[07/10/20] Как пациенту отозвать согласие на обработку персональных данных, оформленное ранее для оказания ему медицинских услуг?
Персональными данными (далее также ПД) является любая информация, относящаяся к определенному или определяемому физическому лицу. Обработкой ПД признаются любые с ними действия (операции), включая их сбор, запись, систематизацию, накопление, хранение, уточнение, использование, передачу, обезличивание, блокирование, удаление, уничтожение (п. п. 1, 3 ст. 3 Закона от 27.07.2006 № 152-ФЗ).
По общему правилу обработка ПД допускается с согласия субъекта ПД. Такое согласие должно быть конкретным, информированным и сознательным. В отдельных случаях такое согласие не требуется, в частности когда обработка ПД необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение его согласия невозможно (п. п. 1, 6 ч. 1 ст. 6, ч. 1 ст. 9 Закона № 152-ФЗ).
Согласие на обработку ПД может быть отозвано способом, указанным ранее в таком согласии, в частности посредством подачи (направления) заявления в свободной форме по почте или через Интернет (ч. 2, п. 8 ч. 4 ст. 9 Закона № 152-ФЗ).
Однако в случае отзыва согласия на обработку ПД оператор вправе продолжить обработку ПД без согласия субъекта ПД при наличии определенных оснований. К таким основаниям, относится, в частности, обработка ПД для защиты жизни и здоровья субъекта персональных данных либо в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну (п. 6 ч. 1 ст. 6, ч. 2 ст. 9, п. 4 ч. 2 ст. 10 Закона № 152-ФЗ).
В данном случае хранение соответствующей информации о состоянии здоровья граждан допускается исключительно в целях реализации их права на охрану здоровья и медицинскую помощь, при этом конфиденциальность ПД обеспечивается врачебной тайной.
В случае отзыва согласия на обработку ПД оператор обязан прекратить их обработку и уничтожить, если их сохранение более не требуется для целей обработки ПД. Для этого оператору предоставляется срок, не превышающий 30 дней с даты поступления отзыва, если иное не предусмотрено соглашением между оператором и субъектом ПД либо если оператору не предоставлено право осуществлять обработку ПД без согласия субъекта ПД. При отсутствии возможности уничтожить ПД в этот срок оператор должен их заблокировать и обеспечить уничтожение по общему правилу в срок не более чем шесть месяцев (ч. 5, 6 ст. 21 Закона № 152-ФЗ).
Вместе с тем медицинские организации имеют право создавать медицинские информационные системы, содержащие данные о пациентах и об оказываемой им медицинской помощи, с соблюдением требований, установленных законодательством в области ПД, и соблюдением врачебной тайны. При этом изъятие и аннулирование сведений из баз данных медицинских организаций законодательством не предусмотрено (п. 5 ст. 78 Закона от 21.11.2011 № 323-ФЗ; Письмо Минздрава России от 11.09.2014 № 18-1/10/2-6945).
Также обработка ПД допускается, если она осуществляется в статистических и иных исследовательских целях при условии обязательного обезличивания ПД (п. 9 ч. 1 ст. 6 Закона № 152-ФЗ).