Согласие на обработку медицинских персональных данных

Основными правовыми нормативными актами, регламентирующими требования к процессам обработки ПД, в том числе в учреждениях здравоохранения, являются:
* Конституция Российской Федерации, принятая 12.12.1993; ст. 23, 24 (неприкосновенность частной жизни, личная и семейная тайна), ст. 41, 42 (недопустимость сокрытия информации, связанной с угрозой жизни и здоровью);
* “Основы законодательства Российской Федерации об охране здоровья граждан”, … закон РФ № 5487-1 от 22.07.1993 (далее — Основы); в ст. 61 дано определение врачебной тайны как “информации о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иных сведений, полученных при его обследовании и лечении”;
* федеральный закон “Об информации, информационных технологиях и защите информации” № 149-ФЗ от 27.07.2006, в котором даны определения таких понятий, как информация, документирование информации, защита информации, обладатель информации, конфиденциальность информации, предоставление и распространение информации, электронное сообщение;
* федеральный закон “О персональных данных” № 152-ФЗ от 27.07.2006 (далее — Закон), которым регулируются отношения, связанные с обработкой персональных данных с использованием средств автоматизации;

* указ Президента РФ “Об утверждении перечня сведений конфиденциального характера” № 188 от 06.03.1997 (в редакции указа Президента РФ от 23.09.2005 № 1111) в котором к указанной категории сведений отнесены персональные данные и сведения, содержащие врачебную тайну;

* указ Президента РФ № 351 от 17.03.2008 “О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена”;

* постановление Правительства РФ № 504 от 15.08.2006 “О лицензировании деятельности по технической защите информации”;

* постановление Правительства РФ № 957 от 29.12.2007 “Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами”;

* постановление Правительства РФ № 781 от 17.11.2007 “Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных” (далее — Положение), в котором определены основные требования к указанным информационным системам (ИС);

* постановление Правительства РФ № 512 от 06.07.2008 “Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных”;

* постановление Правительства РФ № 687 от 15.09.2008 “Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации”;

* совместный приказ ФСТЭК России, ФСБ России, Мининформсвязи России № 55/86/20 от 13.02.2008 “Об утверждении Порядка проведения классификации информационных систем персональных данных”.


Напомним, что к персональным данным относятся:
а) сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (см. Указ Президента РФ № 188 от 06.03.1997);
б) любая информация, относящаяся к определённому или определяемому на основании такой информации физическому лицу (субъекту персональных данных; ст. 3 Закона).
Конфиденциальной считается документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и которая не подлежит передаче третьим лицам без согласия её обладателя. Обладателем информации, содержащей врачебную тайну, является пациент (субъект ПД) или его законный представитель — должно быть получено согласие пациента на передачу касающихся его сведений, содержащих врачебную тайну, кому-либо, в том числе должностным лицам в интересах его обследования и лечения (ст. 61 Основ).
Под обработкой ПД понимаются любые действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение (ст. 3 Закона)
Любое юридическое или физическое лицо, организующее и/или осуществляющее обработку ПД, а также определяющее цели и содержание их обработки, является оператором ПД (ст. 3 Закона).
В общем случае оператор ПД — учреждение здравоохранения, фонд обязательного медицинского страхования (ОМС), страховая медицинская организация — должен:
1. Зарегистрироваться в качестве оператора ПД — подготовить и направить уведомление в Роскомнадзор по гор. Москве, которая постановлением Правительства РФ № 419 от 02.06.2008 определена в качестве уполномоченного органа по защите прав субъектов персональных данных (ст. 22, 23 Закона);
2. Получить письменные согласия пациентов (субъектов ПД) на обработку, в том числе передачу их персональных данных (ст. 6, 9 и 10 Закона);
3. Обеспечить информирование пациентов по их запросам о целях, способах и сроках обработки, хранения их ПД, а также о лицах, имеющих к ним доступ (часть 4 ст. 14 Закона); для этого в информационной системе учреждения должны быть реализованы функции разграничения полномочий, аутентификации, регистрации (учёта) и контроля доступа пользователей к ПД, автоматического ведения журналов доступа (п. 15 Положения);
4. Для определения необходимых мер и выбора средств защиты ПД провести классификацию своей ИС в зависимости от характера (состава) и объема обрабатываемых ПД и угроз безопасности жизненно важным интересам личности в случае нарушения их конфиденциальности (утечки) и оформить соответствующий документ (п. 6 Положения); следует заметить, что все ИС ПД, в которых обрабатываются сведения о состоянии здоровья, в соответствии с требованиями приказа ФСТЭК, ФСБ и Миниформсвязи России № 55 / 86 / 20 от 13.02.2008 являются системами 1-го класса (К1, см. далее);
5. Организовать и поддерживать систему защиты конфиденциальной информации от несанкционированного доступа в соответствии с установленным классом ИС с использованием средств защиты, сертифицированных в установленном порядке; для подтверждения соответствия ИС требованиям защиты конфиденциальной информации и ПД необходимо провести аттестацию системы