Денсаулық туралы Кодекс және адамдардың жеке деректері

Денсаулық туралы жаңа Кодекске қатысты туындаған шағымдарды талдауды жалғастырамыз. Біз бұған дейін жыныстық тәлім-тәрбие мен медициналық зерттеулерге тоқталған едік. Ендігі кезек – жеке деректер мәселесі.

Мәлімдеме: Азаматтардың жеке медициналық деректерін бір орталыққа жинау мен өңдеудің бір қаупі бар, ол – сол деректердің басқа адамдардың қолына өтіп кету мүмкіндігі. Осыған қоса бұл адам құқығы тұрғысынан заңсыз.

Үкім: Жартылай шындық

Деректерді жинау заңды, себебі ол заңда жазылған (төменде бұл сала Қазақстанда және шетелде қалай реттелетіні туралы біле аласыз). Алайда бұл жерде контекст өте маңызды. Деректердің өзгелердің қолына өтіп кету қаупі әрдайым бар, сонымен қатар Big Data қазіргі уақытта дамудың объективті бағыты және адам өмірінің бір бөлігіне айналып кетті. Сондықтан біз наразылық (немесе қауіп) тудырған мәселе ретінде келесі тұжырымдаманы ұсынар едік: «Медициналық деректерді жинау саласындағы ақпараттық қауіпсіздік нормалары қазіргі заманның талаптарына және жеке өмірді қорғаудың негізгі қағидаттарына қаншалықты сәйкес?»

Жауап: Сәйкес емес. Жаңа Кодекс жеке медициналық деректерді қорғауға ерекше мән де бермейді. Осыған қоса ол жеке өмірді қорғау мәселесіне аса көп назар аудармайды.

«Денсаулық сақтау саласындағы ақпараттандыру» атты 7-тараумен танысқаннан кейін субъективті пайымға салатын болсақ, барлығын цифрландырамыз деп жиналатын деректерді қорғау саласын реттеу ережелерін әзірлеуді ұмытып кеткен сияқты. Осы орайда айта кететін жайт, қазіргі заманда мұндай деректер барынша құнды ресурс болып есептеледі. Сондықтан, оларды қорғау тетіктері де жетілдірілуі тиіс.

Дегенмен, бұл жерде наразылық тудыратын екі бап бар. Ол 62-баптың 1-тармағы:

  • Дербес медициналық деректерді қамтитын электрондық медициналық жазбаларды қалыптастыру үшін дербес деректерді жинау, өңдеу және сақтау жеке тұлғаның (пациенттің) немесе заңды өкілінің жазбаша бас тартуы не электрондық форматтағы бас тартуы болмаған кезде оның келісімінің презумпциясы бойынша жүзеге асырылады.

Осыған қоса 63-баптағы 7-тармақ:

  • Денсаулық сақтау субъектілерінің Ұлттық электрондық денсаулық паспортына және уәкілетті органның электрондық ақпараттық ресурстарына деректерді ұсынбауы Қазақстан Республикасының заңнамасына сәйкес жауаптылыққа әкеп соғады (Бұл жерде статистика үшін иесіз немесе иесі бар деректер алынатыны анық жазылмаған. – ескерт. авт.).

Сонымен қатар, 63-баптың 1-тармағын қарап көріңіз. Онда егер Кодекс қабылданатын болса, жеке тұлғаның (пациенттің) жеке медициналық деректеріне кім қол жеткізе алатынын көрсетілген:

  1. осы пациентке қызметтер көрсететін және медициналық және фармацевтикалық қызметтер көрсету мақсаттары үшін ғана медициналық және фармацевтикалық қызметтер берушілер;
  2. медициналық көмек көрсетуге арналған шығындарды қаржылық өтеуге жауапты ұйым;
  3. медициналық қызметтер көрсету (көмек), халықтың санитариялық-эпидемиологиялық саламаттылығы, дәрілік заттар мен медициналық бұйымдардың айналысы саласындағы мемлекеттік бақылауды және қадағалауды жүзеге асыратын мемлекеттік органдар;
  4. орталық атқарушы органдар мен өзге де орталық мемлекеттік органдардың әскери-медициналық (медициналық) бөлімшелері;
  5. медициналық деректер агрегаторлары, цифрлық денсаулық сақтау объектілерінің иелері жеке тұлғаның (пациенттің) дербес медициналық деректеріне қол жеткізу құқығына ие.

Яғни, медициналық деректер біраз адам мен ұйымға белгілі болады.

Әлемдік контекст

Медициналық деректер саласындағы Big Data-ға басқа елдер қалай қарайтынын сараптап көрейік. Белгілі болғандай, Қазақстан Ресей, Армения, Әзірбайжан, Грузия және басқа да көптеген елдер сияқты «Жеке деректерді автоматты түрде өңдеу барысында жеке тұлғаларды қорғау туралы Еуропа Кеңесінің Конвенциясын» (ETS 108) ратификацияламаған және оған қосылмаған.

ETS 108 негізінде деректерді қорғау бойынша Еуропа Одағының жаңа нормалары әзірленген еді. GDPR (General Data Protection Regulation/Деректерді қорғау бойынша бас регламент) деп аталатын құжат 2018 жылдың мамыр айында күшіне енді. Былайша айтқанда, бұл заң келесі тұжырымды нақтылады: «ақпараттық қауіпсіздік, әсіресе, жеке деректерді қорғау саласын реттейтін талаптарды күшейту және оларды сақтау үшін жауапкершілікті қатаңдату, әлемдік тренд болып саналады». Бұл туралы KPMG («үлкен төрттікке» кіретін ірі әлемдік аудиторлық компаниялардың бірі) компаниясы Ресей мен ТМД үшін арнайы шығарған құжатында айтылған. Аталған құжатта жаңа регламент (оның ішіне медициналық және биометриялық деректер де кіреді) заң талаптарын бұзғандар үшін бұрын-соңды болмаған айыппұлдар салатынымен ерекше екені айтылған.

Ең маңыздысы, регламентте жеке деректерді өңдеу үшін адам нақты әрі ерікті түрде келісім беруі қажет деген талап бар.

Яғни, келісім презумпциясы жоқ. Әйтпесе жеке деректер үнсіз келісім бойынша жинала беретін және оған тек жазбаша немесе электронды түрде бас тарту арқылы кедергі келтіру мүмкін еді.

Қолданыстағы Қазақстан заңнамасымен сәйкес келмейтін тұстары

Қалай дегенмен, біз Еуропа одағына жатпаймыз. Алайда, біздің кейбір заңдарымыз европалықтармен үйлесуге әуес. Осылайша 2013 жылдан бастап бізде «Жеке деректер және оларды қорғау туралы Заң» жұмыс істейді (Ресейде осыған ұқсас заң 2007 жылы қабылданды). Сондағы «Дербес деректерді жинау, өңдеу шарттары» деп аталатын 7-баптың 1-тармағына жүгініп көрейік: «Осы Заңның 9-бабында көзделген жағдайларды қоспағанда, дербес деректерді жинауды, өңдеуді субъектінің немесе оның заңды өкілінің келісімімен меншік иесі және (немесе) оператор жүзеге асырады».

Көріп тұрғанымыздай, келісім презумпциясы тағы да жоқ.

Медициналық деректер контексіндегі 9-баптағы мемлекеттік статистикалық қызметті жүзеге асыруға қатысты 2-тармақты қарастыруға болады. Яғни, ақпарат иесі көрсетілмей беріледі (17-бап).

Осыдай кейін аталған заңның 10-бабының 4-тармағы келесіні бекітеді:

Мемлекеттік органдардың ақпараттық жүйелеріндегі дербес деректерді үшінші тұлғалар “электрондық үкімет” веб-порталындағы пайдаланушы кабинетінен берілген субъектінің келісімі болған жағдайда “электрондық үкімет” веб-порталы арқылы, сондай-ақ субъектінің “электрондық үкімет” веб-порталында тіркелген ұялы байланысының абоненттік нөмірі арқылы “электрондық үкімет” веб-порталының хабарламасына жауап ретінде бір реттік парольді жіберу жолымен немесе қысқа мәтіндік хабар жөнелту жолымен ала алады.

Бұл норма іс жүзінде ұсынылып отырған Кодекстің 63-бабындағы 1-тармақпен сәйкес келмейді. Себебі ол бойынша медициналық деректерге үнсіз келісім бойынша, мысалы, орталық атқарушы органдардың әскери-медициналық бөлімшелері және т.б. адамдар мен ұйымдар қол жеткізе алады.

Осыған қоса әзірге жеке деректерді жинау мен сақтаудың техникалық жағы қалай болатыны анық емес. Сондықтан қандай қауіп-қатер бар екенін нақты айту мүмкін емес.

Алайда, Қазақстанда қолданыста бар заңдар да, Денсаулық туралы жаңа Кодекс те жеке деректерді қорғауға кепілдік береді, ал қорғау шаралары сақталмаған жағдайда ҚР заңнамасына сәйкес жауапкершілік артылады.

Мысалы, ҚР Қылмыстық Кодексінің 147-бабы бойынша деректерді қорғау жөніндегі шараларды сақтамау:

…белгiлi бiр лауазымдарды атқару немесе белгiлi бiр қызметпен айналысу құқығынан үш жылға дейінгі мерзімге айыра отырып немесе онсыз, үш мың айлық есептiк көрсеткiшке дейiнгi мөлшерде айыппұл салуға не сол мөлшерде түзету жұмыстарына не алты жүз сағатқа дейінгі мерзімге қоғамдық жұмыстарға тартуға не екі жылға дейiнгi мерзiмге бас бостандығын шектеуге не сол мерзімге бас бостандығынан айыруға жазаланады.

Сондықтан не болса да жаза қарастырылған, алайда, әрине, қаталдық тұрғысынан, Еуропа одағындағыдай емес (жоғарыда суретті қараңыз).

Айгерим Мекишева
Журналист, фактчекер, МА (Journalism for international students, University of Westminster, London), технический писатель, редактор, PR-специалист, руководитель проектов (медиа и PR)