среда, 16 марта 2011 г.

Порядок есть порядок


В прошлом году в МУЗ "Детская городская поликлиника №4" г. Череповца одним из граждан были выявлены некоторые нарушения, связанные с персональными данными маленьких пациентов. По этому факту было направлено обращение в Роскомназдор через интернет-сайт этого ведомства. По истечении 30 рабочих дней с момента обращения Роскомнадзор инициировал проведение внеплановой проверки, предварительные результаты которой мы с вами имели возможность наблюдать. И вот сегодня настало время подвести окончательный итог этой истории.

Напомню, что обращение, отправленное через сайт, носило следующую смысловую нагрузку:

"...Указанные факты могут нанести потенциальный вред моему ребенку и семье, прошу определить, есть ли в изложенных фактах нарушение законодательства о ПДн, и если таковые имеются - поспособствовать к их устранению."

Ответ Роскомнадзора на это обращение:


Что ж, какое обращение - такой и ответ, не правда ли? Но честно говоря, ответ "ни о чем". Поэтому ваш покорный слуга вооружился камерой смартфона и отправился сегодня с утра навестить это учреждение здравоохранения.

Первое, что бросилось в глаза - все те же "папки самозаписи":


Однако мы с вами уже знаем, что из листов, содержащихся в них, уже давно удалили домашний адрес и год рождения, поэтому я особо ими не интересовался. Собственно, на этом можно было бы поставить точку: нарушение устранено, но процесс остался таким же, каким и был, а это значит, что победа, как говорилось в комментариях, действительно "пиррова". Позабавило меня и это объявление:


Согласитесь, "талонная система" и "папки самозаписи" - два взаимоисключающих понятия, даже с точки зрения организации самого процесса: в первом случае обязательно наличие талона, во втором - он совсем ни к чему. Однако эти два понятия великолепно уживаются в голове чиновника, исполняющего распоряжения вышестоящего руководства. Отличный образчик всего нашего законодательства. Дойдя до "стола самозаписи", я открыл папку и все-таки нашел то, что действительно компенсировало потраченное мной время - вот это объявление:


"Ну и что тут такого?" - спросите меня вы - "ведь данные-то действительно становятся общедоступными". Ан нет, не все так просто. Дело в том, что для лиц, не имеющих доступ к регистрационным данным пациента, этот лист содержит ОБЕЗЛИЧЕННЫЕ персональные данные. Идентифицировать пациента могут только сотрудники поликлиники, сопоставив указанные в листе самозаписи данные с данными медицинской карты по номеру участка, поэтому в таком виде защищать ФИО и возраст, в общем-то, и не требуется.

Другой вопрос - в автоматическом переводе персональных данных в категорию общедоступных при внесении их в эту папку. Согласно п. 12 ст. 3 152-ФЗ, общедоступные ПДн - это те ПДн, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта ПДн или на которые в соответствии с федеральными законами не распространяется требования об обеспечении их конфиденциальности. Насколько мне известно, никаких федеральных законов о том, что на ФИО и возраст не распространяется требование конфиденциальности, нет, а значит остается первый вариант - согласие.

Смотрим про него - п. 1 ст. 9 152-ФЗ говорит о том, что субъект принимает решение о предоставлении и дает согласие на их обработку своей волей и в своем интересе. Интерес действительно мой, но вот воля... Учреждение здравоохранения осуществляет медицинское обслуживание населения - то есть, предоставляет услуги. И получается, что гражданин, решивший этой услугой воспользоваться, согласно логике объявления, просто вынужден перевести ряд своих ПДн в категорию общедоступных, иначе услугу он не сможет получить. Про сам способ получения согласия, которое, кстати, является конклюдентным, а не письменным, я вообще молчу - копий уже переломано немало.

Вот такие вот дела. Три месяца понадобилось регулятору на то, чтобы выдрать из листов самозаписи дату рождения и домашний адрес. И нарушение вроде устранили, но тут же наклеили очередной "ляп". Честно говоря, я надеялся на изменение процесса записи к участковым терапевтам, но, видимо, это не в компетенции Роскомнадзора, а регистратура оказалась великой и непобедимой силой (о недостатках процесса - этот комментарий).

Отчего-то не радостно совсем... Ну а читателям, чтоб не грустить, предлагаю самим расставить знаки препинания в заголовке поста.

11 комментариев :

  1. Российская действительность...
    Одни типа работу провели, другие типа предписания выполнили... все щасливы. Занавес.
    Как показывает практика, все зависит от того "это кто здесь сказал "фас"?" (с)
    Яркий пример: проверка гостиницы Hyundai во Владивостоке по жалобе полпреда президента практически всеми регуляторами сразу. Нарушение нац.безопасности блин...

    ОтветитьУдалить
  2. > Но честно говоря, ответ "ни о чем"

    Такова деятельность нашего "контролера"

    Посмотрим новости по инцидентам в США:
    - 600 000 долларов за неспособность защитить персональные данные клиентов в США
    - Украдены личные данные 350 тыс. клиентов банка крови
    - В Сеть выложили личные данные 6 тыс. студентов

    И в России:
    - В Краснодарском крае выявлены нарушения законодательства о персональных данных (В ходе проверки выявлены нарушения. В частности, в Управление Роскомнадзора по Краснодарскому краю и Республике Адыгея (Адыгея) было представлено уведомление об обработке персональных данных, содержащее недостоверные сведения, что является нарушением ч. 7 ст. 22 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных».)

    По идее, должны были посчитать количество скомпроментированных данных, известить субъектов ПДн (это вообще обязаны), возместить ущерб, если он был. Из этого что-то сделано? :)))

    ОтветитьУдалить
  3. Если персональные данные разделить на две группы - регистрационные (например,ФИО,номер паспорта и т.д.) и личные (состояние здоровья и т.д.), и принять меры к тому, чтобы регистрационными данными невозможно было воспользоваться в корыстных целях, то тогда их вообще не нужно защищать, как это было и раньше... и защите подлежали бы только личные данные. Тогда и проблемы подобной не было. Мы все - заложники нашей "кривой" правовой системы, которая создавалась в ущерб Российскому государству и была написана на иностранные гранты. Комментарии, как говорится, излишни...

    ОтветитьУдалить
  4. О каких конклюдентных действиях и о каком согласии субъекта ПДн можно рассуждать, когда без всяких обсуждений в нарушении более 20 пунктов Конституции РФ нам предлагают Универсальные Электронные Карты с зарубежной технологией при этом управление создаваемыми базами данных передаются коммерческим структурам. Как мне кажется государство уже наигралось в безопасность и теперь ему (государству) эта безопасность как зайцу пятая нога.

    ОтветитьУдалить
  5. to Turkish: щасливы все. Кроме субъекта.

    to Андрейка: тут мне коллеги подсказывают, что в ДП №2 такая же петрушка, как была в ДП№4 до обращения. Видать, пока петух в ж... не клюнет. Кто бы "клюнул"? :)

    to magicandy: со всем согласен, кроме "как было раньше". Раньше - это когда - в СССР? Так там подавляющее большинство населения было малоимущих. И не в том дело, что данными было нельзя воспользоваться - просто они нафиг никому не были нужны. Да и ИТ не было так развито.

    to Piligrim16: государство (ведомство) государству (ведомству) рознь.Те, кто сидят на теме, еще пободаются за безопасность в их понимании.

    ОтветитьУдалить
  6. Так и сейчас подавляющее большинство населения - малоимущие, просто понятие малоимущего стало другим, но от этого суть не поменялась :)

    ОтветитьУдалить
  7. Дело в том, что тогда надеялись на государство, на милицию в частности, на армию... Да и люди были другие. Сейчас - человек человеку - волк. Ну а о милиции и государстве вообще молчу.

    ОтветитьУдалить
  8. >to Turkish: щасливы все. Кроме субъекта.
    А субъект может на досуге почитать на досуге 152-ФЗ. А далее два варианта: или смахнув скупую слезу, забить на проблему; или обратиться в "самый гуманный советский суд" (с)... Что тоже равносильно в данном случае забиванию на проблему.
    "Как говорится, приезжайте к нам еще" (с) Бумер

    ОтветитьУдалить
  9. Анонимный18.3.11

    Дело в первую очередь в наших головах. как у булгакова - про разруху. Мы (общероссийское понятие) не научились думать по новому. Пока у нас безопасность ради безопасности и чтобы не приставали. Все жалуются что базы распродаются направо и налево, но в свою очередь от себя что-то сделать не хотят!

    ОтветитьУдалить
  10. Не кажется ли Вам, что Вы довольно сильно, я бы даже сказал параноидально, увлеклись compliance?
    См. Слайд 21, п.31, господина Лукацкого
    http://lukatsky.blogspot.com/2011/03/cso-forum.html

    ОтветитьУдалить
  11. to kukalo: нет, не кажется. Цель этого мероприятия - посмотреть на проблему с точки зрения субъекта ПДн. Итог - нарушение устранялось очень долго, а толку от этого - никакого. Мораль: безопасность ради безопасности, а не ради субъекта. Что и требовалось доказать. Ну а по поводу паранойи - прожалуйте сюда http://anvolkov.blogspot.com/2011/02/blog-post_15.html, там у Вас есть единомышленники.

    ОтветитьУдалить