Обоснование необходимости электронной безопасности очевидно – сейчас весь медицинский учет проводится через оргтехнику. Использование компьютерного оборудования для обработки персональных данных пациентов и медперсонала – чрезвычайно необходимая мера в российских реалиях. Первыми на эту схему перешли дорогие частные клиники, но с удешевлением компьютеров и увеличением бюджетных ассигнований электронный учет появился даже в районных поликлиниках отдаленных районов Крайнего Севера. Соответственно, понадобилось внедрять новейшие методики безопасности. 

Законодательство

Первичная правовая база по организации безопасности и защиты персональной информации в медицинских учреждениях, выполнение с этой целью всех защитных мероприятий основываются на законе № 152-ФЗ, принятом 27.07.2006. Общие юридические основания о врачебной тайне прописаны в «Основах... об охране здоровья...». В этом документе содержатся основополагающие требования по защите персональных данных. 

Новую интегрированную систему защиты персональных данных в медучреждениях законодательство требует стандартизировать по последним сертификатам электронной безопасности. Порядок проверок и список лиц, уполномоченных следить за выполнением данного положения, определяется специальными документами Минздрава, муниципальных властей и надзорных органов юстиции.

Основные нормативы, которыми руководствуются медучреждения при создании системы защиты ПД:

• ФЗ № 149 об информации, информтехнологиях и способах защиты этой информации;
• Указ Президента № 188, в котором перечислены сведения, отнесенные к конфиденциальным; 
• Основы законодательства РФ – статьи 31 и 61, описывающие права пациентов, в том числе связанные с обработкой ПДн с применением автоматизированных средств;
• ФЗ № 5487 об охране здоровья граждан на территории РФ;
• Приказ № 29н Минздрава РФ о медицинских формах учета и отчетности.

Перечень неполный, но любой теоретически возможный иной способ сбора персональных данных априори опирается на приведенные выше нормативы.

Правовые документы по обработке ПДн медперсонала

Кроме вышеперечисленных документов, в медорганизациях применяются нормативные акты по организационному обеспечению защиты ПД медперсонала. К этим документам относятся:

• ТК РФ – гл. 14;
• Постановление Госкомстата РФ № 1 от 05.01.2004 г., касающееся утверждения и оформления унифицированных форм учета документов по оформлению трудовых отношений, оплате труда.

Сроки обработки данных установлены приказом «О введении в действие положения о медицинском архиве лечебного учреждения».

Законодательные базы для медперсонала и пациентов в целом схожи функционально. Разница на практике возникает в момент, когда необходимо обеспечить конфиденциальность: большая часть ответственности за правильную и безопасную работу с персональными данными лежит на уполномоченных лицах из персонала клиник, амбулаторий, санаториев и иных медицинских учреждений, непосредственно отвечающих за сбор информации у пациентов и персонала. Их список, а также положения о сборе, хранении, обработке и передаче ПД должны быть разработаны в каждом медучреждении и доведены до персонала, ответственного за работу с персональными данными пациентов и сотрудников организации.

Специфика обработки персональных данных в медучреждениях

Первое, что должно учитываться оператором (медорганизацией) при обработке персональных данных в медицинских учреждениях, – исключительная роль этической составляющей. Медучреждения обязаны хранить данные о здоровье каждого пациента, не допускать огласки такой информации. Многие болезни считаются социально табуированными и не подлежат разглашению по базовым правилам медицинской этики.

Анализ персональных данных пациентов зиждется на принципе, согласно которому здоровье пациента является чрезвычайно конфиденциальной категорией информации. Какое-либо своевольное изъятие данных категорически воспрещается.

Исключение делается только в ситуации чрезвычайных обстоятельств. Например, речь может идти о защите самой жизни или здоровья пациента либо третьих лиц. Также возможность изымать персональные данные без согласия фигуранта допускается в случае полной физической невозможности заручиться таким разрешением (пациент недееспособен, недоступен для заверения своей воли, либо речь идет об уже умершем человеке). В любом случае к работе с персональной информацией допускаются исключительно медработники, имеющие соответствующую квалификацию и аттестованные по правилам Минздрава.

Первым техническим моментом организации обработки ПДн пациентов и персонала медучреждений является выполнение требований статьи 31 Основ законодательства об охране здоровья. Пациент должен быть обязательно проинформирован о состоянии здоровья его организма (общий анамнез, симптомы заболеваний, предлагаемая терапия, все возможные риски, побочные эффекты, дополнительные финансовые траты, сроки проведения процедур, коррекция рабочего времени по недееспособности и т. д.). Причем эта информация должна быть подана в форме, доступной для понимания пациента. Это также касается лиц с ограниченными физическими возможностями. Если необходимо – дополнительно назначается квалифицированный переводчик. Это полностью пересекается со 143-й статьей закона о персональных данных – требованием, определяющим право на доступ к ПД как пациента, так и медперсонала.  

Обязанности медучреждений как операторов ПДн

Медучреждения в качестве операторов при сборе ПД обязаны предоставить каждому пациенту следующую информацию (если такое требование им предъявляется), которая касается ПДн:

• подтверждение факта их обработки, ее цели;
• способы, применяемые оператором во время обработки ПДн;
• сведения о лицах, получивших доступ к этой информации и имеющих право на доступ к ней;
• список ПДн, необходимых для обработки в медучреждении, источник таких данных;
• срок, на протяжении которого эта информация будет обрабатываться, включая сроки ее хранения;
• данные о последствиях юридического характера для субъекта во время обработки ПДн;
• предоставление разъяснений о последствиях отказа пациента от предоставления своих ПДн, если это будет установлено как обязанность субъекта соответствующим федеральным законом.

При получении ПДн не от их субъекта оператор перед началом их обработки должен ознакомить пациента со следующей информацией:

• название (ФИО), адрес оператора, его представителя, предоставившего ПДн;
• цели их обработки, правовые аспекты таких действий;
• кому могут быть доступны ПДн (кто может пользоваться этими данными);
• права, установленные законом в отношении субъекта персональных данных.

Права пациентов

Обеспечение безопасности ПДн посетителей частных и муниципальных медицинских заведений регламентируется не только техническими средствами. Любые данные, подпадающие под определение врачебной тайны, могут быть оглашены только с согласия пациента. Исключения описаны в статье 61 «Основ... об охране здоровья». Это требование полностью дублирует шестая статья ФЗ «О персональных данных». ПД должны передаваться только по защищенным каналам связи, которые позволяют уберечь эту информацию от утечки.

Пациенты имеют право в отношении своих ПДн требовать их блокирования, уточнения, уничтожения, если эта информация является неполной, неактуальной, неверной, полученной незаконным путем, не нужна для заявленных целей обработки.

Также пациент имеет право на защиту своих прав, предусмотренных законодательством в отношении обработки, передачи, хранения персональных данных.

По запросу доступ к ПДн может быть предоставлен законному представителю пациента (ГК РФ ст. 26) – родителям, усыновителям, попечителям.

Законный представитель имеет право выполнять от имени носителя ПДн любые действия, а также определять лиц, которым будет разглашаться информация, являющаяся врачебной тайной пациента. Лицо, которое имеет право получить такие данные, не имеет никаких прав вступать в гражданские правоотношения от лица пациента.

В случае необходимости предоставления носителю ПДн срочной медпомощи, его согласие на обработку этой информации не требуется (в случае техногенных катастроф, стихийных бедствий, при реальной угрозе его жизни и здоровью).

Техническая часть

Необходимая оргтехника подбирается и поставляется в соответствии с рекомендациями контролирующих органов. Сбор данных, проводимый согласно законодательно установленным методикам, должен быть защищен на всех этапах. Спецификой работы медучреждений является сравнительно большая база по сравнению с муниципальными органами специализированных терминалов, связанных с хранением данных, передачей через Интернет, по локальным сетям различных типов. Поэтому критически важно иметь идеально настроенные защитные барьеры и своевременно обновлять сертифицированное ПО, пользоваться эффективной антивирусной защитой.

Список разрешенных программных средств регулярно обновляет Минздрав и локальные отделы кибербезопасности. Размещение информсистем, приобретение, установка, работа специального оборудования, а также охрана таких помещений должны строиться на обеспечении полной сохранности носителей, на которых размещены ПДн, средств защиты такой информации. Организация работы с ПДн должна предусматривать все необходимые меры, исключающие возможность несанкционированного проникновения или нахождения в таких помещениях посторонних лиц.