Здоровье и технологии: правовые проблемы взаимодействия
yupiramos / Depositphotos.com |
В марте прошлого года мир столкнулся с пандемией новой коронавирусной инфекции, которая в первую очередь оказала сильное влияние на медицинский сектор. Вынужденный отказ от личного обращения граждан в поликлиники и больницы подстегнул к поискам новых методов решения проблем с коммуникацией врача и пациента, что спровоцировало внесение изменений в законодательство. Предполагалось, что данные обстоятельства смогут подтолкнуть развитие телемедицинских технологий – в том числе, большие надежды возлагались на новые законодательные инициативы в части регулирования телемедицины.
Нововведения 2020 года в части правового регулирования здравоохранения
Законодательные инициативы в сторону применения телемедицинских услуг предпринимались, однако, как заметил советник, глава практики здравоохранения CMS Russia Всеволод Тюпа, о революционных прорывах в части развития законодательства о телемедицине говорить нельзя. При этом радикальное форс-мажорное обстоятельство в виде пандемии не поменяло сферу допустимого применения телемедицины, которое сохранилось еще с 2017 года: применение телемедицинских технологий на данный момент возможно только при коррекции лечения и последующего наблюдением за пациентом.
Подробнее о правовом регулировании телемедицины читайте в нашем материале Доктор онлайн: правовые аспекты телемедицины в России.
Напомним, что телемедицинские технологии представляют собой информационные технологии, которые:
- обеспечивают дистанционное взаимодействие медицинских работников между собой и с пациентами;
- идентификацию указанных лиц;
- документирование действий при проведении консультаций, консилиумов и дистанционного медицинского наблюдения (п. 22 ст. 2 Федеральный закон от 21 ноября 2011 г. № 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации" (далее – Закон № 323-ФЗ).
1 октября прошлого года стартовал эксперимент по оказанию медицинской помощи пациентам с применением телемедицинских услуг на Едином портале госуслуг. Теперь можно получать консультацию врача дистанционно, однако, решение о том, что есть возможность осуществления лечение на дому, принимается только после первичного очного приема у врача. С 1 января текущего года введены новые правила рентгенологических и ультразвуковых исследований (Приказ Министерства здравоохранения РФ от 9 июня 2020 г. № 560н "Об утверждении Правил проведения рентгенологических исследований"; далее – Приказ Минздрава). Документ установил, что анализ результатов рентгенологических исследований может проводиться в том числе с применением телемедицинских технологий при направлении медицинских изображений в другую медицинскую организацию, при условии наличия у такой медицинской организации лицензии на медицинскую деятельность с указанием рентгенологии в качестве составляющей части лицензируемого вида деятельности (п. 10 Приказа Минздрава).
Ознакомиться с актуальными законодательными инициативами можно в нашей тематической подборке документов: Коронавирус COVID-19 (тематическая подборка документов).
При этом ряд законопроектов, прямо относящихся к правовому регулированию телемедицины, не были приняты – так, например, на неопределенный срок было отложено рассмотрение законопроекта № 930215-71 , при этом текст законопроекта ввиду необходимости был разработан в кротчайшие сроки. Закон в случае его принятия должен был регулировать применение телемедицинских технологий в условиях возникновения чрезвычайных ситуаций или угрозы распространения заболеваний. Предлагалось наделить Правительство РФ правом устанавливать иные особенности и порядки оказания медицинской помощи, в том числе с применением телемедицинских технологий. Проект не был отклонен, однако его рассмотрение в третьем чтении перенесено с марта текущего года на неопределенный срок.
Анализируя законодательное регулирование и практические кейсы клиентов, Всеволод Тюпа выделил некоторые правовые проблемы, которые мешают более широкому использованию телемедицинских услуг в России, в том числе с учетом текущей ситуации в стране и мире. В первую очередь, запрет постановки диагноза в значительной степени тормозит развитие рынка телемедицины. Деятельность некоторых медицинских компаний не предполагает необходимости очной встречи врача и пациента, что делает невозможным выход такого бизнеса на рынок в нашей стране. Так, например, Всеволод Тюпа приводит в пример компанию клиента, специализирующуюся на лечении определенного количества заболеваний, диагностирование которых не требует личного осмотра, то есть компания осуществляет свою деятельность полностью дистанционно. Текущее российское законодательство не позволяет такой компании осуществлять свою деятельность на территории страны (в соответствии с п. 3 ст. 36.2 Закона № 323-ФЗ). При этом эксперт отдельно обращает внимание на то, что есть и всегда будут такие ситуации, где личная встреча пациента и врача необходимы, например, если для постановки диагноза необходима пульпация. Однако некоторые диагнозы можно поставить, основываясь на снимках, результатах анализов, тестах и т. п. Именно поэтому полный запрет на дистанционную постановку диагноза, а также невозможность первичного назначения препаратов без исключений, по мнению экспертов, представляется тормозом в развитии телемедицины.
Востребованность телемедицинских услуг подтверждается статистическими данными. Всеволод Тюпа приводит статистику, согласно которой в 2020 году около 5 млн пациентов воспользовались медицинскими услугами в телемедицинском формате, что в значительной степени превышает число таких пациентов в 2019 году, где такое число достигало приблизительно 1,5 млн. Также востребованность использования телемедицины была отмечена на государственном уровне. Так, например, начиная с марта прошлого года в одной только Москве по данным столичного Правительства было проведено более 1 млн телемедицинских консультаций для пациентов с коронавирусом.
Персональные данные о состоянии здоровья
Рассуждение о потенциале использования телемедицинских технологий в России невозможно представить без анализа вопроса защиты персональных данных пациентов. C точки зрения законодательства такие данные относятся к специальной категории персональных данных (в литературе иногда оперируют понятием "чувствительные" персональные данные). Такие данные охраняются на более серьезном уровне, так как их утечка потенциально более опасна для субъекта персональных данных. По общему правилу, обработка таких персональных данных не допускается (п. 1 ст. 10 Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных"; далее – Закон № 152-ФЗ), за исключением определенных случаев. Применительно к персональным данным о здоровье такими случаями являются обработка в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг (подп. 4 п. 1 ст. 10 Закона № 152-ФЗ). При этом обязательно соблюдение условия, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну.
Стоит отметить, что проблема защиты персональных данных при использовании технологий с заботой о здоровье куда шире, чем простое взаимодействие медицинского учреждения и пациента. Технология Health Tech (от англ. Health – здоровье) представляет собой автоматизацию любых процессов, которые относятся к отслеживанию состояния здоровья человека. Тренды Health Tech применяются к любым технологиям, которые взаимодействуют с информацией о здоровье человека – трекеры здоровья (от англ. track – отслеживать) – приложения, установленные на смартфонах, "умных" часах и других гаджетах, отслеживающие показатели здоровья определенного человека. Такие данные он может предоставлять по собственной инициативе (например, записывать количество употребляемой воды в день), также программное обеспечение может получать данные о здоровье самостоятельно (например, некоторые шагомеры измеряют количество шагов с помощью анализа перемещения смартфона или отслеживания геолокации). Обработка персональных данных в приведенных в пример случаях также охватывает ряд особенностей.
Старший юрист практики интеллектуальной собственности и ТМТ CMS Russia Ирина Шурмина очертила круг ключевых аспектов, на которые следует обращать внимание оператору при обработке персональных данных.
- Правовые основания для обработки персональных данных и политика обработки.
- Использование данных в маркетинговых целях, например, для рекламных рассылок.
- Локализация и трансграничная передача данных, особенно актуальна эта проблема, если производитель ПО не является гражданином или резидентом РФ.
- Передача персональных данных третьим лицам и их обезличивание.
В отношении персональных данных о здоровье человека в обязательной форме должно быть соблюдено требование о письменной форме согласия на обработку персональных данных (в соответствии с подп. 1 п. 1 ст. 10 Закона № 152-ФЗ). Такое согласие может быть получено в электронной форме с электронной подписью, что соответствует подписанию бумажного согласия. Ирина Шурмина обращает внимание, что основным проблемным вопросом остается отсутствие четкого разъяснения относительно того, какая именно должна быть электронная подпись. Закон об электронной подписи содержит указание, что электронная подпись должна быть установлена в соответствии с законодательством РФ (п. 3.1 Федерального закона от 6 апреля 2011 г. № 63-ФЗ "Об электронной подписи"; далее – ФЗ № 63-ФЗ), однако четкого разъяснения по вопросу, какой вид электронной подписи можно использовать, закон не дает, в связи с чем на практике достаточно часто возникает ряд вопросов. Так, например, неясно, является ли связка логина и пароля, используемая, например, при регистрации на сайте, электронной подписью, проставленной на письменное согласие в электронном виде. В отношении содержательной части согласия на обработку персональных данных эксперт отдельно подчеркнула, что должен действовать принцип "одна цель – одна обработка".
В отношении использования персональных данных в маркетинговых целях необходимо обязательно запрашивать предварительное согласие на обработку для рекламных целей, считает Ирина Шурмина. Эксперт обращает внимание на следующие обязательные для соблюдения пункты, когда компания намеревается использовать персональные данные именно для таких целей.
Согласие должно:
- относиться к конкретному рекламодателю;
- быть явным и выраженным;
- быть добровольным – предоставление услуги не должно зависеть от дачи согласия.
Она подчеркивает, что наилучшим вариантом представляется тот, когда у пользователя сервиса должна быть не просто возможность отказаться от дальнейших рекламных рассылок, а когда еще на первом этапе использования сервисом ему дан выбор, предоставить его персональные данные для рекламных рассылок или нет. Более того, предпроставленные галочки на таких соглашениях, по мнению эксперта, можно трактовать как нарушение закона – с 1 марта текущего года молчание и бездействие субъекта персональных данных не является согласием на обработку (ч. 8 ст. 10.1 Закона № 152-ФЗ).
Подробнее о нововведениях в области персональных данных читайте в нашем материале Удаляем персональные данные из общего доступа: нововведения с 1 марта
Еще одной из наиболее проблемных тем в области защиты персональных данных в сфере digital Ирина Шурмина называет их локализацию. Напомним, что при сборе персональных данных, в том числе посредством Интернета, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных российских граждан с использованием баз данных, находящихся на территории Российской Федерации (п. 5 ст. 18 Закона № 152-ФЗ) – соблюдать требование о локализации. В случае необходимости передачи персональных данных на территорию иностранного государства они должны первоначально "осесть" на территории России. Ирина Шурмина объясняет, что такое требование относится к персональным данным в том числе в случае их замены субъектом – например, когда пользователь меняет фамилию. Основной вопрос возникает в возможности "параллельного" обновления данных – например, когда они заменяются одновременно и на сервере в РФ, и на сервере, расположенном за границей. Эксперт обращает внимание, что в соответствии с рекомендациями Роскомнадзора и общим пониманием на рынке реализовывать соответствующую схему нельзя: зеркальное копирование персональных данных не отвечает требованию о локализации перед их передачей на базу данных за границей. Повышенное внимание данной теме уделяется в связи с возможностью получить штраф или получить блокировку сайта или приложения. Для юридических лиц и ИП административный штраф за нарушение требования о локализации составляет от 1 млн до 6 млн руб. (п. 8 ст. 13.11 КоАП). Повторное совершение данного правонарушения чревато штрафом от 6 млн до 18 млн руб. (п. 9 ст. 13.11 КоАП РФ). Именно поэтому важно не забывать о соблюдении требования о локализации, а при передачи персональных данных за границу в первую очередь обрабатывать их на серверах на территории России.
Отдельное внимание стоит обратить внимание на вопрос внутригрупповой передачи персональных данных. Ирина Шурмина заметила, что на практике нередко происходят ситуации, когда группа компаний передает персональные данные внутри группы, не понимая, что в данном случае местонахождение серверов имеет важное значение. В российском законодательстве отсутствуют специальные положения по регулированию такой передачи персональных данных, однако, эксперт напоминает, что к таким ситуациям применяются общие положения о локализации и трансграничной передаче персональных данных, что следует учитывать при их обработке внутри группы компаний, части которой расположены в разных странах.
________________
1 С текстом законопроекта № № 930215-7 "О внесении изменений в Федеральный закон "Об основах охраны здоровья граждан в Российской Федерации" (в части особенностей оказания медицинской помощи в условиях чрезвычайных ситуаций) и материалами к нему можно ознакомиться на официальном сайте Госдумы.