациента провести правовой анализ ситуации на основании двух федеральных законов: № 152-ФЗ «О персональных данных» и № 323-ФЗ «Об основах охраны здоровья».

Критически важно определить, на обработку каких данных было дано согласие и на каком основании она продолжается. Возможны три основных сценария:

Первый сценарий: Согласие касается действий, без которых оказание медицинской помощи невозможно. В соответствии с частью 2 статьи 9 № 152-ФЗ, согласие не требуется, если обработка данных необходима для достижения целей, предусмотренных международным договором или законом, для исполнения возложенных законодательством функций и полномочий. Оказание медицинской помощи и ведение медицинской документации являются прямой обязанностью организации по закону «Об основах охраны здоровья». Следовательно, пациент не может отозвать согласие на обработку данных, которые необходимы для постановки диагноза, назначения лечения, ведения истории болезни и выдачи медицинских документов. В этом случае организация продолжает обработку данных на ином законном основании — для выполнения требований федерального закона.

Второй сценарий: Согласие касается дополнительных, необязательных действий. Часто пациенты подписывают согласие, которое охватывает и маркетинговые коммуникации (SMS-напоминания, email-рассылки), передачу данных партнерам для дополнительных услуг (например, доставки лекарств) или использование обезличенных данных для статистики. Пациент имеет полное право отозвать согласие на эти виды обработки. В этом случае медицинская организация обязана прекратить указанные действия.

Третий сценарий: Пациент отзывает все согласия и требует уничтожение своей медицинской карты. Это самое сложное требование. Закон «Об основах охраны здоровья» (ст. 22, ст. 69) обязывает медицинскую организацию хранить первичную медицинскую документацию (историю болезни, карту амбулаторного больного) в течение не менее 5 лет, а при ряде условий (например, для детской документации) — до 75 лет. Требование пациента об уничтожении этих документов противоречит закону и не подлежит удовлетворению. Организация обязана сохранять медицинскую документацию, но должна рассмотреть вопрос о прекращении любой иной, не предусмотренной законом, обработки.

3. Подготовка и направление мотивированного ответа

На основании проведенного анализа медицинская организация готовит официальный письменный ответ за подписью руководителя или уполномоченного лица. Ответ должен быть направлен пациенту способом, позволяющим подтвердить факт получения (заказным письмом с уведомлением, вручением под роспись).

Содержание ответа варьируется в зависимости от сценария:

  • Если требование удовлетворяется частично: В ответе четко указывается, на какие именно действия обработка данных будет прекращена (например: «Прекращаем направление Вам рекламных рассылок на электронную почту»), и какие действия будут продолжены на ином законном основании (например: «Обработка Ваших персональных данных, необходимых для хранения медицинской документации и исполнения требований Федерального закона № 323-ФЗ, будет продолжена»). Дается ссылка на конкретные нормы закона.
  • Если требование не подлежит удовлетворению в основной части: В ответе подробно и аргументированно, со ссылками на статьи 9 и 6 № 152-ФЗ и статьи 22, 69 № 323-ФЗ, разъясняется, почему медицинская организация обязана продолжать обработку данных и хранить документацию. Пациенту сообщается, что его первичная медицинская документация будет храниться в установленном законом порядке в архиве.

Важный нюанс: даже если требование пациента правомерно лишь частично, медицинская организация обязана исполнить эту правомерную часть — прекратить обработку для тех целей, которые не являются обязательными по закону.

4. Техническая и организационная реализация прекращения обработки

После направления ответа необходимо внутренними приказами и техническими средствами реализовать решение.

  1. Издание внутреннего приказа. Ответственный за обработку ПДн готовит приказ, в котором:
  • Констатируется факт получения заявления от пациента.
  • Указывается, какие именно процессы обработки данных подлежат прекращению.
  • Дается поручение IT-специалистам или администраторам медицинских информационных систем (МИС) выполнить технические действия по блокировке или удалению данных.
  • Указываются ответственные лица и сроки исполнения.
  1. Выполнение технических мероприятий.
  • Для маркетинговых рассылок: Пациента необходимо немедленно исключить из всех рекламных и информационных рассылочных листов (email, SMS, мессенджеры).
  • Для обезличенной статистики: если данные были обезличены, их удаление может быть невозможно. В этом случае необходимо убедиться, что процесс обезличивания необратим, и информация не может быть идентифицирована.
  • В медицинской информационной системе (МИС): В карте пациента делается соответствующая пометка. Настройки доступа корректируются: для данных, обработка которых прекращена, ограничивается круг лиц, имеющих к ним доступ (например, доступ оставляют только для целей архивирования). Важно: Полное удаление электронной медицинской карты из базы данных недопустимо, если она является первичной медицинской документацией.
  1. Блокировка и уничтожение данных (где применимо). Данные, обработка которых прекращена и хранение которых более не требуется для целей, разрешенных законом, подлежат уничтожению. Уничтожение бумажных носителей (например, дополнительных анкет) оформляется актом. Уничтожение электронных данных в МИС должно быть задокументировано в журнале учета операций.
  2. Уведомление третьих лиц (при необходимости). Если данные ранее были переданы партнерам (например, в стороннюю лабораторию или страховую компанию на основании отдельного согласия пациента), этим партнерам должно быть направлено официальное уведомление об отзыве согласия с требованием прекратить обработку. Факт направления таких уведомлений также фиксируется.

5. Фиксация результата и информирование пациента

После выполнения всех процедур результат фиксируется во внутренних документах. Пациенту может быть направлено дополнительное уведомление о том, что его требование исполнено в правомерной части (если это имело место). В уведомлении кратко перечисляются предпринятые действия (например: «Ваши контактные данные исключены из нашей рассылочной базы»).

Копии всех документов — заявления пациента, внутреннего приказа, ответов пациенту и третьим лицам, актов об уничтожении — подшиваются в дело, посвященное работе с обращениями субъектов персональных данных. Эта документация будет являться основным доказательством добросовестного исполнения требований законодательства в случае проведения проверки Роскомнадзором или при судебном споре с пациентом.

Заключительный вывод: Действия медицинской организации при отзыве согласия должны быть не механическими, а аналитическими и основанными на балансе прав пациента и обязанностей учреждения, установленных федеральным законом. Ключом к юридически безупречным действиям является четкое разграничение данных и процессов, которые необходимы для исполнения закона, и тех, которые осуществляются исключительно по воле пациента.