Законность передачи результатов анализов по электронной почте, СМС, через мессенджеры
У нас часто спрашивают имеет ли право медицинская организация отправлять результаты медицинских тестов по электронной почте, посредством СМС или через мессенджеры.
Начнем с того, что сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, а также иные сведения, полученные при его медицинском обследовании и лечении составляют врачебную тайну (ч. 1 ст. 13 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации») и являются специальной категорией персональных данных. Следовательно, обращение со сведениями, составляющими врачебную тайну, также регулируется Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
Любая медицинская организация является оператором ПД (см. подпункт 2 статьи 3 ФЗ № 152), а любые действия, совершаемые с персональными данными, включая сбор, запись, хранение, распространение, предоставление относятся к обработке персональных данных.
Таким образом, передача результатов данных по электронной почте является обработкой персональных данных. Медицинская организация в данном случае выполняет функции оператора ПД и должна соответствовать определенным требованиям, указанным в ФЗ № 152. В том числе статье 19, согласно которой Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним.
Как гласит пункт 2 той же статьи 19, обеспечение безопасности персональных данных достигается, в том числе, применением организационных и технических мер, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных.
Требования к защите персональных данных при их обработке утверждены Постановлением Правительства РФ от 01.11.2012 № 1119. Меры, которые необходимо принимать для выполнения данных требований, утверждены двумя приказами:
1. Приказом ФСТЭК России от 18.02.2013 № 21;
2. Приказом ФСБ России от 10.07.2014 № 378.
Согласно Приказу ФСТЭК России от 18.02.2013 № 21, во всех случаях при передаче персональных данных должно выполняться требование ЗИС.3 раздела XIII, а именно: обеспечение защиты персональных данных от раскрытия, модификации и ввода ложной информации при ее передаче по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи.
Как только персональные данные будут переданы на сторонние сервера, к которым без сомнения, относятся сервера почтовых сервисов и мобильных операторов, информация покинет пределы контролируемой зоны. В этот момент у медицинской организации появляется обязанность обеспечить защиту персональных данных в соответствии с требованием ЗИС.3.
Согласно вышеперечисленным приказам защита информации при передаче данных по каналам связи, имеющим выход за пределы контролируемой зоны обеспечивается путем создания специального защищенного канала связи с применением специального программного обеспечения и специализированных средств криптографической защиты информации (СКЗИ).
В силу Федерального закона «О связи» № 126-ФЗ от 07.07.2003 г. электронная почта не является защищенным каналом связи для передачи информации (справок об оплате медицинских услуг), содержащей персональные данные.
В случае утечки персональных данных в результате отправки документа, содержащего персональные данные по электронной почте, медицинская организация, как юридическое лицо, понесет ответственность, предусмотренную кодексом об административных правонарушениях. Статья 13.11 КоАП РФ предусматривает наказание в виде наложения штрафа на должностных лиц – от 10 000 до 800 000 рублей, на юридических лиц от 100 000 до 18 000 000 рублей.