Законность передачи результатов анализов по электронной почте или СМС

У нас часто спрашивают имеет ли право медицинская организация отправлять результаты медицинских тестов по электронной почте, посредством СМС или через мессенджеры. Особенно данный вопрос стал актуален в условиях профилактики и борьбы с распространением коронавирусной инфекции COVID-19. Сейчас очень многие лаборатории предлагают получить результат теста дистанционно. Например, Центр молекулярной диагностики Роспотребнадзора предоставляет результаты тестирования на коронавирус по электронной почте. С одной стороны, это очень удобно и сами пациенты часто просят отправить результаты тестирования на электронную почту или WhatsApp. В то же время, некоторые юристы предупреждают, что в таком случае у медицинской организации возникает риск ответственности за нарушение требований к обращению с врачебной тайной. Итак, «льзя» или все-таки «нельзя»? В данной статье мы подготовили самый полный юридический анализ указанного вопроса.

Результаты медицинских тестов – это врачебная тайна

Начнем с того, что сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, а также иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну (ч. 1 ст. 13 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» (далее – ФЗ № 323)).

Очевидно, результат теста можно отнести как к сведениям о диагнозе пациента, так и к иным сведениям, полученным при медицинском обследовании гражданина. Более того, согласно пп. 4 и 3 ст. 2 ФЗ № 323, диагностика заболевания также включена в понятие «медицинской помощи», следовательно даже сам факт обращения гражданина за проведением тестирования может быть отнесен к сведениям, составляющим врачебную тайну (не говоря уже о результатах такого тестирования).

Здесь необходимо уточнить, что врачебная тайна является специальной категорией персональных данных. Следовательно, обращение со сведениями, составляющими врачебную тайну, также регулируется Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ № 152). Далее для более глубокого понимания вопроса немного разберемся с понятиями:

• Так, согласно подпункту 1 статьи 3 ФЗ № 152, любая информация, относящаясяк прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) является персональными данными.
• В свою очередь, исходя из пункта 1 статьи 10 ФЗ № 152, персональные данные,касающиеся здоровья, относятся к специальной категории персональных данных (ПД).
• Медицинская организация (в том числе лаборатория, берущая тест) является оператором ПД (см. подпункт 2 статьи 3 ФЗ № 152).
• Любые действия, совершаемые с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение относятся к обработке персональных данных.

Таким образом, передача результатов диагностических тестов по электронной почте является обработкой персональных данных. Медицинская организация в данном случае выполняет функции оператора ПД и должна соответствовать определенным требованиям, указанным в ФЗ № 152. В том числе:

1. Подпункту 1 пункту 1 статьи 6, согласно которому обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его ПД. Обращаем внимание, что в отношении специальной категории ПД, касающихся здоровья, такое согласие дается в письменной форме (подпункт 1 пункта 2 статьи 10 ФЗ № 152).
2. Статье 19, согласно которой оператор при обработке ПД обязан принимать необходимые меры для защиты ПД (подробнее об этом далее).

Многие медицинские организации ограничиваются взятием лишь письменного согласия на обработку персональных данных. Однако, как видим, этим требования законодателя к операторам ПД не ограничиваются. В этом, собственно, и кроется ответ на основной вопрос – законно ли передавать результаты тестов по электронной почте или СМС. Давайте подробно рассмотрим статью 19 ФЗ № 152.

Меры по защите персональных данных, которые обязана выполнять медицинская организация, как оператор персональных данных

Итак, как было указано выше, оператор (медицинская организация) при обработке ПД обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных (пункт 1 статьи 19 ФЗ № 152).

Как гласит пункт 2 той же статьи 19, обеспечение безопасности персональных данных достигается, в том числе, применением организационных и технических мер, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных.

Требования к защите персональных данных при их обработке утверждены Постановлением Правительства РФ от 01.11.2012 № 1119. Меры, которые необходимо принимать для выполнения данных требований, утверждены двумя приказами:

1. Приказом ФСТЭК России от 18.02.2013 № 21;
2. Приказом ФСБ России от 10.07.2014 № 378.

Согласно Приказу ФСТЭК России от 18.02.2013 № 21, во всех случаях при передаче персональных данных должно выполняться требование ЗИС.3 раздела XIII (далее – требования ЗИС.3), а именно:

• Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи.

Исходя из пункта 10 Приложения к Приказу ФСБ России от 10.07.2014 № 378, контролируемой зоной является пространство, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств. Границей контролируемой зоны могут быть периметр охраняемой территории предприятия (учреждения), ограждающие конструкции охраняемого здания, охраняемой части здания, выделенного помещения.

Переведем на «русский язык»: пока результаты медицинского теста хранится на серверах, которые физически находятся в стенах медицинской организации, считается, что персональные данные остаются в пределах контролируемой зоны. Как только персональные данные будут переданы на сторонние сервера, к которым без сомнения, относятся сервера почтовых сервисов и мобильных операторов, информация покинет пределы контролируемой зоны. В этот момент у медицинской организации появляется обязанность обеспечить защиту персональных данных в соответствии с требованием ЗИС.3 (см. выше).

Отсюда возникает следующий вопрос: «Как оператор ПД должен обеспечить защиту персональных данных при их передаче по каналам, имеющим выход за пределы контролируемой зоны?». Единственный источник, в котором содержится более-менее вразумительный ответ на данный вопрос – это «Методический документ. Меры защиты информации в государственных информационных системах» (утв. ФСТЭК России 11.02.2014). Как видно из названия, данный документ относится только к государственным информационным системам. Однако, поскольку иных нормативных правовых актов в этой сфере не утверждено, мы будем использовать его в качестве справочного источника.

В разделе 3.13 данного методического документа указано, что при передаче данных по каналам связи, имеющим выход за пределы контролируемой зоны, защита информации обеспечивается путем:

• защиты каналов связи от несанкционированного физического доступа (подключения) к ним;
• и (или) применения в соответствии с законодательством Российской Федерации средств криптографической защиты информации (СКЗИ);
• или иными методами.

Первый вариант можно отмести сразу, так как медицинская организация не в состоянии как-либо повлиять на степень защищенности каналов, по которым передается информации по электронной почте или СМС.

Использование средств криптографической защиты – это достаточно дорогое удовольствие. Да и на практике неприменимое, так как даже, если медицинская организация умудрится обучить сотрудников работе с СКЗИ и зашифрует информацию, пациенту ее еще необходимо как-то расшифровать.

Остается третий вариант. Как было указано выше, ФСТЭК России также допускает, что защита информации может осуществляться другими методами, но проблема в том, что действующие нормативные акты не разъясняют что относится к таким «иным методам». Обычно конкретные требования к защите информации регулируется отраслевыми или ведомственными нормативными актами. Например, в банковской, финансовой и налоговой сфере приняты ряд актов, которые обязывают отдельные организации использовать при передаче информации по открытым или незащищенным каналам связи средства криптографии или шифрования (см., например, Приказ Банка России от 22.08.2018 № ОД-2189 «Об Основных направлениях политики обработки персональных данных в Центральном банке Российской Федерации (Банке России)», «Договор об обмене электронными сообщениями при переводе денежных средств в рамках платежной системы Банка России» — приложение 1 к письму Банка России от 05.04.2018 № 04-45/2470, «Типовые правила внутреннего контроля кредитной организации», утв. АРБ, ред. от 13.03.2013, «Порядок организации и проведения заседаний комитетов кредиторов ликвидируемых финансовых организаций», утв. решением Правления ГК «Агентство по страхованию вкладов» от 21.12.2015, протокол №192, ред. от 17.01.2019, Приказ ФНС России от 14.01.2014 № ММВ-7-6/8@, ред. от 27.02.2015 «О вводе в промышленную эксплуатацию подсистемы «Личный кабинет налогоплательщика юридического лица»).

В сфере здравоохранения подобных требований нет. Поэтому в теории можно предположить, что для выполнения требований ЗИС.3 достаточно файл с результатами теста запаковать в архив (RAR или ZIP) и установить на него пароль. Однако как к этому отнесутся контролирующие органы предсказать невозможно. Вполне допускаем, что они посчитают подобные меры недостаточными для защиты информации.

Что же получается: единственный способ, который гарантированно позволит передавать результаты медицинских исследований по почте – это использование СКЗИ или шифрования? На самом деле – выход есть. Давайте разберем его отдельно.

Альтернативный способ легализации передачи персональных данных пациента по электронной почте,SMS, WhatsApp и т.д.

Мы говорили выше, что к персональным данным относится информация, которая относится к определенному физическому лицу (подпункт 1 статьи 3 ФЗ № 152). То есть, когда достоверно известно к какому конкретному человеку относится данная информация.

Если определить принадлежность ПД конкретному субъекту невозможно, такая информация не может и не должна признаваться персональными данными. Действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных, называются обезличиванием(подпункт 9 статьи 3 ФЗ № 152).

Поскольку после обезличивания информация не является персональными данными, обезличенные сведения не будут подлежать защите в соответствии с ФЗ № 152 и другими нормативными актами, о которых мы говорили выше. В том числе, их можно свободно распространять по любым каналам связи без выполнения требований ЗИС.3.

Проще говоря, если в файле с результатами анализа не значится фамилия пациента или иные сведения, которые позволяют прямо или косвенно установить кто проходил данное медицинское исследование, такая информация не будет являться персональными данными. Например, на практике можно вместо ФИО пациента указывать идентификационный код. Такой код можно предварительно сообщить пациенту перед прохождением медицинского исследования.

Перечень действий, которые необходимо предпринять перед передачей результатов медицинских
тестов по электронной почте, SMS, WhatsApp и т.д.

Подведем итог вышесказанному. Мы определились, что передавать результаты медицинских тестов по электронной почте, SMS, WhatsApp и другим подобны способом можно при соблюдении следующих условий:

1. Медицинской организации необходимо получить от пациента письменное согласие на обработку персональных данных пациента, в том числе на обезличивание и передачу (распространение) таких ПД по электронной почте, SMS, WhatsApp и т.д. Очень важно в согласии описать какие конкретно ПД будут обрабатываться и перечислить все виды обработки, которые указаны в подпункте 3 статьи 3 ФЗ № 152. Иначе есть риск, что пациент скажет, что он давал согласие лишь на определенные виды передачи и не соглашался с тем, что результаты тестов будут высланы по почте.
2. Результаты исследований необходимо обезличивать.

Это минимальный перечень мер, которые мы рекомендуем принять для защиты интересов медицинской организации и минимизации рисков привлечения к ответственности за нарушение требований к защите персональных данных. При желании также можно применить дополнительный комплекс мер:

• Запаковать файл с исследованиями в архив и дополнительно защитить его паролем.
• Поскольку при передаче данных по электронной почте есть риск, что результаты исследований станут известны третьему лицу (например, сотрудникам электронной почты или хакеру, взломавшему почтовый ящик), мы рекомендуем также получить от пациента согласие на разглашение врачебной тайны. Технические этот документ можно объединить с согласием на обработку персональных данных, указав в последнем, что пациент понимает и дает согласие на то, что при передаче результатов исследований по электронной почте они могут стать доступны неопределенному кругу лиц. В таком случае результаты тестов будут считаться общедоступными (подпункт 10 пункта 1 статьи 6 ФЗ № 152) и медицинская организация не будет нести ответственность за их сохранность и дальнейшее распространение.

Ответственность за несоблюдение требований по защите персональных данных

В зависимости от обстоятельств в случае невыполнения требований к защите персональных данных медицинская организация или ее работники могут быть привлечены к дисциплинарной, гражданско-правовой, административной или даже уголовной ответственности. Рассмотрим наиболее вероятные случаи в таблице: