Тайна за семью печатями

– Павел, насколько важным и значимым является для ИНВИТРО обеспечение соответствия требованиям российского законодательства в области персональных данных?
– ИНВИТРО ведет свою деятельность в полном соответствии с российским законодательством в целом и с законодательством в отношении персональных данных в частности. Регулярно проводимые у нас плановые и внеплановые проверки соответствия требованиям НПБ показывают неплохие результаты. Разумеется, остаются некоторые моменты, требующие доработки. Мы учитываем это в нашей стратегии, суть которой можно выразить так: ИНВИТРО должна быть абсолютно "белой" компанией, полностью отвечать требованиям НПБ, в том числе в отношении безопасности персональных данных.

У нас были плановые проверки на соблюдение требований 152-ФЗ в московском и самарском офисах. В Москве проверка была пройдена без замечаний, в Самаре выявленные незначительные недостатки были устранены нами в течение нескольких дней. В частности, нас попросили разместить на местном сайте некоторые разъясняющие положения по персональным данным.

– Выполняли ли вы работы по приведению обработки персональных данных в соответствие закону самостоятельно или привлекали специализированную организацию?
– Эти работы мы начали более четырех лет назад и изначально привлекли к их выполнению специализированную организацию. В то время таких компаний было сравнительно немного, так как тема персональных данных была относительно новой. Сам закон был чрезвычайно сложным для понимания, в нем была масса нюансов, какая-либо наработанная судебная практика отсутствовала, поэтому пути реализации требований закона во многом были неясными.

За разработкой базового пакета документов мы обратились к внешней консалтинговой фирме. Данный пакет был "привязан" к внутренней организации одной из компаний ГК ИНВИТРО, после чего мы собственными силами тиражировали получившееся решение на все остальные входящие в группу компании, работающие с персональными данными. Собственными силами специалистов компании решение в каждом конкретном случае проходило необходимую адаптацию. Эта адаптация главным образом обусловлена спецификой деятельности ГК ИНВИТРО: это не чистый ритейл, но и не совсем классическая медицина. Любое выбранное нами типовое решение так или иначе потребовало бы адаптации.

– Насколько мероприятия по обеспечению соответствия закону были затратными для вашей компании, считаете ли вы эти затраты приемлемыми?
– Финансовые затраты составили несколько миллионов рублей. На эти работы ушло примерно полгода. Сейчас ситуация изменилась. Среди консалтинговых компаний появилась конкуренция. Если бы мы занимались внедрением сейчас, то вложения были бы значительно меньше. Но в таком случае мы бы рисковали нарушить законодательство.

– Кто в компании отвечает за организацию обработки персональных данных, почему эти обязанности возложены именно на этого человека?
– Все наши подразделения в той или иной мере соприкасаются с персональными данными. Вначале персональные данные собираются в медицинском офисе, соответственно, с ними работают его сотрудники. Затем данные попадают в другие подразделения, в том числе частично в лабораторию и департамент маркетинга, поскольку нам надо выстраивать взаимоотношения с нашими клиентами, в финансовые системы, поскольку с клиентами необходимо вести взаиморасчеты, предлагать им скидки. Безусловно, эти данные проходят через ИТ-департамент, поскольку он занимается поддержкой всех систем, в которых они хранятся и обрабатываются.

Если говорить конкретно о требованиях 152-ФЗ, то под них подпадают, как правило, три бизнес-подразделения: юридическое; кадровая служба, работающая с данными сотрудников компании; ИТ-подразделение, поскольку НПБ предъявляет существенные требования к процессам хранения, передачи и обработки персональных данных.

С выходом закона в ИТ-департаменте ИНВИТРО появился сотрудник по безопасности, в задачи которого входит обеспечение соблюдения требований законодательства о персональных данных в части, касающейся ИТ. Этот сотрудник, в частности, отвечает и за то, чтобы данные, в которых больше нет необходимости, надежно удалялись из наших систем. По закону любой наш клиент может обратиться к нам с требованием ликвидации всех его персональных данных из всех наших систем. Поскольку разных ИТ-систем у нас много, нужен человек, способный контролировать и отчитаться в том, что данные удалены из каждой из них.

– Получаете ли вы согласие в письменной форме на обработку специальных категорий персональных данных (сведений о состоянии здоровья, результатов анализов)?
– Чтобы провести исследование, необходимы лишь фамилия, имя и отчество, которые будут обозначены на бланке результата исследования. Только так можно сопоставить конкретные результаты с конкретным пациентом. Кроме этого, для передачи информации о готовности результатов нужны еще контактные данные. Это, скажем так, организационная часть. Чтобы непосредственно проводить исследования, нужно знать пол пациента, его возраст и некую информацию о биоматериалах, которые он нам передает на исследование. Вот и все. Это и есть то, что мы называем персональные данные с медицинским содержанием. Нам не нужна информация о том, чем пациент болел, у какого врача он наблюдается и т.д. Информацию, относящуюся к специальным категориям, мы не собираем, соответственно, никаких уведомлений о порядке ее предоставления у нас не предусмотрено.

Тем не менее, мы получаем письменное согласие пациента на обработку нашим сотрудником персональных данных общего характера. В противном случае мы, как я уже говорил, не можем выполнить исследования.

Лаборатория ИНВИТРО является независимой, не аффилированной с каким-либо учреждением. Иногда мы участвуем в проведении эталонных исследований, например при судебных разбирательствах. Как исследователей, нас интересует "моментальная картина" состояния человека, без предыстории. Если пациент пришел проверяться на сифилис или гепатит, мы не спрашиваем его о том, где и как он мог заразиться, если женщина хочет пройти тест на беременность, мы тоже не задаем лишних вопросов. Мы работаем с поступившим к нам биоматериалом и только.

– Как вы решаете вопрос получения согласия в письменной форме на обработку ПДн лицами, не являющимися врачами и не обязанными хранить врачебную тайну, например ИТ-персоналом, работающим в компании?
– Мы подписываем с пациентом договор о медицинских услугах. Юридически мы медицинская компания. Поэтому в проекцию врачебной тайны, этики мы попадаем, что называется, в полный рост. Забавно, но у законов о ПДн и врачебной тайне даже есть некие коллизии. С точки зрения медицинской этики мы обязаны быть готовы оказать услуги, в том числе и анонимно. Но как (и возможно ли) обеспечить безопасность ПДн анонима? Если, например, он сообщает нам лишь контактный телефон или п/я до востребования? Или он сам захочет опять явиться к нам за ними – инкогнито?

– Как часто вам приходится сталкиваться с запросами пациентов и врачей, связанными с организацией обработки вашей компанией персональных данных?
– Каждое обращение пациента в ИНВИТРО подразумевает обработку персональных данных, без которой пациент не сможет получить результаты исследований. В день по всей сети ИНВИТРО проходит до 35–40 тысяч пациентов. Это все рутинные операции. Гораздо реже, один либо несколько раз в месяц, поступают запросы на деперсонализацию, а именно удаление ФИО пациента из всех систем.

– Были ли в компании ИНВИТРО инциденты, связанные с утечками персональных данных?
– В России, несмотря на действие закона о персональных данных, люди еще не научились защищать свои данные, следить за сохранением их конфиденциальности. Часто они с неприятным удивлением находят в Интернете информацию о себе, а ведь попавшие в сеть данные крайне трудно, практически невозможно удалить из нее. Поэтому стоит заранее озаботиться тем, чтобы данные, которые вы предпочитаете хранить в тайне, в Интернет не попали. В ИНВИТРО подобных утечек не было. В 2013 году компания получила сертификат безопасности ISO 27001, а требования этого сертификата строже, чем у закона о персональных данных. Это позволяет нам гарантировать, что данные наших пациентов не станут всеобщим достоянием. В дополнение к законодательным требованиям мы разработали некоторые специальные внутренние регламенты в отношении персональных данных. Например, все данные шифруются при передаче и хранятся в специальных защищенных хранилищах. Так что мы даже с большим рвением относимся к защите персональных данных, чем того требует закон.