Защита частных персональных данных

Создание единого Регистра заболеваний откроет дверь для массовых утечек чрезвычайно чувствительных данных. 

Удивляет, что такое радикальное увеличение риска никем не обсуждается. Я искала отклики на Постановление в разных источниках — так, где-то есть небольшие заметки. 

Только в некоторых сообщениях о Постановлении есть обсуждения. Например, на Дзене от 13 июля — 350 комментариев. И подавляющее большинство - против введения Регистра. Я нашла только 3 более-менее нейтральных высказывания и ни одного положительного. 

Я также нашла несколько статей с опасениями, касающимися психических больных и предположениями о том, как можно попытаться избежать ловушки Регистра. То есть Постановление ещё не вступило в силу, а люди уже ищут способы обхода. 

Удивительно, что об этом незаконном Регистре молчат Госдума, Совет по правам человека, правозащитные организации, Роскомнадзор — где они все? Неужели они допускают такое масштабное нарушение конституционных прав граждан? 

Если мы не поборемся с этим сейчас, то следующий шаг – электронный ошейник и число Зверя на челе.

«А не нарушает ли», – спросят скептики – «данное постановление ФЗ-152 о защите персональных данных, в котором чётко сказано, что данные могут быть переданы только с разрешения физлица?» Да, нарушает. И не только его. Но ещё и Федеральный Закон от 21.11.2011 №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».

А также очень похоже, что нарушает и конституционные права граждан на тайну личной жизни. Однако в Постановлении написано, что оно учитывает требования по защите данных – отстаньте, скептики!

Итак, с 1.03.2026 в России с целями контроля и сбора статистики создается единый Регистр по 12 болезням, среди которых беременность (которую, видимо, Минздрав считает болезнью и намерен с ней эффективно бороться). Медицинские учреждения и госорганы обязаны передавать данные о пациентах с этими 12 заболеваниями без разрешения пациентов. Регистр ведёт Минздрав, а доступ к системе получат ещё с десяток разных организаций, включая не имеющее отношение к болезням МВД.

История утечек из государственных ведомств нам всем известна. Мошенникам, вербовщикам, военным противникам будет где разгуляться.

Дочь сказала мне, что с марта следующего года заболевших людей будут без их разрешения вносить в некий единый государственный регистр заболеваний. Я не поверила – разве такое возможно в правовой стране, где есть законы о врачебной тайне и защите персональных данных?

Полезла в интернет и нашла Постановление Правительства №822 от 31 мая 2025. Общественное обсуждение проекта должно было быть закончено к 28 сентября. То есть, надо полагать, оно уже закончено. Однако я что-то не слышала ни об обсуждении, ни о широком общественном резонансе по этой теме.

Поиск обсуждения в интернете выдал несколько ссылок на СМИ с официальным анонсом и вялыми комментариями какого-то случайного набора экспертов — что, может быть, данное постановление слегка противоречит некоторым российским законам.

В переводе с бюрократического на русский это означает, что любой человек, который обратился за помощью к врачу по вышеперечисленному поводу или даже подозрению на таковой — автоматически попадает в Регистр. Данные вносятся без согласия и без ведома пациента.

И убрать себя оттуда — нельзя. Исключений не предусмотрено.

При этом, если изучить «Состав информации и обобщенных сведений о пациентах, размещаемых в федеральном регистре лиц с отдельными заболеваниями», то видна удивительная вещь. Чтобы стать пациентом с психическими заболеваниями, например, достаточно установить: «Факт проведения пациенту патопсихологического исследования (с указанием даты проведения и результатов такого исследования)» или «Факт наличия у пациента суицидальных мыслей и намерений…» То есть обратились к врачу с просьбой об исследовании — всё, готово, ты — псих в Регистре. Или, не дай Бог, поделился с врачом о плохих мыслях — добро пожаловать в регистр с очень нехорошей пометкой.

У нас было в свое время техническое решение для данной проблемы, может, мы его возобновим. На личном устройстве выделяется так называемый контейнер, в котором находится корпоративная информация и происходят внутрикорпоративные коммуникации. Там находится корпоративная почта, корпоративный мессенджер и прочие сервисы для совместной работы. Защищенный контейнер шифруется, а на периметре стоит агент DLP-системы, который не позволяет передать корпоративную информацию в открытую часть устройства. То есть можно скопировать логотип своей компании, но нельзя скопировать базу персональных данных на свое устройство. И такое решение защищает от влияния человеческого фактора.  

Что касается баланса между правами сотрудников и безопасностью, это решается подписанием документа с сотрудниками, в котором они соглашаются, что их средства коммуникации мониторятся.

Когда мы ведем речь о защите данных граждан, то такие средства защиты от утечек, которые разрабатывает, например InfoWatch, неприменимы, потому что наша система защищает данные организации. У нас решения принципиально устроены, как решения по защите периметра, а гражданин — это человек. У него периметра нет. Для защиты данных персоналий применяются другие способы защиты, например анонимизация данных, многоуровневая защита хранилища. Это совсем другие технологии, не наши.