Сообщений в теме: 9

[SlowProg]

Доброе время суток.

Ситуация следующая. Есть проект (сайт пока в разработке), который будет предоставлять услуги ЛПУ (больницам, поликлиникам и т.д.). Грубо говоря, врач сможет аккумулировать данные пациента (ФИО, дата рождения, анализы и др.) на сайте и производить статистическую обработку. Меня интересует юридическая сторона данного вопроса.

Есть федеральный закон РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных». Он обязует брать письменное согласие на обработку персональных данных у субъектов персональных данных (ст. 9 п. 4). Но для сайта можно обойтись и публичной офертой, на сколько я знаю, которая вступит в силу с момента регистрации пользователя. Если я не прав, то поправьте меня. Тут вроде все понятно. Так же закон обязывает уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных (22 п. 3), но есть исключения, и самое интересное в данном случаи это исключение разрешающее не уведомлять если персональные данные только фамилия, имя и отчество (22 п. 2). Вопросы:

1) Фактически аккаунт будет принадлежать организации (ЛПУ), с которой у нас заключен договор об оказании услуг. А пользователь этого аккаунт уже будет предоставлять персональные данные третьих лиц (пациентов). Можно ли обойтись публичной офертой, которая будет возлагать на него всю ответственность за предоставление этих данных? Это не будет противоречить закону? Или придется вначале брать письменные согласия у этих третьих лиц?

2) Необходимо ли уведомлять орган в данном случаи, поскольку так же берется дата рождения (помимо ФИО)?

3) Анализы пациента являются врачебной тайной. В законе "Об основах охраны здоровья граждан в Российской Федерации" от 21 ноября 2011 года N 323-ФЗ в статье 13 говориться о врачебной тайне. В пункте 4 описаны случаи когда данные могут быть разглашены без согласия гражданина, в частности "при обмене информацией медицинскими организациями, в том числе размещенной в медицинских информационных системах, в целях оказания медицинской помощи с учетом требований законодательства Российской Федерации о персональных данных;". Это значит что все врачи работающие на этом ресурсе юридически могут иметь доступ к этой информации. Я прав???

[Дымчатый]

Моё (может быть наивное) мнение с идентификацией такое : персональные данные должны обрабатываться только в том ЛПУ, к которому полисом ОМС или ДМС закреплен пациент. Это ЛПУ присваивает/выдаёт пациенту к-л код для обращения в другие "злачные места", в т.ч. аккумулировать его на сайте. Пришёл- назвал код (можно даже в виде визитки иметь), сдал мочу(кровь, сперму), результат разместили на сайте, в результате персональные данные не страдают, кому принадлежит результат знают только "домашний" врач и сам пациент.

[SlowProg]

в результате персональные данные не страдают, кому принадлежит результат знают только "домашний" врач и сам пациент.

В принципе идея интересная, чтобы каждый пациент имел свой идентификатор. И для разработки системы это будет проще, но будет сложнее врачам и пациентам. С обычного человека хватает и без того различного рода идентификаторов (тот не ИНН). Так что это наверно не выход, но идея стоящая.

Но хотелось бы услышать ответы касательно заданных мной вопросов.

[Абриарвий]

Вопросы:

1) Можно ли обойтись публичной офертой, которая будет возлагать на него всю ответственность за предоставление этих данных? Это не будет противоречить закону? Или придется вначале брать письменные согласия у этих третьих лиц?

1)нет 2) будет,т.к. это не сторона Вашего договора 3)письменное 3-лиц

2) Необходимо ли уведомлять орган в данном случаи, поскольку так же берется дата рождения (помимо ФИО)?

в случаях когда Вы являетесь оператором перс.данных.

3) Это значит что все врачи работающие на этом ресурсе юридически могут иметь доступ к этой информации. Я прав???

Нет, только те которые используют пер.данные в целях лечения конкретного пациента.

[SlowProg]

Спасибо за ответы!

Но у меня еще парочка уточнений, если вы не против:

Вопросы: 1) Можно ли обойтись публичной офертой, которая будет возлагать на него всю ответственность за предоставление этих данных? Это не будет противоречить закону? Или придется вначале брать письменные согласия у этих третьих лиц?

1)нет 2) будет,т.к. это не сторона Вашего договора 3)письменное 3-лиц

Если берутся неполные перс. данные, например, только одна дата рождения без ФИО (т.е. по дате никак не персонализировать 3е лицо), то подтверждение 3х лиц уже не понадобится?

3) Это значит что все врачи работающие на этом ресурсе юридически могут иметь доступ к этой информации. Я прав???

Нет, только те которые используют пер.данные в целях лечения конкретного пациента.

Хм, но например, врач проводящий анализ статистических данных всех случае (и даже других врачей) не преследует цель вылечить конкретного больного, но результаты его работы зависят от количества выборки (чем больше статистики тем лучше) и в конечном итоге лечение конкретного больного станет лучше (если его данные будут использованы). В этом случаи он имеет право доступа к пер. данным конкретного пациента?

[Абриарвий]

Если берутся неполные перс. данные, например, только одна дата рождения без ФИО (т.е. по дате никак не персонализировать 3е лицо), то подтверждение 3х лиц уже не понадобится?

если идентифицировать нельзя -то нет.

Хм, но например, врач проводящий анализ статистических данных всех случае (и даже других врачей) не преследует цель вылечить конкретного больного, но результаты его работы зависят от количества выборки (чем больше статистики тем лучше) и в конечном итоге лечение конкретного больного станет лучше (если его данные будут использованы). В этом случаи он имеет право доступа к пер. данным конкретного пациента?

статисту не обязательно в мед.карту больного, достаточно той информации, которую сам врач для статистики готовит.

Статья 10. Специальные категории персональных данных
1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмототренны частью 2 настоящей2. Обработка указанных в части 1 настоящей

статьи специальных категорий персональных данных допускается в случаях, если:

1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

[SlowProg]

Если берутся неполные перс. данные, например, только одна дата рождения без ФИО (т.е. по дате никак не персонализировать 3е лицо), то подтверждение 3х лиц уже не понадобится?

если идентифицировать нельзя -то нет.

Т.е. персональные данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни уже не будут считаться ерсональными данными если по ним нельзя идентифицировать. и подтверждение не нужно. Я так понял?

[Абриарвий]

Т.е. персональные данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни уже не будут считаться ерсональными данными если по ним нельзя идентифицировать. и подтверждение не нужно. Я так понял?

Да. только мне трудно представляется персональные данных, касающиеся состояния здоровья-по которым " нельзя идентифицировать"-тогда какие это персональные данные!)))

[SlowProg]

только мне трудно представляется персональные данных, касающиеся состояния здоровья-по которым " нельзя идентифицировать"-тогда какие это персональные данные!)))

Например, различные анализы, которые представляют собой просто цифры, которые могут совпадать у многих, если я вас правильно понял =)

[Абриарвий]

только мне трудно представляется персональные данных, касающиеся состояния здоровья-по которым " нельзя идентифицировать"-тогда какие это персональные данные!)))

Например, различные анализы, которые представляют собой просто цифры, которые могут совпадать у многих, если я вас правильно понял =)

Вернитесь к сайту опишите весь процесс "обработки перс.данных" способы идентификации для оказания услуг и способы шифрования идентификационных данных по зашифрованных каналам, в том числе суть всех процессов -тогда станет более понятно как Вам ответить на данный вопрос