Бесплатная консультация юриста в Москве
8 499 705-84-25
Поиск

Консультируйтесь с юристом онлайн

668 юристов готовы ответить сейчас
Ответ за 15 минут
668 юристов сейчас на сайте
  1. Интеллектуальная собственность
  2. Интернет и право

Хранение и обработка персональных медицинских данных

Пациенты больниц и клиник, при обращении, сообщают свои персональные данные и дают согласие на их обработку.

После этого врач, для автоматизации своей работы, вносит данные о пациенте в специализированную программу (веб-сервис). То есть теперь персональные данные хранятся на сервере, который расположен где угодно (то есть не в больнице). Внесение этих данных в пограмму полностью на добровольной основе врача.

Несет ли владелец (создатель) программы (веб-сервиса) ответственность за хранение персональных данных пациентов?

А если база данных программы с персональными данными будет храниться на компьютере врача, и он будет использовать программу только для их обработки (статистика и отчеты)?

24 Октября 2013, 13:10, вопрос №270762 Никита, г. Москва

Уточнение клиента

"Хранение персональных персональных данных на сервере — один из видов обработки персональных данных (п. 3 этой статьи). Пациент уже дал согласие на обработку, поэтому дальнейшая передача на сервер не требует согласия пациента."

Но сервер должен соответствовать требованиям о хранении персональных данных. Забота об этом лежит на больнице или создателе программы?

24 Октября 2013, 14:17
200 стоимость
вопроса
вопрос решён
Свернуть

Ответы юристов (7)

  • Адвокат - Попов Вадим Андреевич

    Никита, здравствуйте!

    В силу ст.3 ФЗ «О персональных данных»

    2) оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

    3) обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
    Как видите, любое лицо, которое в том числе и хранит персональные данные, является их оператором, подпадает под действие указанного ФЗ и несет соответствующую ответственность в случае нарушения.
    Таким образом, я считаю что по совокупности ст.3 и ст.18 закона владелец сервиса обязан соблюдать законодательство о данных и несет ответственность.
    24 Октября 2013, 13:14
    Ответ юриста был полезен? + 0 - 0
    Свернуть

    Уточнение клиента

    "любое лицо, которое ... хранит персональные данные на сервере" - может ли этим лицом быть врач/больница? Тем более создатель программы не является владельцем сервера с базой данных, и сам сервер находится за границей.

    24 Октября 2013, 14:19
  • Юрист - Фролов Андрей
    получен
    гонорар
    50%
    Юрист
    Общаться в чате

    Здравствуйте!

    Сведения, составляющие врачебную тайну являются видом персональных данных, в соответствии с п. 1 ст. 3 закона «о персональных данных».

    Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (п. 1 ст. 3).

    В совокупности с определением врачебной тайны, данным в ст. 13 закона «Об основах охраны здоровья граждан в Российской Федерации», охраняется только информация, которую можно связать с определенным человеком или группой определенных людей.

    Таким образом, если Ваши данные не имеют привязки к личностям, они не являются персональными.

    Если же имеют персонализацию, то надо учитывать следующее. 

    Хранение персональных персональных данных на сервере — один из видов обработки персональных данных (п. 3 этой статьи). Пациент уже дал согласие на обработку, поэтому дальнейшая передача на сервер не требует согласия пациента.

    24 Октября 2013, 13:38
    Ответ юриста был полезен? + 0 - 0
    Свернуть
  • Юрист - Фролов Андрей
    получен
    гонорар
    50%
    Юрист
    Общаться в чате

    Но сервер должен соответствовать требованиям о хранении персональных данных. Забота об этом лежит на больнице или создателе программы?

    На больнице — ст. 19 закона «о персональных данных». Есть ли в программе недостатки, которые могут быть связаны с утечкой,  - это будет установлено только после таковой. Изначально ответственность за сохранность на операторе. Он уже может привлекать в соответчики разработчика (если договором на разработку были предусмотрены соответствующие требования по обеспечению сохранности, и программа не соответствовала им — ст. 721 ГК РФ).

    24 Октября 2013, 14:41
    Ответ юриста был полезен? + 0 - 0
    Свернуть
  • Адвокат - Платонов Олег

    Защита персональных данных граждан в Системе обеспечивается в соответствии с требованиями законодательства Российской Федерации за счет ведения перечня информационных ресурсов Системы и сведений об уровне их конфиденциальности, ведения единого каталога пользователей, их ролей и категорий, использования инфраструктуры открытых ключей электронной цифровой подписи и шифрования данных, поддержки обмена юридически значимыми электронными документами, обезличивания персональных данных, получаемых из медицинских информационных систем для централизованной обработки и хранения и при их передаче по каналам связи, использования организационно-режимных мер управления доступом к Системе и обеспечения физического разделения информации и ресурсов Системы, требующих различных мер и средств защиты (Приказ Минздравсоцразвития России от 28.04.2011 N 364 (ред. от 12.04.2012) «Об утверждении Концепции создания единой государственной информационной системы в сфере здравоохранения»).
    Кроме того, согласно нормам статьи 10 Закона «О персональных данных» обработка специальных категорий персональных данных, касающихся состояния здоровья допускается без согласия субъекта персональных данных в случае, если обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну. Таким образом, обработка персональных данных пациента в медицинской организации, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных, возможна без согласия пациента, при условии, что такая обработка проводится в строгом соответствии с законодательством об охране здоровья граждан и удовлетворяет перечисленным выше нормам Закона «О персональных данных».

    24 Октября 2013, 14:44
    Ответ юриста был полезен? + 0 - 0
    Свернуть
  • Юрист - Хвостанцева Анна Вадимовна
    Юрист, г. Москва
    Общаться в чате

    • Забота об этом лежит на больнице или создателе программы?
    На обоих. НА больнице — как операторе персональных данных. На разработчике — как на лице, которое поставило в мед. учреждение программное обеспечение с  требуемыми характеристиками.
    Но разработчик программного обеспечения, если вас интересует именно этот вопрос, несет эту ответственность не напрямую. Ответственность непосредственную несет мед. учреждение. Если  нарушения при обработке персональных данных были вызваны именно недостатками программного обеспечения, то есть разработчик поставил/разработал по заказу мед. учреждения программное обеспечение без заданных свойств обеспечения защиты доступа и сохранности информации, в этом случае мед. учреждение, в котором произошли данные нарушения может подать иск  к разработчику в регрессном порядке. Пределы ответственности разработчика могут быть определены договором. 
    Уточните, вы задаете вопрос как разработчик или как мед. учреждение?

    24 Октября 2013, 15:24
    Ответ юриста был полезен? + 0 - 0
    Свернуть

    Уточнение клиента

    Я выступаю в роли разработчика и юр. лица с которым заключается договор на оказание услуг по доступу к веб-сервису (сайту), который позволяет, введя пользователем определённую информацию (эти самые персональные данные, в тч и медицинские) формировать различные отчёты.

    То есть, я хочу себя обезопасить от возможных претензий спецслужб по контролю за персональными данными и, по возможности, снять с себя ответственность за возможные утечки этих данных (мало-ли кто захочет взломать меня и тд..).

    Программа может использоваться физическими лицами, гос учреждениями и частными клиниками.

    24 Октября 2013, 15:37
  • Юрист - Хвостанцева Анна Вадимовна
    Юрист, г. Москва
    Общаться в чате

    Дело в том, что данные системы обработки персональных данных,  если они используются в гос. учреждениях,  должны пройти аттестацию информационной системы по требованиям защиты информации Федеральной службы по техническому и экспортному контролю (ФСТЭК). (Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 11 февраля 2013 г. N 17 г. Москва)

    Принят также Порядок проведения классификации информационных систем персональных данных,  (Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) Федеральной службы безопасности Российской Федерации (ФСБ России) Министерства информационных технологий и связи Российской Федерации (Мининформсвязи России) от 13 февраля 2008 г. N 55/86/20 г. Москва) можно ознакомиться вот здесь http://www.rg.ru/2008/04/12/informaciya-doc.htmlhttp://www.rg.ru/2008/04/12/informaciya-doc.html

    То есть правовое  регулирование разработки таких систем имеется, в зависимости от назначения. Если именно в этом состоит ваш вопрос, было бы желательно  его соответствующе сформулировать.

    24 Октября 2013, 15:31
    Ответ юриста был полезен? + 0 - 0
    Свернуть
  • Адвокат - Попов Вадим Андреевич

    Но сервер должен соответствовать требованиям о хранении персональных
    данных. Забота об этом лежит на больнице или создателе программы?

    Зависит от того, что прописано в договоре, н, скорее всего, на больнице точно.

    24 Октября 2013, 18:41
    Ответ юриста был полезен? + 0 - 0
    Свернуть
stats