Рекомендации  по обработке персональных данных в медицинских  организациях

Одной из наиболее актуальных проблем, которые  сегодня приходится решать в медицинском  учреждении при использовании компьютеров, является защита конфиденциальной информации. В связи с этим представляется целесообразным рассмотрение основных аспектов организации автоматизированной обработки персональных данных (ПД) пациентов. Основными правовыми нормативными актами, регламентирующими требования к процессам обработки ПД, в том числе в учреждениях здравоохранения, являются:

• “Основы законодательства Российской Федерации об охране здоровья граждан”, ... закон РФ № 5487-1 от 22.07.1993 (далее — Основы); в ст. 61 дано определение врачебной тайны как “информации о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иных сведений, полученных при его обследовании и лечении”;

 

• Конституция Российской Федерации, принятая 12.12.1993; ст. 23, 24 (неприкосновенность частной  жизни, личная и семейная тайна), ст. 41, 42 (недопустимость сокрытия информации, связанной с угрозой жизни и здоровью);

 

• федеральный закон “Об информации, информационных технологиях и защите информации”  № 149-ФЗ от 27.07.2006, в котором даны определения  таких понятий, как информация, документирование информации, защита информации, обладатель информации, конфиденциальность информации, предоставление и распространение информации, электронное сообщение; 

 

• федеральный закон “О персональных данных”  № 152-ФЗ от 27.07.2006 (далее — Закон), которым регулируются отношения, связанные с обработкой персональных данных с использованием средств автоматизации;

 

• указ Президента РФ “Об утверждении перечня сведений конфиденциального характера” № 188 от 06.03.1997 (в редакции указа Президента РФ от 23.09.2005 № 1111) в котором к указанной категории сведений отнесены персональные данные и сведения, содержащие врачебную тайну;

 

• указ Президента РФ № 351 от 17.03.2008 “О мерах по обеспечению  информационной безопасности Российской Федерации при использовании  информационно-телекоммуникационных сетей международного информационного обмена”; 

 

• постановление Правительства РФ № 504 от 15.08.2006 “О лицензировании деятельности по технической защите информации”; 

 

• постановление Правительства РФ № 957 от 29.12.2007 “Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами”; 

 

• постановление Правительства РФ № 781 от 17.11.2007 “Об  утверждении Положения об обеспечении  безопасности персональных данных при их обработке в информационных системах персональных данных” (далее — Положение), в котором определены основные требования к указанным информационным системам (ИС); 

 

• постановление Правительства РФ № 512 от 06.07.2008 “Об  утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных”; 

 

• постановление Правительства РФ № 687 от 15.09.2008 “Об  утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации”; 

 

• совместный  приказ ФСТЭК России, ФСБ России, Мининформсвязи России № 55/86/20 от 13.02.2008 “Об утверждении Порядка проведения классификации информационных систем персональных данных”.

 
 

К персональным данным относятся:

а) сведения о фактах, событиях и обстоятельствах  частной жизни гражданина, позволяющие  идентифицировать его личность (см. Указ Президента РФ № 188 от 06.03.1997);

б) любая  информация, относящаяся к определённому  или определяемому на основании такой информации физическому лицу (субъекту персональных данных; ст. 3 Закона).

Конфиденциальной считается документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и которая не подлежит передаче третьим лицам без согласия её обладателя. Обладателем информации, содержащей врачебную тайну, является пациент (субъект ПД) или его законный представитель — должно быть получено согласие пациента на передачу касающихся его сведений, содержащих врачебную тайну, кому-либо, в том числе должностным лицам в интересах его обследования и лечения (ст. 61 Основ).

Под обработкой ПД понимаются любые действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение (ст. 3 Закона). Любое юридическое или физическое лицо, организующее и/или осуществляющее обработку ПД, а также определяющее цели и содержание их обработки, является оператором ПД (ст. 3 Закона).

В общем  случае оператор ПД — учреждение здравоохранения, фонд обязательного медицинского страхования (ОМС), страховая медицинская организация — должен:

1. зарегистрироваться в качестве оператора ПД — подготовить и направить уведомление в территориальный орган Федеральной службы по надзору в сфере связи и массовых коммуникаций (Россвязькомнадзор), которая постановлением Правительства РФ № 419 от 02.06.2008 определена в качестве уполномоченного органа по защите прав субъектов персональных данных (ст. 22, 23 Закона);
2. получить письменные согласия пациентов (субъектов ПД) на обработку, в том числе передачу их персональных данных (ст. 6, 9 и 10 Закона); необходимость согласия пациента на передачу кому-либо сведений о нём, содержащих врачебную тайну, предусмотрена также ст. 61 Основ (см. выше); далее понятия “пациент”, “физическое лицо” и “субъект ПД” будем считать синонимами;
3. обеспечить информирование пациентов по их запросам о целях, способах и сроках обработки, хранения их ПД, а также о лицах, имеющих к ним доступ (часть 4 ст. 14 Закона); для этого в информационной системе учреждения должны быть реализованы функции разграничения полномочий, аутентификации, регистрации (учёта) и контроля доступа пользователей к ПД, автоматического ведения журналов доступа (п. 15 Положения);
4. для определения необходимых мер и выбора средств защиты ПД провести классификацию своей ИС в зависимости от характера (состава) и объема обрабатываемых ПД и угроз безопасности жизненно важным интересам личности в случае нарушения их конфиденциальности (утечки) и оформить соответствующий документ (п. 6 Положения); следует заметить, что все ИС ПД, в которых обрабатываются сведения о состоянии здоровья, в соответствии с требованиями приказа ФСТЭК, ФСБ и Миниформсвязи России № 55 / 86 / 20 от 13.02.2008 являются системами 1-го класса (К1, см. далее);
5. организовать и поддерживать систему защиты конфиденциальной информации от несанкционированного доступа в соответствии с установленным классом ИС с использованием средств защиты, сертифицированных в установленном порядке; для подтверждения соответствия ИС требованиям защиты конфиденциальной информации и ПД необходимо провести аттестацию системы (см. ниже).

 

Регистрация в качестве оператора персональных данных.

Порядок регистрации определён приказом Россвязькомнадзора № 8 от 17.07.2008 “Об  утверждении образца формы уведомления  об обработке персональных данных” (с изменениями, внесенными приказом № 42 от 18.02.2009) .

Рекомендаций по заполнению некоторых позиций уведомления применительно к медицинским организациям:

1. В  позиции формы уведомления “Цель  обработки” следует указать:  “в медико-профилактических целях”, либо “в целях установления  медицинского диагноза”, либо  “в целях оказания медицинских и медико-социальных услуг” (пп. 3, 4 части 2 ст. 10 Закона), — а также перечислить цели деятельности организации так, как это указано в учредительных документах (положении, уставе).

2. В  позиции “Категории персональных данных” — Ф.И.О., пол, дата рождения, адрес места жительства, реквизиты документа, удостоверяющего личность, реквизиты полиса медицинского страхования, сведения о наличии льгот, СНИЛС, сведения о случаях обращения за медицинской помощью, данные о состоянии здоровья;

3. В  позиции “Категории субъектов персональных данных” надо указать: для пациентов — гражданство (“гражданин РФ”, “иностранный гражданин”, “лицо без гражданства”) пациентов.

4. В  позиции “Правовое основание  обработки ...” указать информацию  в соответствии с пунктами  3, 4 части 2 статьи 10 Закона , ссылки на нормативные документы территориального органа управления здравоохранением и фонда ОМС, реквизиты лицензии на медицинскую деятельность.

5. В  позиции “Перечень действий с  персональными данными...” указать:  “Смешанная обработка — ввод, сбор, систематизация, накопление, хранение, изменение, удаление, использование, передача по внутренней сети”. Если в медицинском учреждении формируются массивы персонифицированных данных для передачи во внешние организации (страховые медицинские организации, фонд ОМС, медицинский информационно-аналитический центр (МИАЦ) и т. п.), то необходимо указать, каким образом они передаются — на машинных носителях, по защищенным каналам связи и т. п. В этом случае в позиции “Правовое основание обработки...” в дополнение к перечисленным выше документам следует также привести реквизиты нормативных распорядительных документов (приказов и т. п.), на основании которых эти данные передаются.

Надо  обратить внимание, что согласно приказу  Россвязькомнадзора № 42 от 18.02.2009 оператор в уведомлении должен указать класс информационной системы, обрабатывающей ПД, который присвоен ей в соответствии с требованиями приказа ФСТЭК России, ФСБ России, Мининформсвязи России № 55/86/20 от 13.02.2008.

Напомним, что в случае изменения сведений, указанных в уведомлении, оператор обязан в течение десяти рабочих дней сообщить об этом в уполномоченный орган по защите прав субъектов ПД (часть 6 ст. 22 Закона).

Реестр  операторов. Органы Россвязькомнадзора на основании уведомлений формируют и ведут единый реестр операторов ПД, осуществляющих обработку персональных данных. Расходы на рассмотрение уведомлений и ведение реестра осуществляются за счёт средств федерального бюджета. Порядок ведения реестра утвержден приказом Россвязьохранкультуры № 154 от 28.03.2008 “Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных”, в котором определены процедуры включения и исключения операторов в(из) реестр(а). Решение о включении оператора в реестр или об отказе принимается в течение тридцати дней с даты поступления уведомления. Орган по защите прав субъектов ПД вправе проверять указанные в уведомлении сведения на полноту и достоверность, а также запрашивать и получать на безвозмездной основе как у физических, так и у юридических лиц информацию, необходимую для осуществления своих полномочий. При включении в реестр каждому оператору присваивается регистрационный номер. Исключение оператора из реестра осуществляется в следующих случаях:

• по письменному заявлению оператора об исключении из реестра с приложением обоснований;
• по решению суда о прекращении оператором деятельности по обработке персональных данных;
• в связи с принятием уполномоченным органом по защите прав субъектов ПД решения по приостановлению или прекращению оператором обработки ПД, осуществляемой с нарушением требований Закона.

Информация  о включении или исключении оператора  в(из) реестр(а) публикуется в трехдневный  срок на официальном сайте уполномоченного  органа по защите прав субъектов ПД (www.rsoc.ru). Сведения об операторах, включенных в реестр, являются общедоступными за исключением данных о мерах по защите информации. Доступ к реестру осуществляется через интернет-портал по адресу pd.rsoc.ru.  

Добровольное  письменное согласие пациента на обработку его персональных данных.

Образец согласия пациента, подготовленный в  соответствии с требованиями статьи 9 Закона, применительно к медицинскому учреждению, работающему в системе ОМС, представлен ниже (аналогичное согласие для ребёнка в возрасте до 15 лет дается его родителем или опекуном). В учреждении необходимо наладить учёт и хранение этих документов, предъявляемых в качестве доказательства легитимности обработки ПД пациентов (часть 3 ст. 9 Закона). В амбулаторных учреждениях письменное согласие целесообразно оформлять при первом обращении пациента и оформлении амбулаторной карты, в стационарах — при каждом случае госпитализации в виде вкладыша в историю болезни. Напомним, что в соответствии со ст. 61 Основ предоставление (то есть передача строго определённому кругу лиц) персонифицированных сведений о состоянии здоровья пациента без его согласия допускается в следующих случаях: