Мудрый Юрист

Законодательное обеспечение информационной деятельности в здравоохранении

"ГлавВрач", 2008, N 11

Законодательное регулирование использования информационных и коммуникационных технологий (ИКТ) осуществлялось до последнего времени в соответствии со ст. 29 Конституции Российской Федерации, федеральными законами "Об информации, информатизации и защите информации" (1995), "О техническом регулировании" (2002), "Об электронной цифровой подписи" (2002) и рядом других законодательных актов.

27 июля 2006 года Президентом РФ подписан пакет, состоящий из двух законов: "Об информации, информационных технологиях и защите информации" (N 149-ФЗ) и "О персональных данных" (N 152-ФЗ). Первый закон вступил в силу с августа 2006 года, второй - с февраля 2007 года. Закон N 149-ФЗ привел к признанию утратившими силу Федерального закона от 20.02.1995 N 24-ФЗ "Об информации, информатизации и защите информации" и Федерального закона от 04.07.1996 N 85-ФЗ "Об участии в международном информационном обмене".

Впервые в России строго регламентированы такие важные процедуры, как сбор персональных данных на граждан и защита этих данных в информационных системах.

I. В Федеральном законе N 149-ФЗ даны основные понятия информации, информационных систем и технологий, информационно-телекоммуникационных сетей, доступа к информации и ее конфиденциальности, электронных сообщений и др., их четкие определения. Так, информационные технологии рассматриваются как процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов (п. 2 ст. 2). Далее дается определение информационной системы как совокупности содержащихся в базах данных и обеспечивающих их обработку информационных технологий и технических средств.

В здравоохранении Российской Федерации интеграция информационных систем и технологий осуществляется на основе отраслевых нормативных документов по стандартизации СТО МОСЗ.91500.16.0002-2004 "Информационные системы в здравоохранении. Общие требования" и СТО МОСЗ.91500.16.0003-2004 "Информационные системы в здравоохранении. Общие требования к форматам обмена информацией".

Основные принципы построения информационных систем находят свое практическое воплощение в стандартах открытых информационных систем, которые активно разрабатываются международной организацией International Systems Organization (ISO), в т.ч. ее Техническим комитетом ISO/TC215 "Health Informatics" для медицинских информационных систем.

Регулируя правовые принципы в сфере информационных взаимоотношений, ст. 3 регламентирует, что ограничения доступа к информации могут устанавливаться только федеральными законами: недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия, недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими (если только обязательность применения определенных технологий не установлена федеральными законами). Однако возникает вопрос, будет ли закон способствовать реализации в здравоохранении типовых информационных систем, технологий и программных продуктов, доказавших свою эффективность в практическом применении.

К общедоступной информации, согласно ст. 7 закона, отнесены общеизвестные сведения и иная информация, доступ к которой не ограничен, хотя возникают сомнения, требующие разъяснения в отношении использования в практической работе сведений многочисленных муниципальных, региональных и прочих баз, специализированных регистров, содержащих персональные данные отдельных контингентов граждан.

Продолжая это направление, в статьях 8, 9, 10, 11 закона изложены права на доступ к информации граждан (физических лиц) и организаций (юридических лиц), о бесплатном представлении информации, ограничении доступа к информации и регламентации распространения или представления информации, документировании информации.

Отдельно выделены требования, предъявляемые к информационным системам государственного, муниципального и иного уровня, порядку их создания и эксплуатации (ст. 13). Особо отмечено (п. 5 ст. 15), что передача информации средствами информационно-телекоммуникационных сетей осуществляется без ограничений при условии соблюдения установленных федеральными законами требований к распространению информации (ограничения могут быть установлены только соответствующими федеральными законами).

Требования к защите информации со стороны обладателя и оператора информационных систем констатируют, что они обязаны предотвратить несанкционированный доступ к информации и обеспечить постоянный ее контроль (ст. 16). Требования к защите информации, содержащейся в государственных информационных системах, устанавливаются федеральными органами исполнительной власти (в здравоохранении - Минздравсоцразвития РФ).

Необходимо пояснить, что согласно ст. 6 закона "обладателем" информации может быть "гражданин (физическое лицо), юридическое лицо, Российская Федерация, субъект Российской Федерации, муниципальное образование" (п. 1). Правомочия обладателя информации от имени последних осуществляются соответственно государственными органами и органами местного самоуправления в пределах их полномочий, установленных соответствующими государственными нормативными правовыми актами. Права и обязанности обладателя информации изложены в пунктах 3 и 4 ст. 6.

Итак, правами собственника на информационные ресурсы обладает лицо "обладатель информации" - самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.

Иными словами, собственниками информационных ресурсов являются:

В ст. 2 закона дается пояснение, что оператор информационной системы - это "гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в т.ч. по обработке информации, содержащейся в ее базах данных".

Ответственность за защиту информации в информационных системах и базах данных возложена на обладателя информации и оператора информационной системы в случаях, установленных законодательством Российской Федерации. Они обязаны обеспечить защиту информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; соблюдение конфиденциальности информации ограниченного доступа; реализацию права на доступ к информации, недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование.

Ответственность за правонарушения в сфере информации, информационных технологий и защиты информации, а также права лиц, интересы которых были нарушены, регламентированы в ст. 17 закона.

II. В ст. 2 Федерального закона N 152-ФЗ "О персональных данных" его целью определено "обеспечение защиты прав и свобод человека, гражданина при обработке его персональных данных, в т.ч. защиты прав на неприкосновенность частной жизни, личную и семейную тайну".

Отмечено, что под персональными данными понимается "любая информация, относящаяся к определенному или определяемому на основе такой информации физическому лицу (субъекту персональных данных), в т.ч.: его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация" (ст. 3).

Далее регламентированы основные действия с персональными данными: обработка, распространение, использование, а также процедуры их уничтожения. Приводится определение информационной системы персональных данных как "совокупности персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств". Данное определение близко (хотя и более широко по смыслу) приведенному выше понятию информационной системы.

Важное значение имеет также базовое понятие "конфиденциальность" - "обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицам требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного обоснования" (ст. 7), разъясняется понятие общедоступных персональных данных, доступ к которым неограниченного круга лиц предоставлен с согласия субъекта этих данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Особую значимость для здравоохранения представляет ст. 9 "Согласие субъекта персональных данных на обработку своих персональных данных". Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных (за исключением случаев, предусмотренных законодательством Российской Федерации).

В целях обеспечения реализации прав субъектов персональных данных в связи с обработкой этих данных может быть создан государственный реестр населения, правовой статус которого и порядок работы с которым устанавливается законом (ст. 13).

Для решения задач, определенных приоритетным национальным проектом "Здоровье", формируется федеральный регистр медицинских работников.

Персонифицированные базы учетных данных создаются на уровне амбулаторно-поликлинического звена здравоохранения по:

Доступ к своим персональным данным и ограничения доступа для субъекта персональных данных (ст. 14), регламентация прав субъекта при обработке его данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации рассмотрены отдельно в ст. 15. Если представление персональных данных установлено Федеральным законом или персональные данные являются общедоступными, оператор до начала их обработки обязан предоставить субъекту персональных данных следующую информацию: наименование (Ф.И.О.) и адрес оператора (или его представителя), цель обработки данных и его правовое основание, предполагаемые пользователи персональных данных (ст. 18).

Ст. 19 закона устанавливает меры обеспечения безопасности персональных данных при их обработке с использованием для их защиты необходимых организационных и технических мер.

Отмечено, что "Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную, предусмотренную законодательством Российской Федерации ответственность".

Важно заключительное положение о том, что "информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с его требованиями не позднее первого января 2010 года".

Таким образом, Федеральный закон N 152-ФЗ "О персональных данных" обеспечивает защиту прав и свобод человека и гражданина при обработке его персональных данных. В то же время защита персональных данных является в первую очередь прерогативой самого человека, гражданина, и закон это предусматривает (ст. 11).

Ст. 61 "Основ законодательства Российской Федерации об охране здоровья граждан" (1993) предполагает согласие больного на передачу касающихся его сведений, содержащих врачебную тайну, а также его согласие на доступ к этим сведениям соответствующих должностных лиц, в т.ч. других врачей и медсестер. Аналогичные требования к конфиденциальности персональной информации, включая режим их передачи в электронном виде, определены также в Федеральном законе "О персональных данных".

Создание стандартов ведения электронных записей о здоровье (EHR- Electronic Health Record), которые принято называть "электронными медицинскими записями" - одна из наиболее значимых и трудных проблем, не решенных еще ни в одной стране мира. Сегодня именно на этой проблеме сосредоточены основные усилия в области стандартизации в медицинской информатике.

Наиболее перспективным стандартом структуры электронных клинических документов, если не с целью хранения, то, по крайней мере, с целью передачи из одного учреждения здравоохранения в другое, является Архитектура клинических документов CDA Release 2.0, разработанная комитетом HNS (США) и представленная в Международную организацию по стандартизации ISO в качестве проекта международного стандарта (The Clinical Document Architecture Release 2.0; http://www.hl7/org).

Субъект персональных данных сам принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, когда предусматривается обязательное их предоставление в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. За исключением последнего, согласие на обработку персональных данных может быть отозвано субъектом персональных данных (ст. 9).

Закон требует (п. 10 ст. 3) "обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания". Этим обеспечивается конфиденциальность персональных данных.

В соответствии со ст. 14 закона N 152-ФЗ субъект персональных данных (гражданин) имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных субъекта и на ознакомление с этими данными, за исключением ограничения, если обработка персональных данных осуществляется в целях обороны страны, безопасности государства и охраны правопорядка, когда предоставление персональных данных нарушает конституционные права и свободы других лиц.

"Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в т.ч. использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий" (ст. 19).

Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям ст. 23 настоящего закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи.

Российское здравоохранение находится в преддверии принятия федерального закона об электронном документообороте, введения паспорта здоровья, электронной истории болезни (в декабре 2006 г. впервые утвержден национальный стандарт "Электронная история болезни. Общие положения") и электронной цифровой подписи. Поэтому уместно обратить внимание на Федеральный закон N 1-ФЗ "Об электронной цифровой подписи", утвержденный Президентом Российской Федерации 10 января 2002 года.

Целью закона N 1-ФЗ является обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись признается равнозначной собственноручной подписи в документе на бумажном носителе.

Основные понятия, используемые в настоящем законе, разъясняют, что (ст. 3):

В ст. 4 отмечено, что электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при подтверждении ее подлинности в соответствии с установленными требованиями. Участник информационной системы может быть одновременно владельцем любого количества сертификатов ключей подписей. Сертификат ключа подписи должен содержать:

Сертификат ключа подписи в форме документа на бумажном носителе хранится в порядке, установленном законодательством Российской Федерации об архивах и архивном деле.

Удостоверяющим центром, выдающим сертификаты ключей подписи для использования в информационных системах общего пользования, должно быть юридическое лицо, выполняющее функции, предусмотренные настоящим Федеральным законом. Деятельность удостоверяющего центра подлежит лицензированию в соответствии с законодательством Российской Федерации.

Удостоверяющий центр:

Услуги по выдаче участникам информационных систем сертификатов ключей подписей, зарегистрированных удостоверяющим центром, одновременно с информацией об их действии в форме электронных документов оказываются безвозмездно (п. 4 ст. 9).

Особо в законе выделяется порядок использования электронной цифровой подписи в сфере государственного управления. Так, в ст. 16 закона отмечено, что федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации, органы местного самоуправления, а также организации, участвующие в документообороте с указанными органами, используют для подписания своих электронных документов электронные цифровые подписи уполномоченных лиц указанных органов и организаций.

Сертификаты ключей подписей уполномоченных лиц федеральных органов государственной власти включаются в реестр, который ведется уполномоченный федеральным органом исполнительной власти, а порядок организации выдачи сертификатов ключей подписей уполномоченных лиц органов государственной власти субъектов и местного самоуправления Российской Федерации устанавливается нормативными актами соответствующих органов.

Порядок использования электронных цифровых подписей в корпоративной информационной системе устанавливается решением ее владельца или соглашением участников этой системы.

Содержание документа на бумажном носителе, заверенном печатью и преобразованном в электронный документ, в соответствии с нормативными правовыми актами или соглашением сторон может заверяться электронной цифровой подписью уполномоченного лица.

В заключение, но отнюдь не в последнюю очередь, следует назвать Федеральный закон от 27.12.2002 N 184-ФЗ "О техническом регулировании", дающий новую систематизацию нормативно-правовых актов, которые на семилетний период до 2010 года будут регламентировать основные направления деятельности организаций, включая медицинские. Этот закон регулирует отношения, возникающие при разработке, принятии, применении и исполнении обязательных и добровольных требований к продукции, процессам производства, эксплуатации и т.д. В частности, с его введением кардинально меняется ситуация в вопросах сертификации продукции.

Закон определяет такие основные понятия, как аккредитация, безопасность продукции и процессов производства, международный и национальный стандарт, сертификация и контроль соответствия продукции требованиям технических регламентов и др. Технические регламенты как главные документы закона "О техническом регулировании", принимаются в целях: защиты и здоровья граждан, имущества физических и юридических лиц, государственного и муниципального имущества, охраны окружающей среды, предупреждения действий, вводящих в заблуждение приобретателей (ст. 6).

Технический регламент должен содержать исчерпывающий перечень продукции, процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, в отношении которых устанавливаются его требования, правила и формы оценки соответствия в отношении каждого объекта технического регулирования. Оценка соответствия производится в формах государственного контроля (надзора), аккредитации, испытания, регистрации, подтверждения соответствия, приемки и ввода в эксплуатацию объекта.

Получается, что в трактовке технического регламента медицинская организация - медицинский объект типа больницы, поликлиники, фельдшерско-акушерского пункта, станции скорой медицинской помощи и пр.

Содержащиеся в технических регламентах обязательные требования имеют прямое действие на всей территории Российской Федерации и могут быть изменены только путем внесения изменений и дополнений в соответствующий технический регламент. Технические регламенты носят международный характер и применяются одинаковым образом и в равной мере независимо от страны и (или) места происхождения (производства) продукции. Международные стандарты и (или) национальные стандарты могут использоваться полностью или частично в качестве основы для разработки проектов технических регламентов (ст. 7).

Технический регламент принимается федеральным законом. Национальные стандарты и общероссийские классификаторы технико-экономической и социальной информации, в т.ч. правила их разработки и применения, представляют собой национальную систему стандартизации. Национальные стандарты применяются на добровольной основе. Это прямо относится и к утвержденному в 2006 г. первому национальному стандарту "Электронная история болезни. Общие положения".

Общероссийские классификаторы технико-экономической и социальной информации - нормативные документы, распределяющие указанную информацию в соответствии с ее классификацией (классами, группами, видами и др.) и являющиеся обязательными для применения при создании государственных информационных систем и информационных ресурсов и межведомственном обмене информацией (ст. 15).

Различают также стандарты организаций (ст. 17), в т.ч. коммерческих, общественных, научных организаций, саморегулируемых организаций, объединений юридических лиц, которые могут разрабатываться и утверждаться или самостоятельно, исходя из необходимости применения этих стандартов для совершенствования производства и обеспечения качества продукции, выполнения работ, оказания услуг, а также для распространения и использования полученных в различных областях знаний результатов исследований (испытаний), измерений и разработок. Порядок разработки, утверждения, учета изменений и отмены стандартов организаций устанавливается ими самостоятельно.

В целях удостоверения соответствия продукции, процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, работ, услуг или иных объектов техническим регламентам, стандартам, условиям договоров, содействия приобретателям в компетентном выборе продукции, работ, услуг производится процедура добровольного или обязательного подтверждения соответствия.

В соответствии со ст. 44 технические регламенты, документы национальной системы стандартизации, международные стандарты, правила стандартизации, нормы и рекомендации по стандартизации, национальные стандарты других государств и пр. составляют Федеральный информационный фонд технических регламентов и стандартов, который является государственным информационным ресурсом.

Со дня вступления в силу настоящего закона (с июля 2003 г.) утратившими силу признаны законы Российской Федерации "О сертификации продукции и услуг" (1993), "О стандартизации" (1993), "О рекламе" (1998), "Об основах социального обслуживания населения в Российской Федерации" (2002).

К.э.н., зав. лабораторией

проблем разработки,

внедрения и сертификации

информационных технологий

НИИ общественного

здоровья и управления

здравоохранением

ММА им. И.М.Сеченова

В.Ф.МАРТЫНЕНКО

К.м.н., зав. отделом

медицинской профилактики и

укрепления здоровья населения

НИИ общественного здоровья и

управления здравоохранением

ММА им. И.М.Сеченова

В.А.ПОЛЕССКИЙ