Ситуацию комментирует начальник управления по надзору за исполнением федерального законодательства прокуратуры Самарской области Дмитрий Макаров.
Согласие на обработку персональных данных может быть отозвано субъектом персональных данных способом, указанным ранее в таком согласии, в частности путем направления заявления в свободной форме по почте или через интернет
Персональными данными (далее - ПД) является любая информация, относящаяся к определенному или определяемому физическому лицу (субъекту персональных данных). Обработкой ПД признаются любые с ними действия (операции), включая их сбор, запись, систематизацию, накопление, хранение, уточнение, использование, передачу, обезличивание, блокирование, удаление, уничтожение (п. п. 1, 3 ст. 3 Закона от 27.07.2006 N 152-ФЗ).
По общему правилу обработка ПД допускается с согласия субъекта ПД. Такое согласие должно быть конкретным, информированным и сознательным.
В отдельных случаях такое согласие не требуется, в частности когда обработка ПД необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение его согласия невозможно (п. п. 1, 6 ч. 1 ст. 6, ч. 1 ст. 9 Закона № 152-ФЗ).
Согласие на обработку ПД может быть гражданином отозвано способом, указанным ранее в таком согласии, в частности путем подачи (направления) заявления в свободной форме по почте или через Интернет (ч. 2, п. 8 ч. 4 ст. 9 Закона № 152-ФЗ).
Однако в случае отзыва согласия на обработку ПД оператор вправе продолжить обработку ПД без согласия субъекта ПД при наличии определенных оснований. К таким основаниям, относится, в частности, обработка ПД для защиты жизни и здоровья субъекта персональных данных либо в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну (п. 6 ч. 1 ст. 6, ч. 2 ст. 9, п. 4 ч. 2 ст. 10 Закона N 152-ФЗ).
В данном случае хранение соответствующей информации о состоянии здоровья граждан допускается исключительно в целях реализации их права на охрану здоровья и медицинскую помощь, при этом конфиденциальность ПД обеспечивается врачебной тайной (Определение Конституционного Суда РФ от 16.07.2013 N 1176-О).
В случае отзыва согласия на обработку ПД оператор обязан прекратить их обработку и уничтожить, если их сохранение более не требуется для целей обработки ПД. Для этого оператору предоставляется срок, не превышающий 30 дней с даты поступления отзыва, если иное не предусмотрено соглашением между оператором и субъектом ПД либо если оператору не предоставлено право осуществлять обработку ПД без согласия субъекта ПД. При отсутствии возможности уничтожить ПД в этот срок оператор должен их заблокировать и обеспечить уничтожение по общему правилу в срок не более чем шесть месяцев (ч. 5, 6 ст. 21 Закона N 152-ФЗ).
Вместе с тем медицинские организации имеют право создавать медицинские информационные системы, содержащие данные о пациентах и об оказываемой им медицинской помощи, с соблюдением требований, установленных законодательством в области ПД, и соблюдением врачебной тайны. При этом изъятие и аннулирование сведений из баз данных медицинских организаций законодательством не предусмотрено (п. 5 ст. 78 Закона от 21.11.2011 N 323-ФЗ; Письмо Минздрава России от 11.09.2014 N 18-1/10/2-6945).
Также обработка ПД допускается, если она осуществляется в статистических и иных исследовательских целях при условии обязательного обезличивания ПД (п. 9 ч. 1 ст. 6 Закона N 152-ФЗ).