Защита персональных данных в системе ЕГИСЗ. Комментарий эксперта

ВОПРОС от читателя:

ВОПРОС от читателя: «Согласно постановлению правительства РФ № 140 от 09.02.2022, все медицинские учреждения — независимо от формы собственности — обязаны использовать ЕГИСЗ. Но в пункте 2(е) сказано: только с согласия пациента. Почему тогда всех пациентов автоматически вносят в систему? Что, если пациент согласен на обработку данных только своим лечащим врачом, а не на внесение всей информации в федеральный портал? Получается, что ФЗ-152 "О персональных данных" и закон 323-ФЗ о врачебной тайне теряют актуальность?»

Мои комментарии :

1.  Постановление Правительства № 140 от 09.02.2022
Пункт 2 (е) постановления гласит, что обработка персональных данных в ЕГИСЗ допускается с согласия субъекта персональных данных, за исключением случаев, предусмотренных федеральным законом.

Это означает, что внесение информации в ЕГИСЗ в принципе требует согласия пациента, если речь не идёт о случаях, прямо разрешённых законом без согласия (но напрямую в этой норме тоже ничего не сказано).

2. Как объясняют внесение данных без явного согласия?
На практике органы Минздрава и медицинские организации опираются на ст. 91 ФЗ-323, которая обязывает медорганизации вносить сведения в ЕГИСЗ. Эта норма формально считается прямым федеральным основанием для обработки данных без отдельного согласия пациента.

Но! В статье 13 ФЗ-152 также сказано, что обработка без согласия допустима, если это необходимо для исполнения полномочий или обязанностей, возложенных законом на оператора. Чаще всего контролирующие органы ссылаются именно на это.

Таким образом, по мнению государства, внесение сведений в ЕГИСЗ не противоречит законодательству, так как является исполнением прямой обязанности.

3. Но почему это противоречиво?
Вы совершенно справедливо поднимаете проблему:
- В практике нет механизма, который позволял бы ограничить внесение данных только конкретному врачу.
- Нет инструмента управления глубиной и объёмом сведений, которые видны в ЕГИСЗ другим учреждениям.
- Пациент не имеет реального выбора: либо подписывает согласие «в целом» (и тогда всё видно), либо ему могут отказать в некоторых услугах (неформально).

То есть получается, что:
- Формально — согласие нужно, но
- Фактически — систему настроили так, чтобы без внесения данных ничего не работает, в том числе передача рецептов, льгот, истории болезни и т.п.

4. Что с врачебной тайной?
Закон 323-ФЗ (ст. 13) защищает врачебную тайну, но:
Исключения разрешают передачу сведений в целях оказания медпомощи, при угрозе жизни, по запросу суда, следствия и др.
Однако, массовое внесение в ЕГИСЗ без конкретной цели и с доступом множества лиц (медорганизаций) нарушает принцип минимизации (только необходимый объем, только для конкретных целей).

5. Что можно делать?
Пациент имеет право подать заявление об ограничении доступа к своим данным в ЕГИСЗ — это предусмотрено нормативно. Но пока в большинстве регионов эта функция не реализована технически.
Можно требовать разъяснения прав, в том числе о перечне тех, кто имеет доступ к медицинской информации.
При наличии утечки или необоснованного доступа — жалоба в Роскомнадзор и Минздрав (нарушение ФЗ-152 и ст. 13 ФЗ-323).

Вывод:Вы правы: существует правовой конфликт между:
- формальной обязанностью внести пациента в ЕГИСЗ,
- и законным правом пациента ограничить доступ к своим медицинским данным.
Фактически — нормы ФЗ-152 и 323-ФЗ нивелируются технической и организационной реализацией ЕГИСЗ. Это «скрытая презумпция согласия», когда пациент не может реально отказаться, не потеряв доступ к помощи.

Медицинский адвокат Гриценко Ирина