И.М. Акулин,
д.м.н., профессор, заведующий кафедрой организации здравоохранения и медицинского права Санкт-Петербургского государственного университета, г. Санкт-Петербург, Россия, e-mail: [email protected], SPIN-код: 9115-1178 Е.А. Чеснокова,
к.м.н., LLM, доцент кафедры организации здравоохранения и медицинского права Санкт-Петербургского государственного университета, г. Санкт-Петербург, Россия, e-mail: [email protected], SPIN-код: 9168-7005; ORCID: 7048107 Н.Е. Гурьянова,
заведующая отделением международного регионального сотрудничества и связей с общественностью ФГБУ «Центральный научно-исследовательский институт организации и информатизации здравоохранения» Министерства здравоохранения Российской Федерации, г. Москва, Россия, e-mail: [email protected], SPIN-код: 7376-6680, 0RCID:0000-0001-8694-5248 Р.А. Пресняков,
магистр по направлению «медицинское и фармацевтическое право», член правления СПб РОО «Ассоциации медицинского права Санкт-Петербурга», г. Санкт-Петербург, Россия, e-mail: [email protected] А.Д. Летова,
бакалавр юриспруденции, юрисконсульт ООО «ЛИДИНГМЕД», г. Санкт-Петербург, Россия, e-mail: [email protected]
ВОЗМОЖНОСТЬ ТРАНСГРАНИЧНОЙ ПЕРЕДАЧИ СВЯЗАННЫХ СО ЗДОРОВЬЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ В РАМКАХ ЕАЭС: РЕАЛЬНОСТЬ, ПЕРСПЕКТИВЫ*
УДК 341 + 614 DOI 10.37690/1811-0185-2020-7-65-73
Акулин И.М.', Чеснокова Е.А.', Гурьянова Н.Е.3, Пресняков Р.А.2, Летова А.Д.' Возможность трансграничной передачи связанных со здоровьем персональных данных в рамках ЕАЭС: реальность, перспективы С Санкт-Петербургский государственный университет, г. Санкт-Петербург, Россия; 2 Ассоциация медицинского права Санкт-Петербурга, г. Санкт-Петербург, Россия; 3ФГБУ «Центральный научно-исследовательский институт организации и информатизации здравоохранения» Минздрава России, г. Москва, Россия)
Аннотация. В статье авторы анализируют возможность трансграничной передачи персональных данных, связанных со здоровьем, отдельно рассматривая возможность такой передачи в рамках ЕАЭС. Особое внимание авторы уделяют анализу соотношения понятий врачебной тайны и связанных с состоянием здоровья персональных данных, особенностям регулирования трансграничной передачи указанных сведений по российскому законодательству, а также рассмотрению созданной в Российской Федерации Единой государственной информационной системы в сфере здравоохранения (далее - ЕГИСЗ, единая система). Авторы также рассматривают возможность использования единой системы для трансграничной передачи данных и указывают основные риски такого использования. Отдельно авторами анализируется часто обсуждаемая в рамках цифровой повестки ЕАЭС возможность передачи связанных с состоянием здоровья персональных данных в рамках Евразийского экономического союза. Авторами проанализирована допустимость такой передачи в рамках ЕАЭС в целом, выдвинуты предложения по её обеспечению, а именно: принятие отдельного соглашения об оказании медицинской помощи странами-участницами ЕАЭС любым гражданам государств-членов союза, принятие акта о передаче персональных данных о здоровье граждан стран ЕАЭС и о создании единой цифровой платформы для обеспечения такой передачи (в том числе с учетом установления требований безопасности передачи таких данных и санкций за нарушение этих требований), а также определение специально уполномоченных государственных органов в каждой из стран ЕАЭС в целях обеспечения ответственности за передачу подобной категории данных.
Ключевые слова: врачебная тайна, персональные данные, трансграничная передача персональных данных, Единая информационная система в сфере здравоохранения, Евразийский экономический союз.
* Финансирование. Исследование выполнено при финансовой поддержке РФФИ в рамках научного проекта № 18-29-16215. Конфликт интересов. Авторы заявляют об отсутствии конфликта интересов.
© И.М. Акулин, Е.А. Чеснокова, Н.Е. Гурьянова, Р.А. Пресняков, А.Д. Летова, 2020 г.
№7 Менеджер
2020 здравоохранения
Развитие технического прогресса и сопутствующее ему повсеместное внедрение цифровых технологий во многом затронуло и существенно повлияло на сферу права. Цифровизация стала одновременно и неотъемлемым аспектом жизни, и актуальным запросом общества, а правовое регулирование цифровой трансформации становится необходимым не только для обеспечения грамотного перехода на использование цифровых технологий, но и для регламентации и защиты прав субъектов, так или иначе вовлеченных в цифровой оборот. Более того, в контексте глобализации огромный потенциал имеет развитие международного цифрового поля, призванного обеспечить обмен данными между государствами. Такой обмен данными подразумевает организацию не только, к примеру, единого экономического информационного пространства, но и единого пространства передачи персональных данных о гражданах той или иной страны с целью оказания им помощи (в частности, медицинской) на территории других стран. Конечно, для этого необходима особая регламентация передачи такой информации на уровне наднационального законодательства, но в условиях существующих международных организаций и союзов данная задача не является невыполнимой, скорее, наоборот -подобные вопросы уже поднимаются и активно обсуждаются во многих существующих объединениях.
Передача персональных данных, а особенно трансграничная, естественно, требует серьезного уровня защиты (как технической, так и правовой) даже не столько ввиду того, что позволяет индивидуализировать определённого человека, сколько из-за того, что в некоторых случаях содержит в себе такие сведения, которые при их раскрытии могут оказать существенное влияние на дальнейшую жизнь субъекта персональных данных, особенно, к примеру, если таким субъектом будет выступать медийная персона или иное известное лицо. Примером таких сведений можно назвать персональные данные, связанные со здоровьем человека, относящиеся к специальной категории так называемых «чувствительных» персональных данных. Как пишет Савельев А.И., «особый подход к таким данным обусловлен тем, что нарушение конфиденциальности подобного рода сведений может серьезно повлиять на частную и семейную жизнь граждан, а также на их социальное положение и трудовую занятость, поскольку делает их объектом поругания и возможных гонений. Кроме того, соблюдение конфиденциальности данных о здоровье имеет ключевое значение не только для защиты частной
жизни пациента, но и для сохранения его доверия к медицинским работникам и системе здравоохранения в целом. При отсутствии таких гарантий защиты лица, нуждающиеся в медицинской помощи, могут воздерживаться от обращения за необходимым лечением, подвергая тем самым свое здоровье опасности»1. Таким образом, раскрытие такого рода персональных данных может не только отрицательно повлиять на отдельного человека (субъекта таких данных), но и негативно отразиться на общественном здоровье в целом ввиду потери у населения доверия к государству в отношении защиты персональных данных.
В рамках российского законодательства институтом, призванным не допустить раскрытие сведений о здоровье человека, является институт врачебной тайны, который вызывает определенные вопросы в части его соотношения с понятием персональных данных2. Если обратиться к ч. 1 ст. 13 Федерального закона от 21 ноября 2011 г. № 323 «Об основах охраны здоровья граждан в Российской Федерации» (далее - ФЗ № 323), под врачебной тайной понимаются сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении. Ввиду этого, можно заключить, что сведения, составляющие врачебную тайну, одновременно могут являться разновидностью персональных данных, представляя собой информацию о здоровье человека, относящуюся к определенному физическому лицу и позволяющую выделить его из круга других лиц.
Взаимосвязь данных понятий также обозначена в ст. 10 Федерального закона «О персональных данных» от 27 июля 2006 г. № 152-ФЗ (далее - ФЗ № 152). Российский законодатель прямо относит сведения, связанные со здоровьем, к категории специальных персональных данных, и, признавая их особенность, строго ограничивает цели и круг лиц, имеющих право на их обработку. Так, п. 4 ч. 2 ст. 10 ФЗ № 152 говорит, что такая обработка осуществляется в медико-профилактических целях, в целях установления медицинского диагноза и оказания медицинских и медико-социальных услуг при условии,
1 Савельев А.И. Электронная коммерция в России и за рубежом: правовое регулирование. 3-е изд., перераб. и доп. Москва, 2016. Режим доступа: СПС «КонсультантПлюс».
2 Блохин П.Д. Врачебная тайна при жизни и после смерти (комментарий на полях Определения Конституционного Суда РФ) // Медицинское право. - 2018. - № 5. - С. 33-43.
Эртель Л.А., Хапай С.Х. Персональные данные пациента, персонифицированный учет, врачебная тайна: правовые пробелы // Медицинское право: теория и практика. - 2019. - № 1. - С. 51-55.
енеджер № 7
здравоохранения 2020
что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну. Таким образом, ограниченный круг целей и субъектов обработки «чувствительной» персональной информации, а также обязательное соблюдение режима врачебной тайны во многом демонстрирует значимость для российского законодателя установления для такой категории сведений специальных защитных мер.
В контексте трансграничной передачи сведений о состоянии здоровья человека, персональные данные, попадающие под правовой режим врачебной тайны, представляют наибольшие риски в том случае, когда они представляют собой не столько общие персональные данные (ФИО, контактные данные пациента), сколько те самые «чувствительные» персональные данные, содержащие в себе информацию о состоянии здоровья, заболеваниях, особенностях организма отдельного субъекта. Тем не менее, в ФЗ № 323 вопросы трансграничной передачи сведений, составляющих врачебную тайну, а также меры по защите такой передачи не предусмотрены, ввиду чего следует руководствоваться общими положениями ст. 12 ФЗ № 152, раскрывающей допустимые условия для трансграничной передачи данных.
Трансграничная передача персональных сведений представляет собой передачу информации на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. В целях нейтрализации рисков, сопровождающих такой вид передачи данных, российский законодатель предусматривает в ч. 3 ст. 12 ФЗ № 152 положение о том, что до начала осуществления трансграничной передачи персональных данных оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача таких сведений, обеспечивается адекватная защита прав субъектов персональных данных. Вопрос критериев определения адекватности в таком случае представляет наибольший интерес, так как законодательством не предусмотрен конкретный перечень критериев, система их оценки и другие факторы, имеющие значение для определения адекватности. Также занимателен тот факт, что при первом взгляде на положение ч. 3 ст. 12 ФЗ № 152 можно предположить, что обязанность по определению адекватности возложена на оператора обработки персональных данных. Но
системное толкование положений статьи 12 ФЗ № 152 (в особенности взаимосвязи ч. 2 и ч. 3 данной статьи) все же приводит нас к выводу о том, что такая обязанность лежит на государственном органе. Как замечает Савельев А.И., «толкование положений ст. 12 дает основание для вывода, что оценка степени адекватности защиты персональных данных в той или иной стране является предметом компетенции Роскомнадзора и не является предметом усмотрения оператора. Все, что он должен сделать, - это ознакомиться с соответствующим перечнем и определить, может ли он передавать персональные данные в такую страну в отсутствие специальных оснований, предусмотренных в Законе. Представляется, что данный подход является в целом правильным, поскольку иной подход создавал бы почву для последующих споров между регуляторами и операторами относительно того, насколько оправданным было суждение последнего об адекватности степени защиты персональных данных»3.
Тем не менее, российское законодательство не ограничивает круг стран для трансграничной передачи сведений только лишь исходя из критерия адекватности защиты персональных данных. В определенных случаях и для определенных целей трансграничная передача может производиться и в те иностранные государства, в которых не обеспечивается адекватная защита прав субъектов персональных данных. Часть 4 ст. 12 ФЗ № 152 раскрывает такие случаи, но в рамках рассмотрения передачи персональной информации, связанной со здоровьем, для нас имеют значение два из них: 1) случай, когда такая передача предусмотрена международными договорами Российской Федерации и 2) случай, когда такая передача необходима в целях защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения от них согласия в письменной форме. Таким образом, если здоровью того или иного лица что-то угрожает в случае его нахождения за границей в стране, не обеспечивающей адекватную защиту персональных сведений, туда все равно может быть направлена его персональная информация (в данном случае - персональные данные, связанные со здоровьем), если он, например, в силу тяжёлого или крайне тяжелого состояния не способен выразить свою волю. Более того, в силу п. 5 ч. 4 ст. 12 ФЗ № 152 подобная передача данных может иметь место в целях защиты иных
С
#хс
3 Савельев А.И. Электронная коммерция в России и за рубежом: правовое регулирование. 3-е изд., перераб. и доп. Москва, 2016. Режим доступа: СПС «КонсультантПлюс».
Менедже,
жизненно важных интересов субъекта персональных данных или других лиц (при невозможности получения согласия субъекта(ов) персональных данных), например, в целях проведения профилактических мероприятий и совместных действий в интересах неограниченного круга лиц в условиях эпидемии. Принимая во внимание все предусмотренные законодательством цели передачи персональных данных на территорию иностранных государств, не обеспечивающих адекватной защиты прав субъектов таких данных, можно сказать, что при невозможности получения согласия субъектов передаваемых данных в письменной форме, передаче может подлежать как персонализированная информация в целях оказания медицинской помощи конкретному субъекту, так и обезличенная информация о широком круге лиц в целях обработки больших данных для разработки совместных стратегий по организации здравоохранения, распределению соответствующих ресурсов и т.д.
Тем не менее, непроработанным остается то, как такая передача будет организована. Как уже было обозначено выше, ст. 10 ФЗ № 152 устанавливает, что обработка сведений, связанных со здоровьем человека, осуществляется лицом, которое профессионально занимается медицинской деятельностью и обязано в соответствии с законодательством Российской Федерации сохранять врачебную тайну, из чего следует, что операторами персональных данных будут выступать медицинские организации и индивидуальные предприниматели, осуществляющие медицинскую деятельность4. Ввиду этого, для наиболее быстрого и эффективного поиска информации о состоянии здоровья того иного человека хотя бы на территории Российской Федерации все медицинские организации должны быть подключены к некой единой информационной системе - базе сведений, куда вносится информация о состоянии здоровья и всех медицинских мероприятиях, особенностях здоровья, связанных с конкретными физическими лицами.
Создание такой системы позволит получить доступ к информации об истории болезни любого человека на протяжении всей его жизни. Подобная система в Российской Федерации уже существует: Единая государственная информационная система в сфере здравоохранения (далее - ЕГИСЗ), которая регулируется положениями ст. 91.1. ФЗ № 323 и Постановлением Правительства РФ от
4 В рамках данной статьи медицинские организации будут представ-
лять собой собирательное понятие как медицинских организаций, так и индивидуальных предпринимателей, осуществляющих медицинскую деятельность.
5 мая 2018 г. № 555 «О единой государственной информационной системе в сфере здравоохранения» (далее - Постановление Правительства № 555). В рамках ЕГИСЗ предусмотрено создание федеральных интегрированных электронных медицинских карт, а также формирование и ведение федерального реестра электронных медицинских документов. В системе ЕГИСЗ также предусмотрено обязательное обезличивание данных о пациентах, выступающее в качестве способа защиты персональных данных субъектов. Конечно, сама система хранит в себе всю информацию о субъектах, безусловно позволяющую произвести идентификацию, но использование обезличивания (в частности, присвоения пациенту определенного Ю-номера) защищает данную информацию от несанкционированного доступа, а также служит цели статистической обработки информации.
ЕГИСЗ позволяет медицинским организациям дополнять интегрированную медицинскую карту пациента, загружая в неё данные о тех медицинских услугах, которые оказывались пациенту в учреждении, но возможность взаимодействия медицинских организаций с ЕГИСЗ базируется на праве доступа, для получения которого необходимо пройти комплекс определенных процедур. Для того, чтобы иметь такую возможность загрузки, а также для обеспечения должной защиты при передаче таких сведений, каждая медицинская организация должна иметь свою медицинскую информационную систему, которая позволит ей взаимодействовать с ЕГИСЗ. Медицинская информационная система проходит лицензирование, демонстрирующее её соответствие определенным требованиям, зачастую является сетевой и модульной (предусматривает отдельные модули для среднего медицинского персонала, врачей и главного врача организации с целью ограничения доступа к объему имеющихся данных о пациенте). При соответствии медицинской информационной системы необходимым критериям, она имеет право подключиться к ЕГИСЗ и обеспечить как отправку, так и получение информации о необходимых ей пациентах. Следует заметить, что любая информация, получаемая из ЕГИСЗ и отправляемая в единую систему, происходит по защищенным каналам связи, что минимизирует возможность утечки передаваемой информации. Но нельзя забывать о том, что требования к защите как самих данных, так и к их передаче со временем должны изменяться ввиду развития информационных технологий. Как пишет Предеина И.В., «доступность и активное движение информации в системе Интернет требует совершенствования действующих механизмов защиты
енецжер № 7
здравоохранения 2020
конфиденциальных данных пациентов. В частности, речь идет о ЕГИСЗ, в отношении которой особенно актуальными становятся вопросы обеспечения безопасности функционирования и сохранения конфиденциальности информации, имеющей непосредственное отношение к жизни и здоровью пациентов»5.
Согласие пациента (или его законного представителя) на предоставление медицинским организациям доступа к медицинской документации в форме электронных документов выступает общим основанием для начала обработки сведений, содержащихся о нем в ЕГИСЗ.
Учитывая всё вышесказанное, можно заключить, что взаимодействие медицинских организаций внутри Российской Федерации в части получения сведений о пациенте базируется на технической возможности осуществить подключение к ЕГИСЗ и на юридической возможности в виде согласия пациента на такую обработку.
Рассмотрев возможности взаимодействия медицинских организаций внутри Российской Федерации в части передачи им сведений о состоянии здоровья пациента и переходя к анализу возможности трансграничной передачи таких данных, следует сказать, что использование системы ЕГИСЗ для такой передачи представляется спорным в условиях существующих правовых реалий. Для подключения к системе ЕГИСЗ требуется наличие лицензированной медицинской информационной системы, а также обеспечение передачи данных по защищенным каналам связи. Для трансграничной передачи данных необходимо, чтобы все медицинские учреждения в иностранном государстве имели такие медицинские информационные системы, которые соответствовали бы всем заявленным российским законодателем требованиям. Гипотетически такое возможно, но в современных условиях представляется нецелесообразным: согласование и проверка требований систем представляют собой колоссальный труд уполномоченного на такую проверку российского органа, а появление новых медицинских организаций за границей будет обязывать российского законодателя следить за их регистрацией в системе ЕГИСЗ, так как для должного учета и выполнения целей ЕГИСЗ потребуется подключение всех медицинских организаций на территории иностранного государства. De facto будет иметь место распространение российского законодательства на территорию другого государства,
причём не имеющее возможности применения санкций к нарушителям (ведь российский законодатель не сможет применить санкции, к примеру, за несанкционированную передачу таких данных иностранной медицинской организацией, так как она подчиняется правопорядку своей страны), а также противоречащее принципам международного права, в частности принципу суверенного равноправия государств. Ввиду этого, система ЕГИСЗ, в соответствии с правилами, целями и порядком её использования, не может быть использована для трансграничной передачи данных в иностранные государства в рамках существующих правовых норм.
Возможно, если предусмотреть использование системы ЕГИСЗ в качестве инструмента для получения информации о пациенте и последующей передачи полученных данных в качестве ответа на запрос иностранного государства, её использование в качестве источника такой информации будет возможным. Но в данном случае необходимо будет внести соответствующие изменения в законодательство Российской Федерации, предусмотрев такой формат использования ЕГИСЗ, определив конкретный государственный орган Российской Федерации, уполномоченный на выгрузку такой информации и формирование ответа на подобные запросы от иностранных государств, предусмотрев механизмы защиты такой информации при трансграничной передаче и памятуя о том, что в случае нарушения прав субъектов персональных данных за границей при передаче данной информации, применение санкций за такое нарушение не предусмотрено, то есть принимая на себя риск потенциального нарушения прав субъекта персональных данных6. Следует отметить, что вопрос соотношения приоритета защиты персональных данных субъекта и передачи персональных данных, касающихся вопроса состояния его здоровья, разрешен на законодательном уровне положением п. 5 ч. 4 ст. 12 ФЗ № 152, говорящем о возможности передачи таких сведений в целях защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения от них согласия в письменной форме. Тем не менее, в целях предотвращения возможных нарушений прав субъекта персональных данных необходимо предусмотреть наличие специально уполномоченного на
С
#хс
5 Предеина И.В. Становление цифрового контура здравоохранения в РФ: тенденции правового регулирования // Медицинское право: теория и практика. - 2018. - № 2. - С. 39.
6 Речь в данном случае идет о тех ситуациях, когда между Российской Федерацией и иностранным государством не заключен международный договор, регламентирующий санкции за нарушение прав субъекта персональных данных при трансграничной передаче персональных данных.
Менедже,
формирование таких запросов государственного органа в иностранном государстве, так как иное взаимодействие (в частности, предоставление таких возможностей любым медицинским организациям иностранного государства) создаёт колоссальные риски утечки информации и её незаконной передачи. Нельзя также не учитывать тот факт, что на практике взаимодействие медицинских организаций, куда поступил, к примеру, российский гражданин в экстренном состоянии, и уполномоченного органа иностранного государства, формирование и отправка запроса, оценка его российским уполномоченным органом, выгрузка данных и их последующая передача в иностранный уполномоченный орган с передачей в больницу, где находится российский гражданин, займёт определенное время, которое может оказаться значимым для пациента в крайне тяжелом состоянии и привести к ухудшению его состояния, а возможно, и к летальному исходу в период ожидания такого ответа. Конечно, в таких ситуациях медицинские работники должны грамотно оценивать целесообразность направления таких запросов, так что возможность такого развития событий не является сама по себе дефектом системы передачи информации, но о ней необходимо помнить при определении оперативности ответной реакции со стороны российского уполномоченного органа. В контексте использования системы ЕГИСЗ для формирования ответа на запрос иностранного государства о предоставлении персональных данных, связанных со здоровьем того или иного пациента, логичным представляется заключение международного договора для урегулирования всех деталей передачи такой информации, минимизации рисков и регламентирования санкций за нарушение прав субъектов персональных данных.
В последнее время при обсуждении вопроса трансграничной передачи персональных данных в рамках международных договоров нередко обсуждается вопрос о том, допустима ли передача персональных данных о состоянии здоровья граждан Российской Федерации в рамках Евразийского экономического союза (далее - ЕАЭС). На наш взгляд, подобная передача указанной категории данных в рамках ЕАЭС может быть возможной, но при внесении определенных дополнений в соглашения между странами ЕАЭС.
Договор о Евразийском экономическом союзе от 29 мая 2014 г. (далее - Договор о ЕАЭС) в статье 4 чётко формулирует три основные цели союза:
1) создание условий для стабильного развития экономик государств-членов в интересах повышения жизненного уровня их населения;
2) стремление к формированию единого рынка товаров, услуг, капитала и трудовых ресурсов в рамках союза;
3) всесторонняя модернизация, кооперация и повышение конкурентоспособности национальных экономик в условиях глобальной экономики.
Все три указанные выше цели направлены на развитие экономики и экономического потенциала государств-членов союза, в контексте чего Договором о ЕАЭС предусматриваются, в частности, свобода движения товаров, услуг, капитала и рабочей силы, а также проведение скоординированной, согласованной или единой политики в отраслях экономики. Таким образом, передача персональных данных в рамках данного союза может обеспечивать лишь экономические или связанные с экономическими интересы государств-членов ЕАЭС, и, признавая здравоохранение одним из наиболее важных секторов экономики, нельзя не согласиться с тем, что передача данных о здоровье граждан в принципе может быть возможной в целях обеспечения экономических интересов государств в области здравоохранения. Такими целями могут быть формирование статистического учета, обработка больших данных в целях выявления проблемных аспектов здравоохранения, учет общей заболеваемости - иными словами, та информация, обмен которой позволит государствам формировать основные направления улучшения политики в области здравоохранения, учитывать проблемные аспекты систем здравоохранения и в дальнейшем, корректируя политику в области здравоохранения (в особенности, финансовую), создавать лучшие условия для стабильного развития экономики в сфере здравоохранения в целях повышения жизненного уровня населения, проживающего на территории стран ЕАЭС. Но такая передача данных не требует конкретизации данных о субъекте: такие данные передаются в обезличенном виде, что полностью отвечает целям их обработки и не требует большей детализации.
Рассуждая же о вопросе передачи персональных данных о здоровье конкретного человека в рамках ЕАЭС, можно сказать, что она допустима, но в силу иного обоснования и при определенных дополнениях. В рамках Договора о ЕАЭС здоровье человека рассматривается в двух аспектах: как фактор, участвующий в определении безопасности продукции (Договор о ЕАЭС часто оперирует недопустимостью причинения вреда жизни и здоровью человека при осуществлении различной экономической деятельности), и как аспект, влияющий на человеческий капитал как на один из факторов экономического развития.
енеджер № 7
здравоохранения 2020
Ввиду этого, Приложением № 30 к Договору о ЕАЭС в виде Протокола об оказании медицинской помощи трудящимся государств-членов и членам их семей регламентируется порядок оказания медицинской помощи указанным лицам. Согласно п. 4 данного Приложения, трудящимся государств-членов и членам их семей предоставляется право на получение бесплатной скорой медицинской помощи (в экстренной и неотложной формах) в том же порядке и на тех же условиях, что и гражданам государства трудоустройства. Данное положение было предусмотрено в рамках дополнения норм Договора о ЕАЭС о трудовой миграции, где под трудящимся государства-члена понимается лицо, являющееся гражданином государства-члена ЕАЭС, законно находящееся и на законном основании осуществляющее трудовую деятельность на территории государства трудоустройства, гражданином которого оно не является и в котором постоянно не проживает, и которому, соответственно, государство трудоустройства обязано бесплатно оказать скорую медицинскую помощь. Приложение № 30 даже затрагивает тему передачи данных о пациенте в государство его постоянного проживания, указывая, что при необходимости осуществления медицинской эвакуации пациента в государство постоянного проживания информация о состоянии здоровья направляется медицинской организацией (учреждением здравоохранения) в посольство и (или) уполномоченный орган (организацию) государства постоянного проживания. Однако не следует забывать, что данное положение предусматривает оказание помощи лишь трудящимся государств-членов и членам их семей, а не всякому находящемуся на территории такого государства гражданину государства-члена ЕАЭС, что подтверждает, что оказание такой помощи сопутствует осуществлению трудовой деятельности на территории страны трудоустройства, а не провозглашает оказание скорой медицинской помощи любому гражданину государства-члена ЕАЭС.
Тем не менее, в рамках единого экономического пространства ЕАЭС, в котором одним из факторов развития и процветания экономики являются человеческие ресурсы, разумным представляется объединение сил, направленных на поддержание и восстановление трудового потенциала стран-участниц, и, если учитывать, что граждане государств-членов и члены их семей вносят (вносили или будут вносить) вклад в развитие существующего единого экономического пространства, то можно говорить о том, что оказание помощи любому гражданину, как элементу рабочей силы, представляется необходимым на территории
стран ЕАЭС. Иными словами, объединение экономического пространства косвенно порождает и объединение рабочей силы, трудящейся в рамках данного пространства, а социальные принципы построения экономики в странах ЕАЭС во многом определяют необходимость интеграции социальных мер защиты в экономическое пространство, ввиду чего логичным представляется поддержание общественного здоровья в указанном едином поле, в данном случае -в рамках ЕАЭС. В данном контексте представляется важным не только оказание скорой медицинской помощи, но также и оказание плановой медицинской помощи, способствующей, в свою очередь, развитию медицинского туризма. Следует отметить, что развитие медицинского туризма было выделено в качестве одного из направлений Стратегии развития экспорта услуг до 2025 года, утвержденной распоряжением Правительства Российской Федерации от 14 августа 2019 г. № 1797-р, в рамках которой упоминалась поставленная перед Российской Федерацией цель увеличения объема экспорта медицинских услуг не менее, чем в 4 раза по сравнению с 2017 годом на период до 2025 года, а также увеличение числа пролеченных иностранных граждан. Выполнению указанных целей, на наш взгляд, будет в значительной мере способствовать создание для граждан государств-членов ЕАЭС условий для свободного пользования медицинскими услугами на территории Российской Федерации, которое в более широком смысле сопровождается согласием стран ЕАЭС оказывать медицинскую помощь гражданам государств ЕАЭС на своей территории, и для оптимального функционирования которого представляется также целесообразным создание единой электронной платформы, содержащей персональные данные о здоровье граждан стран ЕАЭС. Такая платформа позволит получать медицинским организациям стран-участниц ЕАЭС информацию о предыдущем лечении, об особенностях лечения и прочих характеристиках иностранных граждан из стран ЕАЭС, желающих получить медицинскую помощь в иностранном для них государстве союза, и искоренит существующие трудности в части получения всей информации о пациенте и его здоровье перед проведением лечения.
Риски, связанные с получением такой информации посредством единой электронной платформы для всех стран ЕАЭС (с разделением на национальные сегменты7), можно нивелировать путем создания в её рамках
С
#хс
7 Разделение платформы на национальные сегменты, на наш взгляд, будет являться самым оптимальным с точки зрения учета и безопасности охраняемых персональных данных.
Менедже,
тех механизмов защиты, которые будут определены странами-участницами ЕАЭС совместно и которые будут отвечать совместно разработанным требованиям безопасности, соблюдение которых будет обязательным для медицинских организаций каждой страны, входящей в состав ЕАЭС. В рамках наднационального законодательства также представляется необходимым установить меры ответственности за нарушение использования единой платформы: предусмотреть санкции за нарушение правил эксплуатации такой платформы и правил передачи персональных данных о здоровье пациента, что будет, в свою очередь, не только обеспечивать ответственность нарушившего государства за совершенные деяния, но и также играть превентивную, стимулирующую роль в части соблюдения установленных норм.
Следует отметить, что в целях обеспечения информационного взаимодействия, Договором о ЕАЭС уже предусмотрена определенная цифровая платформа, упоминаемая в Договоре в разделе V об информационном взаимодействии и статистике в рамках союза, а также в Приложении № 3 в виде Протокола об информационно-коммуникационных технологиях и информационном взаимодействии в рамках Евразийского Экономического Союза. На Приложение № 3 следует обратить особое внимание, так как им предусмотрена специальная единая терминология в области информационного взаимодействия, в которую включаются такие понятия как интегрированная информационная система союза, трансграничное пространство доверия, учетная система и прочие понятия, необходимые для построения недвусмысленного понимания терминов и обеспечения грамотного механизма взаимодействия государств-членов в рамках информационно-цифрового поля. Более того, данное Приложение устанавливает перечень основных вопросов, которые могут быть регламентированы в рамках интегрированной информационной системы и которые, естественно, связаны с развитием и взаимодействием государств-членов в сфере экономики. Хоть пп. 16 п. 3 данного Приложения и говорит о том, что интегрированная система может обеспечивать информационную поддержку по иным вопросам, находящимся в пределах полномочий Союза и включенным в область охвата интегрированной системы по мере ее развития, на наш взгляд, нельзя говорить о том, что в рамках единой интегрированной системы могут быть решены вопросы, связанные с передачей персональных данных о состоянии здоровья граждан стран-участниц ЕАЭС, так как такая информация относится к категории
«чувствительных» персональных данных и требует особых систем защиты, особой охраны в силу своей природы. Более того, цель обработки персональных данных о здоровье диктует необходимость создания именно обособленной платформы для осуществления такой обработки. Ввиду этого, единая электронная система для передачи данных о здоровье граждан в рамках ЕАЭС должна существовать отдельно и регулироваться особыми правилами, а принятая в рамках Приложения № 3 к Договору о ЕАЭС законодательная база, регулирующая информационно-коммуникационные технологии и информационное взаимодействие стран-участниц ЕАЭС, может лишь стать отличной основой для формирования новых, регламентирующих данную базу норм.
В противном случае, при отсутствии согласия государств-членов оказывать медицинскую помощь на своей территории любым гражданам стран-участниц ЕАЭС и отказе создавать единую платформу для целей передачи данных о здоровье граждан, трансграничная передача данных о здоровье конкретного человека может совершаться в общем порядке, предусмотренном ст. 12 ФЗ № 152, но подобный порядок передачи данных не соответствует обозначенным на сегодняшний день приоритетам и тенденциям взаимодействия государств в области здравоохранения. Более того, такая передача неизбежно влечет за собой огромное количество рисков утечки информации и в целом является недостаточной в части соответствия требованиям безопасности передачи данных, ввиду чего представляется более целесообразным заключение определенного дополнительного соглашения в рамках ЕАЭС, предусматривающего конкретные санкции за отсутствие обеспечения надлежащей защиты персональных данных.
При согласии государств-членов оказывать медицинскую помощь (как экстренную, так и плановую) и их согласии создать единую платформу для передачи данных о здоровье граждан стран ЕАЭС, необходимо, как уже было обозначено выше, в целях нормативного регулирования данного вопроса предусмотреть отдельное соглашение о такой передаче данных. Данный вопрос часто возникает в контексте упоминания Цифровой повестки ЕАЭС, а также обсуждения связанного с этим Решения Высшего Евразийского экономического совета № 12 от 11 октября 2017 г. «Об основных направлениях реализации цифровой повестки Евразийского экономического союза до 2025 года» (далее - Решение № 12). Это связано с тем, что в приоритетах проработки инициатив в рамках реализации цифровой
енеджер № 7
здравоохранения 2020
повестки, наряду с цифровой торговлей, цифровой промышленной кооперацией и прочими инициативами, связанными с экономическим развитием, была обозначена разработка соглашения об обороте данных в Союзе, содержащая дополнение: «в том числе о защите персональных данных». На наш взгляд, регулирование передачи персональных данных, связанных с состоянием здоровья, не может быть возможным в рамках разработки указанного соглашения об обороте персональных данных в ЕАЭС в силу уже обозначенной особой природы персональных данных, связанных со здоровьем, необходимости принятия усиленных мер для их защиты и, что наиболее важно, строго определенной цели такой обработки. Таким образом, при условии того, что странами ЕАЭС будет разработана правовая платформа в виде соглашения об оказании медицинской помощи странами-участницами ЕАЭС любым гражданам государств-членов указанного союза, для грамотного электронного взаимодействия в данной сфере им необходимо также принять отдельный акт, регламентирующий создание единой цифровой платформы для передачи данных о здоровье граждан стран ЕАЭС в целях оказания им медицинской помощи. Необходимо добавить, что
в таком акте в целях обеспечения ответственности за передачу подобной категории данных, а также оперативности и контроля их передачи, необходимо предусмотреть наличие специально уполномоченных государственных органов в каждой из стран ЕАЭС.
Таким образом, трансграничная передача персональных данных, связанных с состоянием здоровья граждан Российской Федерации, в страны ЕАЭС в условиях предусмотренной сферы действия Договора о ЕАЭС и с учётом обозначенных в нём целей представляется возможной, но при внесении определенных дополнений, связанных с оказанием медицинской помощи гражданам ЕАЭС на территории союза, и с необходимостью использования для обеспечения передачи данных о здоровье граждан ЕАЭС единой электронной платформы. Для грамотного нормативного обеспечения такой передачи данных странам ЕАЭС необходимо, прежде всего, заключить соглашение об оказании медицинской помощи странами-участницами ЕАЭС любым гражданам государств-членов союза, а также принять отдельный акт, регламентирующий создание цифровой платформы для передачи данных о здоровье граждан и правила передачи таких данных посредством данной платформы.
1. Блохин П.Д. Врачебная тайна при жизни и после смерти (комментарий на полях Определения Конституционного Суда РФ) // Медицинское право. - 2018. - № 5. - С. 33-43.
2. Предеина И.В. Становление цифрового контура здравоохранения в РФ: тенденции правового регулирования // Медицинское право: теория и практика. - 2018. - № 2. - С. 34-41.
3. Савельев А.И. Электронная коммерция в России и за рубежом: правовое регулирование. 3-е изд., перераб. и доп. Москва, 2016. Режим доступа: СПС «КонсультантПлюс».
4. Эртель Л.А., Хапай С.Х. Персональные данные пациента, персонифицированный учет, врачебная тайна: правовые пробелы // Медицинское право: теория и практика. - 2019. - № 1. - С. 51-55.
UDC 341 + 614
Akulin I.M.', Chesnokova E.A.', Guryanova N.E.3, Presnyakov R.A.2, Letova A.D.1 Possibility of transboundary transfer of health-personal data within the EAEU: reality, prospects ('Saint Petersburg University, Saint Petersburg, Russia; 2Association of Medical Law to St. Petersburg, St. Petersburg, Russia;3Central Research Institute of Organization and Informatization of Health Care, Ministry of Health of Russia, Moscow, Russia)
Abstract. In the article, the authors analyze the possibility of cross-border transfer of personal data related to health, separately considering the possibility of such a transfer within the EAEU. The authors pay special attention to the analysis of the correlation of the concepts of medical confidentiality and personal data related to the state of health, the peculiarities of regulating the cross-border transfer of this information according to Russian legislation, as well as the consideration of the Unified State Information System in the field of health care created in the Russian Federation (hereinafter - the Unified State Health Insurance System, a unified system). The authors also consider the possibility of using a single system for cross-border data transfer, indicate the main risks of such use, and also determine the set of necessary additions for Russian legislation in order to use the EGISP in cross-border data transfer. Separately, the authors analyze the possibility of transferring personal data related to the state of health in the framework of the Eurasian Economic Union, which is often discussed within the EAEU digital agenda. The authors analyzed the permissibility of such transfer under the EAEU as a whole, the proposals put forward in its support, namely the adoption of a separate agreement about the delivery of health care by participating countries of the EAEU any citizens of member States of the Union, the adoption of the act on transfer of personal data about the health of the citizens of the EAEU member States and the creation of a single digital platform for the provision of such transfer (including, subject to the establishment of safety requirements the transfer of such data and penalties for violation of these requirements), as well as the identification of specially authorized state bodies in each of the EAEU countries in order to ensure responsibility for the transfer of this category of data. Keywords: medical confidentiality, personal data, cross-border transfer of personal data, Unified Health Information System, Eurasian Economic Union.
Менедже1