CC BY
44
O.A. Фохт,
старший научный сотрудник Института программных систем им. А.К. Айламазяна РАН, г. Переславль-Залесский, Россия, oaf@interin.ru
АНАЛИЗ ПРИНЯТЫХ ПОПРАВОК К ФЕДЕРАЛЬНОМУ ЗАКОНУ №Л52-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ»
УДК 61:658.011.56
Фохт O.A. Анализ принятых поправок к Федеральному закону №152-ФЗ «О персональных данных»
(Учреждение Российской академии наук Институт программных систем им. А.К. Айламазяна РАН, т. Переславль-Залесский, Россия)
Аннотация: Большой пакет поправок к Федеральному закону №152-ФЗ «О персональных данных» вступил в силу 27 июля 2011 г. В статье анализируются принятые изменения Закона и рассматриваются отдельные наиболее интересные для применения в медицинских информационных системах положения. Ключевые слова: персональные данные, защита персональных данных, информационная безопасность, информационные системы!, медицинские информационные системы!, внедрение информационных систем
В журнале «Врач и информационные технологии» (2011, №4) опубликована статья «Динамика формирования и текущее состояние требований по защите персональных данных пациентов», рассказывающая об истории формирования требований по защите персональных данных применительно к медицинским информационным системам. В статье упоминалось об ожидании в скором времени принятия поправок к 152-ФЗ, и вот 27 июля 2011 года изменения в Федеральный закон № 152-ФЗ «Оперсо-нальных данных» [1] были внесены и вступили в силу. В сегодняшней статье анализируются принятые поправки и рассматривается ряд наиболее интересных для применения в медицинских информационных системах положений обновленного Закона.
Сам закон «О персональных данных» [2] был принят еще в 2006 году и вызвал массу вопросов и споров в широких кругах. Вступление 152-ФЗ в силу повлекло выпуск целого ряда подзаконных актов и нормативных документов, регулирующих защиту персональных данных, которые неоднократно менялись и уточнялись [3]. Претензии и замечания социума к закону в конце 2009 года
© О.А. Фохт, 2011 г.
оформились в солидный пакет поправок [4], предложенных депутатом Государственной Думы Резником В.М. (Проект №282499-5). Поправки обсуждались и находились на рассмотрении более полутора лет, и вот, наконец, спорный Закон получил новую форму (изменено более 70% текста).
Надо отметить, что поправки приняты совсем не в том виде, в котором подавались. Так, например, весьма характерным для всего пакета «поправок Резника» предложением было свести случаи обработки персональных данных (а в исходном тексте 152-ФЗ перечислено 7 случаев обработки, не считая «с согласия субъекта» и специальных категорий) к трем универсальным: обязательная по требованиям федеральных законов (особенности обработки определяются законами), в ходе реализации договорных отношений (особенности обработки определяются договорными отношениями) и в личных целях. В принятом же сейчас тексте Закона количество случаев обработки, напротив, увеличилось до 11, и идея определять требования к защите персональных данных договоренностями между оператором и субъектами принята не была. Остались в тексте и противоре-
№12 Менеджер
Э011 здравоохранения /
чия, и невыполнимые требования, просматриваются интересы отдельных госструктур и выделенных направлений деятельности.
Так или иначе, поправки приняты и, вероятно, в таком виде Закон просуществует уже длительное время, что позволит руководствоваться им в работе, не оглядываясь на неустойчивость нормативной базы. Возможно, в связи с принятием новой редакции Закона будут пересмотрены и соответствующие нормативные акты. Но может быть этого и не произойдет, так как, несмотря на объем поправок по тексту, принципиальных изменений не так уж и много — в основном принятые изменения уточняют формулировки и выводят отдельные частные случаи из-под «общих» требований закона. В частности, положение об установлении определенных Правительством РФ уровней защищенности и требований к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых эти установленные уровни защищенности обеспечивают, осталось. В то же время ряду структур и ведомств дано право определять угрозы безопасности персональных данных с учетом своей специфики, что делает полностью легитимными как методические указания Минздравсоцразвития по обеспечению информационной безопасности в медицинских информационных системах [5], так и типовую модель угроз, разработанную Мин-здравсоцразвития для ЛПУ [6].
Требование про обеспечение информационной безопасности «применением прошедших в установленном порядке процедур оценки соответствия средств защиты информации» в Законе также осталось. Это относится к продуктам, позиционирующим себя в качестве средства защиты информации, — они должны иметь сертификаты. При этом следует иметь в виду, что сертифицируются заявленные возможности средства по защите данных. Так, например, наличие сертификата у «антивирусного средства» не сделает возможным его использование в качестве
сертифицированного межсетевого экрана, несмотря на то, что МЭ будет входить в его состав.
В новой редакции 152-ФЗ хочется отметить наиболее интересные, с точки зрения применения в медицинских информационных системах, положения:
1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган о своем намерении осуществлять их обработку. Операторы, которые осуществляли обработку персональных данных до 1 июля 201 1 года, обязаны представить уведомления не позднее 1 января 2013 года.
2. Уведомление не требуется в случаях обработки данных в соответствии с трудовым законодательством (отделы кадров); получения и использования данных в связи с заключением договора, стороной которого является субъект персональных данных; обработки общественным объединением или религиозной организацией информации о членах организации; обработки персональных данных, содержащих только Ф.И.О.; обработки в целях однократного пропуска субъекта на охраняемую территорию, а также в специальных случаях, предусмотренных законодательством Российской Федерации (здесь речь идет в основном о противодействии правонарушениям и терроризму).
3. Оператор обязан назначить лицо, ответственное за организацию обработки персональных данных, которое будет осуществлять внутренний контроль соблюдения требований к защите информации, доводить эти требования до сведения сотрудников, организовывать прием и обработку обращений и запросов субъектов персональных данных. Сведения об указанном лице подаются оператором в составе уведомления об обработке персональных данных.
4. Если персональные данные получены не от субъекта персональных данных, оператор, за исключением некоторых специальных случаев, до начала обработки таких персо-
нальных данных обязан уведомить субъекта о намерении их обработки.
5. Согласие субъекта персональных данных на их обработку принимается только в письменном виде или в виде электронного документа, сопровождаемого ЭЦП (в «поправках Резника» предлагался вариант присоединения — например, путем выставления соответствующей отметки «Согласен» на сайте, но этот вариант не прошел), за некоторыми исключениями (например, электронные госуслуги).
6. Для обработки персональных данных с целью защиты здоровья пациента в общем случае требуется получение его согласия (за исключением случаев, когда получение согласия субъекта персональных данных невозможно или когда обработка производится в рамках договорных отношений). Но при отзыве пациентом своего согласия оператор теперь не обязан прекратить обработку его персональных данных, так как «обработка персональных данных в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом,
профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну», относится к специальным категориям, право обработки которых, согласно новой редакции Закона, сохраняется у оператора и после отзыва согласия субъекта.
7. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях по защите персональных данных.
8. Значительно усложнен пункт о поручении обработки персональных данных другому лицу (должно быть получено согласие субъекта и конкретно определены условия обработки). Ответственность за безопасность персональных данных при этом все равно несет оператор.
Следует также учитывать, что в нынешней редакции Закона немного изменены требования к содержанию уведомлений, запросов, согласий и пр., в результате чего организациям, уже использующим такие документы, придется их откорректировать.
1. Федеральный закон Российской Федерации от 25 июля 2011 г. № 261-ФЗ, г. Москва «О внесении изменений в Федеральный закон «О персональных дан-ны1х»//Российская газета. —Федеральный выпуск №5538 от 27 июля 2011 г.
2. Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»//Российская газета. — Федеральный выпуск №4131 от 29 июля 2006 г.
3. Фохт O.A., Козадой Ю.В. Динамика формирования и текущее состояние требований по защите персональных данных пациентов//Врач и информационные технологии. — 2011. — № 4. — С. 6-22.
4. Обсуждение Законопроекта Резника. URL: http://www.fz-152.org/forum/viewfo-rum.php?f=2 (дата обращения: 17.08.2011).
5. Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости (включая «Методические рекомендации по составлению Частной модели угроз безопасности персональных данных при их обработке в инфор-
№12
зон
Менеджер
мационных системах персональных данных учреждении здравоохранения, социальной сферы, труда и занятости» и Приложения (26 шт.)) http://www.min-zdravsoc.ru/docs/mzsr/informatics/5 (дата обращения: 17.08.2011). 6. Модель угроз типовой медицинской информационной системы (МИС) типового лечебно-профилактического учреждения (ЛПУ) http://www.minzdra-vsoc.ru/docs/mzsr/ informatics/4/Modely_ugroz_MIS_LPU_2009_all.pdf (дата обращения: 17.08.2011).
UDC 61:658.011.56
Vogt O.A. State-of-the-Art Review on amendments to the law «On personal data protection» (Program Systems institute, RAS, Pereslavl-Zalessky, Russia)
Abstract: The amendments to the Law «On personal data protection» were inured on 27.07.2011. Article gives the amendments to the Law state-of-the-art review. It considers a number of the positions most interesting to application in healthcare information systems.
Keywords: personal records, personal data protection, information security, information systems, healthcare information systems, information system deployment
Номинации
УЧРЕЖДЕНЫ ТРАДИЦИОННЫЕ НОМИНАЦИИ ИЗДАТЕЛЬСКОГО ДОМА «МЕНЕДЖЕР ЗДРАВООХРАНЕНИЯ» ЗА ЛУЧШИЕ ПУБЛИКАЦИИ 20ЛЛ ГОДА
Номинации учреждены в целях повышения эффективности управленческих решений в здравоохранении и стимулирования заинтересованности организаторов-практиков здравоохранения в свободном распространении информации об организационных инновациях:
• Автор наиболее оригинальной публикации или цикла публикаций за год (с 1 января по 31 декабря).
• Автор наиболее оригинального менеджерского решения в области управления региональным здравоохранением (рубрики «Региональный опыт» и «Интересный документ»).
После подведения творческих итогов уходящего журнального года мы опубликуем решение редакции и общественного голосования читательской аудитории.
Победителям номинаций будут направлены дипломы, подписанные главным редактором журнала, академиком В.И. Стародубовым, а также годовые подписки на журнал «Менеджер здравоохранения» на 2012 год и новые книги серии «Менеджмент в здравоохранении» Издательского дома «МЗ».
Просим читателей журнала направлять свои мнения по адресу: idmz@mednet.ru
