Программа для медицинских лабораторий: вносите данные пациентов безопасно и легко. Оператор персональных данных и согласие пациентов - вопросы, которые мы решаем. Регистрация в Роспатенте/ФИПС и работа похожих сервисов - детали внутри.

В данной ситуации оператором персональных данных является сеть медицинских лабораторий, которая самостоятельно осуществляет обработку персональных данных пациентов с помощью вашей программы. Поэтому лаборатории обязаны соблюдать все права в сфере защиты персональных данных и необходимо заключить соглашение об обработке персональных данных между лабораториями и пациентами. Вам как разработчику программы не требуется получать согласие от пациентов, так как данные собираются и обрабатываются лабораториями, а не компанией-разработчиком. Для регистрации программы в Роспатенте/ФИПС необходимо указать, содержатся ли персональные данные в программе и в случае положительного ответа - зарегистрироваться в качестве оператора. Похожие сервисы работают по аналогичному принципу, где оператором персональных данных является клиент-лаборатория, а не разработчик-поставщик программы.

Для решения данного вопроса необходимо обратиться к законодательству Российской Федерации о персональных данных.

В соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных" (далее - Закон), оператор персональных данных - это юридическое или физическое лицо, самостоятельно или совместно с другими лицами, организующее и/или обрабатывающее персональные данные, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

В данном случае, компания является разработчиком программы и обеспечивает ее техническую поддержку, однако непосредственной обработкой персональных данных занимаются медицинские лаборатории, которые сами получают согласие на обработку персональных данных пациентов и вносят данные в программу. Согласно Закону, если обработка персональных данных осуществляется в интересах определенного лица или в связи с исполнением договора, в котором это лицо является стороной (как в данном случае лицензионного договора), то оператором персональных данных должно считаться это лицо.

Таким образом, основной оператор персональных данных в данной ситуации является сеть медицинских лабораторий. Однако компания-разработчик также является оператором персональных данных, если она осуществляет какие-либо действия с персональными данными (например, их хранение или передачу). В данном случае, компания может выступать в качестве совместного оператора персональных данных, осуществляющего обработку персональных данных вместе с медицинскими лабораториями.

Регистрация в качестве оператора персональных данных обязательна в случаях, когда осуществляется обработка персональных данных, которые относятся к специальным категориям персональных данных (например, данные о здоровье), либо в случаях, когда оператор обрабатывает данные более чем 1 000 субъектов персональных данных в год. В остальных случаях регистрация не является обязательной, но может быть рекомендована в целях соблюдения требований законодательства.

Что касается получения согласия на обработку персональных данных у пациентов, то оно должно быть получено медицинскими лабораториями напрямую у пациентов, так как они являются непосредственным обработчиком персональных данных. Компания-разработчик может обеспечивать соответствие процедуры получения согласия на обработку персональных данных медицинскими лабораториями в рамках лицензионного договора.

Статьи, применимые для решения вопроса:

1. Федеральный закон "О персональных данных" от 27 июля 2006 года №152-ФЗ.

Кто является оператором персональных данных в данной ситуации зависит от того, у кого есть возможность управлять персональными данными пациентов, то есть осуществлять их сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение. В данной ситуации лаборатории, использующие программу, могут быть признаны операторами персональных данных, так как они осуществляют все вышеперечисленные действия с данными пациентов.

Если компания получает доступ к персональным данным пациентов только с целью технического обслуживания и поддержания работы сервиса, то она является обработчиком персональных данных, а не оператором. Если же компания имеет возможность управлять персональными данными, например, имеет доступ к базе данных пациентов или может вносить изменения в записи о пациентах, то она также может быть признана оператором персональных данных.

1. Статья 6 Федерального закона "О персональных данных", которая обязывает получать согласие субъекта персональных данных на обработку его персональных данных.

Так как лаборатории получают согласие пациентов на обработку их персональных данных, то компании, создавшей программу, согласие пациентов необходимо получать только тогда, когда компания сама является оператором персональных данных.

1. Статья 22.2 Федерального закона "Об авторском праве и смежных правах", которая регулирует регистрацию программ для ЭВМ.

При регистрации программы в роспатенте/фипс необходимо указать наличие персональных данных в программе и номер оператора персональных данных, если компания является оператором. Если компания является обработчиком персональных данных, то номер оператора не требуется указывать.