Защита персональных данных в мед. организациях

Последнее время значительно вырос интерес к  правовой защите  частной жизни.  Это связано с развитием общественных отношений, технологическим прогрессом в технологии, ростом научных достижений. Стремительная информатизация социума, переход к повсеместному использованию компьютеризированных баз данных делают важными вопросы обеспечения правовой защиты информации о частной жизни человека.

Характер нашей медицинской деятельности связан с использованием большого количества персональных данных о пациенте. Сейчас  актуальными являются вопросы правового регулирования  такой деятельности.

Какими нормативно-правовыми актами, регламентируются  требования к организации обработки персональных данных в медицинских организациях? Попробуем разобраться. Прежде всего это:
 
• 1 .Основы законодательства Российской Федерации об охране здоровья граждан (далее – Основы);
• 2. Федеральный закон от 27.07.2006 № 149-ФЗ “Об информации, информационных технологиях и о защите информации”;
• 3 .Федеральный закон от 27.07.2006 № 152-ФЗ “О персональных данных” (далее – Закон № 152-ФЗ);
• 4. Указ Президента РФ от 06.03.1997 № 188 “Об утверждении перечня сведений конфиденциального характера” (с изм. и доп.);
• постановление Правительства РФ от 17.11.2007 № 781 “Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных”.

Охрана здоровья гражданина РФ требует первоочередной защиты информации о частной жизни юридического лица. Но при внимательном изучении действующего законодательства можно отметить значительное число подводных камней и затруднительных для исполнения моментов. Как нам, врача-наркологам,  безопасно плавать в этом правовом море документов?
 Вопрос защиты конфиденциальной информации в сфере мед. деятельности отрегулирован, в основном, двумя из вышеперечисленных актов:

• права пациента, связанные с информацией и конфиденциальностью, изложены в ст. 31 и 61 Основ, а
• Законом № 152-ФЗ регламентируются отношения, возникающие в связи с обработкой персональных данных с использованием средств автоматизации применительно к деятельности медицинских организаций.

Категории персональных данных.

В соответствии с Законом № 152-ФЗ персональными данными является любая информация, связанная с физическим лицом (субъектом персональных данных), позволяющая идентифицировать конкретное физическое лицо среди прочих лиц. В персональных данных физического лица выделяют общие и специальные категории

Обработкой персональных данных является любое из следующих действий:

• сбор,
• систематизация,
• накопление,
• хранение,
• уточнение (обновление, изменение),
• использование,
• распространение (в т. ч. передача),
• обезличивание,
• блокирование,
• уничтожение персональных данных.

Для обработки персональных данных, относимых к общим категориям, обязательно наличие согласия на это субъекта персональных данных.
При отсутствии согласия субъекта обработка общих категорий персональных данных допускается в случае, если:

• она осуществляется на основании и во исполнение федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора, т. е. правовым основанием для такой обработки всегда должен являться федеральный закон;
• обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных, т. е. в качестве основания для обработки выступает договор, заключенный между субъектом персональных данных и оператором, который косвенно (но не прямо! – если такого положения не содержится в условиях заключенного договора) подтверждает согласие субъекта на обработку таких данных;
• обработка персональных данных осуществляется в статистических или иных научных целях при условии обязательного обезличивания персональных данных;
• обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно (в обмороке, без сознания);
• обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услуг связи;
• обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
• осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в т. ч. персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

В отношении специальных категорий персональных данных ситуация обстоит несколько сложнее. В соответствии с Законом № 152-ФЗ обработка специальных категорий допускается в случае, если:
 
• субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных. В данном условии и заключается коллизия: согласия субъекта достаточно как для обработки общих персональных данных, так и для обработки специальных персональных данных;
• персональные данные являются общедоступными;
• персональные данные относятся к состоянию здоровья субъекта персональных данных, и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;
• обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка данных производится лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну;
• обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующим общественным объединением или религиозной организацией, действующими в соответствии с законодательством РФ, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
• обработка персональных данных необходима в связи с осуществлением правосудия (запрос из суда, прокуратуры);
• обработка персональных данных осуществляется в соответствии с законодательством РФ 6. о безопасности, оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством РФ.

Обеспечение медицинской тайны.

Медицинская (или врачебная) тайна является одним из наиболее конфиденциальных  видов личной информации, и одновременно — наиболее незащищенным.
 Российское законодательство определяет врачебную тайну как «информацию о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иные сведения, полученные при его обследовании и лечении». Однако, гарантии по обеспечению врачебной тайны, формально предоставляемые законодательством, на практике довольно зыбки, особенно когда речь идет не о стандартных сеансах общения с пациентом «лицом в лицу», а о методах удаленной диагностики и телеконсультаций, а также других областях применения информационных технологий.

Быстрое проникновение ИТ во все области медицинской практики делает проблему обеспечения врачебной тайны все более острой, поскольку скорость развития новых форматов передачи, хранения, обработки информации намного опережает скорость развития правового поля, появление законодательных актов, регулирующих защиту личной информации

Весьма показательно, что в российском законодательстве обеспечение врачебной тайны рассматривается со «статической» точки зрения, то есть, подразумевается, что раскрытие сведений частного характера может происходить либо путем разглашения медицинским персоналом или «лицами, которым они (сведения частного характера) стали известны при обучении, исполнении профессиональных, служебных и иных обязанностей».
Вторым вариантом утечки информации, который предусматривает законодательство, является передача данных о здоровье пациента родственникам, должностным лицам.
 В противном случае законодательство предусматривает дисциплинарную, административную или уголовную ответственность.  То есть, личные данные могут предоставляться почти исключительно с согласия самого пациента.


Фактически, на текущий момент защита личных данных в медицинских информационных системах представлена  двумя базовыми аспектами.

Первым из них является этический (профессиональный) аспект взаимодействия врача и пациента, который регулируется нормами врачебной этики и законом о защите личных данных пациентов.

Второй аспект представляет собой защиту информации в медицинской системе с технической точки зрения, то есть, здесь речь идет о создании адекватных механизмов защиты данных непосредственно в рамках программно-аппаратного комплекса информационной системы.

По мнению экспертов Фрайбургского университета (Германия), до 60% утечек медицинской информации происходит из-за действий медицинских работников, причем, не только лечащих или консультирующих врачей, но и обслуживающего и административного персонала медучреждений. Только 40% утечек информации происходит по техническим причинам — в результате взломов информационных систем злоумышленниками, хищения баз данных и персональных компьютеров.

Медицинская организация ГУЗ ОНД как оператор обработки персональных данных.

Обработку персональных данных в ГУЗ ОНД осуществляет оператор.
Законом № 152-ФЗ установлено, что оператор – это государственный орган, муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных.

В соответствии с требованиями ст. 22 Закона № 152-ФЗ операторы, осуществляющие обработку персональных данных, должны уведомлять об этом уполномоченный орган, за исключением случаев, перечисленных в законе.
Постановлением Правительства РФ от 15.12.2007 № 878 “О некоторых вопросах деятельности Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия” данным уполномоченным органом определена Федеральная служба по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия (Россвязьохранкультура). Порядок направления указанного уведомления определен приказом Россвязькомнадзора от 17.07.2008 № 08 “Об утверждении образца формы уведомления об обработке персональных данных”.


Получение согласия субъекта на обработку его персональных данных.

Законом установлено, что оператор, осуществляющий обработку персональных данных (в данном случае ЛПУ), обязан предоставить доказательство согласия субъекта на обработку его персональных данных. Таким образом, устанавливается презумпция вины оператора, и в случае несоблюдения им обязанности получить данное согласие  риски несет медицинская организация.

Документ, фиксирующий факт получения согласия субъекта персональных данных, включает в себя:
• фамилию, имя, отчество, адрес пациента, номер основного документа, удостоверяющего его личность, сведения о дате его выдачи и выдавшем органе;
• наименование и адрес оператора обработки персональных данных;
• цель обработки персональных данных;
• перечень персональных данных, на обработку которых дается согласие пациента;
• перечень действий с персональными данными, на совершение которых дается согласие,
.       общее описание используемых оператором способов обработки персональных данных;
• срок, в течение которого действует согласие, а также порядок его отзыва.

Рассмотрим данную ситуацию более детально.
Пациент, обращающийся в ГУЗ ОНД за медицинской помощью, вынужден предоставить, а медицинская организация – истребовать от пациента документ, подтверждающий его согласие на обработку своих персональных данных.
Таким образом, помимо письменного согласия на разглашение сведений, составляющих врачебную тайну, лицам, указанным пациентом, ему необходимо предоставить еще и вышеуказанный документ.

Возникает вопрос:  смысл? По сути,  любая информация об обращении лица в ЛПУ уже сама по себе является конфиденциальной и не может быть разглашена без его ведома и помимо его воли в силу того, что это отражено в Основах.
Поэтому наше требование от пациента согласия на обработку его персональных данных более актуально при обращении пациентов не напрямую в ЛПУ, а через страховщика, т. к. в данном случае между страховщиком и ЛПУ происходит обмен сведениями, составляющими конфиденциальную информацию о пациенте.

Или другая ситуация: при устройстве на работу у сотрудника требуют заполнить согласие на обработку своих персональных данных работодателем – ЛПУ.
Опять вопрос: с какой целью? Какие последствия это повлечет за собой? А если сотрудник откажется дать нам согласие, неужели работодатель не вправе будет начислить сотруднику заработную плату или удержать из его заработной платы подоходный налог, взносы в пенсионный фонд? Работодатель здесь неизбежно столкнется с вопросами обработки персональных данных, а согласие сотрудника на это не получено.

Обработка персональных данных в ЛПУ должна осуществляться с соблюдением необходимых, но разумных мер, обеспечивающих конфиденциальность информации и ее защиту от несанкционированного доступа. Конфиденциальность персональных данных – это обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания для такого распространения. Статьей 61 Основ устанавливаются законные основания для нарушения условия конфиденциальности, и, на наш взгляд, дополнительные меры защиты информации являются в ряде случаев излишними.

Кроме того, ст. 7 Закона № 152-ФЗ установлено, что обеспечение конфиденциальности персональных данных не требуется в случае их обезличивания и в отношении общедоступных персональных данных.

С согласия гражданина или его законного представителя допускается передача сведений, составляющих врачебную тайну, другим гражданам, в том числе должностным лицам, в интересах обследования и лечения пациента, для проведения научных исследований, публикации в научной литературе, использования этих сведений в учебном процессе и в иных целях.

Предоставление сведений, составляющих врачебную тайну, без согласия гражданина или его законного представителя допускается:

• в целях обследования и лечения гражданина, не способного из-за своего состояния выразить свою волю;

• при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;

• по запросу органов дознания и следствия и суда в связи с проведением расследования или судебным разбирательством;

• в случае оказания помощи несовершеннолетнему в возрасте, установленном частью второй статьи 24 настоящих Основ, для информирования его родителей или законных представителей;

• при наличии оснований, позволяющих полагать, что вред здоровью гражданина причинен в результате противоправных действий;

• в целях проведения военно-врачебной экспертизы в порядке, установленном положением о военно-врачебной экспертизе, утверждаемым Правительством Российской Федерации.


Статья 61 Основ законодательства Российской Федерации об охране здоровья граждан.

Во избежание нарушения требования конфиденциальности руководителям медицинских организаций следует утвердить перечень должностных лиц, допущенных к обработке персональных данных пациентов, зафиксировать порядок их доступа к конфиденциальным сведениям, определить их права, обязанности и ответственность соответствующими должностными инструкциями.

Обязанности оператора обработки персональных данных

При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе следующую информацию:

• подтверждение факта обработки персональных данных оператором, а также цель данной обработки;
• способы обработки персональных данных, применяемые оператором;
• сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
• перечень обрабатываемых персональных данных и источник их получения;
• сроки обработки персональных данных, в т. ч. сроки их хранения;
• сведения о том, какие юридические последствия для субъекта может повлечь за собой обработка его персональных данных;
• разъяснения последствий его отказа в предоставлении своих персональных данных в случае, если это установлено в качестве обязанности субъекта федеральным законом.

Если персональные данные были получены не от субъекта персональных данных1, оператор до начала их обработки обязан предоставить субъекту следующую информацию:
наименование (фамилия, имя, отчество) и адрес оператора или его
представителя, от которого были получены данные;
цель обработки персональных данных и ее правовое основание;
предполагаемые пользователи персональных данных;
установленные права субъекта персональных данных.

Например, это актуально, если пациент обращается в ЛПУ в рамках обязательного медицинского страхования либо добровольного медицинского страхования, тогда страховая компания предоставляет в ЛПУ персональные данные пациента.

Помимо Закона № 152-ФЗ следует отметить еще один нормативно-правовой акт – постановление Правительства РФ от 17.11.2007 № 781 “Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных”. В данном Положении зафиксирована весьма важная обязанность операторов, а именно:
обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств;
размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

Права субъекта персональных данных.

Субъект персональных данных в соответствии с Законом № 152-ФЗ обладает следующими правами:
получения сведений об операторе, месте его нахождения, наличии у оператора персональных данных, относящихся к субъекту, правом ознакомления с такими персональными данными;
требования от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принятия предусмотренных законом мер по защите своих прав;
на предоставление оператором сведений о наличии персональных данных в доступной форме;
на доступ к персональным данным законного представителя субъекта на основании запроса;

(Термин “законный представитель” расшифровывается в ст. 26 Гражданского кодекса РФ (это родители, усыновители или попечитель лица в возрасте от 14 до 18 лет). При необходимости оказания медицинской помощи лицу, не достигшему возраста совершеннолетия, перед ЛПУ встает ряд вопросов, касающихся участия в данном процессе его законного представителя. Зачастую сотрудниками ЛПУ неверно трактуется понятие законного представителя, и под ним понимается лицо, которому пациент доверяет информацию о факте его обращения за медицинской помощью, состоянии здоровья, диагнозе заболевания и иные сведения, полученные при его обследовании и лечении в силу ст. 61 Основ. Тем не менее, статус законного представителя иной: он вправе осуществлять от имени представляемого любые действия, в т. ч. и определять, кому будет разглашена информация, составляющая врачебную тайну пациента. У лица же, которому могут быть переданы сведения, составляющие врачебную тайну, никаких прав по вступлению в гражданские правоотношения от имени пациента нет. )
на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в т. ч. содержащей:

– подтверждение факта обработки персональных данных оператором, а также цель такой обработки;

– способы обработки персональных данных, применяемые оператором;

– сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

– перечень обрабатываемых персональных данных и источник их получения;

– сроки обработки персональных данных, в т. ч. сроки их хранения;

– сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

В Основах отражены права пациента на конфиденциальность информации о своем здоровье и обязанность врача соблюдать врачебную тайну. С принятием Закона № 152-ФЗ можно говорить о большей конкретизации и детализации этих положений. ЛПУ следует хорошо ориентироваться в вопросах законодательства, регулирующего защиту персональных данных, поскольку это затрагивает интересы его информационной безопасности.

 За исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными.


Литература:

1. Директор ИС . Право. Путеводная нить в лабиринте закона «О персональных данных». Михаил Емельянников.
2. Закон Российской Федерации №5488-1 от 22.07.1993 года «Основы законодательства Российской Федерации об охране здоровья граждан»
3. PC Week Review: ИТ в медицине, октябрь 2009 Обработка персональных данных в медицинских организациях . Автор: Андрей Столбов.
4. Федеральный закон “Об информации, информационных технологиях и защите информации” № 149-ФЗ от 27.07.2006.
5. Указ Президента РФ № 351 от 17.03.2008 “О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена”.
6. Проблема правовой защиты персональных данных. (Исследование по программе малых грантов). Михеева М. Р. 2009г.
7. Электронный журнал «Персональные данные».Форум «Medsoft-2010 — выставка и конференция «Медицинские информационные технологии».