ケース
議論のための重要な質問:「 SaaSサービスは 、医療の機密性に相当するデータを処理および保存のために第三者に転送できますか?」 AzuRus Platform PaaSを 提供する潜在的なプロバイダークラウドプロバイダー
この場合、健康に関する情報を含む個人データ(PD)はPDの派生物と見なされます。そのため、 一般的に後者について。
個人データと医療機密
健康に関する情報を含む個人データ(PD)は別のカテゴリに属し、その処理には多くの機能があります。 しかし、困難なのは、このカテゴリの個人データを扱う手順を規制する単一の行為がなく、そのような場合の司法慣行がまだ形成されていないという事実にあります。 PDを扱う手順を分析するときは、「個人データに関する連邦法」(以下152-FZ)の規定、および医療と医療の機密保持に関する規制行為の規定を考慮する必要があります。
一般規定
152-によると、個人情報とは、特定または決定可能な自然人(個人データ主体)に直接または間接的に関連する情報を指します。
一般的な規定に加えて、法律は特定の(特別な)カテゴリのデータの処理を個別に規制しています。 このようなカテゴリにはPDが含まれます
人種と国籍、政治的見解、宗教的または哲学的信念、健康状態、親密な生活に関するもの。
法律が示すように、法律で直接指定された場合にのみ、その処理が可能です。 このリストは広範な解釈の対象ではなく、他の場合、この種のPDの処理は許可されていません。
特別な要件
次の場合、特別なカテゴリのPDの処理が許可されます。
1)個人データの主題は、彼の個人データの処理に書面で同意した。
2)個人データは、個人データの主題によって公開されます。
2.1。 ロシア連邦の国際再入院協定の実施に関連して、個人データ処理が必要です。
2.2。 個人データの処理は、ロシア連邦の国家社会扶助 、 労働法 、年金法に関する法律に従って実施されます。
3)個人データの処理は、個人データの対象の生命、健康、その他の重要な利益または他者の生命、健康、またはその他の重要な利益を保護するために必要ですが、個人データの対象の同意を得ることは不可能です。
4)個人データの処理は、医学的診断を確立し、医療および医療および社会サービスを提供するために、医療および予防目的で実行されます。ただし、個人データの処理は、医療活動に専門的に従事し、ロシア連邦の法律に従って医療の機密性を維持する義務がある人によって実行されます;
5)個人データが書面による同意なしに配布されない場合、公共団体または宗教団体のメンバー(参加者)の個人データの処理は、構成文書によって提供される正当な目標を達成するために、ロシア連邦の法律に従って運営される関連する公共団体または宗教団体によって実行されます個人データ主体の形式;
6)個人データの処理は、司法の管理と同様に、個人データの対象または第三者の権利を確立または行使するために必要です。
7)個人データの処理は、ロシア連邦の防衛 、 セキュリティ 、 テロ対策 、 輸送セキュリティ 、 汚職対策 、 捜査活動 、 執行手続 、 またはロシア連邦の刑事執行立法に関する法律に従って行われます;
7.1。 ロシア連邦の法律で制定された事件で受け取った個人データの処理は 、検察当局の検察監督に関連して実行されます。
8)個人データの処理は、強制保険の種類に関する法律または保険法に従って行われます。
9)個人データの処理は、ロシア連邦、州機関、地方自治体、または組織の法律で定められた場合に、市民の家族を育てるために保護者のいない子どもたちを手配するために実施されます。
10)個人データの処理は、ロシア連邦の市民権に関するロシア連邦の法律に従って行われます。
法律152-に加えて、他の規制行為も考慮しなければなりません。 したがって、 レターNo. 5470 / 30-3 / I in 10.29.1999。 FFOMSの 「方法論に関する推奨事項」では 、「医療の機密性は、検査や治療、予防、リハビリテーションの結果として得られる、医療支援、診断、および健康と私生活に関するその他の情報を求めている患者の事実に関する情報は開示されていません」
市民は、彼に送信された情報の機密性の保証を確認する必要があります。 医療を申請および受理する際に送信された情報の機密性に対する市民の権利、および医療機密性を構成するその他の情報は、医療従事者およびその他の個人の開示に対する責任を生じさせます。 そのため、基本法第61条の第5部では、法律で定められた方法で医療機密を構成する情報を転送された者は、医療従事者および製薬労働者とともに、市民に生じた損害を考慮に入れて、法律に従って医療機密を開示することに対する懲戒、管理、または刑事責任を負うことを決定しますロシア連邦、ロシア連邦内の共和国。
特別なカテゴリの個人データの処理に関する要件は、比較的新しい規制法-「個人データ情報システムでの処理中の個人データの保護に関する要件」(2012年11月1日のロシア連邦政令 N 1119 により承認)によって確立されます。
この法律は、次の一連の措置を規定しています。
- 脅威の種類のレベルを決定します。
- セキュリティの必要レベルの決定と各レベルに必要な対策の実施。
それに対応して、PDの特別なカテゴリには、3番目または4番目のレベルが関連します(データが処理されるPD被験者の数に応じて)。
データの性質と法律によって課せられる制限を考えると、次のことが必要です。
- PD処理への同意を得るために患者からデータを収集する場合、これらのデータの保管先を誰に転送するか、どのように保管および処理するかを示します。 私たちは、ウェブサイト上のフォームを通じて同意を得て、オファーまたはライセンス契約を契約に登録します
- 脅威の種類の判別を含む、PDを処理するための内部ドキュメントのパッケージを開発します。 ベンダー、プロバイダーと一緒にいる必要があります-PDで働くすべての人
- セキュリティのレベルに応じて、個人データを保護するための技術的対策を実施します。 プロバイダー側で
- 保管が第三者によって行われる場合は、個人データの処理に同意し、この人との契約で、個人データを保護するために必要な技術的手段を示し、このデータの機密性を確保する必要性を説明します(特別なカテゴリーを考慮して)。 サービスWebサイトの登録フォームでプロバイダーの名前を示します
この場合、 第三者への保存のためのデータの転送は 、被験者自身が書面による同意によりそのような転送を許可しているため、 医療機密の開示とはみなされません 。 これは、条件がsubであることを意味します。 1 p。2記事 10 152-FZ。
実際、サービスベンダーはそれをプロバイダーの側に置くことができ、これは医療機密の開示とはみなされません。 この方法は、ベンダーが独自のクラウドを構築せず、サービスへのアクセスサービスを提供せず、ライセンスを使用する権利を譲渡する場合に適しています。
この投稿は、法律顧問であるZartsyn&Partnersの参加により作成されたものであり、 スタートアップ向けの特別オファーがある同僚に法的サポートを求めることを強くお勧めします。
アレクセイ・カラチニコフ
シリーズの資料「SaaSでお金を稼ぐ方法」
- パートI | 不要なものをすべて削除し、目標を達成し、実験する
- パート2 | ロシアのISVの貴重な経験
- パート3 | 不要なアフィリエイトチャネルを介した販売
- パート4 | Quickmeスタートアップ-小規模チームのコミュニケーションとコラボレーション
- パート5 | ユビキタスSaaS統合は、残りのソフトウェアビジネスにとってのかわいい脅威として、または1 + 1が3に変わる方法として
- パート6 | パートナー向けQuickmeストーリー、または一緒にビジネスを行う7つの理由
- パート7 | SaaSが販売されない理由
- パート8 | SaaS-ロシア市場の現実
- 誤って忘れられたパート9 | リーガルフォグSaaS
- パート10 | ビジネスモデルの指標
- パート11 /クラウドサービスレビュー/ UXおよびユーザビリティテスト
- パート12 | クラウドへのアクセスのモバイル革命:「ワンクリック」でオペレーターを変更する方法
- パート13 /ローミングフリー技術の3つのステップ
- パート14 | フリップフロップと価格
- パート15 | 仮想シム? いいえ、聞いていません
- パート16 | 独自のモバイルWIFIネットワーク
- パート17 | クラウド内の個人データと医療秘密