«Вправе ли медорганизация размещать фото отзывов своих пациентов, оформленные на бланках, на которых указано: «Я подтверждаю согласие на обработку и размещение данного отзыва в сети Интернет, на сайте (сетевой адрес), включая указание моих фамилии, имени, отчества»? Вправе ли медорганизация публиковать отзывы пациентов на своем сайте, полученные со сторонних сайтов?» Фото: 123rf.com
Отвечает эксперт службы правового консалтинга «Гарант» Татьяна Беликова:
— Федеральный закон № 323-ФЗ от 21.11.2011 «Об основах охраны здоровья граждан в Российской Федерации» в качестве одной из форм общественного контроля предусматривает проведение независимой оценки качества услуг медицинской организации по таким общим критериям, как открытость и доступность информации о ней; комфортность условий предоставления медуслуг, в том числе время ожидания их предоставления; доброжелательность, вежливость работников; удовлетворенность условиями оказания услуг, а также их доступность для инвалидов (ч.1—2 ст.79.1).
К информации, размещаемой на сайте медорганизации в сети Интернет и необходимой для проведения независимой оценки качества оказания услуг, согласно приложению № 1 к приказу Минздрава РФ № 956н от 30.12.2014 относятся и отзывы потребителей услуг. При этом стоит обратить внимание на то, что в соответствии с ч.1 ст.13 Закона № 323-ФЗ сведения о самом факте обращения гражданина за оказанием медицинской помощи относятся к врачебной тайне.
Врачебная тайна Указом Президента РФ № 188 от 06.03.1997 отнесена к перечню сведений конфиденциального характера, доступ к которым ограничен в соответствии с Конституцией РФ и федеральными законами. П.7 ч.5 ст.19 Закона № 323-ФЗ предусмотрено, что пациент имеет право на защиту сведений, составляющих врачебную тайну, соотносимое с обязанностью лиц, которым такие сведения стали известны при исполнении трудовых, должностных, служебных и иных обязанностей по обеспечению их конфиденциальности, а также требованиями к медицинской организации по соблюдению врачебной тайны, в том числе конфиденциальности персональных данных (ПД).
Предусмотренный ч.4 ст.13 Закона № 323-ФЗ перечень случаев разглашения сведений, составляющих врачебную тайну, без письменного согласия гражданина (пациента) или его законного представителя сформулирован законодателем исчерпывающим образом и не подлежит расширительному толкованию.
Одно из исключений, допускающих предоставление сведений, составляющих врачебную тайну, без согласия гражданина (пациента) или его законного представителя, — осуществление контроля качества и безопасности медицинской деятельности (п.10 ч.4 ст.13 Закона № 323-ФЗ). Вместе с тем такое исключение в силу прямых указаний закона распространяется на осуществление федерального государственного контроля (надзора), ведомственного и внутреннего контроля качества и безопасности медицинской деятельности (ст.87,89 и 90 Закона № 323-ФЗ) и при проведение независимой оценки качества услуг медорганизации не применяется, что влечет необходимость обеспечения наличия письменного согласия гражданина (пациента) или его законного представителя на разглашение сведений о факте обращения за оказанием медицинской помощи (ч.3 ст.13 Закона № 323-ФЗ).
Отношения, связанные с обработкой ПД, регулируются Федеральным законом № 152-ФЗ от 27.07.2006 «О персональных данных», в силу которого под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД), а любое действие (операция) с такой информацией или их совокупность, включая сбор, запись, использование, распространение и др., считается обработкой персональных данных (пп.1, 3 ст.3 Закона № 152-ФЗ).
Фамилия, имя, отчество (при наличии), а также иные относящиеся к гражданину (пациенту) сведения, позволяющие его идентифицировать, — это персональные данные, в отношении которых также действует режим конфиденциальности (ст.7 Закона № 152-ФЗ, указ № 188).
Обработка ПД согласно ст.6 Закона № 152-ФЗ допускается либо с согласия субъекта персональных данных (п.1 ч.1 ст.6 Закона № 152-ФЗ), либо в прямо предусмотренных пп.2—11 ч.1 ст.6, ч.2 ст.10 и ч.2 ст.11 указанного закона случаях, что обусловлено положениями ч.2 ст.9 Закона № 152-ФЗ, устанавливающими право оператора продолжить обработку ПД и после отзыва субъектом согласия на их обработку.
Поскольку размещение персональных данных пациентов, в отличие от ПД медработников в установленных пределах, на сайте медорганизации законодательством не предусмотрено, такая обработка может осуществляться только при наличии соответствующего согласия.
Таким образом, при размещении отзывов пациентов на сайте медорганизации необходимо обеспечить баланс интересов учреждения в результатах независимой оценки качества условий оказания услуг, с одной стороны, и прав, а также законных интересов граждан (пациентов) на обеспечение конфиденциальности врачебной тайны и их персональных данных — с другой. Полагаем, что такой баланс обеспечивается получением письменного согласия пациента на разглашение сведений о факте его обращения в конкретную медорганизацию и (или) к конкретному специалисту, в том числе по определенному профилю, а также ПД в определенных согласием пределах.
В тех случаях, когда отзыв пациента будет содержать сведения, относящиеся к персональным данным, такой подход будет в полном объеме отвечать как положениям законодательства в области охраны здоровья граждан, так и законодательства в области ПД. В случаях, когда содержание отзыва не предполагает указание персональных данных, в объеме, позволяющем идентифицировать гражданина (например, подлежит указанию только имя, или имя и отчество, либо инициалы и т.п.), получение соответствующих согласий не требуется.
Закон № 323-ФЗ не устанавливает специальных требований к содержанию согласия на разглашение сведений, составляющих врачебную тайну, указывая лишь на то, что такое согласие должно быть оформлено в письменном виде. Полагаем, что с учетом чч.1, 3 ст.13, п.5 ч.5 ст.19 Закона № 323-ФЗ из такого согласия должна явно следовать воля пациента на разглашение конкретных сведений, относящихся к врачебной тайне, соответствующих целях, а также перечень лиц, которым может быть предоставлена такая информация (либо случаи раскрытия таких сведений).
Закон № 152-ФЗ, напротив, предусматривает, что любое согласие субъекта ПД в случаях, когда оно необходимо, должно быть конкретным, предметным, информированным, сознательным и однозначным. Субъект персональных данных принимает решение об их предоставлении и дает согласие на их обработку свободно, своей волей и в своем интересе. (ч.1 ст.9 Закона № 152-ФЗ).
Размещение ПД пациента на сайте медорганизации — это распространение персональных данных, поскольку они в таком случае становятся доступны неограниченному кругу лиц (п.5 ст.3 Закона N 152-ФЗ).
Ст.10.1 Закона № 152-ФЗ установлены особенности обработки персональных данных, разрешенных субъектом ПД для распространения, под которыми понимаются персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом ПД путем дачи согласия на их обработку в установленном порядке (п.1.1 ст.3 Закона N 152-ФЗ).
Согласие на обработку ПД, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий на обработку ПД. Оператор в силу прямого указания закона № 152-ФЗ не только обязан обеспечить субъекту персданных возможность определить перечень ПД по каждой их категории, указанной в согласии на обработку персданных, разрешенных субъектом ПД для распространения, но и опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц (ч.1, 10 ст.10.1 Закона № 152-ФЗ).
Требования к содержанию согласия на обработку ПД, разрешенных субъектом персональных данных для распространения, утверждены приказом Роскомнадзора № 18 от 24.02.2021, предусматривающим конкретный перечень информации, которая подлежит включению в такое согласие.
Таким образом, размещение на сайте медорганизации отзывов пациентов, содержащих их персональные данные, допускается при наличии согласия на обработку ПД, разрешенных субъектом персональных данных для распространения, соответствующего требованиям. Размещение текста самого согласия на сайте медорганизации не допускается, поскольку данная информация не предназначена для раскрытия неопределенному кругу лиц (ст.5 Закона № 152-ФЗ). Размещению на сайте подлежит непосредственно отзыв пациента, включающий категории и перечень ПД, разрешенных субъектом персональных данных для распространения, а также информация, предусмотренная ч.10 ст.10.1 Закона № 152-ФЗ. Полагаем, что включение в текст такого согласия формулировок, подтверждающих и дачу согласия на то, что информация о факте обращения гражданина за оказанием медпомощи (в конкретную медорганизацию и (или) к конкретному специалисту) будет размещена на сайте в сети Интернет, положениям законодательства в области персональных данных не противоречит и исключает необходимость получения отдельного согласия в целях обеспечения соблюдения ст.13 Закона № 323-ФЗ.
С учетом изложенных обстоятельств размещение фото отзывов пациентов, содержащих их персональные данные, несмотря на включение в них подтверждения согласия на обработку и размещение отзыва на сайте в сети Интернет, включая указание фамилии, имени и отчества, не в полном объеме отвечает указанным требованиям законодательства.
Полагаем необходимым обратить внимание и на то, что при получении отзывов пациентов с использованием формы, размещенной на сайте медорганизации, предусматривающей указание ПД, должно быть обеспечено соблюдение как п.1 ч.1 ст.6 Закона № 152-ФЗ в части получения соответствующего согласия субъекта персональных данных, так и ч.2 ст.18.1 этого закона в части обеспечения возможности ознакомления с документом, определяющим политику медорганизации в отношении обработки ПД, и сведениями о реализуемых требованиях к защите персональных данных. Из размещенной информации должно однозначно следовать, в каком объеме сведения, в частности ПД, включаемые в форму отзыва, в дальнейшем подлежат размещению на сайте медорганизации (ч.2, 4—5 ст.5, ч.1 ст.9 Закона № 152-ФЗ).
Что касается возможности размещения на сайте медорганизации отзывов пациентов со сторонних сайтов, то в случае, если такие отзывы содержат персональные данные граждан, необходимо также учитывать положения ст.10.1 Закона № 152-ФЗ, согласно которым в случае раскрытия ПД неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия на их обработку, разрешенных субъектом ПД для распространения, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку (см. апелляционное определение СК по гражданским делам Нижегородского областного суда от 27.04.2022 по делу № 33-3914/2022, апелляционное определение СК по гражданским делам Калужского областного суда от 10.03.2022 по делу № 33-691/2022, решение Кунцевского районного суда г. Москвы от 06.09.2022 по делу № 02-3176/2022, решение Перовского районного суда г. Москвы от 27.06.2022 по делу № 02-3093/2022; решение Никулинского районного суда г. Москвы по делу № 02-3383/2022).
В рассматриваемом случае такая обязанность будет лежать именно на медорганизации, разместившей отзыв пациента, содержащий его персональные данные, со стороннего ресурса в сети Интернет на своем сайте, поскольку молчание или бездействие субъекта ПД ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом ПД для распространения (ч.8 ст.10.1 Закона № 152-ФЗ).
В случае, если отзыв пациента не содержит персональных данных, позволяющих идентифицировать субъекта ПД, положения ст.10.1 Закона № 152-ФЗ не применяются.
При принятии решения о размещении на сайте медорганизации отзывов пациентов со сторонних ресурсов также полагаем необходимым исходить из правил пользования соответствующего ресурса (пользовательских соглашений) и необходимости указания источника получения информации.