Как медицинскому приложению законно обрабатывать персональные данные?
Данные о состоянии здоровья составляют отдельную в законе категорию персональных данных. В силу их чувствительности, нельзя обойтись согласием в виде проставления галочки или указания “дальнейшее использование = согласие”. Как обрабатывать информацию о состоянии здоровья в приложении узнаете ниже.
Наши персональные данные — тема довольно уязвимая. Особенно, когда видишь новость об очередной утечке тысячи строк из базы данных пользователей. Поэтому помимо технических способов их защиты существуют также правовые, которые установлены в 152 законе “О персональных данных”.
Ни для кого не секрет, что для обработки (то есть совершения любых действий с перс.данными) нужно хотя бы 1 законное или договорное основание. Обработка без основания — это отдельный состав правонарушения, за которое в КоАП предусмотрен штраф. Когда вы захотите на сайт и передаете свои куки или вводите ФИО, номер телефона — для всего этого достаточно выразить согласие, прочитав политику конфиденциальности и проставить согласие в виде галочки или еще проще: остаться на сайте. А что с медицинскими персональными данными?
В законе информация о состоянии здоровья — это специальная категория персональных данных. А что относить к информации о состоянии здоровья? ФЗ “Об охране здоровья” определяет здоровье как:
состояние физического, психического и социального благополучия человека, при котором отсутствуют заболевания, а также расстройства функций органов и систем организма.
А состояние здоровья также включает в себя:
- результаты медицинского исследования
- наличие заболевания
- методы лечения и т.д.
Сюда отнесём и пульс, артериальное давление, уровень холестерина, масса тела и т.п.
В статье 10 в 152-ФЗ, которая упоминалась уже выше, указано, что по общему правилу не допускается обрабатывать любые специальные персональные данные.
К ним помимо состоянии здоровья относятся политические, религиозные убеждения, расовая и национальная принадлежность. Думаю, что понятно, почему это специальные категории и почему не допускается их обработка.
Однако у нас есть исключения. С полным списком исключений перечислен всё той же ст. 10. Я рассмотрю те, которые касаются только состояния здоровья.
Самый простой и очевидный способ — это взять письменное согласие.
Письменное означает листок бумаги, на котором собственноручно пользователь (обладатель персональных данных) проставляет свою подпись. Далее этот листок вы потом храните до окончания срока обработки данных. Конечно же этот способ не подойдет никаким онлайн сервисам и приложениям. Никакой пользователь не будет заполнять и отправлять в адрес сервиса никакие письменные согласия. И для самого сервиса это очень неэффективный способ, но он есть.
Второй способ — это получить медицинскую лицензию на осуществление медицинской деятельности.
Тогда обрабатывать персональные данные можно без письменного согласия. Для этого случая в законе прописано отдельное законное основание: пп.4 п. 2 ст. 10 ФЗ-152. Естественно получить такую лицензию не самое простое занятие: для этого необходимо соответствовать множеству критериев. Тем не менее после получения любая обработка будет законной. Хочу заметить, что этот способ далеко не лишен логики и эффективности, как может показаться на первый взгляд. Такие огромные компании как Яндекс и Сбер имеют в своем портфеле как раз медицинские сервисы на своих дочках, у которых медицинская лицензия присутствует. Если ИТ-гиганты в стране имеют мед.лицензию, значит с точки зрения ведения подобного бизнеса соответствующая логика присутствует.
Если письменные согласия брать не хотите, получать мед. лицензию тоже, не всё потеряно. Способы ещё есть.
Получение статуса участника эксперементального правового режима
Позволит отступать и не применять в своей деятельности определенные положения закона, которые откровенно тормозят технологический процесс.
Есть несколько таких эксперементальных правовых режимов:
- Который установлен для компаний из Москвы, занимающийся разработкой ИИ и обрабатывающие инф. о состоянии здоровья в обезличенном виде.
- Установлен для компаний в сфере цифровых инноваций в РФ (как раз мед. деятельность в законе указана первым в перечне).
В случае положительного решения по установлению для компании правового режима в первом случае разрешено будет в обезличенном виде (означает невозможность узнать, кому принадлежит конкретные перс данные без дополнительных инструментов) обрабатывать персональные данные, но только в рамках развития ИИ. Передавать третьим лицам, кто не является участником такого режима, запрещено. Монетизировать перс.данные через продажу базы или иными подобными способами не получится.
Второй режим представляется более интересным не только с точки зрения географии (вся РФ), но и возможностей деятельностей компании + больше вариантов отступлений от императивных требований закона.
Установление экспериментальных режимов естесственно не является панацеей от требований закона и не позволит легко пренебрегать всеми возможными нормами для достижения результатов компании. В этих режимах тоже есть свои особенности, которые следует учитывать. Раскрытие таких особенностей не являлось темой этой статьи, предоставляется только для информирования о легальном способе обработки медициских перс. данных.
Целью статьи не охватывалось перечислить все возможные способы, а лишь самые основные и рабочие.
Есть вопросы? Пиши в комментариях, я постараюсь на них ответить.
Ну не знаю. У Гемотеста, Ситилаба и пр. компаний, в т ч медцентров утекало и максимум 60 000 р штраф. Зачем медкомпаниям в принципе заморачиваться?
Вот видите, какой у вас подход интересный: зачем заморачиваться, когда можно 60.000 р и всё. Воспринимаете это как индульгенцию от закона.
Утечка — это одно из возможных правонарушений. И сейчас практика да, действительно дают один раз 60.000 за утечку и можно ещё год не думать ни о чем. Только прорабатывается введение оборотного штрафа или вообще, может, увеличат. Тогда бизнес же сам начнет ныть о том, что "ой, а штрафы-то вон какие огромные!!!" Тогда будет смысл заморачиваться?
насчет один раз на 60.000 я бы тоже не был так уверен. практика вполне может повернуться так, что платить придется 60.000 за каждого субъекта перс данных.
но я говорю о другом составе: обработка перс данных без письменного согласия. там штраф меньше - от 30 тыс до 150.
Далее этот листок вы потом храните до окончания срока обработки данных
В медцентрах нельзя отозвать согласие. По закону они 25 лет обязаны хранить историю болезни. А если украдут данные, 60к штрафа и все
вы говорите о совершенно разных обстоятельствах, во-первых.а во-вторых, медцентру не требуется по закону взимать письменное согласие, это избыточно, поскольку у них есть законное основание, о котором я писал
Кстати, очень серьезная проблема с отсутствием возможности отозвать согласие на обработку ПДн и затребовать удаление медицинских данных из-за требования о хранении 25 лет.