Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Темы
Маркетинг
Сервисы
Деньги
Личный опыт
Телеграм
AI
Право
Крипто
Путешествия
Соцсети
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
Захар Жиляков
Право

Как медицинскому приложению законно обрабатывать персональные данные?

Данные о состоянии здоровья составляют отдельную в законе категорию персональных данных. В силу их чувствительности, нельзя обойтись согласием в виде проставления галочки или указания “дальнейшее использование = согласие”. Как обрабатывать информацию о состоянии здоровья в приложении узнаете ниже.

Наши персональные данные — тема довольно уязвимая. Особенно, когда видишь новость об очередной утечке тысячи строк из базы данных пользователей. Поэтому помимо технических способов их защиты существуют также правовые, которые установлены в 152 законе “О персональных данных”.

Ни для кого не секрет, что для обработки (то есть совершения любых действий с перс.данными) нужно хотя бы 1 законное или договорное основание. Обработка без основания — это отдельный состав правонарушения, за которое в КоАП предусмотрен штраф. Когда вы захотите на сайт и передаете свои куки или вводите ФИО, номер телефона — для всего этого достаточно выразить согласие, прочитав политику конфиденциальности и проставить согласие в виде галочки или еще проще: остаться на сайте. А что с медицинскими персональными данными?

В законе информация о состоянии здоровья — это специальная категория персональных данных. А что относить к информации о состоянии здоровья? ФЗ “Об охране здоровья” определяет здоровье как:

состояние физического, психического и социального благополучия человека, при котором отсутствуют заболевания, а также расстройства функций органов и систем организма.

пп.1 п. 1 ст. 2 Закона

А состояние здоровья также включает в себя:

  • результаты медицинского исследования
  • наличие заболевания
  • методы лечения и т.д.

Сюда отнесём и пульс, артериальное давление, уровень холестерина, масса тела и т.п.

В статье 10 в 152-ФЗ, которая упоминалась уже выше, указано, что по общему правилу не допускается обрабатывать любые специальные персональные данные.

К ним помимо состоянии здоровья относятся политические, религиозные убеждения, расовая и национальная принадлежность. Думаю, что понятно, почему это специальные категории и почему не допускается их обработка.

Однако у нас есть исключения. С полным списком исключений перечислен всё той же ст. 10. Я рассмотрю те, которые касаются только состояния здоровья.

Самый простой и очевидный способ — это взять письменное согласие.

Письменное означает листок бумаги, на котором собственноручно пользователь (обладатель персональных данных) проставляет свою подпись. Далее этот листок вы потом храните до окончания срока обработки данных. Конечно же этот способ не подойдет никаким онлайн сервисам и приложениям. Никакой пользователь не будет заполнять и отправлять в адрес сервиса никакие письменные согласия. И для самого сервиса это очень неэффективный способ, но он есть.

Второй способ — это получить медицинскую лицензию на осуществление медицинской деятельности.

Тогда обрабатывать персональные данные можно без письменного согласия. Для этого случая в законе прописано отдельное законное основание: пп.4 п. 2 ст. 10 ФЗ-152. Естественно получить такую лицензию не самое простое занятие: для этого необходимо соответствовать множеству критериев. Тем не менее после получения любая обработка будет законной. Хочу заметить, что этот способ далеко не лишен логики и эффективности, как может показаться на первый взгляд. Такие огромные компании как Яндекс и Сбер имеют в своем портфеле как раз медицинские сервисы на своих дочках, у которых медицинская лицензия присутствует. Если ИТ-гиганты в стране имеют мед.лицензию, значит с точки зрения ведения подобного бизнеса соответствующая логика присутствует.

Если письменные согласия брать не хотите, получать мед. лицензию тоже, не всё потеряно. Способы ещё есть.

Получение статуса участника эксперементального правового режима

Позволит отступать и не применять в своей деятельности определенные положения закона, которые откровенно тормозят технологический процесс.

Есть несколько таких эксперементальных правовых режимов:

  • Который установлен для компаний из Москвы, занимающийся разработкой ИИ и обрабатывающие инф. о состоянии здоровья в обезличенном виде.
  • Установлен для компаний в сфере цифровых инноваций в РФ (как раз мед. деятельность в законе указана первым в перечне).

В случае положительного решения по установлению для компании правового режима в первом случае разрешено будет в обезличенном виде (означает невозможность узнать, кому принадлежит конкретные перс данные без дополнительных инструментов) обрабатывать персональные данные, но только в рамках развития ИИ. Передавать третьим лицам, кто не является участником такого режима, запрещено. Монетизировать перс.данные через продажу базы или иными подобными способами не получится.

Второй режим представляется более интересным не только с точки зрения географии (вся РФ), но и возможностей деятельностей компании + больше вариантов отступлений от императивных требований закона.

Установление экспериментальных режимов естесственно не является панацеей от требований закона и не позволит легко пренебрегать всеми возможными нормами для достижения результатов компании. В этих режимах тоже есть свои особенности, которые следует учитывать. Раскрытие таких особенностей не являлось темой этой статьи, предоставляется только для информирования о легальном способе обработки медициских перс. данных.

Целью статьи не охватывалось перечислить все возможные способы, а лишь самые основные и рабочие.

Есть вопросы? Пиши в комментариях, я постараюсь на них ответить.

5 комментариев