Благодаря быстрой и защищённой обработке информации о здоровье, составляющей медицинскую тайну, в пандемию мы можем получать своевременное лечение, ходить на работу, путешествовать, обеспечивать свою безопасность и безопасность каждого человека, который с нами контактирует. Это гарантируется разными видами социального мониторинга, новыми информационными системами и особым нормативно-правовым регулированием в сфере здравоохранения и трудовых отношений.
- Введение
- Предпосылки регулирования сегмента персональных данных
- Кто имеет доступ к сведениям о здоровье
- Противоречия нормативного правового регулирования в сфере обработки ПДн
- Штрафные санкции
- Как данные о здоровье граждан влияют на правовое регулирование
- Выводы
Введение
Сегодня меры по борьбе с киберугрозами и по обеспечению защиты персональной информации в области здравоохранения интересуют российского потребителя как никогда ранее. Появляется множество инициатив по созданию информационных платформ, собирающих данные о здоровье людей, развивается телемедицина. В условиях сложной эпидемиологической обстановки работодателям и органам власти потребовалось собирать и систематизировать большой объём данных о здоровье граждан: необходимо было оперативно выстроить процессы и системы для мониторинга и обеспечения безопасности этих сведений. Рассмотрим сложившиеся в период пандемии тенденции в нормативно-правовом регулировании в России и — для сравнения — в Соединённом Королевстве. В частности, обратим внимание на роли работодателей в системе мониторинга вспышек заболевания, на области и субъектов такого мониторинга, а также на штрафные санкции за нарушения в сфере защиты персональных данных и здравоохранения.
Предпосылки регулирования сегмента персональных данных
С началом пандемии, вызванной вирусом SARS-CoV-2, и последующего объявления ограничительных мер ландшафт цифрового пространства стал меняться.
- Во-первых, вырос объём обрабатываемых сведений о состоянии здоровья граждан.
- Во-вторых, расширилась практика дистанционной работы.
- В-третьих, возрос спрос на электронные финансовые сервисы.
Как следствие, в этих сферах участились утечки информации, а люди всерьёз задумались о безопасности своих персональных данных (далее — ПДн), связанных со здоровьем, трудовой деятельностью и финансами. По оценке PwC, в 2018 году мировая выручка от использования таких сведений достигла 300 млрд долларов США. Тенденция распространения персональных данных в качестве «товара» ведёт к необходимости корректировать нормативные правовые акты в части сбора ПДн и обеспечения защиты конфиденциальной информации. Работодатели, медицинские и финансовые структуры столкнулись с многочисленными поправками к действующему законодательству в части ПДн.
В данном материале предлагаем остановиться на особенностях обработки сведений о здоровье граждан во время пандемии.
Кто имеет доступ к сведениям о здоровье
COVID-19 включён в перечень заболеваний представляющих опасность для окружающих. В целях борьбы с вирусом должны реализовываться мероприятия направленные на «разрыв» механизма передачи инфекции. К таким временным профилактическим мероприятиям можно отнести, например:
- выявление лиц с признаками инфекционных заболеваний при приходе на работу. В частности, может осуществляться взятие крови для проведения лабораторного исследования методом иммуноферментного анализа (ИФА) на наличие новой коронавирусной инфекции и антител / иммунитета к ней;
- обработку сведений о температуре работников, их контактах с инфицированными, поездках за рубеж;
- проведение профилактических прививок против COVID-19.
Большую роль в выявлении больных и обеспечении реализации прививочной кампании играют работодатели — все физические и юридические лица, независимо от их организационно-правовых форм и форм собственности, выполняющие обязанности по ТК РФ, и медицинские организации. Именно работодатели, больницы и поликлиники имеют первичный доступ к ПДн сотрудников и пациентов, составляющим сведения о здоровье. Данные об инфицированных заносятся в специальную систему учёта информации в целях предотвращения распространения новой коронавирусной инфекции. Поставщиками информации являются медицинские организации, органы власти, операторы специализированных сайтов и мобильных приложений по вопросам иммунизации или использования вакцин, оператор системы мониторинга движения лекарственных препаратов для медицинского применения. Рядовой работодатель не допущен к операциям в данном информационном ресурсе. Подробнее о нём — здесь.
Противоречия нормативного правового регулирования в сфере обработки ПДн
Сложность нормативного правового регулирования в сфере обработки ПДн для целей сокращения заболеваемости COVID-19 заключается в том, что законодательство уровня субъектов РФ может содержать нормы противоречащие требованиям федерального законодательства. Так, например, по требованиям 152-ФЗ немедицинская организация не имеет права обрабатывать ПДн своих работников о состоянии их здоровья без их согласия. В соответствии с федеральным законодательством, без согласия такой обработкой могут заниматься только лица обрабатывающие ПДн в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг, профессионально занимающиеся медицинской деятельностью и обязанные в соответствии с законодательством РФ сохранять врачебную тайну. Однако, например, указами мэра Москвы — № 12-УМ, № 68-УМ, № 97-УМ — предусмотрено, что работники должны уведомлять работодателя о:
- фактах инфицирования,
- наличии симптомов,
- наличии контактов с инфицированными,
- наличии хронических заболеваний,
- беременности,
- вакцинации против коронавируса,
- наличии антител IgG,
- СНИЛС,
- номере полиса ОМС.
Соответственно, сбором таких данных занимается в том числе работодатель — не медицинский сотрудник — и без согласия субъектов.
В условиях подобного противоречия оправданным представляется следование указам мэра Москвы, принятым в соответствии постановлениям главного государственного санитарного врача РФ (№ 15 и № 20) и во их исполнение — тем более что практика сбора работодателями ПДн о здоровье без согласия субъектов в целях улучшения эпидемиологической обстановки одобрена Рострудом.
Стоит отметить, что практика сбора данных о здоровье сотрудников работодателем обширна и оправдана в международной практике. В Соединённом Королевстве работодатели обязаны уведомлять комитет по здравоохранению и безопасности (Health and Safety Executive) обо всех вспышках заболевания на рабочем месте, но только если распространение вируса, например, было связано с его утечкой из лаборатории в результате ошибки работника или в ходе производства (скажем, вакцин), что распространяется также и на самозанятых граждан. В этом случае вспышка заболевания — это т. н. dangerous occurrence, т. е. определённое непредвиденное, оговорённое событие, которое может не привести к травмам, но нанести значительный ущерб. Иным работодателям только рекомендуется разрабатывать локальные нормативные акты, которые бы позволили сдерживать распространение вируса, но законодательно такая обязанность на них не возложена.
Отслеживанием фактов заражения и занесением обезличенных данных в сервис Emergency Department Syndromic Surveillance System в Соединённом Королевстве занимаются отделения первичной медико-санитарной помощи, терапевтические и хирургические пункты, отделения скорой помощи, а также учёные и медицинские эксперты, состоящие в командах по защите здоровья населения, формируемых на базе Public Health England, службы общественного здравоохранения (её хотят упразднить в сентябре 2021 года). Также осуществляется сбор обезличенных данных о запросах по симптомам COVID-19 в поисковой системе Google. Все меры мониторинга в целом формируют надзорную систему по синдромам (Syndromic surveillance system).
Штрафные санкции
Важность соблюдения мер защиты здоровья граждан подкреплена нормой об административно-правовой ответственности работодателя за неисполнение требования по социальному дистанцированию работников, проведению термометрии и ПЦР-тестов. В России за такое нарушение работодателю грозит штраф от 100 000 до 1 000 000 рублей и приостановление деятельности на 90 дней. При этом не каждый работодатель может оперативно обеспечить сбор согласий работников на обработку их сведений о здоровье, а тем более — безопасную обработку таких ПДн с использованием усиленных методов и средств защиты данных.
В Соединённом Королевстве штрафы за нарушение правил по предотвращению распространения коронавирусной инфекции не могут превышать 10 000 фунтов — см. Section 25F of the Coronavirus Act 2020.
При ужесточении мер по противодействию пандемии растут и штрафы за нарушение законодательства о защите ПДн. 27 марта 2021 года вступили в силу поправки в КоАП РФ. Ранее минимальный штраф для физических лиц, совершивших первое правонарушение, составлял 700 рублей, теперь — 1500; для юридических лиц ранее штраф был 15 000 рублей, теперь — 30 000. Повторные штрафы также возросли.
Административные штрафы за нарушение законодательства о защите ПДн в ЕС и в Соединённом Королевстве крайне высоки, и законодатели не увеличивают их, держа на изначально установленном уровне. Так, если к сложившимся по поводу обработки ПДн о здоровье в Соединённом Королевстве правоотношениям применяется GDPR (General Data Protection Regulation — акт Европейского Союза), т. е. если оператор, например, нарушает права субъектов персональных данных — граждан ЕС, находящихся на территории Соединённого Королевства, то административный штраф за нарушение требований об обработке данных о здоровье субъекта может составить до 20 000 000 евро или до 4 % от годового мирового оборота компании за предыдущий финансовый год, в зависимости от того, что больше — см. Part 5 of Article 83 of the GDPR.
Если нарушаются права граждан Соединённого Королевства в части обработки данных о здоровье, то штраф может также составить до 20 000 000 евро или до 4 % от годового мирового оборота компании за предыдущий финансовый год, в зависимости от того, что больше. Такой максимальный штраф установлен в Sec.157 Data Protection Act 2018.
Как данные о здоровье граждан влияют на правовое регулирование
Данные о здоровье граждан в период пандемии представляют большую ценность, поскольку от результатов их мониторинга зависят меры по противодействию распространению инфекции и принятие соответствующих нормативных правовых актов. Правовое регулирование в государствах различается, но среди общих тенденций в сфере ИБ можно выделить:
- создание нормативной базы, регламентирующей работу специальных информационных систем и сервисов для мониторинга распространения заболевания;
- допуск к работе в таких системах медицинского персонала и государственных служащих.
Роль работодателей в системе мониторинга может быть более или менее значимой. При распределении обязательной нагрузки такого рода на работодателей появляются санкции для хозяйственных сообществ за несоблюдение санитарно-эпидемиологического режима, а также повышаются штрафы за несоблюдение требований по защите ПДн — в частности, в РФ. В Великобритании штрафы в сфере защиты ПДн и здравоохранения изначально высоки — законодателем установлен верхний порог штрафных санкций, а суды назначают нарушителям выплаты в пределах таких сумм.
Выводы
- В период пандемии акты федерального законодательства и законодательства субъектов РФ могут противоречить друг другу, но в кризисное время превалируют местные нормы.
- Работодатели в России и Соединённом Королевстве приобретают больше полномочий в сфере социального мониторинга: получают экстренное право на обработку сведений о здоровье, право ограничивать посещаемость рабочих мест.
- Законодатели повсеместно вводят штрафы для работодателей за нарушение требований по соблюдению социального дистанцирования.
- Штрафы за нарушение обработки ПДн растут в России, что связано с кризисной ситуацией и изначально небольшими санкциями за несоблюдение безопасности ПДн (по сравнению с европейским законодательством и законодательством Соединённого Королевства).