Все это — онлайн, с заботой о вас и по отличным ценам.
Имеет ли ЛПУ право передавать медицинскую информацию стороннему сервису с согласия пользователя в электроном виде? Или обязательно нужно письменное согласие?
Мы разрабатываем сервис по хранению медицинских данных и хотели бы настроить прямой импорт данных из МИС в облако нашего сервиса, может ли ЛПУ передавать нам данные имея согласие пользователя в электронном виде ( поставил галочку о согласии с пользовательским соглашением )?
Здравствуйте. галочку где ставить? В Вашем сервисе?
Вам не передадут информацию по такой галочке, любое мед.учреждение затребует письменное согласие пациента причём в их адрес направленное.
Здравствуйте!
без прямого письменного согласия пациента это будет нарушением ФЗ О основах охраны здоровья граждан, в частности врачебной тайны
Статья 13. Соблюдение врачебной тайны
1. Сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну.
2. Не допускается разглашение сведений, составляющих врачебную тайну, в том числе после смерти человека, лицами, которым они стали известны при обучении, исполнении трудовых, должностных, служебных и иных обязанностей, за исключением случаев, установленных частями 3 и 4 настоящей статьи.
3. С письменного согласия гражданина или его законного представителя допускается разглашение сведений, составляющих врачебную тайну, другим гражданам, в том числе должностным лицам, в целях медицинского обследования и лечения пациента, проведения научных исследований, их опубликования в научных изданиях, использования в учебном процессе и в иных целях.
4. Предоставление сведений, составляющих врачебную тайну, без согласия гражданина или его законного представителя допускается:
1) в целях проведения медицинского обследования и лечения гражданина, который в результате своего состояния не способен выразить свою волю, с учетом положений пункта 1 части 9 статьи 20 настоящего Федерального закона;
2) при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;
3) по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органов прокуратуры в связи с осуществлением ими прокурорского надзора, по запросу органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля за поведением условно осужденного, осужденного, в отношении которого отбывание наказания отсрочено, и лица, освобожденного условно-досрочно;
(п. 3 в ред. Федерального закона от 23.07.2013 N 205-ФЗ)3.1) в целях осуществления уполномоченными федеральными органами исполнительной власти контроля за исполнением лицами, признанными больными наркоманией либо потребляющими наркотические средства или психотропные вещества без назначения врача либо новые потенциально опасные психоактивные вещества, возложенной на них при назначении административного наказания судом обязанности пройти лечение от наркомании, диагностику, профилактические мероприятия и (или) медицинскую реабилитацию;
(п. 3.1 введен Федеральным законом от 13.07.2015 N 230-ФЗ)
4) в случае оказания медицинской помощи несовершеннолетнему в соответствии с пунктом 2 части 2 статьи 20 настоящего Федерального закона, а также несовершеннолетнему, не достигшему возраста, установленного частью 2 статьи 54 настоящего Федерального закона, для информирования одного из его родителей или иного законного представителя;
5) в целях информирования органов внутренних дел о поступлении пациента, в отношении которого имеются достаточные основания полагать, что вред его здоровью причинен в результате противоправных действий;
6) в целях проведения военно-врачебной экспертизы по запросам военных комиссариатов, кадровых служб и военно-врачебных (врачебно-летных) комиссий федеральных органов исполнительной власти и федеральных государственных органов, в которых федеральным законом предусмотрена военная и приравненная к ней служба;
(в ред. Федерального закона от 04.06.2014 N 145-ФЗ)7) в целях расследования несчастного случая на производстве и профессионального заболевания, а также несчастного случая с обучающимся во время пребывания в организации, осуществляющей образовательную деятельность, и в соответствии с частью 6 статьи 34.1 Федерального закона от 4 декабря 2007 года N 329-ФЗ «О физической культуре и спорте в Российской Федерации» несчастного случая с лицом, проходящим спортивную подготовку и не состоящим в трудовых отношениях с физкультурно-спортивной организацией, не осуществляющей спортивной подготовки и являющейся заказчиком услуг по спортивной подготовке, во время прохождения таким лицом спортивной подготовки в организации, осуществляющей спортивную подготовку, в том числе во время его участия в спортивных соревнованиях, предусмотренных реализуемыми программами спортивной подготовки;
(в ред. Федеральных законов от 25.11.2013 N 317-ФЗ, от 06.04.2015 N 78-ФЗ)8) при обмене информацией медицинскими организациями, в том числе размещенной в медицинских информационных системах, в целях оказания медицинской помощи с учетом требований законодательства Российской Федерации о персональных данных;
9) в целях осуществления учета и контроля в системе обязательного социального страхования;
10) в целях осуществления контроля качества и безопасности медицинской деятельности в соответствии с настоящим Федеральным законом;
11) утратил силу. — Федеральный закон от 25.11.2013 N 317-ФЗ.
Добрый вечер. Обращу Ваше внимание на разъяснение Роскомнадзора по конкретному запросу:
Статья 9, часть 4 ФЗ «О персональных данных» гласит: «обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных». По поводу данного пункта в Роскомнадзор за разъяснениями обратились представители интернет-магазина Ozon.ru. 31 октября 2011 г. они получили ответ, в котором говорится: «форма согласия (проставление галочки или крестика в поле «Согласен») может быть приравнена к согласию в соответствии с ч. 1 ст. 9 федерального закона, за исключением случаев, предусмотренных федеральным законом, при котором требуется оформление письменного согласия субъекта персональных данных».
По большому счету кем передаются персональные данные не имеет значения. Смысл тут вполне определенный. Хотя это не исключает того, что законодательство впоследствии будет меняться.
Для решения этого вопроса можем получить лицензию на оказание мед услуг, изменит ли это ситуацию?
Никита
Не изменит, поскольку это будет другая медицинская организация, а не та, которая получила эти данные и право на их обработку.
Тут еще вопрос такой. Возможно я не очень точно выражусь в силу незнания специфики. Заранее прошу прощения.
Вы сказали, что вы предоставляете облачный сервис. В этом сервисе Вы выделяете какое-то место конкретному ЛПУ? Т.е. это оно является собственником или арендатором этого места в облаке? Оно передает туда данные, а Вы предоставляете только транспорт и «оболочку»?
А имеем ли мы право хранить медицинскую информацию пользователей без их письменного согласия, но при согласием на обработку данных внутри приложения?
Никита
Здравствуйте, Никита.
Если персональные данные собраны ЛПУ и потом передаются на хранение в другую организацию, требуется не просто письменное согласие пациента — а согласие с указанием на то, что его оператор поручает обработку (а хранение является обработкой) вашей организации:
Статья 6. Условия обработки персональных данных
3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее — поручение оператора).
Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом.
В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.
Статья 9Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
При этом если вы обрабатываете ПД по поручению ЛПУ, вы не обязаны получать отдельное согласие, это делает само ЛПУ с указанием на то, что поручило вам обработку:
4. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
При этом закон однозначно указывает, что согласие дается либо в простой письменной форме, либо в электронной форме с электронной цифровой подписью:
4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.
При этом обработка биометрических ПД проводится только на основании письменного согласия:
Статья 11. Биометрические персональные данные
(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
(см. текст в предыдущей редакции)
1. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
Поэтому простой галочки на сайте недостаточно.
Для решения этого вопроса можем получить лицензию на оказание мед услуг, изменит ли это ситуацию?
Никита
Не совсем понятно, по какому виду медицинской деятельности планируется получать лицензию и как это взаимосвязано с хранением чужих ПД? Допустим, пролицензируете вы ту же терапию — какое это отношение имеет к хранению данных., тем более биометрических, пациентов, которые за терапевтической помощью к вам не обращаются? Мне кажется, нужно анализировать положение закона о возможности обмена информацией между медицинскими организациями комплексно и широко, а не буквально — в первую очередь, обмен направлен на оказание медицинской помощи, н-р, когда пациент поступает в другое ЛПУ и требуются документы с предыдущего места обследования, мед. организация может переслать их для оказания помощи. В Вашем случае пациент, получается, обратился в одно ЛПУ, а его данные по какой-то причине хранятся и обрабатываются другой мед. организацией, даже и не планирующей оказывать ему мед. услуги, причем без письменного согласия или согласия с ЭЦП. Вряд ли Роскомнадзор согласится с таким положением дел.
Возможно использование иных вариантов, например, один из вариантов был реализован, когда всех массово подключали к порталу госуслуг.
Шалимов Артем
Массово подключали с идентификацией пользователя путем отправления ему ключа почтой и явки лично с паспортом в уполномоченный центр Почты России или Ростелекома. Коллега, давайте уже реальнее смотреть на ситуацию, организация, которая облачный сервис предоставляет для хранения данных, этим никогда заниматься не будет.
Никита, еще есть такой вариант — ваша компания может хранить обезличенные данные. Если по ним невозможно установить принадлежность конкретному субъекту ПД, то и вопрос с согласием отпадает. Если есть техническая возможность организовать обмен данными с ЛПУ так, что они, скажем, прикрепляют пациенту номер или никнейм, потом данные передаются вам уже в обезличенном виде, так что вы не можете сопоставить их с ФИО пациента, об этом стоит подумать.
Добрый день, Никита!
Медицинская, как и любая другая информация о гражданине, являются его персональными данными и строго защищаются законом.
Передача персональных данных гражданина третьему лицу должно осуществляться с согласия гражданина.
В законе о персональных данных есть требование к содержанию такого согласия:
Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данныхдолжно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме (ст.9 Закона о защите персональных данных).
Между тем, ч.4 ст.9 предусмотрено, что в случаях,предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
Между тем, согласно ст. 13 федерального закона от 21 ноября 2011 г. N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»
— Сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну.
-С письменного согласия гражданина или его законного представителя допускается разглашение сведений, составляющих врачебную тайну, другим гражданам, в том числе должностным лицам, в целях медицинского обследования и лечения пациента, проведения научных исследований, их опубликования в научных изданиях, использования в учебном процессе и в иных целях.
Но необходимо учитывать ч.4 ст.13 ФЗ «Об основах охраны здоровья граждан в Российской Федерации», согласно которой:
— предоставление сведений, составляющих врачебную тайну, без согласия гражданина или его законного представителя допускается:
…
8) при обмене информацией медицинскими организациями, в том числе размещенной в медицинских информационных системах, в целях оказания медицинской помощи с учетом требований законодательства Российской Федерации о персональных данных;
9) в целях осуществления учета и контроля в системе обязательного социального страхования;
10) в целях осуществления контроля качества и безопасности медицинской деятельности в соответствии с настоящим Федеральным законом;
Соответственно, следует вывод, что если Ваши действия не подпадают под ч.4 ст. 13 «Об основах охраны здоровья граждан в Российской Федерации», то Вам необходимо, руководствуясь ч.4 ст. 9 Закона о защите персональных данных в форме электронного документа, который должен содержать перечень сведений подписывать этот документ со стороны пациента, исключительно электронной подписью.
Между тем, отношения по электронной подписи регулируются Федеральным законом от 6 апреля 2011 г. N 63-ФЗ«Об электронной подписи»
Согласно ст.6 этого закона:
Информация в электронной форме, подписанная квалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, и может применяться в любых правоотношениях в соответствии с законодательством Российской Федерации, кроме случая, если федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами установлено требование о необходимости составления документа исключительно на бумажном носителе.
Информация в электронной форме, подписанная простой электронной подписью или неквалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, в случаях, установленных федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или соглашением между участниками электронного взаимодействия. Нормативные правовые акты и соглашения между участниками электронного взаимодействия, устанавливающие случаи признания электронных документов, подписанных неквалифицированной электронной подписью, равнозначными документам на бумажных носителях, подписанным собственноручной подписью, должны предусматривать порядок проверки электронной подписи. Нормативные правовые акты и соглашения между участниками электронного взаимодействия, устанавливающие случаи признания электронных документов, подписанных простой электронной подписью, равнозначными документам на бумажных носителях, подписанным собственноручной подписью, должны соответствовать требованиям статьи 9 настоящего Федерального закона.
А почему бы Вам не ввести (подтверждение через смс или электронную почту):
Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.
3. Неквалифицированной электронной подписью является электронная подпись, которая:
1) получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
2) позволяет определить лицо, подписавшее электронный документ;
3) позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
4) создается с использованием средств электронной подписи.
Федеральный закон от 6 апреля 2011 г. N 63-ФЗ«Об электронной подписи»
Собственно по аналогу соц.сетей
По закону:
Федеральный закон от 21.11.2011 N 323-ФЗ
(ред. от 03.07.2016)
«Об основах охраны здоровья граждан в Российской Федерации»
То есть нужно письменное согласие конкретного гражданина. А в электронном виде достоверно установить что тот или иной гражданин дал согласие не получится, если только ЭЦП использовать, что никто массово делать не будет. При этом в любом случае письменное согласие. Так что такой вариант не пройдёт.
А имеем ли мы право хранить медицинскую информацию пользователей без их письменного согласия, но при согласием на обработку данных внутри приложения?