Stocarea și prelucrarea datelor medicale cu caracter personal
Pacienții spitalelor și clinicilor, la momentul depunerii cererii, comunică datele lor personale și consimt la prelucrarea acestora.
După aceea, medicul, pentru a-și automatiza activitatea, introduce datele despre pacient într-un program specializat (serviciu web). Asta este, acum datele personale sunt stocate pe server, care se află oriunde (adică nu în spital). Introducerea acestor date în program este în întregime voluntară pe baza unui medic.
Proprietarul (creatorul) programului (serviciul web) are responsabilitatea de a stoca datele cu caracter personal ale pacienților?
Și dacă baza de date a programului cu date personale va fi stocată pe computerul doctorului și va folosi programul numai pentru prelucrarea lor (statistici și rapoarte)?
Clarificarea clientului
„Păstrarea personală a datelor cu caracter personal pe server - unul dintre tipurile de date cu caracter personal Pacientul și-a dat consimțământul la prelucrarea, astfel încât nici un transfer în continuare la serverul nu necesită consimțământul pacientului .. (paragraful 3 al acestui articol.)“
Dar serverul trebuie să îndeplinească cerințele pentru stocarea datelor cu caracter personal. Sprijinul spitalului sau creatorul de programe în acest sens?
Răspunsuri de avocați (7)
În virtutea articolului 3 din Legea federală "Cu privire la datele cu caracter personal"
2) Operator - autoritatea publică, autoritatea municipală, persoană juridică sau fizică, singur sau împreună cu alții, organizarea și (sau) efectuarea prelucrării datelor cu caracter personal, precum și definirea scopul prelucrării datelor cu caracter personal, compoziția datelor cu caracter personal care urmează să fie prelucrate, acțiunile (operațiuni) , efectuate cu date personale;
3) date cu caracter personal - orice operațiune (intervenție chirurgicală) sau un set de acțiuni (operațiuni) efectuate cu utilizarea de echipamente de automatizare sau fără utilizarea unor astfel de mijloace cu datele personale, inclusiv colectarea, înregistrarea, acumularea, stocarea, clarificare (actualizare, modificare) extragerea, utilizarea, transferul (distribuirea, furnizarea, accesul), depersonalizarea, blocarea, ștergerea, distrugerea datelor cu caracter personal; După cum puteți vedea, orice persoană care deține date personale este și operatorul lor, intră în domeniul de aplicare al acestei legi federale și este răspunzătoare în caz de încălcare.
Astfel, consider că pentru totalitatea articolelor 3 și 18 din lege, proprietarul serviciului este obligat să respecte legislația privind datele și este responsabil.
Clarificarea clientului
"Orice persoană care ... stochează date personale pe server" - poate fi o persoană doctor / spital? În plus, creatorul programului nu este proprietarul serverului cu baza de date, iar serverul în sine este situat în străinătate.
Întrebați avocatul?
Orașul nu este specificat
Informațiile care constituie un secret medical sunt un tip de date cu caracter personal, în conformitate cu clauza 1 articolul. 3 din legea "privind datele cu caracter personal".
Datele personale - orice informație legată direct sau indirect de o persoană fizică determinată sau determinată (subiectul datelor cu caracter personal) (clauza 1, clauza 3).
În legătură cu definiția secretelor medicale, prevăzute în art. 13 din legea "Cu privire la fundamentele protecției sănătății cetățenilor din Federația Rusă", sunt protejate numai informațiile care pot fi asociate cu o anumită persoană sau grup de anumite persoane.
Astfel, dacă datele dvs. nu sunt legate de personalități, ele nu sunt personale.
Dacă acestea sunt personalizate, atunci trebuie luate în considerare următoarele.
Stocarea datelor personale personale pe server este unul dintre tipurile de prelucrare a datelor cu caracter personal (paragraful 3 al acestui articol). Pacientul a fost de acord cu tratamentul, astfel că transferul suplimentar către server nu necesită consimțământul pacientului.
Orașul nu este specificat
Dar serverul trebuie să îndeplinească cerințele pentru stocarea datelor cu caracter personal. Sprijinul spitalului sau creatorul de programe în acest sens?
La spital - art. 19 din lege "privind datele cu caracter personal". Există deficiențe în program care ar putea fi asociate cu scurgerea - aceasta va fi instalată ulterior. Inițial, responsabilitatea pentru siguranța operatorului. Acesta poate atrage deja dezvoltatorii (dacă contractul de dezvoltare a prevăzut cerințele de securitate relevante, iar programul nu le-a respectat - articolul 721 din Codul civil al Federației Ruse).
- Sprijinul spitalului sau creatorul de programe în acest sens?
Dar dezvoltatorul de software, dacă sunteți interesat de această problemă, nu poartă această responsabilitate direct. Responsabilitatea directă este suportată de miere. instituție. În cazul în care încălcările în prelucrarea datelor cu caracter personal au fost cauzate de neajunsurile software-ului, adică dezvoltatorul a pus / dezvoltat miere pentru comandă. unități software fără proprietățile specificate de a asigura protecția accesului și securitatea informațiilor, în acest caz, mierea. instituția în care s-au produs aceste încălcări putea depune o plângere împotriva dezvoltatorului în recurs. Limitele responsabilității dezvoltatorului pot fi stabilite prin contract.
Specificați, puneți o întrebare ca dezvoltator sau ca miere. o instituție?
Clarificarea clientului
Eu lucrez ca dezvoltator și jur. o persoană cu care se încheie un contract de prestare a serviciilor pentru accesarea unui serviciu web (site), care permite utilizatorului să introducă diferite rapoarte introducând anumite informații (aceleași date personale, atât medicale cât și medicale).
Adică, vreau să se protejeze de eventuale pretenții de servicii de securitate pentru controlul personal al datelor și, acolo unde este posibil, pentru a se absolvi de responsabilitate pentru posibile scurgeri de date (puțin dacă cineva vrea să-mi hack, etc ..).
Programul poate fi utilizat de persoane fizice, agenții guvernamentale și clinici private.
Adică, regulamentul legal al dezvoltării unor astfel de sisteme este disponibil, în funcție de scop. Dacă aceasta este întrebarea dvs., ar fi de dorit să o formulăm în consecință.
Dar serverul trebuie să îndeplinească cerințele pentru stocarea personală
date. Sprijinul spitalului sau creatorul de programe în acest sens?
Depinde de ceea ce este scris în contract, dar, cel mai probabil, la spital sigur.