Об организации обработки персональных данных в медицинских учреждениях (А.П. Столбов, "Менеджер здравоохранения", N 4, апрель 2008 г.)

Об организации обработки персональных данных
в медицинских учреждениях

В условиях активного внедрения в здравоохранение современных информационных и коммуникационных технологий, чрезвычайно актуальными становятся вопросы нормативного регулирования процессов обработки конфиденциальной медицинской информации с использованием компьютеров. С одной стороны, они предоставляют и врачам, и пациентам качественно новые возможности, но с другой стороны - порождают проблемы, связанные, в частности, с необходимостью применения сложных и дорогостоящих систем защиты информации, жесткой регламентации доступа и обмена персональным данными. В связи с этим, представляется целесообразным рассмотреть основные аспекты применения компьютерных технологий при обработке персональных данных пациентов в медицинских учреждениях.

Федеральными правовыми нормативными актами, регламентирующими требования к организации обработки персональных данных, в том числе в учреждениях здравоохранения, являются:

"Основы законодательства Российской Федерации об охране здоровья граждан" N 5487-1 от 22.07.1993 г. (в ред. ... от 18.10.2007 г. N 230-ФЗ) (далее - "Основы ..."); в статье 61 "Основ ..." дано определение врачебной тайны, как "... информации о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иных сведений, полученных при его обследовании и лечении";

Федеральный закон "Об информации, информационных технологиях и защите информации" N 149-ФЗ от 27.07.2006 г., в котором даны определения понятий: информация, документирование информации, защита информации, обладатель информации, конфиденциальность информации, предоставление и распространение информации, электронное сообщение;

Федеральный закон "О персональных данных" N 152-ФЗ от 27.07.2006 г. (вступил в действие с января 2007 года), которым регулируются отношения, связанные с обработкой персональных данных с использованием средств автоматизации;

Указ Президента РФ "Об утверждении перечня сведений конфиденциального характера" N 188 от 06.03.1997 г. (в ред. указа Президента РФ от 23.09.2005 г. N 1111), в котором к указанной категории информации отнесены персональные данные и сведения, содержащие врачебную тайну;

Постановление Правительства РФ от 17.11.07 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", в котором определены основные требования к указанным информационным системам (ИС).

К персональным данным относятся любые сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность. Конфиденциальная информация - это документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации. Конфиденциальная информации не подлежит передаче третьим лицам без согласия ее обладателя. Обладателем информации является лицо, самостоятельно создавшее информацию либо получившее право разрешать или ограничивать к ней доступ на основании закона или договора. Отметим, что применительно к информации, содержащей врачебную тайну, ее обладателем является пациент или его законный представитель - должно быть получено согласие пациента на передачу касающихся его сведений, содержащих врачебную тайну, кому-либо, в том числе должностным лицам в интересах его обследования и лечения (статья 61 "Основ ...").

В соответствии со статьями 6, 9 и 10 закона "О персональных данных" (далее - Закона) обработка персональных данных [в медицинских учреждениях] - сбор, систематизация, накопление, хранение, изменение, использование, распространение и передача - может осуществляться только с письменного согласия субъекта персональных данных (пациента), которое должно включать в себя:

- фамилию, имя, отчество, адрес пациента, номер основного документа, удостоверяющего его личность, сведения о дате его выдачи и выдавшем органе;

- наименование и адрес оператора обработки персональных данных - медицинского учреждения, получающего согласие пациента;

- цель обработки персональных данных;

- перечень персональных данных, на обработку которых дается согласие пациента;

- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

- срок, в течение которого действует согласие, а также порядок его отзыва.

При этом Законом установлено, что оператор (медицинское учреждение) обязан предоставить доказательство согласия субъекта (пациента) на обработку его персональных данных (часть 3 статьи 9 Закона).

Пациент имеет право на получение от медицинского учреждения информации, касающейся обработки его персональных данных, включая цель, способы и сроки их обработки и хранения, а также сведения о лицах, которые имеют к ним доступ или которым он может быть предоставлен.

К сожалению, в настоящее время процедуры и формы документального подтверждения согласия пациента на обработку и передачу его персональных данных, а также порядок его информирования о целях и способах обработки, и лицах, имеющих к ним доступ, на федеральном и ведомственном уровне пока еще не определены и не регламентированы.

Все запросы пользователей ИС к персональными данным должны автоматически регистрироваться в электронном журнале обращений для обеспечения возможности контроля их доступа (см. п. 15 Положения, утвержденного постановлением Правительства РФ от 17.11.07 г. N 781).

Обработка персональных данных в медицинских учреждениях должна осуществляться с соблюдением необходимых мер, обеспечивающих конфиденциальность информации и ее защиту от несанкционированного доступа. Руководителем учреждения должен быть утвержден перечень должностных лиц, допущенных к обработке персональных данных в информационной системе. Порядок их доступа к конфиденциальным сведениям, хранящимся в базах данных ИС, должен определяться соответствующими регламентами и должностными инструкциями.

Основные требования к организации защиты информации в учреждениях изложены в государственных стандартах:

ГОСТ Р ИСО/МЭК 15408-1,2,3-2002 Критерии оценки безопасности информационных технологий. Функциональные требования безопасности.

ГОСТ Р ИСО/МЭК ТО 13335-5-2006, 13335-1,3,4-2007 Информационная технология. Методы и средства обеспечения безопасности.

ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология. Практические правила управления информационной безопасностью.

ГОСТ Р 51275-2006 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.

Следует отметить, что в настоящее время в федеральных нормативных документах отсутствуют явные требования о необходимости обязательной аттестации автоматизированных систем обработки персональных данных на соответствие требованиям конфиденциальности и защиты данных от несанкционированного доступа. При лицензировании медицинской деятельности это требование к ИС учреждений здравоохранения также не предъявляется. В постановлении Правительства РФ от 17.11.07 г. N 781 указано, что достаточность мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора (пункт 3), которые в соответствии с Законом осуществляются Федеральной службой безопасности и Федеральной службой по техническому и экспортному контролю, без права ознакомления с персональными данными.

В тоже время, в большинстве стран Европейского союза требования по обязательной аттестации и сертификации информационных систем обработки персональных данных определены законом. При этом предусмотрен также систематический аудит выполнения мероприятий по защите конфиденциальной информации, осуществляемый компетентными органами. В частности, в Нидерландах сертификация и аудит медицинских информационных систем, в том числе в части защиты информации, осуществляется национальным институтом информатизации здравоохранения NICTIZ (см. www.nictiz.nl).

В соответствии с требованиями статьи 22 Закона, операторы, осуществляющие обработку персональных данных, должны были не позднее 1 января 2008 г. уведомить об этом уполномоченный орган по защите прав субъектов персональных данных, которым постановлением Правительства РФ от 15.12.07 г. N 878 определена Федеральная служба по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия (Россвязьохранкультура). Порядок направления указанного уведомления определен приказом Россвязьохранкультуры от 11.01.08 г. N 3 "Об утверждении формы уведомления об обработке (о намерении осуществлять обработку) персональных данных" (далее - Приказ). Текст Приказа и извещение о нем, опубликованные на официальном сайте Росвязьохранкультуры www.rsoc.ru, приведены ниже.

Дадим некоторые пояснения к Рекомендациям по заполнению уведомления, приведенным в приложении N 2 к Приказу (далее - Рекомендации), применительно к медицинским учреждениям.

1. В позиции формы уведомления "Цель обработки" следует указать "медицинский учет" (рекомендация получена в московском территориальном органе Россвязьохранкультуры).

2. В позиции "Категории персональных данных" - паспортные данные (Ф.И.О., пол и дата рождения, адрес места жительства), данные о состоянии здоровья.

3. В позиции "Категории субъектов персональных данных" надо указать "пациенты - граждане РФ, иностранные граждане, лица без гражданства".

4. В позиции "Правовое основание обработки ..." - указать "Основы законодательства Российской Федерации об охране здоровья граждан", пункты 3, 4 части 2 статьи 10 закона "О персональных данных", а также реквизиты лицензии на медицинскую деятельность - как это указано в Рекомендациях.

Следует заметить, что в "Основах ..." в явном виде отсутствуют какие-либо нормы и требования, связанные с ведением медицинской документации и обработкой персональных данных пациента как без использования, так и с использованием средств автоматизации (компьютеров). Поэтому ссылки на статьи и пункты "Основ ..." в данном случае не приводятся.

5. В позиции "Перечень действий с персональными данными ..." надо указать "смешанная обработка - ввод, сбор, систематизация, накопление, хранение, изменение, удаление, использование, передача по внутренней сети". Если в медицинском учреждении формируются массивы персонифицированных данных для передачи во внешние организации (страховые медицинские организации, фонд ОМС и т.п.), то необходимо указать, каким образом они передаются - на машинных носителях, по защищенным каналам связи и т.п. В этом случае в позиции "Правовое основание обработки ..." в дополнение к перечисленным выше документам следует также указать реквизиты нормативных распорядительных документов (постановлений, приказов и т.п.), на основании которых эти данные передаются.

6. В позиции "Описание мер ... по обеспечению безопасности информации ..." надо указать "разграничение и контроль доступа сотрудников к данным, использование встроенных средств защиты информации, внутренняя сеть без доступа в сети общего пользования и т.п.". При использовании сертифицированных средств защиты информации следует перечислить их официальные названия, как они указаны в сертификатах. При наличии аттестата соответствия ИС требованиям по безопасности информации, следует указать реквизиты этого документа.

7. Если медицинское учреждение имеет несколько территориально удаленных между собой "площадок", на которых осуществляется обработка персональных данных пациентов, то указываются их адреса, телефоны и реквизиты - в соответствии с Рекомендациями. При этом предполагается, что сведения о составе, характере обработки и мерах по защите персональных данных, указанные в перечисленных выше позициях формы уведомления, относятся ко всем "площадкам".

Органы Россвязьохранкультуры на основании уведомлений формируют и ведут единый реестр операторов, осуществляющих обработку персональных данных. Сведения об операторах в реестре, за исключением информации о средствах защиты персональных данных, являются общедоступными. Расходы на рассмотрение уведомлений и внесение сведений об операторах в реестр, и его ведение осуществляются за счет средств бюджета Россвязьохранкультуры.

Законом "О персональных данных" предусмотрено несколько этапов его практической реализации. В частности указано, что информационные системы, созданные до вступления Закона в силу, должны быть приведены в соответствие с его требованиями не позднее 1 января 2010 года. Распоряжением Правительства РФ от 15.08.07 г. N 1055-р утвержден План подготовки проектов нормативных актов, необходимых для реализации Федерального закона "О персональных данных", а указанным выше постановлением Правительства РФ от 17.11.07 г. N 781 на Федеральную службу по техническому и экспортному контролю, Федеральную службу безопасности и Мининформсвязи России возложена разработка специальных требований к системам обработки персональных данных.

В заключение хотелось бы отметить, что описанные выше положения и рекомендации далеко не исчерпывают всех аспектов рассматриваемой проблемы. Организация автоматизированного учета медицинской помощи и переход к ведению первичной медицинской документации в электронном виде представляет собой целый комплекс организационно-технических мероприятий. Их планирование и выполнение требует значительных ресурсов, основательной методической проработки, мобилизации усилий и согласованной работы всех категорий сотрудников медицинских учреждений. Однако без этого дальнейшее развитие и повышение эффективности здравоохранения практически невозможны.

А.П. Столбов,

д.т.н.,

заместитель директора Медицинского информационно-аналитического

центра РАМН,

профессор кафедры организации здравоохранения с курсом медицинской

статистики и информатики Московской медицинской академии

им. И.М. Сеченова,

г. Москва (stolbov@mcramn.ru)

"Менеджер здравоохранения", N 4, апрель 2008 г.