Спецпроекты

На сайт госзакупок в открытый доступ выложили данные россиян, защищенные врачебной тайной

3890
Безопасность Стратегия безопасности Пользователю Интернет Веб-сервисы ИТ в госсекторе

В сопроводительной документации к некоторым аукционам на сайте госзакупок обнаружились медицинские протоколы, из которых перед публикацией не были удалены конфиденциальные сведения о пациентах, такие как ФИО, адрес, диагноз и т. д. Аукционы проводило Управление здравоохранения Липецкой области. Активисты, нашедшие документы, считают, что здесь имеет место нарушение врачебной тайны.

Диагнозы на сайте госзакупок

Управление здравоохранения Липецкой области с 2018 г. выкладывает конфиденциальную информацию о пациентах на сайт госзакупок. Данные были обнаружены на сайте участниками объединения «Пациентский контроль», о чем они сообщили на своей странице в Facebook.

Активисты проводили исследование сайта госзакупок на предмет тендеров, касающихся приобретения препаратов для лечения ВИЧ. В ходе своих поисков они обнаружили несколько аукционов по другой теме — их предметом было оказание медицинских услуг в неотложной форме. Суть подобных контрактов заключается в том, что пациентов переводят в медицинские учреждения, находящиеся за пределами региона. Все тендеры датированы 2019 г.

В документации к такому тендеру прилагается выписка из протокола комиссии, которая содержит исчерпывающие данные о пациенте, включая его ФИО, домашний адрес, диагноз, код по МКБ, профиль и т. д. Как правило, перед размещением документации на сайте госзакупок, личные данные вымываются из документов.

Однако Управление здравоохранения Липецкой области перестало в некоторых случаях вымарывать личные данные начиная с 2018 г. Активистам удалось найти восемь закупок, в документации к которым личные данные пациентов были сохранены и в итоге оказались в общем доступе.

Юридическая сторона дела

Участники «Пациентского контроля» отмечают, что таким образом Управление здравоохранения нарушает статью 13 «Соблюдение врачебной тайны» закона «Об основах охраны здоровья граждан в Российской Федерации». Закон предусматривает ряд случаев, в которых информация о пациенте может быть раскрыта, но совершение госзакупок в этот список не входит.

Пример протокола, выложенного на сайт госзакупок (часть данных о пациенте закрашена «Пациентским контролем»)

Таким образом, данные могли попасть на сайт легальным путем только в том случае, если пациент или его законный представитель дали письменное согласие на их размещение в открытом доступе, однако это кажется маловероятным. В комментариях пользователи Facebook высказывают мнение, что по данному инциденту должно быть возбуждено сразу два дела: уголовное — за разглашение врачебной тайны, и административное — за передачу персональных данных.

Разглашение врачебной тайны может повлечь за собой гражданско-правовую, административную или уголовную ответственность. Уголовная ответственность предусматривается частью 2 статьи 137 Уголовного кодекса России «Нарушение неприкосновенности частной жизни». Максимальное наказание — лишение свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет.



Взгляд месяца

Почему идея внутренней разработки себя не оправдала

Александр Глазков

председатель совета директоров, «Диасофт»

Профиль месяца

Искусственный интеллект стал полумифическим понятием

Сергей Поляков

ИТ-директор Альфа-Банка