Вопрос: пациенту медицинской организации необходима консультация с использованием телемедицинских технологий. Медицинская организация, осуществляющая консультирование, не имеет защищенного канала связи. Будет ли нарушением положений 152-ФЗ передача документов, содержащих информацию о пациенте медицинского характера, по незащищённому каналу связи?
В ответ на Ваш вопрос сообщаем:
Передача документов, содержащих персональные данные пациента, а также информацию о нём медицинского характера, по незащищенному каналу связи не соответствует требованиям законодательства: Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», Федерального закона от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации», Приказа ФСТЭК России от 18.02.2013 N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
Для защиты персональных данных, например, возможно использовать средства криптографической защиты информации (СКЗИ), передавать ее в рамках использования специальных информационных систем и пр.
Обоснование:
Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются, ст. 10, 11 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».
Как указано в ч. 3 ст. 6 Федеральный закон от 27.07.2006 N 152-ФЗ оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора.
Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом №152-ФЗ, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ.
Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом № 152-ФЗ.
В поручении оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Федерального закона № 152-ФЗ, обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с настоящей статьей, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона № 152-ФЗ.
Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.
Как следует из Приказа ФСТЭК России от 18.02.2013 N 21, Приказа ФСБ России от 10.07.2014 N 378 передача сведений, содержащих персональные данные, по незащищенным каналам связи не допускается.
Так, согласно приложению к Приказу ФСТЭК России от 18.02.2013 N 21 при передаче персональных данных должны быть обеспечены:
| XIII. Защита информационной системы, ее средств, систем связи и передачи данных (3ИС) | |
| ЗИС.1 | Разделение в информационной системе функций по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты персональных данных, функций по обработке персональных данных и иных функций информационной системы |
| ЗИС.2 | Предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов с низким приоритетом |
| ЗИС.3 | Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи |
| ЗИС.4 | Обеспечение доверенных канала, маршрута между администратором, пользователем и средствами защиты информации (функциями безопасности средств защиты информации) |
| ЗИС.5 | Запрет несанкционированной удаленной активации видеокамер, микрофонов и иных периферийных устройств, которые могут активироваться удаленно, и оповещение пользователей об активации таких устройств |
| ЗИС.6 | Передача и контроль целостности атрибутов безопасности (меток безопасности), связанных с персональными данными, при обмене ими с иными информационными системами |
| ЗИС.7 | Контроль санкционированного и исключение несанкционированного использования технологий мобильного кода, в том числе регистрация событий, связанных с использованием технологий мобильного кода, их анализ и реагирование на нарушения, связанные с использованием технологий мобильного кода |
| ЗИС.8 | Контроль санкционированного и исключение несанкционированного использования технологий передачи речи, в том числе регистрация событий, связанных с использованием технологий передачи речи, их анализ и реагирование на нарушения, связанные с использованием технологий передачи речи |
| ЗИС.9 | Контроль санкционированной и исключение несанкционированной передачи видеоинформации, в том числе регистрация событий, связанных с передачей видеоинформации, их анализ и реагирование на нарушения, связанные с передачей видеоинформации |
| ЗИС.10 | Подтверждение происхождения источника информации, получаемой в процессе определения сетевых адресов по сетевым именам или определения сетевых имен по сетевым адресам |
| ЗИС.11 | Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов |
| ЗИС.12 | Исключение возможности отрицания пользователем факта отправки персональных данных другому пользователю |
| ЗИС.13 | Исключение возможности отрицания пользователем факта получения персональных данных от другого пользователя |
| ЗИС.14 | Использование устройств терминального доступа для обработки персональных данных |
| ЗИС.15 | Защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки персональных данных |
| ЗИС.16 | Выявление, анализ и блокирование в информационной системе скрытых каналов передачи информации в обход реализованных мер или внутри разрешенных сетевых протоколов |
| ЗИС.17 | Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы |
| ЗИС.18 | Обеспечение загрузки и исполнения программного обеспечения с машинных носителей персональных данных, доступных только для чтения, и контроль целостности данного программного обеспечения |
| ЗИС.19 | Изоляция процессов (выполнение программ) в выделенной области памяти |
| ЗИС.20 | Защита беспроводных соединений, применяемых в информационной системе |
Таким образом, передача персональных данных пациентов по незащищенным каналам связи не соответствует требованиям законодательства и несет риск привлечения оператора к ответственности за нарушение Федерального закона от 27.07.2006 N 152-ФЗ.
Дополнительно (по аналогии): в постановлении Правительства РФ от 30.05.2023 N 866 «Об особенностях проведения медицинских осмотров с использованием медицинских изделий, обеспечивающих автоматизированную дистанционную передачу информации о состоянии здоровья работников и дистанционный контроль состояния их здоровья» указано, что сбор, хранение и передача персональных данных по защищенным каналам связи осуществляются в соответствии с законодательством Российской Федерации в области персональных данных с соблюдением врачебной тайны.
