Законодательная база внедрения информационных технологий в медицинскую практику

Законодательное регулирование использования информационных и коммуникационных технологий осуществлялось до недавнего времени в соответствии со ст. 29 Конституции Российской Федерации, Федеральными законами «Об информации, информатизации и защите информации» (1995), «О техническом регулировании» (2002), «Об электронной цифровой подписи» (2002) и рядом других законодательных актов.

27 июля 2006 г. Президент РФ подписал пакет, состоящий из двух законов: «Об информации, информационных технологиях и защите информации» (№ 149-ФЗ) и «О персональных данных» (№ 152-ФЗ). Первый закон вступил в силу с августа 2006 г., второй - с февраля 2007 г. Признаны утратившими силу Федеральный закон от 20.02.1995 № 24-ФЗ «Об информации, информатизации и защите информации» и Федеральный закон от 04.07.1996 № 85-ФЗ «Об участии в международном информационном обмене».

Впервые в России строго регламентированы такие важные процедуры, как сбор персональных данных на граждан и защита этих данных в информационных системах.

В Федеральном законе № 149-ФЗ «Об информации, информационных технологиях и защите информации» даны основные понятия информации, информационных систем и технологий, информационно-телекоммуникационных сетей, доступа к информации и ее конфиденциальности, электронных сообщений и др., их четкие определения. Так, информационные технологии рассматриваются как процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов (п. 2 ст. 2). Далее дается определение информационной системы как совокупности содержащихся в базах данных, информационных технологий и технических средств, обеспечивающих их обработку.

В здравоохранении Российской Федерации интеграция информационных систем и технологий осуществляется на основе отраслевых нормативных документов по стандартизации СТО МОСЗ.91500.16.0002-2004 «Информационные системы в здравоохранении. Общие требования» и СТО МОСЗ.91500.16.0003-2004 «Информационные системы в здравоохранении. Общие требования к форматам обмена информацией».

Основные принципы построения информационных систем находят свое практическое воплощение в стандартах открытых информационных систем, которые активно разрабатываются международной организацией International Systems Organization (ISO) и ее Техническим комитетом ISO/TC215 «Health Informatics» для медицинских информационных систем.

Регулируя правовые принципы в сфере информационных взаимоотношений, ст. 3 регламентирует, что ограничения доступа к информации могут устанавливаться только федеральными законами. К таким ограничениям относятся: недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия, недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими (если только обязательность применения определенных технологий не установлена федеральными законами). Однако возникает вопрос, будет ли закон способствовать реализации в здравоохранении типовых информационных систем, технологий и программных продуктов, доказавших свою эффективность в практическом применении.

К общедоступной информации, согласно ст. 7 закона, отнесены общеизвестные сведения и иная информация, доступ к которой не ограничен, хотя возникают сомнения, требующие разъяснения, в отношении использования в практической работе сведений многочисленных муниципальных, региональных и прочих баз, специализированных регистров, содержащих персональные данные отдельных контингентов граждан.

В статьях 8, 9, 10, 11 закона изложены права на доступ к информации граждан (физических лиц) и организаций (юридических лиц), положения о бесплатном предоставлении информации, ограничении доступа к информации и регламентации распространения или предоставления информации, документировании информации.

Отдельно выделены требования, предъявляемые к информационным системам государственного, муниципального и иного уровня, порядку их создания и эксплуатации (ст. 13). Особо отмечено (п. 5 ст. 15), что передача информации средствами информационно-телекоммуникационных сетей осуществляется без ограничений при условии соблюдения установленных федеральными законами требований к распространению информации (ограничения могут быть установлены только соответствующими федеральными законами).

Требования к защите информации со стороны обладателя и оператора информационных систем констатируют, что они обязаны не допустить несанкционированный доступ к информации и обеспечить постоянный ее контроль (ст. 16). Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральными органами исполнительной власти (в здравоохранении - Минздравсоцразвития РФ).

Необходимо пояснить, что согласно ст. 6 закона обладателем информации может быть «гражданин (физическое лицо), юридическое лицо, Российская Федерация, субъект Российской Федерации, муниципальное образование» (п. 1). Правомочия обладателя информации от их имени осуществляются соответственно государственными органами и органами местного самоуправления в пределах их полномочий, установленных соответствующими государственными нормативными правовыми актами. Права и обязанности обладателя информации изложены в п. 3 и 4 ст. 6.

Итак, права собственника на информационные ресурсы принадлежат «обладателю информации» - лицу или органу, самостоятельно создавшему информацию либо получившему на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.

Иными словами, собственниками информационных ресурсов являются:

- гражданин (физическое лицо);

- учреждение, организация (юридическое лицо);

- государственный орган субъекта Российской Федерации;

- орган местного самоуправления.

В ст. 2 закона дается пояснение, что оператор информационной системы - это «гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в т. ч. по обработке информации, содержащейся в ее базах данных».

Ответственность за защиту информации в информационных системах и базах данных возложена на обладателя информации и оператора информационной системы в случаях, установленных законодательством Российской Федерации. Они обязаны обеспечить защиту информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; соблюдение конфиденциальности информации ограниченного доступа; реализацию права на доступ к информации, недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование.

Ответственность за правонарушения в сфере информации, информационных технологий и защиты информации, а также права лиц, интересы которых были нарушены, регламентированы в ст. 17 закона.

В ст. 2 Федерального закона № 152-ФЗ «О персональных данных» его целью определено «обеспечение защиты прав и свобод человека, гражданина при обработке его персональных данных, в т. ч. защиты прав на неприкосновенность частной жизни, личную и семейную тайну».

Отмечено, что под персональными данными понимается «любая информация, относящаяся к определенному или определяемому на основе такой информации физическому лицу (субъекту персональных данных), в т. ч.: его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация» (ст. 3).

Далее регламентированы основные действия с персональными данными: обработка, распространение, использование, а также процедуры их уничтожения. Приводится определение информационной системы персональных данных как «совокупности персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств». Данное определение близко (хотя и более широко по смыслу) приведенному выше понятию информационной системы.

В ст. 7 дается базовое понятие «конфиденциальность» - «обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицам требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного обоснования»; разъясняется понятие общедоступных персональных данных, доступ к которым неограниченного круга лиц предоставлен с согласия субъекта этих данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Особую значимость для здравоохранения представляет ст. 9 «Согласие субъекта персональных данных на обработку своих персональных данных». Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных (за исключением случаев, предусмотренных законодательством Российской Федерации).

В целях обеспечения реализации прав субъектов персональных данных в связи с обработкой этих данных может быть создан государственный реестр населения, правовой статус которого и порядок работы с которым устанавливается законом (ст. 13).

Для решения задач, определенных приоритетным национальным проектом «Здоровье», формируется федеральный регистр медицинских работников.

Персонифицированные базы учетных данных создаются на уровне амбулаторно-поликлинического звена здравоохранения по:

- неработающим пенсионерам;

- отдельным категориям граждан, имеющим право на дополнительное лекарственное обеспечение (федеральным льготникам);

- работающим гражданам (по приемам врачами-специалистами);

- диспансеризации работников бюджетной сферы;

- дополнительным медосмотрам работников производств с вредными условиями труда;

- беременным и роженицам (отчетность по родовым сертификатам);

- застрахованным гражданам по ОМС в различных страховых компаниях (часто отдельно по работающим и неработающим);

- «иногородним» пациентам.

Доступ к своим персональным данным и ограничения доступа для субъекта персональных данных (ст. 14), регламентация прав субъекта при обработке его данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации рассмотрены отдельно в ст. 15. Если представление персональных данных установлено Федеральным законом или персональные данные являются общедоступными, оператор до начала их обработки обязан предоставить субъекту персональных данных следующую информацию: наименование (ФИО) и адрес оператора (или его представителя), цель обработки данных и его правовое основание, предполагаемые пользователи персональных данных (ст. 18).

Ст. 19 закона устанавливает организационные и технические меры обеспечения безопасности персональных данных при их обработке.

Отмечено: «Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную, предусмотренную законодательством Российской Федерации ответственность».

Важно заключительное положение о том, что «информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с его требованиями не позднее первого января 2010 года».

Таким образом, Федеральный закон № 152-ФЗ «О персональных данных» обеспечивает защиту прав и свобод человека и гражданина при обработке его персональных данных. В то же время защита персональных данных является в первую очередь прерогативой самого человека, гражданина, и закон это предусматривает (ст. 11).

Ст. 61 «Основ законодательства Российской Федерации об охране здоровья граждан» (1993) предполагает согласие больного на передачу касающихся его сведений, содержащих врачебную тайну, а также его согласие на доступ к этим сведениям соответствующих должностных лиц, в т. ч. других врачей и медсестер. Аналогичные требования к конфиденциальности персональной информации, включая режим их передачи в электронном виде, определены также в Федеральном законе «О персональных данных».

Создание стандартов ведения электронных записей о здоровье (Electronic Health Record - EHR), которые принято называть «электронными медицинскими записями» - одна из наиболее значимых и трудных проблем, не решенных еще ни в одной стране мира. На ее решении в настоящее время сосредоточены основные усилия в области стандартизации в медицинской информатике.

Наиболее перспективным стандартом структуры электронных клинических документов, если не с целью хранения, то по крайней мере с целью передачи из одного учреждения здравоохранения в другое, является Архитектура клинических документов CDA Release 2.0, разработанная комитетом HNS (США) и представленная в Международную организацию по стандартизации ISO в качестве проекта международного стандарта (The Clinical Document Architecture Release 2.0; http://www.h17/org).

Субъект персональных данных сам принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, когда предусматривается обязательное их предоставление в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных за исключением указанных случаев (ст. 9).

Закон предусматривает (п. 10 ст. 3) «обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания». Этим обеспечивается конфиденциальность персональных данных.

В соответствии со ст. 14 закона № 152-ФЗ субъект персональных данных (гражданин) имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных субъекта и на ознакомление с этими данными, за исключением случаев, когда обработка персональных данных осуществляется в целях обороны страны, безопасности государства и охраны правопорядка или предоставление персональных данных нарушает конституционные права и свободы других лиц.

«Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в т. ч. использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий» (ст. 19).

Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям ст. 23 настоящего закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи.

Российское здравоохранение находится в преддверии принятия федерального закона об электронном документообороте, введения паспорта здоровья, электронной истории болезни (в декабре 2006 г. впервые утвержден национальный стандарт «Электронная история болезни. Общие положения») и электронной цифровой подписи. Поэтому уместно обратить внимание на Федеральный закон № 1-ФЗ «Об электронной цифровой подписи», утвержденный Президентом Российской Федерации 10 января 2002 года.

Целью закона № 1-ФЗ является обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись признается равнозначной собственноручной подписи в документе на бумажном носителе.

Основные понятия, используемые в настоящем законе, разъясняют, что (ст. 3):

- электронный документ - это документ, в котором информация представлена в электронно-цифровой форме;

- электронная цифровая подпись - реквизит электронного документа, предназначенный для его защиты от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе;

- владелец сертификата ключа подписи - физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом электронной цифровой подписи, позволяющим с его помощью создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы);

- средства электронной цифровой подписи - аппаратные и (или) программные средства, обеспечивающие создание электронной цифровой подписи;

- пользователь сертификата ключа подписи - физическое лицо, использующее полученные в удостоверяющем центре сведения о сертификате ключа подписи для проверки принадлежности электронной цифровой владельцу сертификата ключа подписи и др.

В ст. 4 отмечено, что электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при подтверждении ее подлинности в соответствии с установленными требованиями. Участник информационной системы может быть одновременно владельцем любого количества сертификатов ключей подписей.

Сертификат ключа подписи должен содержать:

- уникальный регистрационный номер;

- даты начала и окончания срока действия сертификата ключа подписи, находящегося в реестре удостоверяющего центра;

- фамилию, имя и отчество владельца сертификата и иные сведения.

Сертификат ключа подписи в форме документа на бумажном носителе хранится в порядке, установленном законодательством Российской Федерации об архивах и архивном деле.

Удостоверяющим центром, выдающим сертификаты ключей подписи для использования в информационных системах общего пользования, должно быть юридическое лицо, выполняющее функции, предусмотренные настоящим Федеральным законом. Деятельность удостоверяющего центра подлежит лицензированию в соответствии с законодательством Российской Федерации.

Удостоверяющий центр:

• создает по обращениям участников ключи электронных цифровых подписей информационной системы с гарантией сохранения в тайне закрытого ключа электронной цифровой подписи;

• изготавливает и выдает сертификаты ключей подписей в форме документов на бумажных носителях и (или) в форме электронных документов с информацией об их действии;

• осуществляет по обращениям пользователей сертификатов ключей подписей подтверждение подлинности электронной цифровой подписи в электронном документе в отношении выданных сертификатов;

• приостанавливает и возобновляет действие сертификатов ключей подписей, а также аннулирует их;

• ведет реестр сертификатов ключей подписей и др.

Услуги по выдаче участникам информационных систем сертификатов ключей подписей, зарегистрированных удостоверяющим центром, одновременно с информацией об их действии в форме электронных документов оказываются безвозмездно (п. 4 ст. 9).

Особо в законе выделяется порядок использования электронной цифровой подписи в сфере государственного управления. Так, в ст. 16 закона отмечено, что федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации, органы местного самоуправления, а также организации, участвующие в документообороте с указанными органами, используют для подписания своих электронных документов электронные цифровые подписи уполномоченных лиц указанных органов и организаций.

Сертификаты ключей подписей уполномоченных лиц федеральных органов государственной власти включаются в реестр, который ведется уполномоченным федеральным органом исполнительной власти, а порядок организации выдачи сертификатов ключей подписей уполномоченных лиц органов государственной власти субъектов и местного самоуправления Российской Федерации устанавливается нормативными актами соответствующих органов.

Порядок использования электронных цифровых подписей в корпоративной информационной системе устанавливается решением ее владельца или соглашением участников этой системы.

Содержание документа на бумажном носителе, заверенного печатью и преобразованного в электронный документ, в соответствии с нормативными правовыми актами или соглашением сторон может заверяться электронной цифровой подписью уполномоченного лица.

В заключение, но отнюдь не в последнюю очередь, следует назвать Федеральный закон от 27.12.2002 № 184-ФЗ «О техническом регулировании», дающий новую систематизацию нормативно-правовых актов, которые до 2010 г. будут регламентировать основные направления деятельности организаций, включая медицинские. Этот закон регулирует отношения, возникающие при разработке, принятии, применении и исполнении обязательных и добровольных требований к продукции, процессам производства, эксплуатации и т. д. В частности, с его введением кардинально изменилась ситуация в вопросах сертификации продукции.

Закон определяет такие основные понятия, как аккредитация, безопасность продукции и процессов производства, международный и национальный стандарт, сертификация и контроль соответствия продукции требованиям технических регламентов и др. Технические регламенты как главные документы закона «О техническом регулировании» принимаются в целях защиты здоровья граждан, имущества физических и юридических лиц, государственного и муниципального имущества, охраны окружающей среды, предупреждения действий, вводящих в заблуждение приобретателей (ст. 6).

Технический регламент должен содержать исчерпывающий перечень продукции, процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, в отношении которых устанавливаются его требования, правила и формы оценки соответствия. Оценка соответствия производится в формах государственного контроля (надзора), аккредитации, испытания, регистрации, подтверждения соответствия, приемки и ввода в эксплуатацию объекта.

В трактовке технического регламента медицинская организация - медицинский объект типа больницы, поликлиники, фельдшерско-акушерского пункта, станции скорой медицинской помощи и пр.

Содержащиеся в технических регламентах обязательные требования имеют прямое действие на всей территории Российской Федерации и могут быть изменены только путем внесения изменений и дополнений в соответствующий технический регламент. Технические регламенты носят международный характер и применяются одинаковым образом и в равной мере независимо от страны и (или) места происхождения (производства) продукции. Международные стандарты и (или) национальные стандарты могут использоваться полностью или частично в качестве основы для разработки проектов технических регламентов (ст. 7).

Технический регламент принимается федеральным законом. Национальные стандарты и общероссийские классификаторы технико-экономической и социальной информации, в т. ч. правила их разработки и применения, представляют собой национальную систему стандартизации. Национальные стандарты применяются на добровольной основе. Это прямо относится и к утвержденному в 2006 г. первому национальному стандарту «Электронная история болезни. Общие положения».

Общероссийские классификаторы технико-экономической и социальной информации - нормативные документы, распределяющие указанную информацию в соответствии с ее классификацией (классами, группами, видами и др.) и являющиеся обязательными для применения при создании государственных информационных систем и информационных ресурсов и межведомственном обмене информацией (ст. 15).

Различают также стандарты организаций (ст. 17), в т. ч. коммерческих, общественных, научных, саморегулируемых организаций, объединений юридических лиц, которые могут разрабатываться и утверждаться самостоятельно, исходя из необходимости применения этих стандартов для совершенствования производства и обеспечения качества продукции, выполнения работ, оказания услуг, а также для распространения и использования полученных в различных областях знаний результатов исследований (испытаний), измерений и разработок. Порядок разработки, утверждения, учета изменений и отмены стандартов организаций устанавливается ими самостоятельно.

В целях удостоверения соответствия продукции, процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, работ, услуг или иных объектов техническим регламентам, стандартам, условиям договоров, а также для содействия приобретателям в компетентном выборе продукции, работ, услуг производится процедура добровольного или обязательного подтверждения соответствия.

В соответствии со ст. 44 технические регламенты, документы национальной системы стандартизации, международные стандарты, правила стандартизации, нормы и рекомендации по стандартизации, национальные стандарты других государств и пр. составляют Федеральный информационный фонд технических регламентов и стандартов, который является государственным информационным ресурсом.

Со дня вступления в силу закона «О техническом регулировании» (с июля 2003 г.) утратившими силу признаны законы Российской Федерации «О сертификации продукции и услуг» (1993), «О стандартизации» (1993), «О рекламе» (1998), «Об основах социального обслуживания населения в Российской Федерации» (2002).

Литература

1. Александрова О.Ю., Вольская Е.А., Базаров С.Б. Проблемы реализации права пациента на информированное добровольное согласие при медицинском вмешательстве // ГлавВрач. - 2008. - № 1. - С. 105-110.

2. Федеральный закон от 10.01.2002 № 1-ФЗ «Об электронной цифровой подписи».

3. Федеральный закон от 27.12.2002 № 184-ФЗ «О техническом регулировании».

4. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации».

5. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».

6. Национальный стандарт «Электронная история болезни. Общие положения» (2006).

7. Отраслевой нормативный документ по стандартизации СТО МОСЗ.91500.16.0002-2004 «Информационные системы в здравоохранении. Общие требования» (2004).

8. Отраслевой нормативный документ по стандартизации СТО МОСЗ.91500.16.0003-2004 «Информационные системы в здравоохранении. Общие требования к форматам обмена информацией» (2004).

9. Чеченин Г.И. Проблемы информатизации здравоохранения и медицины с учетом принятия федеральных законов: «Об информации, информационных технологиях и защите информации», «О персональных данных». Пути их решения // В сб.: «Информационные технологии и общество». Материалы Междунар. форума (Италия). - М., 2006. - С. 53-61.