Кодекс о здоровье и личные данные казахстанцев

Продолжаем анализировать претензии к новому Кодексу о здоровье. Мы уже разобрались с сексуальным просвещением и медицинскими исследованиями. На очереди — личные данные.

Утверждение: Централизованный сбор и обработка персональных медицинских данных граждан несёт в себе риск утечки данных и незаконен с точки зрения прав человека

Вердикт: Полуправда

Сбор законен, поскольку уже прописан в законе (см. ниже о казахстанском и мировом опыте регулирования). Однако контекст очень важен. И поскольку риск утечки есть всегда, а при этом в современном мире Big Data является объективным направлением развития и частью реальности, то мы бы предложили следующую формулировку вопроса в качестве претензии (или опасения): «Насколько нормы информационной безопасности в сфере сбора медицинских данных отвечают современным требованиям и реалиям, а также ключевым принципам защиты частной жизни?»

Ответ: Не соответствуют. Новый кодекс понимания особой важности защиты персональных медицинских данных практически, не даёт. Как не даёт и понимания важности защиты частной жизни.

После ознакомления с гл. 7. «Цифровое здравоохранение» субъективно возникло ощущение, что стремление к цифровизации затмило необходимость разработать правила в области регулирования защиты данных, которые, простите за тавтологию, собираются собирать. При этом современная реальность такова, что данные становятся всё более и более ценным ресурсом. Соответственно, должны совершенствоваться механизмы их защиты.

Впрочем, самым явным камнем преткновения стали Ст.62, в Пункте 1 которой говорится:

  • Сбор, обработка и хранение персональных данных для формирования электронных медицинских записей, содержащих персональные медицинские данные, осуществляются по презумпции согласия физического лица (пациента) или законного представителя при отсутствии его письменного отказа либо отказа в электронном формате.

И Ст.63, П7:

  • Непредоставление данных субъектами здравоохранения в Национальный электронный паспорт здоровья и электронные информационные ресурсы уполномоченного органа влечет ответственность в соответствии с законодательством Республики Казахстан. (Здесь не совсем ясно это будут обезличенные данные для статистики или нет. — Прим. авт.).

Ну и смотрите П1, Ст.63, насчёт того, кто будет обладать правом доступа к персональным медицинским данным физического лица (пациента), если кодекс примут:

  1. поставщики медицинских и фармацевтических услуг, оказывающие услуги данному пациенту, и только для целей оказания медицинских и фармацевтических услуг;
  2. организация, ответственная за финансовое возмещение затрат на оказание медицинской помощи;
  3. государственные органы, осуществляющие государственный контроль в сфере оказания медицинских услуг (помощи), санитарно-эпидемиологического благополучия населения, обращения лекарственных средств и медицинских изделий;
  4. военно-медицинские (медицинские) подразделения центральных исполнительных органов и иных центральных государственных органов;
  5. агрегаторы медицинских данных, владельцы объектов цифрового здравоохранения.

То есть медицинские данные будут доступны довольно широкому кругу лиц и организаций.

Мировой контекст

Давайте оценим, как относятся к Big Data в области медданных в других странах. Как оказалось, Казахстан, в отличие от России, Армении, Азербайджана, Грузии и многих других стран не ратифицировал и не присоединился к «Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» (ETS 108).

На основе ETS 108 был разработан новые нормы Европейского союза о защите данных — GDPR (General Data Protection Regulation/ Генеральный регламент по защите данных), который вступил в силу в мае 2018 года. По сути, этот закон обозначил, что «ужесточение регуляторных требований в области информационной безопасности и ответственности за их соблюдение, особенно в сфере защиты персональных данных (ПДн), стало мировым трендом», — так говорится в специальном документе выпущенном KPMG (одна из крупнейших мировых аудиторских компаний из т.н. «большой четвёрки») для России и СНГ. В документе сказано, что новый регламент (распространяющийся в том числе на медицинские и биометрические данные) отличается беспрецедентными штрафными санкциями за нарушение требований закона.

Ну и что принципиально важно, регламент содержит требование к получению однозначного и добровольного согласия на обработку ПДн.

То есть — никакой презумпции согласия, когда персональные данные собираются по умолчанию, и только письменный отказ или отказ в электронном формате может этому воспрепятствовать.

Нестыковки с существующим законодательством РК

Впрочем, мы не относимся к ЕС. Однако некоторые наши законы тяготеют к гармонизации с европейскими, так с 2013 года у нас функционирует «Закон о персональных данных и их защите» (В РФ аналогичный закон принят в 2007 году). Обратимся к Статье 7. «Условия сбора, обработки персональных данных», которая в П1 гласит: Сбор, обработка персональных данных осуществляются собственником и (или) оператором с согласия субъекта или его законного представителя, кроме случаев, предусмотренных статьей 9 настоящего Закона.

Как видим, опять никакой презумпции согласия.

В Статье 9 в контексте медицинских данных можно рассматривать подпункт 2, касающийся осуществления государственной статистической деятельности.
То есть предоставляется обезличенная информация (Ст.17).

Далее упомянутый Закон РК в Ст.10, П4 утверждает:

Третьи лица могут получать персональные данные, содержащиеся в информационных системах государственных органов, через веб-портал «электронного правительства» при условии согласия субъекта, предоставленного с кабинета пользователя на веб-портале «электронного правительства», а также посредством зарегистрированного на веб-портале «электронного правительства» абонентского номера сотовой связи субъекта путем передачи одноразового пароля или путем отправления короткого текстового сообщения в качестве ответа на уведомление веб-портала «электронного правительства».

Эта норма на практике не соотносится с П1, Ст.63 предлагаемого кодекса, по которой по умолчанию к медицинским данным имеет доступ довольно широкий круг лиц и организаций, включая, например, военно-медицинские подразделения центральных исполнительных органов и проч..

Ну и стоит отметить, что пока не ясно, каков будет технический механизм сбора и хранения персональных данных — невозможно однозначно сказать какова степень риска.

Однако в целом, как существующие законы РК, так и новый Кодекс о здоровье, гарантируют их защиту, а в случае несоблюдения мер по защите — ответственность в соответствии с законодательством РК.

Например, по Статье 147 УК РК несоблюдение мер по защите данных:

наказывается штрафом в размере до трех тысяч месячных расчетных показателей либо исправительными работами в том же размере, либо привлечением к общественным работам на срок до шестисот часов, либо ограничением свободы на срок до двух лет, либо лишением свободы на тот же срок с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.

Так что наказание предусмотрено, но, естественно, в плане строгости не такое как в ЕС (см. картинку выше).

Айгерим Мекишева
Журналист, фактчекер, МА (Journalism for international students, University of Westminster, London), технический писатель, редактор, PR-специалист, руководитель проектов (медиа и PR)