«Прямая линия по важной теме» – развернутые ответы от экспертов по волнующим врачей вопросам. Каждый месяц крупнейшее профессиональное сообщество «Врачи РФ» и НИИ организации здравоохранения и медицинского менеджмента открывают прямую линию, на которой каждый врач сможет задать интересующий его вопрос и получить консультацию по самым актуальным рабочим вопросам. Вторая прямая линия посвящена теме «Информационная безопасность рабочего места врача и его личная безопасность», читатели портала «Врачи РФ» прислали много актуальных вопросов, на которые ответил начальник отдела информационной безопасности НИИ организации здравоохранения и медицинского менеджмента Андрей Королев.
− Что считается персональными данными?
Персональные данные представляют собой любую информацию, относящуюся к прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных») (далее – Закон № 152-ФЗ).
– Какие есть правила работы с персональными данными пациентов?
Медицинская организация, получая персональные данные от пациента (субъекта персональных данных), например, при его первоначальном поступлении или заключении договора на оказание платных медицинских услуг, а также в процессе лечения, приобретает статус оператора обработки персональных данных. У нее возникают определенные обязанности в части работы с полученными персональными данными.
Данные обязанности регулируются следующими нормативными актами:
– Конституция РФ;
– КоАП РФ, УК РФ, ГПК РФ;
– упомянутый выше Закон № 152-ФЗ;
– Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
– Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в РФ» (далее – Закон № 323-ФЗ);
– другие положения и нормативно-правовые акты.
Согласно пункту 3 статьи 3 Федерального закона о персональных данных, обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с персональными данными с использованием средств автоматизации или без использования таковых, включая сбор, запись, систематизацию персональных данных, их накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу персональных данных (их распространение, предоставление, доступ к ним), обезличивание, блокирование, удаление, уничтожение персональных данных.
Обработка персональных данных допускается с согласия субъекта персональных данных либо при наличии иных оснований, предусмотренных пунктами 2–11 части 1 статьи 6 Федерального закона о персональных данных:
– обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
– обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
– обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
– обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
– обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных;
– обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
– обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон "О микрофинансовой деятельности и микрофинансовых организациях"», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
– обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
– обработка персональных данных осуществляется в статистических или иных исследовательских целях;
– обработка персональных данных, полученных в результате обезличивания персональных данных, осуществляется в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Федеральным законом от 24 апреля 2020 года № 123-ФЗ «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации – городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона "О персональных данных"» и Федеральным законом от 31 июля 2020 года № 258-ФЗ «Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации», в порядке и на условиях, которые предусмотрены указанными федеральными законами;
– осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
Медицинской организации следует правильно подходить к виду и объему запрашиваемой информации. В обработку нужно запрашивать только те сведения, которые отвечают ее целям. Сведения не должны быть избыточными (ст. 5 Закона № 152-ФЗ).
При этом согласие на обработку биометрических данных необходимо получить от пациента именно в письменной форме (ст. 11 Закона № 152-ФЗ), так как они представляют собой сведения, которые характеризуют физиологические и биологические особенности, на основании которых можно установить личность.
– Можно ли обсуждать клинический случай пациента в рабочем чате по вотсапу? Что будет, если пациент узнает или его данные украдут? Кто будет за это нести ответственность и какую?
В связи с изменениями Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – Федеральный закон № 149-ФЗ), в части вступления в силу ч.8–10 ст.10 Федерального закона № 149-ФЗ с 1 марта 2023 года вступил в силу запрет на использование иностранных мессенджеров, принадлежащих иностранным лицам информационных систем и программ для ЭВМ в рамках передачи персональных данных. По информации от Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (https://rkn.gov.ru/news/rsoc/news74672.htm), к таким сервисам отнесены: Discord, Microsoft Teams, Skype for Business, Snapchat, Telegram, Threema, Viber, WhatsApp, WeChat.
Соответственно, врач не может использовать WhatsApp в служебных целях, поскольку тот является иностранным сервисом, врачу запрещено использовать иностранный сервис в рабочих целях.
В случае нарушения указанного запрета, согласно ст. 13.11.2. КоАП РФ за незаконное использование принадлежащих иностранным юридическим лицам и (или) иностранным гражданам информационных систем и (или) программ для электронных вычислительных машин установлен штраф:
от 30 000 до 50 000 рублей – для должностных лиц,
от 100 000 до 700 000 рублей – для организаций.
– Можно ли общаться с пациентами в мессенджерах?
C пациентом нужно общаться только на очном приеме либо при помощи телемедицинских технологий. Оказание медицинских услуг должно строго соответствовать требованиям действующего законодательства Российской Федерации.
− Могу ли я показывать данные анализа пациента его родственникам?
Согласно Закону № 323-ФЗ пациент или его законный представитель имеют право на основании письменного заявления получать отражающие состояние здоровья медицинские документы, их копии и выписки из медицинских документов (п. 5 ст. 22 Закона № 323-ФЗ) в порядке, утвержденном приказом Минздрава России от 14.09.2020 № 972н «Об утверждении Порядка выдачи медицинскими организациями справок и медицинских заключений, а также непосредственно знакомиться с медицинской документацией, отражающей состояние здоровья в порядке, утвержденном приказом Минздрава России от 12.11.2021 № 1050н «Об утверждении Порядка ознакомления пациента либо его законного представителя с медицинской документацией, отражающей состояние здоровья пациента».
Закон № 323-ФЗ допускает разглашение сведений, составляющих врачебную тайну, с письменного согласия пациента или его законного представителя другим гражданам, в том числе должностным лицам, в целях медицинского обследования и лечения пациента, проведения научных исследований, их опубликования в научных изданиях, использования в учебном процессе и в иных целях (п. 2 ст. 13 Закона № 323-ФЗ).
– Что грозит врачу или клинике, если произойдет утечка медицинских данных пациента?
Отвечать за разглашение личной информации, полученной в процессе постановки диагноза и лечения, должны по закону все лица, имеющие к ней доступ, и допустившие утечку информации. В первую очередь это касается лечащих врачей, медсестер и другого медицинского персонала, включая санитаров и работников регистратуры. Ответственность за сохранность данных, полученных по запросу, обязаны по законам также нести сотрудники правоохранительных органов, военкоматов и других учреждений.
Наступление ответственности и способ защиты прав гражданина за неправомерное разглашение сведений, составляющих врачебную тайну, будет зависеть от обстоятельств дела.
1. Привлечение к гражданско-правовой ответственности
В случае разглашения персональных данных пациента, он вправе в досудебном порядке обратиться к медицинской организации, допустившей разглашение врачебной тайны, с требованием (претензией) о возмещении вреда (в том числе морального). Кроме того, пациент вправе обратиться с исковым заявлением в суд.
В зависимости от обстоятельств дела и выбранной позиции требования могут быть основаны в том числе на ст. 15, 150, 151, 1064, 1068, 1099, 1101 ГК РФ и законодательстве о защите прав потребителей и персональных данных.
2. Привлечение к административной ответственности
В случае разглашения персональных данных пациента он вправе обратиться к прокурору с заявлением о возбуждении дела об административном правонарушении в связи с разглашением информации с ограниченным доступом (ст. 13.14, ч. 1 ст. 28.4 КоАП РФ).
Нарушение указанной нормы влечет наложение административного штрафа на граждан в размере от пяти тысяч до десяти тысяч рублей; на должностных лиц – от сорока тысяч до пятидесяти тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц – от ста тысяч до двухсот тысяч рублей.
3. Привлечение к уголовной ответственности
В случае разглашения персональных данных пациента он вправе обратиться в Следственный комитет РФ с заявлением о возбуждении уголовного дела по признакам преступления в связи с нарушением неприкосновенности частной жизни (ст. 137 УК РФ; пп. "а" п. 1 ч. 2 ст. 151 УПК РФ).
Согласно ч. 2 ст. 137 УК РФ за разглашение врачебной информации в случае наступления серьезных последствий виновному лицу может быть назначено одно из следующих наказаний:
- штраф в сумме от 100 тыс. до 300 тыс. руб. или в размере зарплаты либо иного дохода осужденного за период от одного года до двух лет;
- лишение права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
- принудительные работы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового;
- арест на срок до шести месяцев;
- лишение свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной профессиональной деятельностью.
4. Привлечение к дисциплинарной ответственности
За разглашение персональных данных работники организации могут быть привлечены к дисциплинарной ответственности в том числе в виде увольнения (пп. "в" п. 6 ч. 1 ст. 81, ст. ст. 90, 192 ТК РФ).
За ущерб, причиненный работодателю в результате разглашения сведений, относящихся к персональным данным, предусмотрена материальная ответственность работника в полном размере (ст. ст. 90, 238, п. 7 ч. 1 ст. 243 ТК РФ).
− К нам прислали документы от пациентов из всех больниц района. Кого из сотрудников мы можем допустить к работе по оцифровке?
В данном случае персональные данные Вам переданы от третьего лица, и для их обработки (оцифровке) Вам необходимо убедиться, что пациенты дали согласие на передачу, распространение персональных данных Вашей организации.
Для работы с персональными данными в организации должны быть приняты организационно-технические меры, а также в целях соблюдения требований законодательства утверждены локально-нормативные документы, регламентирующие работу с персональными данными.
В случае если данные получены в соответствии с требованиями действующего законодательства Российской Федерации и при наличии согласия пациента, к работе с персональными данными следует допускать работников, внесенных локально-нормативным актом учреждения в перечень лиц, допущенных к работе с персональными данными.
− Как работать с бумажным архивом, который у нас в больнице хранится 8 лет. Страшно выкинуть и оцифровать невозможно.
Сдавать на хранение в специализированный архив. Приказ Минздрава России от 03.08.2023 № 408 «Об утверждении Перечня документов, образующихся в деятельности Министерства здравоохранения Российской Федерации и подведомственных ему организаций, с указанием сроков хранения». Ответ хранить согласно этому приказу.
– Что обязан делать врач для обеспечения информационной безопасности на рабочем месте? Это где-то прописано?
Данные положения должны быть прописаны в «Политике информационной безопасности» вашего учреждения либо во внутренних локальных актах, к примеру, в инструкции пользователя. Вот пример.
Пользователь обязан:
- выполнять только те процедуры обработки информации, которые регламентированы его должностными обязанностями и правилами обработки информации;
- перед началом обработки информации, хранящейся на съемных носителях информации, необходимо осуществлять проверку данного носителя и файлов, размещенных на нем, на наличие компьютерных вирусов с использованием антивирусного программного обеспечения;
- соблюдать установленный режим разграничения доступа к информационным ресурсам;
- обеспечивать конфиденциальность идентификационной и парольной информации, используемой для доступа к информационным ресурсам.
- записывать и хранить защищаемую информацию на неучтенных машинных носителях информации;
- оставлять носители информации без присмотра, несанкционированно передавать носители информации третьим лицам и выносить их за пределы помещений, в которых производится обработка защищаемой информации;
- отключать и изменять настройки средств антивирусной защиты;
- отключать (блокировать) и изменять настройки средств защиты информации;
- производить какие-либо изменения в электрических схемах, монтаже и размещении технических средств;
- самостоятельно тиражировать или модифицировать программное обеспечение, изменять установленный алгоритм функционирования технических и программных средств;
- открывать файлы, поступившие из неизвестных внешних источников, в том числе вложенные файлы во входящие сообщения электронной почты, файлы, размещенные на съемных машинных носителях информации, файлы, загруженные из информационно-телекоммуникационной сети «Интернет», без их предварительной проверки антивирусными средствами защиты информации;
- отправлять по открытым каналам связи защищаемую информацию, которая не зашифрована сертифицированными средствами криптографической защиты информации;
- использовать для обработки или передачи защищаемой информации зарубежные почтовые и облачные сервисы (Google, Yahoo и т.п.), сервисы обмена мгновенными сообщениями, в том числе сервисы передачи голосовой и видеоинформации (ICQ, QIP, Jabber, Viber, Whatsap, Skype, Telegram и т.д.), социальные сети (Twitter, Facebook, Livejournal и т.д.);
- использовать для разработки (создания) служебных документов (официальных писем, служебных записок и другой документации) чат-боты с искусственным интеллектом (например, ChatGPT и его аналогов);
- подключать к АРМ, используемому для обработки защищаемой информации, посторонние технические средства, в том числе мобильные устройства (планшеты, смартфоны и т.п.), и неучтенные съемные машинные носители информации (флеш-накопители, usb-диски и т.п.).
Вот некоторые признаки того, что компьютер подвергся атаке:
1. Компьютер стал работать медленно.
2. Компьютер постоянно обращается к жесткому диску.
3. Проблемы с учетными записями.
4. Внезапно появляющиеся окна.
5. Подозрительное поведение браузера.
6. Недоступные или исчезнувшие файлы или папки.
7. Появились незнакомые файлы или приложения.
8. Нотификации об удаленном подключении.
9. Что-то мешает компьютеру выключиться или перезапуститься.
10. Письма или сообщения, которых вы не отправляли.
– Если открыл странный файл/ссылку и все зависло, какие мои первые действия?
Если вы не являетесь техническим специалистом, то рекомендую отключить рабочее место от сети 220В и незамедлительно обратиться в отдел информационной безопасности или ИТ-службу вашей организации. Специалист должен изъять рабочую станцию и провести сканирование антивирусным программным обеспечением. Если он заражен, то производится его лечение либо полная переустановка операционной системы.
– Можно ли хранить пароль, который выдали айтишники, для входа в учетную запись пользователя рядом с компьютером?
Нет, пароли нельзя ни хранить рядом с компьютером, ни приклеивать на монитор и другие устройства. Также не рекомендую хранить пароли в текстовых файлах на рабочем компьютере и в браузерах. Ваши пароли должны быть максимально защищены от несанкционированного доступа к ним третьих лиц.
– Есть ли готовый алгоритм отражения атак на инфраструктуру больницы?
Да, есть методические рекомендации, на основе которых учреждение делает свой регламент по реагированию на инциденты и ликвидации компьютерных атак.
− Могу ли я использовать на своем рабочем месте информационные носители от пациентов, например диски и флешки?
Нет, это может противоречить политике информационной безопасности учреждения здравоохранения. Все машинные носители, которые используются на компьютере врача и на которых происходит обработка персональных данных пациентов, должны быть учтены, и им должно быть определено место хранения.
− Меня иногда просят отправлять данные по почте. Можно ли это делать?
Если речь идет о персональных данных граждан, то в соответствии с действующим законодательством передача персональных данных по открытым каналам связи запрещена.
− Расскажите о новых правилах информационной безопасности по работе в больнице.
Обеспечить соблюдение запрета на использование работниками подведомственного учреждения общедоступных средств коммуникации для обработки и (или) обмена информации ограниченного доступа (в том числе персональных данных):
- публичной электронной почты (Google, Mail, Rambler, Яндекс и т.п.);
- интернет-мессенджеров (Whatsapp, Viber, Telegram, Discord, Snapchat, Threema, WeChat и т.п.);
- средств видеоконференцсвязи (Zoom, Google Meet, GoToMeeting, Microsoft Teams, Skype, Яндекс телемост, SberJazz, Mail видеозвонки и т.п.);
- информационных систем, сайтов, сервисов, приложений и т.п., не имеющих подтверждении соответствия требованиям защиты информации.
– Как будет происходить переход от одного ПО к другому в ЕГИСЗ? Это же зачастую разные форматы записей. Как своими силами частным организациям переносить данные о пациентах в новую систему?
Спасибо за вопрос. ЕГИСЗ это – Единая государственная информационная система в сфере здравоохранения, которая содержит в себе большой набор различных подсистем, например ФРМР, ФРМО, ВМП, СМП, ФРВИЧ и др. Доступ в эти подсистемы осуществляется либо через авторизацию в Госуслугах + TLS ГОСТ шифрование, либо через Госуслуги + VIpnet client, либо через координатор в зависимости от схемы подключения. Если речь идет об интеграции медицинской информационной системы учреждения с ЕГИСЗ, то нужно решать в каждом конкретном случае индивидуально, как можно это реализовать технически.
Уважаемые коллеги, мы постарались максимально подробно ответить на ваши вопросы, часть вопросов перенесем на будущие прямые линии, потому что по профилю вопроса будут отвечать линейные специалисты с соответствующими компетенциями. Всем большое спасибо за интерес, проявленный к «Прямой линии по важной теме», вопросов действительно было очень много. Мы рады, что наши знания и ваши потребности в работе совпали. Следующая прямая линия состоится через месяц и будет посвящена интеллектуальной собственности изобретений и проектов врача.
Больше статей по проекту:
- Прямая линия: «Наука в жизни врачей»
- Всемирная организация здравоохранения представила умного ИИ-консультанта по вопросам здоровья
- Цифровое управление документами в российской медицине
- Москва откроет бесплатный доступ к сервисам искусственного интеллекта для всех регионов России
- Юбилейный проект совместно с крупнейшим сообществом «Врачи РФ»
- Московскую систему ЕМИАС начали подключать в федеральных клиниках
- Общенациональная удовлетворенность пациентов здравоохранением
- Заработал китайский чат-бот с искусственным интеллектом