Инновационное правосознание врачей

[Sonar]

Присутствую на одном из форумов по использованию планшетов и прочих электронных гаджетов, где обсуждалась их роль в работе врача. "Зацепились" по использованию программы для хранения информации. Один из врачей предлагает ее адаптацию к ведению органайзера + "собственной регистратуры" для пациентов своего участка. Идея однозначно благая, но удивила резко негативная реакция на упоминание мною ст. 9 Федерального Закона № 152-ФЗ от 27.07.2006 "О персональных данных". Более того, еще один-два человека высказались в поддержку оппонента и с критикой зажима современных средств хранения и обработки информации на местах

Ситуация, конечно же, однозначна. Как это ни печально - такое хранение информации противозаконно. Но все же, есть такая неподконтрольная государству штука как жизнь. И в ней выявляется описанная выше тенденция. Определенная недоработка законодательства тоже присутствует, но ждать поправок надо десятилетиями, а работать надо уже сейчас.

Собственно, хотел спросить : как относится сообщество к подобным нарушениям законодательства ? И что за это будет ? Ну, увидел пациент, что врач на дому считывал его данные с планшета и забивал туда же текущее состояние. Ну ладно, возмутился, написал жалобу в прокуратуру - и сколько лет отсидки светит ?

Можно ли как-то "легализовать" собственную базу (если вдруг кто-то решится на это) ? Разумеется, не хотелось бы быть втянутым в бюрократическую истерику с заявлением на имя ГВ, установкой официальной лицензированной криптозащиты, сдачей планшета в сейф в кабинете ГВ в конце работы, с ежемесячными профилактическими явками в Комитет по противодействию коррупции и местного отделения Следственного Комитета.

[Dr. Vadim]

Я ничего не понял из написанного.

Я знаю статью 9 Закона о персональных данных, но все равно только что прочитал ее еще раз. Я не понимаю, в чем заключается нарушение ст.9 Закона о ПД и почему ситуация однозначна.

Давайте подробнее. Вначале детально опишите ситуацию, а затем - несоответствие этой ситуации нормам статьи 9 Закона о ПД. Есть ощущение, что Вы рассказали не все.

[Sonar]

Цитата:

Сообщение от Dr. Vadim

Я не понимаю, в чем заключается нарушение ст.9 Закона о ПД и почему ситуация однозначна.

Ну давайте подробнее.
Врач на постоянной основе, на собственном (личном) носителе хранит в электронной форме персональную (ФИО, адрес, телефон) и медицинскую информацию о своих пациентах. Без уведомления о том этих самых пациентов. Без обязательств и ответственности за ее несанкционированное раскрытие, например, при утрате, случайном копировании в открытые источники и пр... И, само собой, не оформляя своих прав (и обязанностей) Оператора, которое, насколько я понял, присваивается ЛПУ, но никак не третьим лицам, пусть даже это мед. работники.
Ст. 9 однозначно требует не просто уведомления о "спец. хранении" подобной информации, но и письменного на то согласия клиента, нет ?

Я даже не упоминаю о других положениях данного ФЗ. ИМХО одной этой статьи вполне достаточно : "Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе"
Обратите внимание, не "кто-то" принимает решение, а Субъект.

[AmuRRR]

Цитата:

Сообщение от Sonar

...................и сколько лет отсидки светит ?

.............

Собссно, с сайта новосибирского Комнадзора

Цитата:

Вопрос: Какая ответственность предусмотрена за нарушения оператором требований Федерального закона «О персональных данных»?

Ответ: Ст. 24 Федерального закона «О персональных данных» определяет ответственность за нарушение данного Федерального закона, которая выражается в виде уголовной, административной, дисциплинарной и иной предусмотренной законодательством Российской Федерации ответственности.

Административная ответственность за нарушение настоящего Федерального закона наступает за:

- неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, либо несвоевременное предоставление таких документов и материалов, непредставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации (ст. 5.39 КоАП РФ);

- нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных (ст. 13.11 КоАП РФ);

- разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность) (ст. 13.14 КоАП);

- непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде (ст.19.7. КоАП РФ).

Кроме того, за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, и неправомерный доступ к охраняемой законом компьютерной информации российским законодательством предусмотрена уголовная ответственность, предусмотренная ст. 137, 272 УК РФ.

КОАП [Ссылки доступны только зарегистрированным пользователям ]

Цитата:

Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)


Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) -

влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей

.
УК РФ [Ссылки доступны только зарегистрированным пользователям ]

Цитата:

Статья 137. Нарушение неприкосновенности частной жизни


1. Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации -


наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок до трехсот шестидесяти часов, либо исправительными работами на срок до одного года, либо принудительными работами на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового, либо арестом на срок до четырех месяцев, либо лишением свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет

2. Те же деяния, совершенные лицом с использованием своего служебного положения, -

наказываются штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового, либо арестом на срок до шести месяцев, либо лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет

Статья 272. Неправомерный доступ к компьютерной информации
. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, -

наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.

2. То же деяние, причинившее крупный ущерб или совершенное из корыстной заинтересованности, -

наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо исправительными работами на срок от одного года до двух лет, либо ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо арестом на срок до шести месяцев, либо лишением свободы на тот же срок.

3. Деяния, предусмотренные частями первой или второй настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, -

наказываются штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до трех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет, либо ограничением свободы на срок до четырех лет, либо принудительными работами на срок до пяти лет, либо лишением свободы на тот же срок.

4. Деяния, предусмотренные частями первой, второй или третьей настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления, -

наказываются лишением свободы на срок до семи лет.

Примечания. 1. Под компьютерной информацией понимаются сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи.

2. Крупным ущербом в статьях настоящей главы признается ущерб, сумма которого превышает один миллион рублей

[Sonar]

Цитата:

Сообщение от AmuRRR

с сайта Комнадзора

Спасибо. Впечатляюще исчерпывающая информация

С правовыми последствиями нарушений правил сбора, хранения и пр. - разобрались. Но остается ИМХО не менее интересный аспект "инновационного развития" техники и ее применения в медицине.

Присутствие личных портативных компьютеров/планшетов/смартфонов сейчас уже становится обычным делом и будет все более распространяться. Если раньше можно было делать только письменные заметки, вести какие-то записи в журналах, которые, однако, хранились на рабочем месте и которые физически было трудно копировать, тиражировать и обрабатывать, то теперь многое изменилось.

Даже не задаваясь целью создать собственную регистратуру, как это решил сделать упомянутый мною коллега, то все равно есть обоснованная потребность накапливать и иметь постоянно под рукой кое-какую специальную информацию по некоторому кругу пациентов. Это - тяжелые, лежачие, льготники и пр., карточки которых вечно теряются, в проверке, да и объем их такой, что таскать на вызовы нереально, а вот собственноручно подготовленная и периодически обновляемая "выжимка из карточки" была бы кстати.

Наш напряженный обмен мнениями с упомянутым коллегой натолкнула на мысль о путях "легализации" подобных "избранных глав".
Есть ли какие-то мнения по поводу допустимости и ограничениях создания собственных баз данных на пациентов ? С учетом возможностей современной компьютерной техники ?

Хотя, конечно, на заднем плане этой темы незримо присутствует постулат : Суровость законов в России искупается необязательностью их исполнения.

[Dr. Vadim]

А что мешает взять согласие на ОПД, как того требует ст.9? Почему Вы строите свои рассуждения, исходя из отсутствия этого согласия, а не из его наличия? И почему Оператор - автоматически медицинская организация? Только потому, что Вы так поняли?

[Sonar]

Цитата:

Сообщение от Dr. Vadim

А что мешает взять согласие на ОП

Хм... вроде я раньше немного касался темы легализации. Ну, давайте подробнее. Вот у меня в поликлиническом компе список подлежащих ДД - около 800 чел., с адресами-телефонами, пометками о прохождении, диагнозами, группой диспансеризации. Список переведен в электронную форму лично мною из неорганизованной массы ручных записей в паспорте участка. Это хороший задел для дальнейшего накопления данных для текущей и будущей работы, возможность быстро находить информацию для отчетов по той же ДД - но, если он будет доступен мне в любое время. Для легализации этой БД мне нужно снова лично поквартирно обходить людей и совать на подпись Согласие... А если они не согласны ? Они согласие на диспансеризацию-то подписывали после длительных уговоров через домофон... Вот это мне и мешает.

Оператор, как я понял - это не самопровозглашенное и самостийное образование. Для получения этого статуса надо пройти регистрацию, принять на себя дополнительный обязательства и накликать на себя дополнительные проверки. Вновь риторический вопрос - оно мне надо ?!?!?
Цитирую :
"Согласно закону, а также ряду подзаконных актов и руководящих документов регулирующих органов (ФСТЭК России, ФСБ России, Роскомнадзор), операторы ПД должны выполнить ряд требований по защите персональных данных физических лиц и предпринять ряд действий:
1.Направить уведомление об обработке персональных данных (Закон № 152-ФЗ Ст. 22 п. 3)
2.Получать письменное согласие субъекта персональных данных на обработку своих персональных данных (Закон № 152-ФЗ ст. 9 п. 4)
3.Уведомлять субъекта персональных данных о прекращении обработки и об уничтожении персональных данных (Закон № 152-ФЗ ст. 21 п. 4)"

Далее, я строю свои рассуждения на основе отсутствия согласия именно потому, что согласие отсутствует. Если бы оно присутствовало - зачем бы я поднимал этот разговор.
И насчет "только потому что Вы так поняли"... Да, я понял именно так. Медицинская информация на приписной контингент вроде как должна хранится в соотв. ЛПУ, а не, допустим, в ЖЭК.
P.S. Знаете, на профессиональном форуме хотелось бы более корректных обращений. Если Вы считаете тему и мои слова глупыми и надуманными, скажите об этом прямо.

Все-таки, если перейти к конструктивным мыслям : кто как понимает возможности (и ограничения) хранения и обработки персональной информации на личных носителях ? Разумеется, в профессиональных целях, а не для торговли на подпольных рынках информации.
С одной стороны, нынешний закон подразумевает хранение в условиях ЛПУ. С другой, обслуживание вызовов на дому требует доступа к информации в любое время с любого места.

[Dr. Vadim]

Вы забыли о таком важнейшем гражданско-правовом институте как доверенность и действие в интересах доверителя. Ничто не мешает работодателю развернуть свое, как Вы пишете, инновационное правосознание и делегировать полномочия оператора ПД конкретному физическому лицу (работнику) в той части, в которой это необходимо тому для выполнения своей трудовой функции. Почему у нас не пользуются доверенностями ( а в отношениях по оказанию гражданам медицинской помощи или предоставлении информации, составляющей врачебную тайну,есть немало точек применения доверенностей) - мне неизвестно. Но то, что физическое лицо может выступать оператором ПД - бесспорно (ст.3 Закона о ПД).
Нет никаких проблем с тем, чтобы на уровне медицинской организации составить согласие на ОПД с указанием в нем возможности передачи некоторых полномочий оператора конкретному лицу, а конкретному лицу ничто не мешает носить с собой выданную "настоящим" оператором доверенность. После этого можете с чистой душой уведомить и ФСТЭК, и ФСБ, и Роскомнадзор.

[Sonar]

Цитата:

Сообщение от Dr. Vadim

... физическое лицо может выступать оператором ПД - бесспорно. После этого можете с чистой душой уведомить и ФСТЭК, и ФСБ, и Роскомнадзор.

Понятно. Здесь вариант - сделать все официально и взять на себя полную ответственность за ведение "выделенной регистратуры".
Не предлагаю обсуждать наличие необходимых знаний и навыков на ведение такой электронной регистратуры, ограничимся, что в этом варианте будет много дополнительных проблем и хлопот. Потому что придется все делать не так, как считаешь необходимым, а так, как этого от тебя начнут требовать. Сомневаюсь, что кто-то из практикующих поликлинических врачей реально за это возьмётся.
А ближе к жизни ?
До какого предела накопление медицинской и персональной информации на личных носителях будет считаться допустимыми "рабочими заметками в электронной форме", а с какого - попадет под действие упомянутого закона ?
Пример - у меня на планшете есть несколько ПД пациентов с нестабильным МНО - там их ФИО, телефон и динамика МНО с указанием текущих доз Варфарина, пометками и примечаниями. Часто приходится общаться с ними и вне работы, эти данные постоянно нужны. Длительность некоторых из этих записей - более года. И как - при подобных пополняемых и обновляемых данных, хранящихся на личном планшете - это попадает под действие упомянутого закона или нет ?

[ELENA_VLAD]

В Вашей поликлинике пациенты инфомированное согласие о сборе персональных данных подписывают?

[Sonar]

Цитата:

Сообщение от ELENA_VLAD

...согласие о сборе персональных данных подписывают?

Да, в обязательном порядке. Нас за это постоянно трясут, если не дай Бог к зав. отделению или куда выше карточка без подписи попадет.

[ELENA_VLAD]

У эндокринологов есть Регистр Диабета. Я поставила программу на отдельный ноутбук скопировала базу и дома подсчитываю все, что мне нужно по работе. Всегда считала, что после подписания Согласия информация может быть использована. Задумалась теперь. Но Регистров развелась тьма - как же быть?

[Dr. Vadim]

Ч.3 и ч.4 ст.6 закона о персональных данных. Можно прочитать, а можно продолжать задумываться и искать себе новые проблемы.

[ELENA_VLAD]

Интересно, читали ли статьи закона те , кто придумывают регистры.
Что до меня - все требования соблюдаю - именно поэтому установила на ПК с кодами и пр.

[Sonar]

Цитата:

Сообщение от ELENA_VLAD

Что до меня - все требования соблюдаю - именно поэтому установила на ПК с кодами и пр.

На ЛИЧНЫЙ ПК или на ЛПУ-шный ?
Если на личный, то "кодами" не обойтись. В шапке раздела "Мед.Право" есть тема, посвященная ОП. Там приведены документы, которым ваша "защита данных" должна соответствовать. Попытаюсь скопировать, если позволят возможности редактирования.

Очень кратко, подробнее - см. ссылку : http://forums.rusmedserv.com/showthread.php?t=120817

=============================================
В соответствии с перечисленными выше документами организации, эксплуатирующие информационные системы классов 1Г и К1, обязаны:
а) получить лицензию ФСТЭК на техническую защиту информации (срок действия — пять лет);
б) выполнить все необходимые мероприятия по обеспечению защиты информации для указанных классов информационных систем;
в) провести аттестационные испытания ИС по требованиям ФСТЭК.
Кроме того, при использовании в учреждении средств криптографической защиты информации может потребоваться получение лицензии ФСБ. Заметим, что во всех случаях установка в ИС ПД сертифицированных средств криптографической защиты информации должна осуществляться организацией, имеющей соответствующую лицензию ФСБ.

Аттестация ИС проводится с привлечением внешней организации-аудитора, имеющей соответствующий аттестат аккредитации ФСТЭК. Если проверка показала, что система защиты ПД данной ИС соответствует установленным требованиям, то выдается аттестат соответствия (сроком на три года). С порядком получения лицензии на техническую защиту информации, проведения аттестации ИС и перечнем организаций, уполномоченных проводить аттестационные испытания, можно ознакомится на сайте ФСТЭК ([Ссылки доступны только зарегистрированным пользователям ]).
При организации рабочих процессов в учреждении необходимо стремиться к максимально возможному сокращению перечня сотрудников, имеющих доступ к ПД пациентов.

Порядок их доступа к конфиденциальным сведениям и ПД, хранящимся в базах данных ИС, должен определяться соответствующими регламентами и должностными инструкциями.
=========================================

Исходя из последнего абзаца, порядок пользования личными ПК по идее должны определяться локальными инструкциями. ELENA_VLAD, Вам прописали условия и границы использования Вашего ПК ?

Позволю себе продолжать задумываться ...

Цитата:

Сообщение от Dr. Vadim

Ч.3 и ч.4 ст.6 ... а можно продолжать задумываться и искать себе новые проблемы.

Хм... специально скопировал с купюрами для экономии места :
===============================================
Статья 6. Условия обработки персональных данных

3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных ... на основании заключаемого с этим лицом договора (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора ... должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных ...

4. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
==============================================

Т.е., помимо наличия поручения и выполнения всех требований по криптозащите, ВСЕ внесенные в личные БД субъекты должны однозначно дать на то согласие. Хотя есть здесь определенный соблазн : если поручить всем врачам вести базу данных по своим участкам, то можно спокойно разогнать регистраторов и сэкономить фонд заработной платы.

В общем, по ФЗ предполагается, что никаких "личных инициатив" не должно быть. Все поползновения должны быть прописаны в должностных инструкциях. Хотя сомневаюсь, что обращение к ГВ по всякому поводу насчет новых аспектов использования ПД на личных носителях - это путь, отличный от "искать себе новые проблемы".
ELENA_VLAD, может рискнете провести опыт по легализации Вашего Реестра ? Мне, с моими выписками на планшете, как-то нелепо соваться. А у Вас вон как все серьезно.