М.Ю. Емельянников,
директор по развитию бизнеса ЗАО НИП «Информзащита», г. Москва, m.eme@infosec.ru
ПЕРСОНАЛЬНЫЕ ДАННЫЕ В МЕДИЦИНСКИХ УЧРЕЖДЕНИЯХ -НОВЫЕ ЗАДАЧИ И НОВЫЕ РИСКИ
ЗАЩИТА ДАННЫХ О ПАЦИЕНТАХ
Через три года после принятия Федерального закона №152 «О персональных данных» (ФЗ-152) понимание того, что он касается в том числе и медицинских учреждений, постепенно приходит к главным врачам, заведующим поликлиниками и владельцам частных клиник. Компьютеры, установленные в регистратуре, лаборатории или кабинете врача, куда заносятся сведения о пациентах — это части информационной системы персональных данных, которые требуют обязательной защиты, а защита стоит денег и денег немалых. Справедливости ради стоит отметить, что возлагая на операторов персональных данных (именно так в терминах ФЗ-152 именуются организации, обрабатывающие персональные данные и определяющие цель такой обработки, к категории которых относятся больницы, поликлиники, амбулатории, диспансеры и прочие обязанности по принятию организационных и технических мер защиты, государство не сообщило, откуда должны появиться средства на эти мероприятия, в том числе у медицинских учреждений, финансируемых из государственного или местного бюджета и не зарабатывающих денег в принципе. Руководитель ИТ-отдела детской психиатрической больницы, у которой даже на закупку компьютерной техники и лицензионного программного обеспечения нет денег, с недоумением спрашивала у меня, сколько стоит реализация мер защиты, предусмотренных законом и принятыми в его развитие нормативно-правовыми актами. Не без смущения я дал честный ответ...
Между тем закон не делает различия между платной косметологиче-ской клиникой, районной больницей и кабинетом частнопрактикующего стоматолога. При подключении к сети Интернет информационные системы всех названных учреждений относятся к специальным системам первого класса, требующим применения сертифицированных средств защиты информации (СЗИ) (как минимум межсетевого экранирования, обнаружения вторжений, антивирусной защиты, а также защиты от несанкционированного доступа) и не просто имеющим сертификат ФСТЭК России, подтверждающий функциональные возможности СЗИ, но также и отсутствие у этих средств недекларированных (то есть скрытых, не документированных) возможностей. А если эта система вдобавок подключена к другой информационной системе и между ними происходит обмен персональными данными (например, при представлении многочисленной и разнообразной отчетности в департамент здравоохранения или пре-
М.Ю. Емельянников, 2011 г.
доставлении высокотехнологичной медицинской помощи), то на открытых каналах связи (не имеет значения каких — коммутируемых или широкополосного доступа) должны использоваться еще и сертифицированные ФСБ России средства шифрования (криптографической защиты).
Построение такой системы, техническое обслуживание и распространение (например, передача в филиалы) криптографических средств — это лицензируемые соответственно ФСТЭК и ФСБ виды деятельности, то есть больница должна получить как минимум пару лицензий, а для этого выполнить лицензионные требования. Для выполнения всех этих условий в больнице должна быть как минимум пара специалистов по защите информации, имеющих высшее образование по конкретным специальностям или получившим государственный документ о повышении квалификации в области информационной безопасности. Ответов на вопросы, где больнице найти штатные единицы и зачем они нужны в принципе, если ее задача — лечить больных, пока никто не предложил.
Можно лишь процитировать ответ первого заместителя руководителя ФСТЭК России на запрос заместителя министра здравоохранения (приводится с незначительными сокращениями):
«Обращение Минздравсоцразвития о необходимости получения лицензии на деятельность по технической защите конфиденциальной информации учреждениями здравоохранения, социальной сферы, труда и занятости в случае, когда технические мероприятия по защите персональных данных осуществляются для собственных нужд, ФСТЭК России рассмотрено. В соответствии с п. 1 ст. 49 части первой ГК РФ отдельными видами деятельности, перечень которых определяется законом, юридическое лицо может заниматься только на основании специального разрешения (лицензии). Пунктом 1 части 1 ст. 17 ФЗ «О лицензировании отдельных видов деятельности» установлено, что деятельность по технической защите конфиден-
циальной информации является лицензируемым видом деятельности. Порядок получения лицензии определен Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным Постановлением Правительства РФ от 15.08.2006 № 504».
Если бы этим все проблемы, созданные ФЗ-152, ограничивались... Нет денег на защиту — пусть бюджетодержатели думают, а коммерческая медицина уж как-нибудь отрежет часть прибыли, раз закон требует. И без лицензии обойтись можно, если нанять для выполнения работ лицензиата, а их на рынке достаточно.
УВЕДОМЛЕНИЕ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
ФЗ-152 требует, чтобы оператор до начала обработки персональных данных уведомил уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных, а если обработка началась до принятия закона (как в большинстве лечебных учреждений), это надо было сделать до 1 января 2008 года.
Исключения из этого правила предусмотрены законом, но вот попасть под них большинству медицинских организаций не удастся. Из восьми случаев, когда закон допускает не производить уведомление, значение для нашей ситуации имеют лишь два, в которых персональные данные:
1) относятся к субъектам персональных данных, которых связывают с оператором трудовые отношения (работникам медицинского учреждения);
2) получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполне-
N"2
зон
Менеджер
ния указанного договора и заключения договоров с субъектом персональных данных.
Первое исключение отпадает само собой — представить медицинское учреждение, в котором нет персональных данных пациентов, как-то сложно.
Остается второй. Но, во-первых, в большинстве случаев никакого договора с больным не заключается. Помощь ему предоставляется просто при предъявлении документа, подтверждающего право на ее получение, а в некоторых случаях — и без такового. И, во-вторых, очень часто персональные данные, содержащие сведения о больном и заболевании, передаются в виде многочисленных отчетов, предусмотренных нормативными документами Минздравсоцразвития. И согласия на это пациент, естественно, не давал — он об этом просто не знает.
Значит, направлять уведомление в Роском-надзор об обработке персональных данных большинству медучреждений придется.
Уведомление, как и получение лицензии, представляется мероприятием совершено бессмысленным, поскольку без обработки персональных данных не может обойтись ни одно юридическое лицо, частный предприниматель и многие физические лица: журналисты, нотариусы, адвокаты и т.п. Зачем кого-то об этом уведомлять, когда и так очевидно, что обработка ведется, — непонятно. А получать лицензию на деятельность, уже вмененную оператору законом, — вообще какой-то нонсенс.
Медицинские учреждения уведомлять Роскомнадзор об обработке персональных данных по понятным причинам совсем не торопятся. На сайте уполномоченного органа для общего пользования размещен Реестр операторов персональных данных, представивших такие уведомления (http://www.rsoc.ru/personal-data/register/).
Точное количество уведомивших уполномоченный орган медицинских учреждений подсчитать сложно, но кое-какие прикидки сделать можно. На момент написания статьи на слова «больница» и «диспансер» отклика-
ются по 94 записи, «поликлиника» — 93, «госпиталь» — 60, «стоматология» — лишь 35 и только записей о зарегистрировавшихся амбулаториях и санаториях — более 100 по каждой категории (более точные данные интерфейс портала получить не позволяет). Очевидно, что это лишь малая доля медицинских организаций России.
Между тем непредставление или несвоевременное представление в государственный орган сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности, является административным правонарушением, предусмотренным ст. 19.7 КоАП. На выявление этих нарушений в 2009 году были направлены основные силы инспекторов Роскомнадзора (за 2010 год данных пока нет). Согласно опубликованному отчету о деятельности этого контролирующего органа, наибольшее количество выявленных в ходе проверочных мероприятий правонарушений подпадало именно под эту категорию. Снова цитата, теперь из отчета о деятельности уполномоченного органа: «Составлено и направлено в суды 54 протокола об административных правонарушениях, которые классифицированы по статье 19.7 КоАП РФ:
• непредставление или несвоевременное представление уведомления об обработке персональных данных, информации на запрос уполномоченного органа;
• непредставление сведений об изменении информации, содержащейся в уведомлении».
Если кому-то кажется, что районные больницы или городские поликлиники — не те организации, где будут проверяться требования ФЗ-152, должен их разочаровать. В одном из интервью руководитель Управления Роскомнадзора по Алтайскому краю, г-н Ложкин заявил: «Мы можем проверить любого!». И проверяют. Под карающий меч КоАП попали уклонисты от представления уведомлений: Приморский краевой клинический
кожно-венерологический диспансер и Городская больница № 1 г. Азова Ростовской области, Стоматологическая поликлиника № 2 г. Воронежа и Болоховская специальная (кор-рекционная) школа-интернат VIII вида... Список можно продолжить.
Но, готовя такое уведомление, вынужденные стать законопослушными учреждения будут неприятно удивлены, узнав, что Роском-надзор значительно расширил перечень представляемых в соответствии с законом сведений. Его попросят сообщить ИНН, ОГРН, ОКВЭД, ОКПО, ОКФС, ОКОГУ и ОКОПФ, о которых в ФЗ-152 нет ни слова, раскрыть категории обрабатываемых данных (вместо трех предусмотренных законом — «просто» персональных данных, специальных и биометрических, вводятся 19 детализированных, таких, например, как имущественное положение или состояние интимной жизни), сообщить об использовании при обработке информации внутренней сети и Интернета, применяемых средствах обеспечения безопасности и отдельно — криптографических средств защиты, указать класс информационной системы. На каком основании это делается, госрегулятор умалчивает. Уклониться от предоставления большинства этих данных не удастся — в приеме уведомления Вам просто откажут, что тоже ФЗ-152 не предусмотрено. Квинтэссенцией электронного уведомления является отправка его без электронно-цифровой подписи, как этого требует закон, и по незащищенным каналам связи. Кстати, уведомление все равно надо будет распечатать, подписать и отправить почтой или нарочным в территориальное управление.
СОГЛАСИЕ СУБЪЕКТА НА ОБРАБОТКУ
Риторический вопрос: надо ли пациенту, обратившемуся за медицинской помощью, давать согласие на обработку своих персональных данных. Он уже совершил связанные с этим конклюдентные действия: представил документы, полис страхования, продиктовал сведе-
ния, необходимые для заполнения истории болезни или амбулаторной карты. Вы ответите: ну, какое еще согласие, он же сам данные представил. Как бы не так! Специфические требования ФЗ-152 и «Основ законодательства о здравоохранении» фактически предусматривают возможность обработки без согласия только врачом (в терминах закона — лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством сохранять врачебную тайну) в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг. Обработка данных медсестрой в регистратуре, ИТ-персоналом, представление отчетности, прямо не предусмотренной законом и т.п., уже требуют получения согласия пациента.
Вопрос активно обсуждается на многочисленных форумах в Интернете, и практика провоприменения ФЗ-152 показывает, что медицинское учреждение, не получившее письменного согласия пациента, рассматривается регулятором чаще всего как правонарушитель.
Факты? Пожалуйста. В марте 2010 года Управлением Роскомнадзора по Ростовской области проверены МУЗ «Центральная районная больница» Морозовского района Ростовской области и МУЗ «Городская больница № 1» г. Азова Ростовской области. При проведении проверок как нарушение было отмечено несоответствие требованиям законодательства содержания письменного согласия субъектов персональных данных (пациентов больницы) на их обработку.
При проведении плановой выездной проверки в отношении муниципального учреждения «Междуреченская центральная районная больница» сотрудниками Управления Роскомнадзора по Вологодской области было выявлено нарушение части 1 ст. 10 ФЗ-152 — обработка специальных категорий персональных данных без согласия субъекта, и по этому поводу выдано предписание об устранении нарушения.
Получение согласия пациентов сопряжено с немалыми сложностями потому, что предусмотреть все возможные случаи обработки персданных пациента, указать весь персонал (не являющийся врачами) и все сторонние организации, которые могут потенциально обрабатывать данные пациента, цели и способы такой обработки весьма сложно.
ШЗ-152 НА ПУТИ СОВРЕМЕННЫХ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ
Совсем катастрофической становится ситуация с выполнением ФЗ-152 при попытке внедрить в медицинских учреждениях современные информационные технологии, в первую очередь Web-технологии.
Несколько иллюстраций.
Закон фактически запрещает без письменного согласия пациента (а в определенных случаях — и при его наличии) использовать для обработки медицинской информации такие прогрессивные способы, как хостинг серверов или приложений в центрах обработки данных (ЦОДах), облачные вычисления, получение приложений по запросу (БааБ) и прочие, так как они неминуемо связаны с вовлечением в обработку третьих лиц.
Самозапись на сайте поликлиники на прием к врачу требует размещения минимальных данных о враче: его фамилии, имени, отчества, специализации, времени приема и номера кабинета. Это уже персональные данные, а размещение их на сайте, предполагающее свободный доступ к ним из Интернета, означает включение в общедоступные источники. Для этого необходимо получение письменного согласия субъекта, в данном случае — уже не пациента, а врача. Для справки. Письменное согласие должно содержать:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
3) цель обработки персональных данных;
4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
6) срок, в течение которого действует согласие, а также порядок его отзыва.
Попробуйте составить. Мало не покажется. Обратите при этом внимание на то, что для достижения целей обработки (организации приема пациентов) большинство указанных в согласии данных оператору (то есть поликлинике) абсолютно не нужно.
Заполнение Web-формы на сайте, содержащей сведения о пациенте, например, при записи на прием к врачу или вызове его на дом, требует использования сертифицированной криптографии для защиты сведений, и просто поднять встроенный в браузер протокол шифрования SSL для этого мало, об этом говорилось выше. Но проблема не только в шифровании.
По этому поводу Роскомнадзор дает разъяснения на своем сайте: «При заполнении вэб-формы заявки ... на сайте ... сети «Интернет» критерием, свидетельствующим о получении оператором согласия субъекта персональных данных на обработку его персональных данных, является файл электронной цифровой подписи. Кроме того, оператор вправе ввести в вэб-форму заявки обязательные для заполнения дополнительные поля, устанавливающие условие согласия субъекта персональных данных на обработку его персональных данных, при условии последующего проведения мероприятий по проверке достоверности представленных персональных данных. В остальных случаях согласие на обработку персональных данных равно, как и его отзыв, может оформляться только в письменной форме».
Вызов врача на дом чаще всего производит не заболевший человек, а его домочадцы или знакомые. И по этому поводу есть разъяснения того же органа власти: «Предоставление физическим лицом оператору персональных данных близких родственников возможно только при наличии письменного согласия указанных лиц либо в случаях, установленных федеральными законами».
А теперь переведем это в плоскость практических действий законопослушного главного врача. Для него все это в первую очередь как минимум перспектива административной ответственности за нарушения закона (ст. 13.11 КоАП — Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)). Может, проще жить по старинке, записывать на прием в регистратуре?
Не просто выполнить закон и используя такое достижение, как телемедицина. Помимо проблем защиты информационной системы и каналов связи, о которых уже говорилось выше, на первый план выходит правомерность трансграничной передачи, которая существенно ограничена законом. В первую очередь это касается передачи пер-сданных на территорию стран, не обеспечивающих адекватной их защиты. К «адекватным» Роскомнадзор не относит, например, такую страну, как США.
Практически неразрешимую задачу перед медицинским учреждением ставит требование ФЗ-152 об уничтожении персональных данных в трехдневный срок после достижения целей их обработки. Когда закончен прием у врача или закрыт больничный лист — цель обработки достигнута? Формально, да. Но уничтожение данных в электронной истории болезни или электронной амбулаторной карте противоречит как здравому смыслу, так и самой сути ведения истории болезни.
И ЧТО ЖЕ ДАЛЬШЕ?
Остается только понять, что в этих условиях делать. Жить и работать, зная, что ты постоянно нарушаешь закон и в любой момент можешь быть подвергнут санкциям со стороны многочисленными надзорных органов, очень некомфортно.
Отказаться от современных технологий только потому, что закон и подзаконные акты плохи и не учитывают современных реалий? Выход, но какой-то уж очень неправильный.
Представляется, что единственным здравым вариантом поведения в этих условиях является консолидация усилий операторов персональных данных, создание общими усилиями с привлечением специализированных компаний отраслевых нормативных актов, регулирующих особенности обработки персональных данных в той или иной области — финансовой сфере, телекоммуникационном и страховом бизнесе. И в медицине. По этому пути уже пошли Банк России и операторы связи, заявили о своих намерениях страховые компании, игроки финансовых рынков и многие другие. Определенные шаги в этом направлении сделало и Минздравсоцразви-тия, организовавшее разработку «Методических рекомендаций для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости», согласовавшее их со ФСТЭК России и разместившее рекомендации на своем сайте. Вот только на большинство вопросов, поставленных в данной статье, ответов там не найти. Поэтому работу надо продолжать, в идеале — с подготовкой изменений в законодательстве, обеспечивающих ведение своей деятельности без нарушения закона, и лоббирование таких изменений в Думе. Кредитно-финансовые учреждения в этом отношении продвинулись серьезно.