Защита персональных данных в сфере здравоохранения

Правовое регулирование

Как известно, в конце 2020 г. Законом № 94-З были внесены существенные изменения в Закон Республики Беларусь от 18.06.1993 № 2435-XII «О здравоохранении» (вступят в силу в июле 2021 г.). Так, одним из изменений является впервые закрепленная глава «Информационное обеспечение в области здравоохранения». В рамках данной главы определена новелла для системы здравоохранения — централизованная информационная система здравоохранения (далее — ЦИС), в которой будет храниться и обрабатываться медицинская информация.

В соответствии со ст. 376 Закона № 94-З* получение, передача, сбор, обработка, накопление, хранение медицинской информации, содержащейся в ЦИС, осуществляются медицинскими работниками. Из данной нормы следует, что правом вносить и получать информацию из ЦИС будет обладать не только лечащий врач, но и медицинские работники со средним медицинским образованием. 

* Закон Республики Беларусь 11.12.2020 № 94-З «Об изменении законов по вопросам здравоохранения и оказания психологической помощи» (по тексту — Закон № 94-З)

Исходя из вышеизложенного, медицинская сестра является субъектом информационных отношений. И важность понимания того, что такое персональные данные, как регулируется законодательно защита персональных данных в современных реалиях, неоспорима.

Справочно
ЦИС — это интегрированная информационная система, обеспечивающая централизованное хранение и обработку медицинской информации в области здравоохранения.

Что такое персональные данные?

Основным нормативным правовым актом (далее — НПА), регулирующим порядок защиты персональных данных, является Закон об информации*.

* Закон Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации» (по тексту — Закон об информации)

Персональные данные — это основные и дополнительные персональные данные физического лица (см. таблицу), подлежащие в соответствии с законодательными актами Республики Беларусь внесению в регистр населения, а также иные данные, позволяющие идентифицировать такое лицо.

Отметим, что Закон об информации содержит в формулировке определения персональных данных «и иные данные, позволяющие идентифицировать такое лицо». Таким образом, персональными данными могут быть признаны не только данные, оговоренные нами выше. И тем не менее, подход к отнесению данных к персональным в настоящее время в законодательстве не определен.

Хотелось бы обратить внимание на то, что в настоящее время разработан проект Закона Республики Беларусь «О персональных данных» (далее — Проект). Указанным проектом предусмотрены следующие виды персональных данных:

• биометрические — сведения, характеризующие физиологические и биологические особенности человека, которые используются для его уникальной идентификации (отпечатки пальцев, ладоней, радужная оболочка глаза, характеристики лица и его изображение и другое);
• генетические — сведения, относящиеся к наследуемым либо приобретенным генетическим характеристикам человека, которые содержат уникальную информацию о его физиологии либо здоровье и могут быть выявлены, в частности, при исследовании биологического образца человека;
• общедоступные — персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов;
• специальные — персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, религиозных или других убеждений, здоровья или половой жизни, судимости, а также биометрические и генетические персональные данные. 

Справочно
Регистр населения — государственная централизованная автоматизированная информационная система, основу которой составляет база персональных данных граждан Республики Беларусь, иностранных граждан и лиц без гражданства, постоянно проживающих в Республике Беларусь.

Почему персональные данные нуждаются в защите?

Сегодня технологии ушли так далеко, что гражданин, посещая учреждение здравоохранения, оставляет свои персональные данные. И порой мы не задумываемся о том, как эти данные могут быть использованы — непосредственно по назначению или во вред. Однако необходимость обеспечения безопасности персональных данных в наше время — это объективная реальность.

Целью защиты  персональных данных является не просто защита информации, а защита основных прав и свобод людей, связанных с этими данными. Надежно защищая персональные данные, можно гарантировать, что права и свободы человека не нарушаются. 

Справочно
Защита информации — комплекс правовых, организационных и технических мер, направленных на обеспечение конфиденциальности, целостности, подлинности, доступности и сохранности информации.

Особенностью сферы здравоохранения является то, что персональные данные пересекаются с врачебной тайной*. Защищая одно, придется защитить и другое.

* Об информации, составляющей врачебную тайну, читайте в статье Н. Свентуховской в № 2 (2021) на с. 50–55 и в электронном журнале ERZ.BY->Главная медицинская сестра.

ПАМЯТКА
Цели защиты персональных данных

Целями защиты информации являются:
- обеспечение национальной безопасности, суверенитета Республики Беларусь;
- сохранение и неразглашение информации о частной жизни физических лиц и персональных данных, содержащихся в информационных системах;
- обеспечение прав субъектов информационных отношений при создании, использовании и эксплуатации информационных систем и информационных сетей, использовании информационных технологий, а также формировании и использовании информационных ресурсов;
- недопущение неправомерного доступа, уничтожения, модификации (изменения), копирования, распространения и (или) предоставления информации, блокирования правомерного доступа к информации, а также иных неправомерных действий.

Предоставление информации, составляющей врачебную тайну, из ЦИС осуществляется в соответствии со ст. 46 Закона № 94-З. 

Защита информации, содержащейся в ЦИС, осуществляется в соответствии с законодательством об информации, информатизации и защите информации.

Требуется ли согласие пациента на получение, передачу, сбор, обработку, накопление, хранение медицинской информации?

Согласно нормам Закона об информации, никто не вправе требовать от физического лица предоставления информации о его частной жизни и персональных данных, включая сведения, составляющие личную и семейную тайну, тайну телефонных переговоров, почтовых и иных сообщений, касающиеся состояния его здоровья, либо получать такую информацию иным образом помимо воли данного физического лица, кроме случаев, установленных законодательными актами Республики Беларусь.

Важно!
Персональные данные относятся к информации, распространение и предоставление которой ограничено.

Сбор, обработка, хранение информации о частной жизни и персональных данных, а также пользование ими осуществляются с письменного согласия человека.

Что касается вышеперечисленных действий в отношении персональных данных в стенах организации здравоохранения, то Законом № 94-З определено, что получение, передача, сбор, обработка, накопление, хранение медицинской информации, содержащейся в ЦИС, осуществляются медицинскими работниками без согласия пациентов.

В то же время, если обратимся к постановлению № 60*, вносящему изменения в постановление, регулирующее вопросы выписки рецепта врача и создания электронных рецептов врача, то в нем одно из требований к выписке электронного рецепта врача — это наличие письменного согласия пациента на обработку персональных данных и информации, составляющей врачебную тайну, в информационных системах, информационных ресурсах, базах (банках) данных в здравоохранении, по утвержденной форме.

* Постановление Министерства здравоохранения Республики Беларусь от 17.06.2019 № 60 «Об изменении постановления Министерства здравоохранения Республики Беларусь от 31 октября 2007 г. № 99» (по тексту — постановление № 60)

Форма

Письменное согласие пациента (уполномоченного лица) на обработку персональных данных

Я, ________________________________________________________________________________________________________________

                                           (фамилия, собственное имя, отчество (если таковое имеется))

документ, удостоверяющий личность: ________________________________________________________________________

серия _______ номер _____________ кем выдан ____________________________________________________________________ ,

дата выдачи «___» ___________ ____ г., проживающий по адресу: ______________________________________________

______________________________________________________________________________________________________________________ ,

номер медицинской карты амбулаторного пациента: ____________________________________________________ ,

даю согласие на обработку персональных данных и информации, составляющей врачебную тайну, в информационных системах, информационных ресурсах, базах (банках) данных в здравоохранении.

Мне разъяснено, что персональные данные будут переданы на хранение в автоматизированную информационную систему «Электронный рецепт».

__________            ______________            _________________________________

   (дата)                (подпись)                       (инициалы, фамилия)

Почему в соответствии с одним НПА согласие нужно, а в соответствии с другим — нет? 

Закон об информации содержит оборот «…если иное не установлено законодательными актами Республики Беларусь». Закон № 94-З и определяет это «иное». Получение, передача, сбор, обработка, накопление, хранение медицинской информации, которая будет содержаться в ЦИС, осуществляются медицинскими работниками без согласия пациентов.

Что касается письменного согласия на обработку персональных данных, установленного постановлением № 60, то в данном случае необходимо также в первую очередь обратить внимание на юридическую силу акта. Закон имеет большую юридическую силу, чем постановление. Во-вторых, нужно обращать внимание на дату вступления в силу. Большая юридическая сила у того, что вступил в силу позже. Таким образом, до вступления в силу Закона № 94-З письменное согласие на обработку персональных данных, регламентированное постановлением № 90, получать обязательно, после начала действия Закона № 94-З — нет. 

Ответственность за разглашение персональных данных

В соответствии со ст. 29 Закона об информации, в учреждениях здравоохранения, осуществляющих обработку информации, распространение и (или) предоставление которой ограничено, необходимо будет определить соответствующие подразделения или должностных лиц, ответственных за обеспечение защиты информации.

С 1 марта 2021 г. появилась новая статья в КоАП, которой введена комплексная норма, устанавливающая ответственность за довольно широкий перечень незаконных действий с персональными данными:

• умышленные незаконные сбор, обработка, хранение или предоставление персональных данных физического лица либо нарушение его прав, связанных с обработкой персональных данных, влекут наложение штрафа в размере до 50 базовых величин;
• деяния, указанные выше, совершенные лицом, которому персональные данные известны в связи с его профессиональной или служебной деятельностью, влекут наложение штрафа в размере от 4 до 100 базовых величин;
• умышленное незаконное распространение персональных данных физических лиц влечет наложение штрафа в размере до 200 базовых величин;
• несоблюдение мер обеспечения защиты персональных данных физических лиц влечет наложение штрафа в размере от 2 до 10 базовых величин, на индивидуального предпринимателя — от 10 до 25, а на юридическое лицо — от 20 до 50.

Резюме
Текущий год достаточно богат на новеллы в законодательстве, касающемся персональных данных. Активно происходит внедрение информационных технологий в здравоохранении.
Сегодня при работе с телемедицинскими технологиями, электронным рецептом и др., в ближайшем будущем — с ЦИС медицинская сестра должна обеспечивать конфиденциальность информации, доступ к которой она имеет в связи с профессиональной деятельностью в соответствии с законодательством Республики Беларусь.