Зберігання та обробка персональних медичних даних
Пацієнти лікарень і клінік, при зверненні, повідомляють свої персональні дані і дають згоду на їх обробку.
Після цього лікар, для автоматизації своєї роботи, вносить дані про пацієнта в спеціалізовану програму (веб-сервіс). Тобто тепер персональні дані зберігаються на сервері, який розташований де завгодно (тобто не в лікарні). Внесення цих даних в пограмма повністю на добровільних засадах лікаря.
Чи несе власник (творець) програми (веб-сервісу) відповідальність за зберігання персональних даних пацієнтів?
А якщо база даних програми з персональними даними буде зберігатися на комп'ютері лікаря, і він буде використовувати програму тільки для їх обробки (статистика і звіти)?
уточнення клієнта
"Зберігання персональних персональних даних на сервері - один з видів обробки персональних даних (п. 3 цієї статті). Пацієнт вже дав згоду на обробку, тому подальша передача на сервер не вимагає згоди пацієнта."
Але сервер повинен відповідати вимогам щодо зберігання персональних даних. Турбота про це лежить на лікарні або творця програми?
Відповіді юристів (7)
В силу ст.3 ФЗ «Про персональних даних»
2) оператор - державний орган, муніципальний орган, юридична чи фізична особа, яка самостійно або спільно з іншими особами організують і (або) здійснюють обробку персональних даних, а також визначають цілі обробки персональних даних, склад персональних даних, що підлягають обробці, дії (операції) , що здійснюються з персональними даними;
3) обробка персональних даних - будь-яка дія (операція) або сукупність дій (операцій), що здійснюються з використанням засобів автоматизації або без використання таких засобів з персональними даними, включаючи збір, запис, систематизацію, накопичення, зберігання, уточнення (оновлення, зміна), витяг, використання, передачу (поширення, надання, доступ), знеособлення, блокування, видалення, знищення персональних даних; Як бачите, будь-яка особа, яка в тому числі і зберігає персональні дані, є їх оператором, підпадає під дію зазначеного ФЗ і несе відповідну відповідальність в разі порушення.
Таким чином, я вважаю що за сукупністю ст.3 і ст.18 закону власник сервісу зобов'язаний дотримуватися законодавства про дані і несе відповідальність.
уточнення клієнта
"Будь-яка особа, яка. Зберігає персональні дані на сервері" - чи може ця особа бути лікар / лікарня? Тим більше творець програми не є власником сервера з базою даних, і сам сервер знаходиться за кордоном.
Є питання до юриста?
Місто не вказано
Відомості, що становлять лікарську таємницю є видом персональних даних, відповідно до п. 1 ст. 3 закону «про персональні дані».
Персональні дані - будь-яка інформація, що стосується прямо або побічно певного або визначається фізичній особі (суб'єкту персональних даних) (п. 1 ст. 3).
У сукупності з визначенням лікарської таємниці, даними в ст. 13 закону «Про основи охорони здоров'я громадян у Російській Федерації», охороняється лише інформація, яку можна пов'язати з певною людиною або групою певних людей.
Таким чином, якщо Ваші дані не мають прив'язки до особистостей, вони не є персональними.
Якщо ж мають персоналізацію, то треба враховувати наступне.
Зберігання персональних персональних даних на сервері - один з видів обробки персональних даних (п. 3 цієї статті). Пацієнт вже дав згоду на обробку, тому подальша передача на сервер не вимагає згоди пацієнта.
Місто не вказано
Але сервер повинен відповідати вимогам щодо зберігання персональних даних. Турбота про це лежить на лікарні або творця програми?
На лікарні - ст. 19 закону «про персональні дані». Чи є в програмі недоліки, які можуть бути пов'язані з витоком, - це буде встановлено тільки після її ратифікації. Спочатку відповідальність за збереження на операторі. Він уже може залучати в співвідповідача розробника (якщо договором на розробку були передбачені відповідні вимоги щодо забезпечення збереження, і програма не відповідала їм - ст. 721 ЦК України).
- Турбота про це лежить на лікарні або творця програми?
Але розробник програмного забезпечення, якщо вас цікавить саме це питання, несе цю відповідальність не безпосередньо. Відповідальність безпосередню несе мед. установа. Якщо порушення при обробці персональних даних були викликані саме недоліками програмного забезпечення, тобто розробник поставив / розробив на замовлення мед. установи програмне забезпечення без заданих властивостей забезпечення захисту доступу і збереження інформації, в цьому випадку мед. установа, в якому відбулися дані порушення може подати позов до розробника в регресних порядку. Межі відповідальності розробника можуть бути визначені договором.
Уточніть, ви задаєте питання як розробник або як мед. установа?
уточнення клієнта
Я виступаю в ролі розробника і юр. особи з яким укладається договір на надання послуг з доступу до веб-сервісу (сайту), який дозволяє, ввівши користувачем певну інформацію (ці самі персональні дані, в тч і медичні) формувати різні звіти.
Тобто, я хочу себе убезпечити від можливих претензій спецслужб по контролю за персональними даними та, по можливості, зняти з себе відповідальність за можливі витоки цих даних (мало-хто захоче зламати мене і тд ..).
Програма може використовуватися фізичними особами, держ установами і приватними клініками.
Тобто правове регулювання розробки таких систем є, в залежності від призначення. Якщо саме в цьому полягає ваше запитання, було б бажано його відповідне сформулювати.
Але сервер повинен відповідати вимогам щодо зберігання персональних
даних. Турбота про це лежить на лікарні або творця програми?
Залежить від того, що прописано в договорі, н, швидше за все, на лікарні точно.