Эта статья — своего рода ликбез, где рассмотрены:

• определение персональных данных;
• документы, регламентирующие работу с персональными данными;
• нюансы обработки персональных, биометрических, персональных специальных данных;
• вопрос передачи сведений, составляющих врачебную тайну.

Что такое персональные данные?

Два критерия отнесения данных к персональным:

1. Данные должны прямо или косвенно относиться к физическому лицу;
2. Должна существовать возможность идентификации физического лица, к которому относятся данные.

В соответствии с п. 1 ст. 3 Федерального закона «О персональных данных» персональными данными является любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

В ст. 2 Конвенции о защите физических лиц при автоматизированной обработке персональных данных, принятой 28 января 1981 года в Страсбурге, под персональными данными понимается информация, касающаяся конкретного или могущего быть идентифицированным лица («субъекта данных»).

Документы, которые регламентируют работу с персональными данными:

• Конвенция о защите физических лиц при автоматизированной обработке персональных данных (Конвенция ратифицирована Федеральным законом от 19.12.2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при  автоматизированной обработке персональных данных») (далее по тексту – Конвенция о защите физических лиц при автоматизированной обработке персональных данных).
• Решение Совета Евразийской экономической комиссии от 03.11.2016 г. № 87 «Об утверждении Правил надлежащей практики фармаконадзора Евразийского экономического союза».
• Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее по тексту – Федеральный закон «О персональных данных»).
• Федеральный закон от 21.11.2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».
• Приказы Минздрава России от 01 апреля 2016 г. № 200н «Об утверждении правил надлежащей клинической практики», от 22 сентября 2017 г. № 669н «Об утверждении Правил надлежащей клинической практики биомедицинских клеточных продуктов», от 18 мая 2021 г. № 464н «Об утверждении Правил проведения лабораторных исследований» и другие.

Обработка персональных данных

Объем обрабатываемых данных о пациенте (субъекте исследования) зависит от:

• фазы клинического исследования;
• целей клинического исследования;
• исследуемого препарата;
• методов, применяемых в клиническом исследовании, и т.д.

Данные о субъекте исследования могут включать в себя:

• физиологические показатели;
• результаты анализов биологических жидкостей;
• данные инструментальных методов исследования и т.д. 

Обработка следующих данных осуществляется независимо от целей клинического исследования, фазы клинического исследования и т.п.:

• сокращений фамилии, имени и отчества;
• дат рождения;
• расовой принадлежности;
• антропометрических данных;
• семейного положения;
• анамнеза заболевания и состояния здоровья.

Обработка персональных данных допускается только в случаях, прямо указанных в ч. 1 ст. 6 Федерального закона «О персональных данных». К таким случаям относятся:

1. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных (п. 1 ч. 1 ст. 6 Федерального закона «О персональных данных»);
   
2. Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом; для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей (п. 2 ч. 1 ст. 6 Федерального закона «О персональных данных»);
   
3. Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно (п. 6 ч. 1 ст. 6 Федерального закона «О персональных данных»);
   
4. Обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в ст. 15 Федерального закона «О персональных данных», при условии обязательного обезличивания персональных данных (п. 9 ч. 1 ст. 6 Федерального закона «О персональных данных»);
5. Обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (п. 10 ч. 1 ст. 6 Федерального закона «О персональных данных»).

Обработка биометрических данных

Обработка биометрических данных допускается только в случаях, прямо указанных в ч. 1 ст. 11 Федерального закона «О персональных данных».

К таким случаям относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

Обработка персональных данных, относящихся к специальным категориям

На обработку персональных данных, относящихся к специальным категориям, наложены дополнительные ограничения.

В ч. 1 ст. 10 Федерального закона «О персональных данных» выделены следующие специальные категории персональных данных:

• о расовой принадлежности;
• о политических взглядах;
• о религиозных или философских убеждениях;
• о состоянии здоровья, об интимной жизни.

По общему правилу обработка персональных данных, относящихся к специальным категориям, запрещена (ч. 1 ст. 10 Федерального закона «О персональных данных»). 

Исключения из этого правила определены в ч. 2 ст. 10 Федерального закона «О персональных данных».

Допускается обработка персональных данных, относящихся к специальным категориям, если:

1. Субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных (п. 1 ч. 2 ст. 10 Федерального закона «О персональных данных»). 
2. Персональные данные сделаны общедоступными субъектом персональных данных (п. 2 ч. 2 ст. 10 Федерального закона «О персональных данных»). 
3. Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно (п. 3 ч. 2 ст. 10 Федерального закона «О персональных данных»). 
4. Обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну (п. 4 ч. 2 ст. 10 Федерального закона «О персональных данных»).

При этом в Федеральном законе «О персональных данных» нет указаний на то, что к обезличенным персональным данным, относящимся к специальным категориям, не применяются положения ст. 10 Федерального закона «О персональных данных». Также нет указания на то, что обезличивание переводит персональные данные, относящиеся к специальным категориям, в иные категории.

Таким образом, обезличивание персональных данных не изменяет статуса персональных данных.

Как допустимо передавать сведения, составляющие врачебную тайну?

Законодательно установлено, что передача сведений, составляющих врачебную тайну, для научных исследований допускается только с согласия гражданина или его законного представителя.

Основание: ч. 3 ст. 13 Федерального закон от 21.11.2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации». 

Также законодательство предусматривает следующее.

Отчет о результатах клинических лабораторных исследований выдается:

• пациенту;
• его законному представителю;
• лечащему врачу;
• в направившую медицинскую организацию.

Применяется при соблюдении требований законодательства Российской Федерации по защите конфиденциальной информации и персональных данных (абз. 15 п. 16 Приказа Минздрава России от 18.05.2021 г. № 464н «Об утверждении Правил проведения лабораторных исследований»).

Отчет выдается:

• на бланке организации, проводившей исследование;
• в электронном виде;
• на бумажном носителе.

Хранение документов, связанных с проведением клинического исследования (как правило, в течение трех лет после завершения клинического исследования) и представление таких документов третьим лицам с соблюдением требований законодательства Российской Федерации о персональных данных, коммерческой, государственной и иной охраняемой законом тайне (п. 18 Приказа Минздрава России от 01.04.2016 г. № 200н «Об утверждении правил надлежащей клинической практики») обеспечивает независимый этический комитет.

Каждый пациент дает добровольное согласие на участие в таком клиническом исследовании посредством подписания информационного листка пациента после получения информации о клиническом исследовании и до начала проведения клинического исследования.

Каждый пациент дает добровольное согласие на обработку его персональных данных и их предоставление определённому лицу или определенному кругу лиц в связи с участием пациента в клиническом исследовании (п. 5 Приказа Минздрава России от 22.09.2017 N 669н «Об утверждении Правил надлежащей клинической практики биомедицинских клеточных продуктов»).

Исследователь информирует пациента или его законного представителя о том, что записи, идентифицирующие пациента, будут сохранены в тайне, раскрытие их допускается в соответствии с законодательством Российской Федерации, и при публикации результатов клинического исследования конфиденциальность данных пациента будет сохранена (пп.12 п. 40 Приказа Минздрава России от 22.09.2017 г. № 669н «Об утверждении Правил надлежащей клинической практики биомедицинских клеточных продуктов»).

Держатели регистрационных удостоверений и исследователи должны:

• соблюдать требования законодательства государств-членов, на территории которых проводится исследование, по защите персональных данных пациентов;
• обеспечить надлежащее обращение и хранение всей информации об исследовании таким образом, чтобы обеспечить точную передачу, интерпретацию и верификацию этой информации. При этом конфиденциальность данных медицинских карт пациентов не должна быть нарушена.

Основание: раздел 8 Решения Совета Евразийской экономической комиссии от 03.11.2016 г. № 87 «Об утверждении Правил надлежащей практики фармаконадзора Евразийского экономического союза».

Отношения, связанные с обработкой персональных данных, регулируются Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» только в том случае, если они удовлетворяют критериям, указанным в ч. 1 ст. 1 Федерального закона «О персональных данных».

Первым таким критерием является связь рассматриваемых отношений с обработкой персональных данных.

Вторым критерием является способ обработки персональных данных. 

Предусмотрено два способа обработки:

1. С использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях.
2. Без использования средств автоматизации, но имеющий следующие характеристики:

• позволяет осуществлять поиск персональных данных в соответствии с заданным алгоритмом;
• персональные данные зафиксированы на материальном носителе;
• персональные данные систематизированы в собраниях персональных данных;
• к персональным данным имеется доступ.

В ч. 2 ст. 1 Федерального закона «О персональных данных» предусмотрены отношения, на которые не распространяется действие Федерального закона «О персональных данных». Данные исключения не встречаются при обработке персональных данных, связанных с клиническими исследованиями.

Обработка персональных данных – любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных 

(п. 3 ст. 3 Федерального закона «О персональных данных»).

Персональные данные субъекта исследования подвергаются сбору, записи, накоплению, хранению, систематизации, использованию, передаче и т.д. Согласно п. 9 ч. 1 ст. 6 Федерального закона «О персональных данных», обработка персональных данных в исследовательских целях допускается при условии обязательного обезличивания персональных данных (п. 9 ст. 3 Федерального закона «О персональных данных»).

В клинических исследованиях обезличивание проводится путем присвоения уникального идентификационного кода каждому субъекту исследования (п. 5.5.5 Национального стандарта «Надлежащая клиническая практика»). Указанные действия производятся с помощью средств автоматизации (электронные ИРК, программы статистической обработки, электронные таблицы и т.д.). В случае использования бумажных ИРК данные из них в последующем вносятся в электронные базы данных для статистической обработки.

Не исключается обработка персональных данных субъекта исследования без использования средств автоматизации (например, создание архива документов в бумажной форме по серьезным нежелательным явлениям), но в данном случае такая обработка будет иметь все признаки, указанные в ч. 1 ст. 1 Федерального закона «О персональных данных». 

Таким образом, любая информация, которая прямо или косвенно относится к физическому лицу, а также обезличенные данные физического лица, которое можно идентифицировать, являются персональными данными физического лица. Обработка таких данных может осуществляться только с согласия физического лица.