logo
logo
14 апреля 2016

Судебное решение по делу о нарушении правил обработки персональных данных

logo
  1. Судебное решение по делу о нарушении правил обработки персональных данныхДата и наименование судебного решения: Постановление Самарского областного суда от 08 февраля 2016 г. № 4а-130/2016 (4а-1299/2015)
  2. Лицо, в отношении которого велось административное производство: К. (директор медицинской организации ООО «А»).
  3. Статья Кодекса РФ об административных правонарушениях: Статья 13.11 КоАП (нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)).
  4. Решение: Самарский областной суд постановил постановление мирового судьи судебного участка № 44 Промышленного судебного района г. Самары от 05.10.2015 года и решение Промышленного районного суда г. Самары от 29.10.2015 года, по делу об административном правонарушении, предусмотренном ст. 13.11 КоАП РФ, в отношении директора ООО "А" К. оставить без изменения, надзорную жалобу К. оставить без удовлетворения.
  5. Основания для принятия или отмены решения:

    В ООО "А" при осуществлении медицинской деятельности по проведению медицинского освидетельствования иностранных граждан с последующей обработкой их персональных данных, которые внесены в медицинские амбулаторные карты и внутреннюю информационную систему учета, не оформлялись письменные согласия граждан на обработку персональных данных.

    Постановлением мирового судьи судебного участка № 44 Промышленного судебного района г. Самары от 05.10.2015 года директор ООО "А" К. признан виновным в совершении административного правонарушения, предусмотренного ст. 13.11 КоАП РФ, и подвергнут административному наказанию в виде штрафа в размере 500 рублей за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).

    Решением Промышленного районного суда г. Самары от 29.10.2015 года постановление мирового судьи от 05.10.2015 года оставлено без изменения.

    В ответ на надзорную жалобу защитника К. Самарский областной суд приходит к следующим выводам:

    • Каждый гражданин имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени (ст. 23 Конституции РФ).
    • Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускается (ч. 1 ст. 24 Конституции РФ).
    • Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных (п. 1 ч. 1 ст. 6 Федерального закона от 27.07.2006 года № 152-ФЗ);
    • Обработка специальных категорий персональных данных, касающихся состояния здоровья, допускается в случаях, если: субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных, обработка персональных данных осуществляется в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну (ч. 2 ст. 6, ст. 10 Федерального закона от 27.07.2006 года № 152-ФЗ)

    Оценив представленные нормы в их совокупности и взаимной связи, суд определил, что юридическое лицо, осуществляющее обработку персональных данных, в том числе медицинская организация, профессионально занимающаяся медицинской деятельностью и обязанная сохранять врачебную тайну, обязана получать согласие субъекта персональных данных в письменной форме на обработку его персональных данных.

    Доводы, изложенные в надзорной жалобе основаны на неверном толковании норм права, проверялись судебными инстанциями и обоснованно отвергнуты по мотивированным основаниям, изложенным в судебных решениях.

    Поскольку нарушений судом норм процессуального права при рассмотрении дела не установлено, оснований для изменения или отмены обжалуемых судебных решений не имеется.

Комментарии Факультета Медицинского Права:

Как видно из текста судебного постановления, суд приходит к выводу, что медицинская организация обязана всегда получать письменное согласие пациента на обработку персональных данных.

В основном позиция суда зиждется на том, что в соответствии с п. 1 ч. 1 ст. 6 ФЗ № 152 обработка персональных данных осуществляется с согласия субъекта персональных данных (пациента). Однако, суд не принимает во внимание тот факт, что в соответствии с ч. 1 ст. 6 обработка персональных данных допускается в нескольких случаях и п. 1 подразумевает лишь один из таких. Если же обобщить положения ч. 1 ст. 6, то мы увидим, что данная норма предполагает обработку персональных данных в нескольких случаях:

  • если субъект дал на это свое согласие – п. 1
  • если субъект не давал своего согласия, но соблюдены условия, предусмотренные п. 2-11

Об этом говорится и в надзорной жалобе. Ответчик указывает на то, что в соответствии с п. 5 ч. 1 ст. 6 ФЗ № 152 получение согласия граждан на обработку персональных данных не требовалось, поскольку обработка персональных данных была необходима для исполнения договора о предоставлении платных медицинских услуг, стороной которого является субъект персональных данных. Рассмотрим эту норму (п. 5 ч. 1 ст. 6) подробнее:

  1. обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

Если «вычленить» из вышеуказанной нормы те факты, которые точно имели место быть в рассматриваемом случае и соединить это с положениями ключевой ч. 1 ст. 6 ФЗ № 152, мы получим следующий вывод:

Обработка персональных данных допускается в случае, если она необходима для исполнения договора, стороной которого является субъект персональных данных.

Однако, ч. 1 ст. 6 ФЗ № 152 – это общая норма, которая может быть применима лишь в отношении ограниченной категории персональных данных. К этой категории относятся контактные и паспортные данные, которые и обрабатываются администратором как раз для заключения договора на оказание медицинских услуг.

При этом, в тексте судебного постановления особо подчеркивается, что обработка персональных данных осуществлялась с последующим занесением их в амбулаторную карту и внутреннюю информационную систему учета. Как известно, такие данные включают в себя сведения о здоровье (например, диагноз), к которым предъявляются особы условия обработки, установленные статьей ч. 2 ст. 10 ФЗ № 152. Поэтому не совсем понятно почему ответчик полагается только на общую норму, указанную в ч. 1 ст. 6 ФЗ № 152.

В свою очередь суд, применяя ч. 2 ст. 10 ФЗ № 152, вновь приходит к ошибочному выводу, что: «…обработка специальных категорий персональных данных, касающихся состояния здоровья, допускается в случаях, если: субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных (п. 1), обработка персональных данных осуществляется в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну (п. 4)».

В данном суждении суд ошибочно объединяет эти два условия, дословно передавая их через запятую. Однако, положение ч. 2 ст. 10 ФЗ № 152 (Обработка специальных категорий персональных данных допускается в случаях, если…) по своей сути подразумевает условный союз «или». То есть, механизм применения ч. 2 ст. 10 ФЗ № 152 аналогичен механизму применения ч. 1 ст. 6 ФЗ № 152 и допускает обработку специальных категорий персональных данных как с согласия пациента, так и в некоторых случаях без него. В частности, рассматриваемая ситуация как раз подпадает под условия п. 4 ч. 2 ст. 10 ФЗ № 152.

Таким образом, в соответствии с п. 5 ч. 1 ст. 6 ФЗ № 152 и п. 4 ч. 2 ст. 10 ФЗ № 152 согласие на обработку персональных данных, в том числе включающих сведения о здоровье, требуется отнюдь не всегда. Косвенно это подтверждаются и иными положениями ФЗ № 152:

  • Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом (ст. 7 ФЗ № 152).
  • Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 - 11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 ФЗ № 152, возлагается на оператора (ст. 9 ФЗ № 152)

В частности, в надзорной жалобе ответчик указывал на наличие основания, предусмотренного п. 5 ч. 1 ст. 6 ФЗ № 152. Однако, суд, принимая во внимание все вышеприведенные нормы и доводы, в свою очередь полагает обратное и выносит постановление, что позиция, изложенная К. в надзорной жалобе, основана на неверном толковании норм права. При этом, каких-либо аргументированных выводов почему в случае с К. его доводы противоречат действующему законодательству и, в частности, п. 5 ч. 1 ст. 6 ФЗ № 152 не подлежит применению, суд не приводит.

Кроме того, интересно и то, что суд, в качестве аргумента полагается на ч. 1 ст. 24 Конституции РФ, согласно которой сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускается. На первый взгляд данная норма противоречит нашим выводам о том, что согласие на обработку персональных данных требуется не во всех случаях, однако, это не совсем так.

В качестве доказательства приведем Определение Конституционного Суда РФ от 16.07.2013 № 1176-О «Об отказе в принятии к рассмотрению жалобы гражданина Круглова Александра Геннадьевича на нарушение его конституционных прав пунктом 4 части 2 статьи 10 Федерального закона «О персональных данных». По мнению гражданина Круглова п. 4 ч. 2 ст. 10 ФЗ № 125 противоречит Конституции РФ, так как, в частности, допускает сбор, хранение, использование и распространение информации о частной жизни лица без его согласия.

Однако Конституционный Суд отказал в принятии жалобы, аргументировав это тем, что оспариваемое законоположение позволяет хранить информацию о состоянии здоровья граждан исключительно в целях реализации их права на охрану здоровья и медицинскую помощь, при этом конфиденциальность персональных данных обеспечивается врачебной тайной, а потому оно не может рассматриваться как нарушающее конституционные права заявителя в указанном им аспекте.

В целом мы также согласны с позицией Конституционного Суда. Однако, на наш взгляд, более важным доказательством является то, что ч. 1 ст. 24 Конституции РФ не подразумевает именно письменного согласия. При этом, в ситуации, когда гражданин обращается в медицинскую организацию, это априори подразумевает его устное согласие на обработку персональных данных, ведь фактически у него нет выбора: если у медицинской организации не будет возможности обрабатывать его данные о здоровье, медицинская услуга в принципе не может быть оказанной. Из этого следует вывод, что применение судом ч. 1 ст. 24 Конституции РФ не является корректным.

Возвращаясь к нашему постановлению, заметим и то, что в качестве доказательств среди прочих приводится факт отсутствия письменно оформленного информированного добровольного согласия на медицинское вмешательство, что по своей сути не имеет отношения к составу правонарушения, предусмотренного ст. 13.11 КоАП РФ и не может служить в качестве доказательств.

При этом суд совершенно не обращает внимание на другой немаловажный факт, а именно на то, что в п. 4 ч. 2 ст. 10 ФЗ № 152 речь идет о лицах, которые профессионально занимаются медицинской деятельностью.

Фактически, суд рассуждает об обязательности оформления согласия на обработку персональных данных в то время, как перед ним стоит вопрос является ли обработчик персональных данных лицом, которое профессионально занимается медицинской деятельностью.

Например, если сведения, которые вносятся в амбулаторную карту, обрабатываются исключительно врачом, то с внутренней информационной системой учета все не так однозначно. Вполне возможно, что в данном случае в систему вносились данные о здоровье пациенток администратором медицинской организации или иным лицом, которое не занимается профессионально медицинской деятельностью. В таком случае согласие на обработку данных о здоровье требовалось.

Таким образом, в рассматриваемой ситуации суд приходит к неверному выводу о том, что оформление согласия на обработку персональных данных пациентов требуется всегда. Ко всему прочему, в своих выводах суд опирается на доказательствах, которые не имеют значения для дела. При этом, суд не установил иные существенные обстоятельства, так как в постановлении отсутствуют сведения о лице, осуществляющем обработку персональных данных.

Сам ответчик также допускает ошибку в надзорной жалобе, так как К. обратил внимание лишь на общую норму и не принял во внимание специальную норму о данных, отражающих состояние здоровье, которая также предполагает обработку персональных данных без согласия пациента, если таковая осуществляется лицом при осуществлении медицинской деятельности, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну.

Будьте в курсе всех новостей.
Подписывайтесь на новости.
Комментарии 0
Самая широкая база знаний по медицинскому праву.
Еще более 1650 статей.
Комментарии