Обеспечение баланса между охраной здоровья и защитой персональных данных: оперативные и стратегические аспекты

WHO

Public health data should be secured with high standards of IT security.

От учреждений общественного здравоохранения все чаще требуется обеспечивать баланс между основными правами и принципами защиты данных. Для достижения этой цели ЕРБ ВОЗ опубликовало ряд легко осуществимых мер, с помощью которых любая организация общественного здравоохранения сможет более тщательно соблюдать требования к защите данных.

Документ под названием «Защита персональных данных в информационных системах здравоохранения: принципы и процедуры, применяемые в сфере охраны общественного здоровья» является частью работы ЕРБ ВОЗ по поддержке государств-членов в укреплении их информационных систем здравоохранения (ИСЗ).

Соблюдение требований к защите данных является особенно сложной задачей для учреждений, активно участвующих в ведении ИСЗ. В последние десятилетия наблюдается не только ужесточение нормативных требований к обработке персональных данных, но и появление новых вызовов, обусловленных техническим прогрессом в таких сферах, как эпиднадзор, большие данные и хранение облачных данных.

Расширение прав и возможностей граждан за счет соблюдения требований к защите данных

Для обеспечения полного соблюдения применимых законов и нормативных актов в области защиты данных органы общественного здравоохранения должны гарантировать, что использование персональных данных – любой информации, относящейся к идентифицированному или идентифицируемому физическому лицу – будет носить справедливый, законный и прозрачный характер и допускаться лишь в той мере, в какой это необходимо для соблюдения общественных интересов в сфере здравоохранения.

Авторы предупреждают, что исследователи зачастую прибегают к информированному согласию субъектов данных для легитимизации обработки персональных данных. Однако информированное согласие – не единственное правовое основание для защиты данных. Согласие также подразумевает, что субъекты данных располагают реальным выбором и возможностями для контроля ситуации и четко выражают свою волю.

Прозрачность является основным принципом современного законодательства в области защиты данных и означает честное отношение к субъектам данных, например, путем публикации политики в области защиты данных на веб-сайтах и использования языка, понятного для субъектов данных. В мире, в котором технологические компании обрабатывают огромные объемы персональных данных, только информированные и обладающие полномочиями граждане смогут осуществлять такие свои права, как право на доступ к персональным данным, право на забвение и право на возражение.

Защита данных в контексте общественного здравоохранения

Общественное здравоохранение как сфера, представляющая жизненно важный интерес, занимает особое положение с точки зрения правового обоснования обработки данных, которая может включать в себя вторичное использование персональных данных для ведения ИСЗ. Однако служение благим целям (например, цели охраны общественного здоровья) не оправдывает снижения стандартов безопасности информационных технологий (ИТ).

В целях обеспечения безопасности ИТ и сведения к минимуму риска нарушений безопасности данных авторы рекомендуют вести непрерывный контроль за соответствием требованиям, гарантировать постоянное шифрование данных, проводить тесты на проникновение со стороны третьих лиц и разрабатывать планы аварийно-восстановительных работ.

Данные о здоровье, включая данные о различных детерминантах здоровья, представляют собой важный ресурс для разработки политики, управления системами здравоохранения и научных исследований. При разработке политики общественного здравоохранения важнейшую роль играет вторичное использование данных. Агрегирование или обезличивание персональных данных по возможности должно осуществляться на уровне источника; как подчеркивают авторы, для того чтобы данные считались действительно обезличенными, этот процесс должен быть необратимым.

Что касается привилегированного статуса исследований, проведение которых принято во многих странах как основополагающее конституционное право, то исследовательская деятельность должна быть четко отделена от мероприятий по обработке данных для целей разработки политики.

Выстраивание системы управления защитой данных в сфере общественного здравоохранения

Авторы приходят к выводу, что защита данных не является чем-то недостижимым, однако она требует правового и технического профессионализма, поддержки со стороны высшего руководства, предоставления достаточных ресурсов и подготовки всех специалистов, вовлеченных в процесс обработки персональных данных.

Кроме того, защита данных – это не обособленная деятельность, она должна быть интегрирована во все аспекты ведения ИСЗ. В этой связи органы общественного здравоохранения должны обучать своих специалистов тому, как обеспечивать баланс между затрагиваемыми основополагающими правами; расширять права и возможности граждан, взаимодействуя с ними по вопросу о важности обработки данных для мероприятий по охране общественного здоровья; а также устанавливать этические и правовые критерии для действий в чрезвычайных ситуациях, таких как пандемия COVID-19.

Европейские органы общественного здравоохранения должны помнить о разнообразии рисков, связанных с нарушениями в области защиты данных; причем их основными последствиями являются репутационный ущерб и денежные штрафы. Даже если практическая реализация всех оперативных и стратегических аспектов может показаться нереалистичной задачей, очень важно начать с малого.

Для того чтобы подробнее узнать о работе ЕРБ ВОЗ в этом направлении, свяжитесь с подразделением по вопросам данных, показателей и аналитики (euhiudata@who.int).