Сегодня сухой пост, написанный в ходе плотных консультаций с юристами компании Зарцин и партнеры и стартапа Dental Cloud. Добавить мне нечего, по-этому читаем и обращаемся к Людмиле Харитоновой за разъяснениями и консультациями. И внимание(!) в нем ссылки на 16 нормативно-правовых актов и предлагаю сначала сбегать за попкорном.
Кейс
Ключевой вопрос для обсуждения: «Может ли SaaS сервис передать третьему лицу на обработку и хранение данные, приравненные к врачебной тайне»? Потенциальный провайдер компания Облакотека, предоставляющая PaaS «Платформа AzuRus»
В кейсе персональные данные (ПДн), содержащие сведения о здоровье рассматриваются в кейсе, как производная от ПДн и по-этой причине речь пойдет, в т.ч. и о последних в целом.
Персональные данные и врачебная тайна
Персональные данные (ПДн), содержащие сведения о здоровье, относятся к отдельной категории, и их обработка имеет ряд особенностей. Однако сложность состоит в том, что единого акта, регулирующего порядок работы с данной категорией ПДн нет, и судебная практика по подобным делам в настоящее время не сформирована. Анализируя порядок работы с ПДн, мы должны учитывать положения ФЗ «О персональных данных» (далее 152-ФЗ), а также положения нормативных актов о здравоохранении и врачебной тайне.
Общие положения
К персональным данным, согласно 152-ФЗ относится любая информация, прямо или косвенно относящаяся к определенному или определяемому физическому лицу (субъекту персональных данных).
При этом закон помимо общих положений отдельно регулирует вопросы обработки отдельных (специальных) категорий данных. К таким категориям относятся ПДн,
касающиеся расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
Как указывает закон, их обработка возможна ТОЛЬКО в случаях, прямо указанных в законодательстве. Этот список расширительному толкованию не подлежит и в иных случаях обработка ПДн подобного рода не допускается.
Особые требования
Обрабатывать ПДн специальной категории разрешено в случаях, если:
1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
2) персональные данные сделаны общедоступными самим субъектом персональных данных;
2.1. обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;
2.2. обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;
3) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц, при этом получение согласия субъекта персональных данных невозможно;
4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующим общественным объединением или религиозной организацией, действующей в соответствии с законодательством Российской Федерации для достижения законных целей, предусмотренных учредительными документами при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
6) обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;
7) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, об исполнительном производстве, либо с уголовно-исполнительным законодательством Российской Федерации;
7.1. обработка полученных в установленных законодательством Российской Федерации случаях персональных данных осуществляется органами прокуратуры в связи с осуществлением ими прокурорского надзора;
8) обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования или со страховым законодательством;
9) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации, государственными органами, муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей на воспитание в семьи граждан;
10) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о гражданстве Российской Федерации.
Помимо закона 152-ФЗ необходимо принимать во внимание и другие нормативные акты. Так, в Письме № 5470/30-3/И от 29.10.1999. ФФОМС «О Методических рекомендациях» указано, что: «Врачебная тайна — не подлежащие разглашению сведения о факте обращения пациента за медицинской помощью, диагнозе и иная информация о состоянии его здоровья и частной жизни, полученная в результате обследования и лечения, профилактики и реабилитации».
Гражданину должна быть подтверждена гарантия конфиденциальности передаваемых им сведений. Право граждан на конфиденциальность передаваемых ими сведений при обращении и получении медицинской помощи, а также иной информации, составляющей врачебную тайну, порождает ответственность медицинских работников и иных лиц за ее разглашение. Так, частью 5 статьи 61 Основ определено, что лица, которым в установленном законом порядке переданы сведения, составляющие врачебную тайну, наравне с медицинскими и фармацевтическими работниками с учетом причиненного гражданину ущерба несут за разглашение врачебной тайны дисциплинарную, административную или уголовную ответственность в соответствии с законодательством Российской Федерации, республик в составе Российской Федерации.
Требования к порядку обработки ПДн специальных категорий установлены относительно новым нормативным актом – «Требованиями к защите персональных данных при их обработке в информационных системах персональных данных» (утв. постановлением Правительства РФ от 1 ноября 2012 г. N 1119).
Данный акт предписывает следующий комплекс мероприятий:
Соответственно для специальной категории ПДн актуален 3 или 4 уровень (в зависимости от количества субъектов ПДн, чьи данные обрабатываются).
Учитывая характер данных и ограничения, накладываемые законодательством, необходимо:
В таком случае передача данных на хранение третьему лицу не будет считаться разглашением врачебной тайны, так как сам субъект своим письменным согласием такую передачу разрешил. Это значит, что выполнено условие подп. 1 п. 2 ст. 10 152-ФЗ.
Фактически, вендор сервиса может разместить его на стороне провайдера и это не будет считаться разглашением врачебной тайны. Такая практика подойдет в случае, когда вендор не строит собственное облако, не оказывает услуги доступа к сервису, а передает право на использование лицензий.
Пост подготовлен с участием наших юридических консультантов компании «Зарцын и партнеры» и очень рекомендую обращаться к коллегам за юридической поддержкой, у которых есть специальное предложение для статртапов.
Алексей Калачников
Материалы серии «Как создавать и зарабатывать на SaaS»
Кейс
Ключевой вопрос для обсуждения: «Может ли SaaS сервис передать третьему лицу на обработку и хранение данные, приравненные к врачебной тайне»? Потенциальный провайдер компания Облакотека, предоставляющая PaaS «Платформа AzuRus»
В кейсе персональные данные (ПДн), содержащие сведения о здоровье рассматриваются в кейсе, как производная от ПДн и по-этой причине речь пойдет, в т.ч. и о последних в целом.
Персональные данные и врачебная тайна
Персональные данные (ПДн), содержащие сведения о здоровье, относятся к отдельной категории, и их обработка имеет ряд особенностей. Однако сложность состоит в том, что единого акта, регулирующего порядок работы с данной категорией ПДн нет, и судебная практика по подобным делам в настоящее время не сформирована. Анализируя порядок работы с ПДн, мы должны учитывать положения ФЗ «О персональных данных» (далее 152-ФЗ), а также положения нормативных актов о здравоохранении и врачебной тайне.
Общие положения
К персональным данным, согласно 152-ФЗ относится любая информация, прямо или косвенно относящаяся к определенному или определяемому физическому лицу (субъекту персональных данных).
При этом закон помимо общих положений отдельно регулирует вопросы обработки отдельных (специальных) категорий данных. К таким категориям относятся ПДн,
касающиеся расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
Как указывает закон, их обработка возможна ТОЛЬКО в случаях, прямо указанных в законодательстве. Этот список расширительному толкованию не подлежит и в иных случаях обработка ПДн подобного рода не допускается.
Особые требования
Обрабатывать ПДн специальной категории разрешено в случаях, если:
1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
2) персональные данные сделаны общедоступными самим субъектом персональных данных;
2.1. обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;
2.2. обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;
3) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц, при этом получение согласия субъекта персональных данных невозможно;
4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующим общественным объединением или религиозной организацией, действующей в соответствии с законодательством Российской Федерации для достижения законных целей, предусмотренных учредительными документами при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
6) обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;
7) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, об исполнительном производстве, либо с уголовно-исполнительным законодательством Российской Федерации;
7.1. обработка полученных в установленных законодательством Российской Федерации случаях персональных данных осуществляется органами прокуратуры в связи с осуществлением ими прокурорского надзора;
8) обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования или со страховым законодательством;
9) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации, государственными органами, муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей на воспитание в семьи граждан;
10) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о гражданстве Российской Федерации.
Помимо закона 152-ФЗ необходимо принимать во внимание и другие нормативные акты. Так, в Письме № 5470/30-3/И от 29.10.1999. ФФОМС «О Методических рекомендациях» указано, что: «Врачебная тайна — не подлежащие разглашению сведения о факте обращения пациента за медицинской помощью, диагнозе и иная информация о состоянии его здоровья и частной жизни, полученная в результате обследования и лечения, профилактики и реабилитации».
Гражданину должна быть подтверждена гарантия конфиденциальности передаваемых им сведений. Право граждан на конфиденциальность передаваемых ими сведений при обращении и получении медицинской помощи, а также иной информации, составляющей врачебную тайну, порождает ответственность медицинских работников и иных лиц за ее разглашение. Так, частью 5 статьи 61 Основ определено, что лица, которым в установленном законом порядке переданы сведения, составляющие врачебную тайну, наравне с медицинскими и фармацевтическими работниками с учетом причиненного гражданину ущерба несут за разглашение врачебной тайны дисциплинарную, административную или уголовную ответственность в соответствии с законодательством Российской Федерации, республик в составе Российской Федерации.
Требования к порядку обработки ПДн специальных категорий установлены относительно новым нормативным актом – «Требованиями к защите персональных данных при их обработке в информационных системах персональных данных» (утв. постановлением Правительства РФ от 1 ноября 2012 г. N 1119).
Данный акт предписывает следующий комплекс мероприятий:
- определение уровня типов угроз;
- определение необходимого уровня защищенности и реализации мер, необходимых для каждого уровня.
Соответственно для специальной категории ПДн актуален 3 или 4 уровень (в зависимости от количества субъектов ПДн, чьи данные обрабатываются).
Учитывая характер данных и ограничения, накладываемые законодательством, необходимо:
- При сборе данных у пациентов на согласие на обработку ПДн указывать, кому эти данные будут переданы для хранения и каким образом они хранятся и обрабатываются. Получаем согласие через форму на сайте и прописываем в договоре оферты или Лицензионном соглашении
- Разработать пакет внутренних документов по обработке ПДн, в том числе определить типы угроз. Должен быть у вендора, провайдера — всех, кто работает с ПДн
- В зависимости от уровня защищенности реализовать технические меры по защите ПДн. На стороне провайдера
- В случае если хранение будет осуществляться третьим лицом, указать его в согласии на обработку ПДн и в договоре с этим лицом указать необходимые технические меры для защиты ПДн, а также описать необходимость обеспечения конфиденциальности этих данных (с учетом особой категории). Указываем в форме регистрации на сайте сервиса название провайдера
В таком случае передача данных на хранение третьему лицу не будет считаться разглашением врачебной тайны, так как сам субъект своим письменным согласием такую передачу разрешил. Это значит, что выполнено условие подп. 1 п. 2 ст. 10 152-ФЗ.
Фактически, вендор сервиса может разместить его на стороне провайдера и это не будет считаться разглашением врачебной тайны. Такая практика подойдет в случае, когда вендор не строит собственное облако, не оказывает услуги доступа к сервису, а передает право на использование лицензий.
Пост подготовлен с участием наших юридических консультантов компании «Зарцын и партнеры» и очень рекомендую обращаться к коллегам за юридической поддержкой, у которых есть специальное предложение для статртапов.
Алексей Калачников
Материалы серии «Как создавать и зарабатывать на SaaS»
- Часть I | убрать все лишнее, попасть в цель, экспериментировать
- Часть 2 | бесценный опыт российских ISV
- Часть 3 | продажи через партнерский канал, который, возможно, и не нужен
- Часть 4 | cтартап Quickme – коммуникации и совместная работа небольших команд
- Часть 5 | повсеместная интеграция SaaS, как милая угроза остальному бизнес ПО или как 1+1 превращается в 3
- Часть 6 | Quickme история для партнеров или 7 причин делать дела вместе
- Часть 7 | почему же не продается SaaS?
- Часть 8 | SaaS — реалии российского рынка
- Случайно забытая Часть 9 | Юридический туман SaaS
- Часть 10 | Метрики бизнес модели
- Часть 11 / Обзоры облачных сервисов / UX и юзабилити тестирование
- Часть 12 | Мобильная революция доступа в облака: как сменить оператора в «один клик»
- Часть 13 / Три шага безроуминговых технологий
- Часть 14 | Кувырки с ценами
- Часть 15 | Виртуальные SIM? Не, не слышали
- Часть 16 | Своя мобильная сеть WI-FI
- Часть 17 | Персональные данные и врачебная тайна в облаке