Проект Приказа Министерства здравоохранения РФ "Об утверждении требований к обезличиванию информации, содержащейся в системе мониторинга движения лекарственных препаратов для медицинского применения, и методов обезличивания такой информации" (подготовлен Минздравом России 26.09.2023)

Досье на проект

В соответствии с частью 9.6 статьи 67 Федерального закона от 12 апреля 2010 г. N 61-ФЗ "Об обращении лекарственных средств" (Собрание законодательства Российской Федерации, 2010, N 16, ст. 1815; 2018, N 1, ст. 9; N 49, ст. 7521; 2019, N 31, ст. 4456; N 52, ст. 7780; 2020, N 29, ст. 4516), пунктом 1 Положения о Министерстве здравоохранения Российской Федерации, утвержденного постановлением Правительства Российской Федерации от 19 июня 2012 г. N 608, приказываю:

1. Утвердить прилагаемые требования к обезличиванию информации, содержащейся в системе мониторинга движения лекарственных препаратов для медицинского применения, и методы обезличивания такой информации.

2. Настоящий приказ вступает в силу с 1 декабря 2023 года.

УТВЕРЖДЕНЫ
приказом Министерства здравоохранения
Российской Федерации
от "__"_________2023 г. N____

ТРЕБОВАНИЯ
к обезличиванию информации, содержащейся в системе мониторинга движения лекарственных препаратов для медицинского применения, и методы обезличивания такой информации

I. Общие положения.

1. Настоящие требования к обезличиванию информации, содержащейся в системе мониторинга движения лекарственных препаратов для медицинского применения, и методы обезличивания такой информации (далее - требования и методы, информация, сведения, информационная система мониторинга соответственно), устанавливают требования к результату обезличивания сведений и последовательности действий в процессе обезличивания сведений, а также определяют методы обезличивания сведений.

2. Обезличивание информации осуществляется в целях защиты сведений от несанкционированного использования с одновременным сохранением возможности их последующей обработки в информационной системе мониторинга.

3. Обезличивание персональных данных осуществляется в соответствии с настоящими требованиями и методами, если такие требования и методы соответствуют требованиям Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", приказа Роскомнадзора от 5 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных".

II. Требования к обезличиванию информации, содержащейся в информационной системе мониторинга.

4. Информация в целях обезличивания включает в себя следующие сведения:

1) наименование субъекта обращения лекарственных средств, являющегося юридическим лицом, за исключением сведений о его организационно-правовой форме, фамилия, имя, отчество (последнее - при наличии) субъекта обращения лекарственных средств, являющегося индивидуальным предпринимателем;

2) адреса мест осуществления деятельности субъекта обращения лекарственных средств, согласно лицензии на производство лекарственных средств, лицензии на фармацевтическую деятельность, лицензии на деятельность по обороту наркотических средств, психотропных веществ и их прекурсоров, культивированию наркосодержащих растений и лицензии на медицинскую деятельность (при наличии такой лицензии);

3) идентификационный номер налогоплательщика субъекта обращения лекарственных средств или код налогоплательщика в стране регистрации (для субъектов обращения лекарственных средств, не признаваемых налоговыми резидентами Российской Федерации);

4) тип субъекта обращения лекарственных средств (производитель лекарственного препарата для медицинского применения или держатель регистрационного удостоверения на лекарственный препарат для медицинского применения, организация оптовой или розничной торговли, лечебно-профилактическое учреждение, импортер);

5) организационно-правовая форма субъекта обращения лекарственных средств;

6) фамилия, имя, отчество (последнее - при наличии), адрес электронной почты (при наличии), мобильный телефон, пол и возраст потребителей лекарственных препаратов для медицинского применения, зарегистрированных в информационной системе мониторинга, осуществивших проверку кода идентификации лекарственного препарата и (или) выявивших нарушения требований об обязательной маркировке лекарственных препаратов для медицинского применения и предоставивших сведения о таких нарушениях в информационную систему мониторинга (далее - потребители лекарственных препаратов);

7) адрес осуществления проверки кода идентификации или выявления нарушения требований об обязательной маркировке лекарственных препаратов для медицинского применения потребителем лекарственных препаратов

для медицинского применения;

8) глобальный идентификационный номер торговой единицы лекарственного препарата для медицинского применения;

9) сведения из электронных документов, направленных в информационную систему мониторинга с данными о лекарственных препаратах для медицинского применения;

10) сведения из кассовых чеков и бланков строгой отчетности с данными о продажах лекарственных препаратов для медицинского применения и иных документов, подтверждающих вывод лекарственных препаратов из оборота;

11) сведения о лекарственных препаратах для медицинского применения, временно выведенных из оборота;

12) сведения из регистраторов выбытия, подтверждающих вывод лекарственных препаратов для медицинского применения из оборота;

13) сведения о лекарственных препаратах для медицинского применения из единого структурированного справочника-каталога лекарственных препаратов для медицинского применения (ЕСКЛП);

14) сведения о лекарственных препаратах для медицинского применения, в том числе о номенклатуре, и иная информация, которая указана на упаковке лекарственного препарата для медицинского применения в соответствии с законодательством Российской Федерации;

15) сведения о средствах идентификации, нанесенных на упаковки лекарственных препаратов для медицинского применения, в том числе сведения о нанесении и (или) реализации средств идентификации, сведения о выведенных из оборота, уничтоженных или признанных непригодными средствах идентификации;

16) сведения о технических средствах, используемых субъектами обращения лекарственных средств для обмена информацией с информационной системой мониторинга;

17) сведения о нарушениях требований об обязательной маркировке лекарственных препаратов для медицинского применения, выявленных потребителями лекарственных препаратов для медицинского применения;

18) сведения об обороте лекарственных препаратов для медицинского применения, подлежащих обязательной маркировке средствами идентификации.

5. Сведения, указанные в подпунктах 1 - 3, 6 - 8 пункта 4 настоящих требований и методов, обезличиваются с обеспечением сопоставления результатов такого обезличивания со сведениями, указанными в подпунктах 4 - 5, 9 - 18 пункта 4 настоящих требований и методов.

6. Сведения, указанные в подпунктах 6-7 пункта 4 настоящих требований и методов, обезличиваются до уровня: пол, возраст или год рождения, потребителей лекарственных препаратов, город осуществления проверки кода идентификации или выявления нарушения требований об обязательной маркировке лекарственных препаратов для медицинского применения потребителем лекарственных препаратов для медицинского применения.

7. Полученные в результате обезличивания сведений данные должны одновременно отвечать требованиям полноты, структурированности, релевантности, применимости, анонимности и семантической целостности.

8. Передача полученных в результате обезличивания сведений, указанных пункте 6 настоящих требований и методов третьим лицам, возможна в случае указания оператором системы мониторинга таким лицам прямого запрета их дальнейшего деобезличивания и обогащения.

9. Обезличивание сведений осуществляется в информационной системе мониторинга, назначение и функциональность которой определены постановлением Правительства Российской Федерации от 14 декабря 2018 г. N 1556 "Об утверждении Положения о системе мониторинга движения лекарственных препаратов для медицинского применения".

10. Обезличивание сведений выражается в действиях, в результате которых становится невозможным без использования дополнительной информации определить принадлежность сведений конкретному субъекту данных.

11. В случае если автоматическая проверка средствами информационной системы мониторинга не выявила неполноты и (или) недостоверности представленных в информационную систему мониторинга сведений, последовательно осуществляются следующие обязательные действия:

1) определяется состав сведений в целях их последующей обработки и распространения (в том числе путем усечения исходного набора сведений);

2) из состава сведений, указанного в подпункте 1 пункта 11 настоящих требований и методов, определяются сведения, которые требуют обезличивания;

3) производится обезличивание сведений методом введения идентификатора и, если применимо, методом изменения состава или семантики;

4) формируется результат обезличивания сведений;

5) для сведений, указанных в подпункте 6 - 7 пункта 4 настоящих требований осуществляется оценка риска их деобезличивания.

12. Результат обезличивания сведений формируется в следующем составе:

идентификатор, рассчитанный согласно пункту 16 настоящих требований и методов взамен сведений, указанных в подпунктах 1-3, 8 пункта 4 настоящих требований и методов;

значения, рассчитанные согласно пункту 19 настоящих требований и методов, взамен сведений, указанных в подпунктах 2, 6-7 пункта 4 настоящих требований и методов;

таблица (справочник) соответствия со сведениями, указанными в подпунктах 1 - 3, 6 - 8 пункта 4 настоящих требований и методов, если такая таблица (справочник) соответствия была использована в процессе обезличивания сведений;

состав сведений, указанный в подпункте 1 пункта 11 настоящих требований и методов, с удаленными сведениями, указанными в подпунктах 1 - 3, 6 - 8 пункта 4 настоящих требований и методов.

13. Обезличенные в целях оказания услуг сведения, указанные в пункте 12 настоящих требований и методов, не являются информацией ограниченного доступа, автоматически сохраняются в информационной системе мониторинга и хранятся в течение 5 (пяти) лет с даты предоставления к ним доступа третьих лиц.

III. Методы обезличивания информации, содержащейся в информационной системе мониторинга.

14. В целях обезличивания сведений в соответствии с настоящими требованиями и методами применяются следующие методы:

1) метод введения идентификаторов, предусматривающий замену части сведений (значений данных о субъектах данных) идентификаторами;

2) метод изменения состава или семантики, предусматривающий изменение состава или семантики данных путем замены результатами статистической обработки, обобщения или удаления части сведений.

15. Применение метода введения идентификаторов выражается в присвоении уникальных идентификаторов каждой группе сведений о субъекте данных, информация о котором содержится в составе сведений, указанном в подпункте 1 пункта 11 настоящих требований и методов. Идентификаторы вычисляются путем криптографического преобразования или иным путем, обеспечивающим невозможность без использования дополнительной информации определить принадлежность сведений конкретному субъекту данных.

Метод введения идентификаторов применяется при обезличивании сведений, указанных в подпунктах 1 - 3, 8 пункта 4 настоящих требований и методов.

16. При применении метода введения идентификаторов информация преобразуется следующим образом:

AB = z,

где

A - сведения, указанные в подпунктах 1 - 3, 8 пункта 4 настоящих требований

и методов;

B - уникальная 10-значная последовательность символов, формируемая

с помощью генератора случайных чисел, передаваемая дополнительно с исходными данными в функцию обезличивания, для повышения уровня безопасности результирующих обезличенных данных.

z - уникальный идентификатор.

17. Уникальный идентификатор вычисляется путем криптографического преобразования по алгоритму, предусмотренному ГОСТ Р 34.11-2012 "Национальный стандарт Российской Федерации. Информационная технология. Криптографическая защита информации. Функция хэширования", утвержденному и введенному в действие приказом Федерального агентства по техническому регулированию и метрологии от 7 августа 2012 г. N 216-ст, с размером результирующего хеша 512 бит строки, состоящей из значений сведений и уникального 10-значного числа указанных в пункте 15 настоящего Порядка, объединенных через разделитель ";".

18. Применение метода изменения состава или семантики выражается в процессе удаления части уточняющих данных.

Метод изменения состава или семантики применяется в отношении сведений, указанных в подпунктах 2, 6 - 7 пункта 4 настоящих требований и методов.

19. При применении метода изменения состава или семантики сведения преобразуются следующим образом:

АВ => А,

где:

A - основная информация, состоящая из одного из следующих элементов или нескольких таких элементов:

название города или субъекта Российской Федерации (последнее - для городов федерального значения и адресов с населенными пунктами иного типа), населенных пунктов, не имеющих статуса городов, названия улиц, бульваров, проспектов, магистралей;

год рождения субъекта данных;

пол субъекта данных;

B - дополнительная информация:

номера домов, корпусов, строений, владений, номера квартир, кабинетов, офисов;

фамилия, имя, отчество, адрес электронной почты (при наличии), мобильный телефон субъекта данных;

число и месяц рождения субъекта данных.

20. Сведения, обезличенные с использованием метода изменения состава или семантики, относящиеся к любому субъекту обращения лекарственных средств или потребителю лекарственных препаратов, осуществившему проверку кода идентификации или выявление нарушения требований об обязательной маркировке лекарственных препаратов для медицинского применения, должны быть тождественны не менее чем еще для двух других субъектов обращения лекарственных средств или потребителей лекарственных препаратов.