За семью печатями

Государство так не умеет

В одном из районных судов Москвы слушается уголовное дело в отношении преступной группы, которая обманула граждан на сумму почти 6 млн рублей. Реализовать задуманное им позволило грубое нарушение законодательства о защите персональных данных торговым предприятием, которое реализовало биодобавки и медицинские аппараты для домашнего использования. Приобретя клиентскую базу у этой фирмы, предприимчивая ставропольчанка наняла 6 помощников, которые стали обзванивать граждан, чтобы сообщить им радостную новость. Если они переведут на указанный счет символический взнос – от 15 до 32 тыс. рублей, то смогут получить весомую компенсацию от государства за ранее приобретенную продукцию медицинского назначения. Улов группы за полгода составил 5 млн 991 тыс. рублей. Подсудимым инкриминируют сразу 3 статьи УК РФ: мошенничество, организацию преступного сообщества или участие в нем и незаконное получение сведений, составляющих коммерческую тайну, совершенное из корыстной заинтересованности. Фирма, которая продала персональные данные своих клиентов, в поле зрения правоохранителей не попала.

Или свежий случай. В Территориальный орган Росздравнадзора по Ростовской области поступило письменное обращение от жительницы донской столицы. Спустя пять часов после сдачи крови в поликлинике, на мобильный телефон пациентки позвонила женщина, которая назвалась заведующей лабораторией и сообщила о выявленном в ходе исследования страшном заболевании. Звонившая сообщила, что счет идет на минуты – необходимо срочно начинать лечение. Напуганной до смерти пациентке предложили перевести на счет 150 тыс. рублей в качестве предоплаты за лекарственное средство, которое курьер привезет ей тотчас же. Деньги были переведены, однако никаких таблеток никто не привез.

Росздравнадзор направил жалобу потерпевшей в Управление Роскомнадзора и МВД Ростова-на-Дону для принятия мер. Однако прошло несколько месяцев, а ответа ни от одной из организации заявительнице так и не поступило.

«Сейчас происходит цифровая революция, а любое новшество требует времени для обкатки, - комментирует ситуацию порталу Medvestnik.ru директор Департамента информационных технологий и связи Минздрава России Елена Бойко. - Современные технологии будут в большей степени позволять фиксировать вход в информационную систему здравоохранения каждым человеком, нежели когда документация велась в бумажном виде, и отслеживать все действия, совершенные там. Но, безусловно, пока идет режим становления, происходят такие негативные моменты, как в Ростове-на-Дону. С этим необходимо бороться».

По мнению директора Департамента развития электронного правительства Минкомсвязи России Владимира Авербаха, когда появляется новая технология, то всегда присутствует элемент игры: кто быстрее? Мошенники быстрее вскроют ее? Или хорошие ребята защитят? 

«У нас недавно принят закон, что идентификация человека при продаже СИМ-карты происходит по паспорту, то есть требования ужесточены, - добавляет Владимир Авербах. - Сейчас операторам связи будет дан доступ – законодательно он уже предоставлен, остается проработать технические моменты – чтобы они могли проверять все паспортные данные человека в режиме онлайн при продаже СИМ-карты. Это значит, что отследить звонившего якобы из больницы станет элементарно».

С точки зрения директора по особым поручениям госкорпорации «Ростех» Василия Бровко, аферисты промышляли и до появления «цифры», и им ничего не мешает придумать, как обмануть доверчивых граждан, используя аналоговые данные. «Конечно, надо меньше верить в такие звонки, - советует он. - Никогда государственная или муниципальная поликлиника или больница не позвонит и не скажет: "Срочно переведите кому-то деньги". Государство попросту не умеет брать деньги с граждан таким образом».

Пациент защищен, врач – не очень

Но вернемся к личной информации. «Я часто слышу от руководителей организаций: "Да мы не обрабатываем персональные данные, мы даже форму обратной связи с нашего сайта убрали", - рассказывает руководитель компании P-DATA, специализирующейся на защите персональных данных, член Экспертного совета по предпринимательству Госдумы РФ Александр Ильин. – Это одно из самых распространенных заблуждений. Вы являетесь оператором ПД, даже если вы не подали уведомление в Роскомнадзор».

Штрафы за нарушения при работе с персональными данными

В подтверждение этих слов достаточно зайти на сайт вышеназванного ведомства и ознакомиться с реестром операторов ПД. На конец сентября в нем зарегистрированы свыше 398 тыс. организаций, из них, согласно поисковику, больниц - 36, поликлиник - 46, клиник – 86 (капля в море, если учесть, что общая численность медицинских предприятий в России оценивается на уровне 30 тыс.).

Все ЛПУ без исключения являются операторами персональных данных, причем они обрабатывают ПД не только пациентов, но и медицинских работников – в рамках трудовых соглашений.

При этом режим защиты ПД медработников отличен от того, как охраняются данные пациентов. Согласно законам «Об ОМС» и «Об основах охраны здоровья граждан в Российской Федерации» персональные данные медицинских работников лечебно-профилактических учреждений подлежат обязательному раскрытию. Таким образом законодатель учел необходимость получения информации для реализации прав граждан на выбор лечащего врача. Как только в фойе поликлиники или на сайте клиники появляется перечень фамилий-имен-отчеств работающих там врачей, с указанием специальности и категории, научной степени, все эти данные переходят в категорию опубличенной, общедоступной информации, которая не подлежит защите законом о ПД. 

«После публикации на официальном сайте медицинской организации персональные данные становятся общедоступными и могут обрабатываться оператором, - поясняет руководитель портала отзывов о работе врачей и ЛПУ «ПроДокторов» Сергей Федосов. - На вышеуказанных законах основывается деятельность нашего сервиса c ПД врачей. От пациентов - авторов отзывов мы получаем согласие на обработку ПД. При этом отзывы на портале подписываются или номером телефона со скрытыми последними цифрами, или именем из соцсети с первой буквой фамилии. Если автор захочет, то может не публиковать свои данные вовсе, в этом случае рядом с отзывом будет написано, что автор скрыл их».

Сергей Федосов признает, что в практике портала были случаи, когда в ответе на отзыв пациента врач указывал какую-либо информацию, благодаря которой можно было идентифицировать его визави. Такие сведения из ответа всегда удалялись модератором, чтобы не нарушать требований закона.

Лекарство от утечек

Так, какие шаги необходимо предпринять ЛПУ, чтобы защитить персональные данные в компании и не нарушить закон?

«В первую очередь необходимо подготовить нормативно-распорядительную документацию и локальные нормативные акты, назначить ответственных за обработку персональных данных и прописать взаимодействие с различными органами и третьими лицами, которые могут их запрашивать, - настаивает Александр Ильин. – Ответственное лицо может быть как штатным сотрудником, так и на аутсорсинге. Далее составляется перечень лиц, допущенных к ПД, - это такой табель, где указано, кто из сотрудников к каким именно данным допущен, и прописаны разграничения этого доступа. Важно издать политику по обработке персональных данных, обязательно опубликовать ее на сайте и разместить у себя в организации. В политике должно быть закреплено, с какой целью вы собираете ПД, как обрабатываете их, как защищаете, сколько храните, как уничтожаете и кому передаете, риски и угрозы утечки информации. Не забудьте создать форму на обработку персональных данных, если у вас есть сайт, и там же дать ссылку на свою политику. Прежде чем человек согласится на обработку ПД и поставит галочку в квадратик, он должен ознакомиться с политикой и сделать выводы о том, насколько его данные хорошо защищены. Требуется определить уровень защищенности персональных данных и порядок уничтожения ПД. Обязательно надо составить перечень информационных систем, которые используются в организации, принять меры по защите».

После того, как перечисленные меры реализованы, необходимо собрать сотрудников и рассказать им о том, как в организации ведется обработка персональных данных. На финальной стадии остается направить уведомление в Роскомнадзор для регистрации в качестве оператора ПД.

«По результатам проверки пакета документов, которая длится в среднем 20 дней, организация получает акт, где перечислены все допущенные нарушения, - резюмирует Александр Ильин. - Очень важно, что, если вы устранили все нарушения оперативно и сообщили об этом в ведомство, тогда они не попадут в финальный акт проверки».

Вместо заключения. В июне этого года Самарский областной суд рассмотрел административное дело в отношении врача-инфекциониста регионального центра по профилактике и борьбе со СПИДом и инфекционными заболеваниями, на которую была возложена ответственность за обеспечение безопасности персональных данных. Дело инициировала прокуратура по результатам проверки в амбулаторно-поликлиническом отделении №2 областного центра. Оказалось, что амбулаторные карты пациентов, содержащих персональные данные, хранятся в свободном доступе в незакрывающемся шкафу в медицинском кабинете, в котором ведется прием больных врачом эпидемиологом и медицинской сестрой (теперь вспомните, где хранятся амбулаторные карты в вашем ЛПУ - на стеллажах, которые не закрываются на ключ?). Врача-инфекциониста оштрафовали на 500 рублей. Решение суда было обжаловано, но оставлено в силе вышестоящей инстанцией. Как говорят юристы, наказание могло быть строже, если бы действиями медперсонала кому-то из пациентов был причинен реальный ущерб.