Логотип 1nep.ru
facebook youtube vk.com
ВХОД
Статьи

Персональные данные пациента косметологической клиники: правила обработки

12494
Персональные данные пациента косметологической клиники: правила обработки

С 1 июля 2017 года существенно возрастет размер штрафов за нарушения законодательства РФ в области персональных данных. В статье речь пойдет об обязанностях медицинской организации...

Руководителям, Управление

Что относится к персональным данным?

Ключевым актом, регулирующим вопросы обработки и использования персональных данных (далее – ПД) является Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» (далее – ФЗ-152), который и закрепил определение персональных данных. Согласно п.1 ст.3 указанного федерального закона под персональными данными понимается «любая информация, относящаяся к прямо или косвенно определяемому физическому лицу (субъекту персональных данных)».

Из указанного определения следует, что персональными данными являются не только ФИО гражданина и его паспортные и контактные данные (номер телефона, адрес электронной почты), что очевидно, но и дата и место рождения, национальность, рост и вес, вероисповедание и так далее. Перечень персональных данных не может быть исчерпывающим; он включает в себя любую информацию, позволяющую тем или иным образом (прямо или косвенно) идентифицировать лицо.

Является ли медицинская организация оператором персональных данных?

Сразу оговоримся, что в данной статье мы будем говорить только об обработке персональных данных пациентов. Обработка персональных данных сотрудников клиники работодателем подчиняется общим правилам обработки персональных данных, за некоторыми исключениями, но данный вопрос не является предметом настоящей статьи.

На оператора персональных данных ФЗ-152 возложен ряд обязанностей, исполнение которых влечет материальные и временные издержки, в связи с чем медицинские организации при назначении административных штрафов периодически пытаются доказать тот факт, что они операторами персональных данных не являются, а если и являются, то перечень их обязанностей должен быть усечен. Давайте разберемся, так ли это.

Первая точка зрения: медицинская организация не является оператором персональных данных

Данная точка зрения базируется на аргументации, согласно которой медицинская организация обрабатывает персональные данные только в целях исполнения договора об оказании платных медицинских услуг.

Ее сторонники не учитывают, что сама по себе информация, необходимая для заполнения медицинской карты по форме 025/у, уже является персональными данными, так как позволяет без труда идентифицировать личность, а доказать исключительность цели обработки – крайне сложная задача. Клиника занимается обработкой персональных данных, определяет цели такой обработки, совершает операции с персональными данными, то есть, используя терминологию ФЗ-152, является оператором персональных данных.

Оператор персональных данных – категория, связанная с фактической деятельностью юридического лица, а не процедурой присвоения этого статуса. То есть если вы собираете информацию о пациенте, вы являетесь оператором персональных данных вне зависимости от наличия организации в реестре операторов персональных данных.

Вторая точка зрения: медицинская организация все же оператор персональных данных, но с ограниченным перечнем обязанностей

Сторонники этой точки зрения «освобождают» клинику от двух основных обязанностей оператора персональных данных: обязанности получать согласие субъекта персональных данных и обязанности уведомить Роскомнадзор о начале обработки персональных данных.

Тезис 1: получение согласия субъекта персональных данных не является обязательным в случае обработки данных исключительно для исполнения договора (п.5 ч.1 ст. 6 ФЗ-152).

Суды не находят данную аргументацию убедительной. Наглядным примером может служить постановление Самарского областного суда от 08.02.2016 №4а-131/2016. Позиция медицинской организации, подкрепленная ссылкой на п.5 ч.1ст. 6 ФЗ-152, не явилась основанием для отмены административного штрафа. Логика суда следующая: медицинская организация – юридическое лицо, осуществляющее обработку персональных данных, а значит, необходимо согласие на обработку персональных данных.

Тезис 2: медицинская организация не обязана направлять уведомление в Роскомнадзор, так как обработка информации направлена исключительно на исполнение заключенного с пациентом договора об оказании платных медицинских услуг, что является исключением, названным в п. 2 ч.2 ст. 22 ФЗ-152.

Все было бы хорошо, если бы не тот факт, что на практике доказать направленный исключительно на исполнение договора характер обработки персональных данных практически нереально.

Если у клиники есть сайт с возможностью регистрации пользователей или с формой обратной связи, то она однозначно является оператором персональных данных. В таком случае графу, посвященную согласию на обработку персональных данных, нужно добавить в форму регистрации. Также в форму регистрации добавляется ссылка на политику организации в отношении персональных данных (подробнее – см.ниже). Учтите, что у Вас должна быть техническая возможность подтверждения факта согласия субъекта персональных данных на обработку данных на случай спора с проверяющей инстанцией, то есть должна быть предусмотрена возможность хранения и отображения фактов дачи согласия пользователями сайта.

Таким образом, медицинская организация обязана получать согласие на обработку персональных данных, а также направлять уведомление в территориальный орган Роскомнадзора для включения в реестр операторов персональных данных.

Медицинские карты. Врачебная тайна.

Информация о состоянии здоровья пациента носит особый характер.

В соответствии со ст.13 Федерального закона от 21.11.2011 №323-ФЗ «Об основах охраны здоровья граждан в РФ» (далее – ФЗ-323) сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну. Без согласия гражданина такая информация может быть предоставлена исключительно в случаях, перечисленных в названной статье.

Как указано в п.4 ст. 92 ФЗ-323 сведения о лицах, которые участвуют в оказании медицинских услуг, и о лицах, которым оказываются медицинские услуги, относятся к информации ограниченного доступа и подлежат защите в соответствии с законодательством Российской Федерации.

Из этого следует вывод, что информация, которую врач указывает в медицинской карте пациента, составляет врачебную тайну, которая в свою очередь является информацией ограниченного доступа, разглашение которой влечет последствия, отличные от последствий ординарного разглашения персональных данных.

Субъектом такого правонарушения, как разглашение информации с ограниченным доступом, предусмотренного ст. 13.14 КоАП РФ, не может являться организация (клиника в целом), но исключительно граждане и должностные лица; штраф для последних составляет от 4 до 5 тысяч рублей.

Однако, стоит помнить о возможности привлечения к уголовной ответственности по ч.2 ст. 137 УК РФ, о чем будет сказано далее.

Приказ Минздрава РФ от 15.12.2014 №834н, к сожалению, с точки зрения информации о способах хранения медицинских карт, абсолютно не информативен. С точки зрения обеспечения безопасности персональных данных, содержащихся в медицинских картах, медицинская организация должна предпринять общие меры, перечисленные ниже, направленные на исключение возможности разглашения персональных данных, доступа третьих лиц и т.д.

Обязанности оператора персональных данных

Так как мы уже определились с тем, что клиника является оператором персональных данных, следует разобраться, какие именно обязанности на нее, как на оператора, возложены законом.

Обязанность получать согласие пациента на обработку персональных данных

Безусловно, самая известная обязанность, о которой знает большинство руководителей клиник косметологии.

Информация, которая обязательно должна входить в согласие на обработку персональных данных, перечислена в ч.4 ст.9 ФЗ-152.

Согласие на обработку персональных данных заполняется на каждого пациента при первом посещении. Отсутствие согласия на обработку персональных данных грозит организации штрафом, максимальный размер которого составляет 75 тысяч рублей.

К согласию, составленному в бумажном виде, приравнивается согласие, полученное в форме электронного документа, подписанного электронной подписью.

Особое внимание следует уделить целям обработки персональных данных, которые указываются в согласии. Цели должны быть сформулированы в максимальном соответствии с осуществляемой в действительности обработкой персональных данных, так как ответственность предусмотрена не только за отсутствие согласия, но и за обработку данных в целях, этим согласием не предусмотренных.

Поясним на примере. Если в качестве целей обработки персональных данных в согласии указано только оказание медицинских услуг, а на деле осуществляется рассылка смс/электронной почты рекламного содержания, юридическое лицо должно быть привлечено к административной ответственности в виде штрафа по ч.1 ст. 13.11 КоАП РФ, размер которого варьируется в пределах от 30 до 50 тысяч рублей.

Более того, помимо целей, следует избегать сбора избыточной информации, так как обработка персональных данных, не связанных с целью их сбора, также влечет административное наказание. Например, неуместен сбор паспортных данных при оформлении согласия для участие в программе лояльности.

Если пациент откажется заполнять излишне объемный бланк согласия и клиника на этом основании откажет ему в предоставлении медицинских услуг, штраф будет по ч.1 ст. 14.4 КоАП РФ за отказ в предоставлении услуг в нарушение лицензионных требований. Пример - Постановление Тринадцатого арбитражного апелляционного суда от 03.06.2014 по делу N А56-56137/2013.

Мнение эксперта

Относительно организаций, осуществляющих иные виды деятельности, медицинские организации находятся в более выгодном положении, так как законодательно закреплен большой объем информации, который должен быть собран в рамках оказания медицинской помощи. При таком регулировании обвинять медицинскую организацию в сборе «избыточной информации» достаточно сложно.

Сразу отметим, что согласие должно быть получено даже в том случае, если юридическое лицо собирает незначительное количество информации, например, только номер телефона или адрес электронной почты (даже без обязательного указания имени). Такие контактные данные позволяют идентифицировать лицо, а значит, являются персональными данными. Противоположную позицию, согласно которой отдельно взятый номер мобильного телефона не позволяет идентифицировать лицо и не является персональными данными, можно встретить на официальном сайте Управления Роскомнадзора по одной из республик Российской Федерации. Однако, указанный подход не проводится последовательно на территории всей Российской Федерации.

Это актуально для клиник, на сайтах которых есть форма обратной связи. Заполнение такой формы и обработка указанных в ней данных в отсутствие графы, подтверждающей факт дачи согласия на обработку персональных данных, влечет штраф за обработку персональных данных без согласия. В качестве примера из судебной практики см. постановление Тамбовского областного суда от 04.10.2016 №4А-288/2016.

При оформлении договора оказания платных медицинских услуг, согласие на обработку данных рекомендуется составлять в виде отдельного документа. Требования к форме согласия в законе отсутствуют, однако, всегда стоит помнить о том, что бремя доказывания факта получения согласия лежит на операторе персональных данных, то есть на медицинской организации. Соответственно, проще составить его в качестве лаконичного отдельного документа и хранить вместе с договором, нежели включать в качестве пункта договора. Однако, повторюсь, запрета на включение раздела, касающегося обработки персональных данных, непосредственно в договор нет. В соответствии с постановлением Правительства РФ от 04.10.2012 №1006 договор об оказании платных медицинских услуг может включать и иные условия, определенные соглашением сторон, в том числе и условие об обработке и использовании персональных данных.

Мнение эксперта

Медицинская организация всегда заключает с пациентом договор об оказании платных медицинских услуг, оформляет медицинскую карту пациента и т.д., то есть отношения между клиникой и пациентом подтверждаются достаточным массивом документации, в отличие от организаций, где отношения «продавец-клиент» могут быть подтверждены лишь чеком. В такой ситуации для минимизации количества бумаг и упрощения процедуры хранения, возможно включение текста согласия на обработку персональных данных непосредственно в текст договора об оказании платных медицинских услуг.

Обязанность уведомить Роскомнадзор

До начала обработки персональных данных оператор ПД обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных. По результатам рассмотрения заявления оператор ПД вносится в реестр операторов ПД, который ведет Роскомнадзор. Форма уведомления установлена в Приложении 2 Административного регламента. Рекомендации по заполнению – здесь.

Уведомление подается в территориальный орган Роскомнадзора по месту регистрации юридического лица.

Обязанность опубликовать политику в отношении персональных данных

Оператор персональных данных обязан опубликовать на сайте или иным способом обеспечить доступ неограниченного числа лиц к документу, определяющему политику оператора в отношении обработки персональных данных или сведениям о реализуемых требованиях к защите персональных данных (далее – Политика).

Приказом руководителя организации должна быть утверждена «Политика в отношении обработки персональных данных», которая затем размещается на сайте организации. Лучше всего в форме, которую субъект персональных данных заполняет на сайте, рядом с графой, где непосредственно проставляется отметка о согласии на обработку, сделать активную ссылку на документ, устанавливающий Политику.

Также советуем включить в текст документа, устанавливающего Политику, помимо информации о способах и целях обработки персональных данных, их конфиденциальности, раздел, где будет детально описан способ направления запросов субъектов персональных данных (с указанием контактов оператора ПД), а также порядок ответа на них.

Содержание политики определяется руководством организации, как и форма документа.

Формы документов различны: пользовательское соглашение, официальное уведомление, политика конфиденциальности и др.

Неисполнение данной обязанности влечет для юридического лица наложение штрафа в размере от 15 до 30 тысяч рублей.

Обязанность назначить ответственного сотрудника

Для исполнения этой обязанности приказом руководителя клиники нужно назначить ответственного за обработку персональных данных. Минимальный перечень его обязанностей установлен ч.4 ст. 22.1 ФЗ-152.

Необходимо подготовить для сотрудников, работающих с персональными данными, внутренние документы о порядке доступа к данным, их хранении, ответственности. Документы могут быть изданы в форме инструкций, приказов, регламентов.

Локальные акты, направленные на исполнение этой обязанности, не публикуются для неограниченного доступа.

Обязанность обеспечить безопасность данных

Обязанность регламентирована ст. 19 ФЗ-152.

Если оператор персональных данных не использует средства автоматизации, то в соответствии с Перечнем НПА Роскомнадзора, для него обязательно соблюдение требований, установленных постановлением Правительства РФ от 15.09.2008 №687.

Невыполнение требования, имевшее последствия в виде неправомерного доступа, уничтожения, изменения персональных данных и т.д., влечет наложение штрафа в размере от 25 до 50 тысяч рублей.

Подробнее о мерах безопасности см. постановление Правительства от 01.11.2012 №1119 и Приказ ФСТЭК России от 18.02.2012 №21.

Обязанности, корреспондирующие правам субъекта персональных данных

Данная группа обязанностей включает в себя действия оператора ПД, которые он должен совершить при обращению к нему субъекта персональных данных.

  1. Обязанность предоставить доступ к информации, касающейся обработки ПД.
    Перечень такой информации приведен в ч.7 ст. 14 ФЗ-152, он включает в себя подтверждение факта обработки, содержание и источник ПД, цели и способы обработки ПД и др. Информация должна быть предоставлена субъекту в течение 30 дней с момента получения запроса субъекта ПД. Неисполнение указанной обязанности влечет наложение штрафа на клинику в размере от 20 до 40 тысяч рублей (ч.4 ст. 13.11 КоАП РФ).
  2. Обязанность по требованию субъекта персональных данных (или его представителя) уточнить, блокировать или уничтожить персональные данные в случае, если персональные данные являются неполными, неточными, устаревшими, незаконно полученными или не являются необходимыми для заявленной цели обработки (ст. 21 ФЗ-152). На время проверки ПД они должны быть заблокированы оператором. На исполнение данной обязанности отводится срок в 7 рабочих дней с момента представления субъектом ПД информации, подтверждающей неполноту, неточность, незаконный способ получения ПД. Оператор обязан уведомить субъекта ПД о внесенных изменениях и предпринятых мерах. Неисполнение данной обязанности грозит организации штрафом в размере от 25 до 45 тысяч рублей.
  3. Обязанность удовлетворить запрос в случае отзыва согласия.
    Право отозвать согласие на обработку персональных данных закреплено за субъектом ч.2 ст. 9. ФЗ-152.
    В случае отзыва субъектом ПД согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий 30 дней с даты поступления указанного отзыва, если иное не предусмотрено договором.
    Оператор ПД обязан по запросу прекратить обрабатывать ПД, например, в рекламных целях. Разумеется, не подлежит уничтожению медицинская документация, содержащая ПД пациента, так как на медицинскую организацию возложена обязанность хранить документацию в течение определенного срока. В частности, в соответствии с актуальными рекомендациями Минздрава РФ для медицинской карты пациента по форме 025/у срок хранения составляет 25 лет.

Рассылки: СМС, электронная почта, мессенждеры

При соблюдении ряда правил СМС-рассылка будет служить правомерным и эффективным средством распространения информации.

  • Ключевое правило – рассылка осуществляется только с согласия абонента (ст. 15 ФЗ-152, ст. 18 Федерального закона от 13.03.2006 №38-ФЗ «О рекламе», ст. 44.1 Федерального закона от 07.07.2003 №126-ФЗ «О связи»). Бремя доказывания факта получения согласия лежит на операторе персональных данных, рекламораспространителе. Использовать следует только базы, сформированные самостоятельно.
  • Способ информирования (рассылки) должен быть отражен в согласии. Субъект дает согласие не абстрактно, а на информирование его конкретным способом. Для сбора номеров используйте только анкеты, в которых есть пункт о согласии на получение СМС-рассылок. В них также должна быть подпись клиента и дата заполнения. Анкеты нужно сохранять.
  • Субъект персональных данных должен быть отписан от рассылки по первому обращению с данной просьбой. В противном случае нарушение может быть трактовано как рассылка без согласия. Процедуру направления отказа лучше прописать в Политике. (При рассылке по электронной почте следует добавить ссылку, переход по которой влечет отписку от рассылки. При СМС-рассылке это нецелесообразно, так как стоимость зависит от количества знаков в сообщении).
  • Время рассылки. Отдельного правонарушения в виде рассылки в «неразрешенное» время нет, так как отсутствует регламентация времени рассылки. Единственным Вашим ограничителем должен послужить здравый смысл и понимание, что ночная или утренняя рассылка вряд ли вызовет у получателя положительные эмоции и желание воспользоваться услугами клиники.
  • Запрет автоматических рассылок и автодозвона (без участия человека, с использованием генератора номеров).
  • Нарушение законодательства о рекламе, коим и будет являться смс-рассылка сообщений рекламного содержания без согласия абонента, грозит нарушителям-юридическим лицам штрафом в размере от 100 до 500 тысяч рублей (ч.1 ст. 14.3 КоАП РФ).

Рассылки с использованием мессенджеров отдельно не регламентируются, однако, есть все основания полагать, что в связи с тем, что в них используется номер мобильного телефона, споры будут разрешаться по аналогии, по правилам, применимым для СМС-рассылок.

Рассылки по электронной почте также требуют согласия субъекта персональных данных, и соблюдения указанных выше правил, что подтверждается п.2 Письма ФАС от 19.05.2006 №АК/7654, согласно которому на рассылку в сети Интернет распространяются положения ст.18 ФЗ «О рекламе».

Санкции

Кроме административных штрафов, уже названных по ходу статьи, возможно привлечение к гражданской и уголовной ответственности.

Уголовная ответственность предусмотрена ст. 137 УК РФ (Нарушение неприкосновенности частной жизни). Если данное преступление совершено медицинским работником в ходе профессиональной деятельности, то деяние будет квалифицировано по ч. 2 ст. 137 УК РФ, предусматривающей, помимо иных мер наказания, штраф до 300 тысяч рублей или лишение свободы на срок до 4 лет.

Но ключевая опасность кроется не столько в существенном увеличении штрафов и появлении новых составов административных нарушений в области обработки персональных данных, а в том, что изменился субъект, имеющий право применять административные санкции за такие нарушения.

Если до 1 июля 2017 года возбуждать дела по административным делам, связанным с персональными данными, по статье 13.11 КоАП РФ мог только и без того загруженный делами прокурор, то с указанной даты дела по статье 13.11 КоАП будут вправе возбуждать должностные лица Роскомнадзора. Следовательно, процедура привлечения к ответственности по делам о персональных данных станет проще, а с точки зрения пополнения бюджета – эффективнее. Сумма собранных штрафов однозначно вырастет. Также следует помнить о том, что штрафы по разным частям ст. 13.11 КоАП РФ могут суммироваться.

Помимо всех перечисленных выше мер ответственности, стоит помнить о праве Роскомнадзора заблокировать сайт нарушителя законодательства в области персональных данных, которым он (Роскомнадзор) регулярно пользуется в порядке ст. 15.5 Федерального закона от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и защите информации», пополняя тем самым «Реестр нарушителей прав субъектов персональных данных».

Интересный факт. 20 февраля 2017 года, практически сразу после опубликования закона об усилении ответственности за нарушение в области персональных данных, на официальном сайте Роскомнадзора сообщалось о фальшивой рассылке сообщений о проверках от имени должностных лиц Роскомнадзора. Есть основания полагать, что подобные мошеннические действия могут иметь место и после вступления в силу новой редакции ст. 13.11 КоАП РФ, в связи с чем призываем Вас быть бдительными и при получении писем о грядущих (вне)плановых проверках руководствоваться законом и информацией, полученной из официальных источников.

В связи с большим объемом информации для Вашего удобства мы объединили все возможные нарушения (с примерами), санкции за них, а также способы предотвращения – в одну таблицу.

Нарушение

Пример(ы)

Штраф (для юр.лиц)

Как избежать

 

 

 

Обработка ПД без согласия субъекта ПД

Согласие не получено; согласие получено в устной форме.

Не получено согласие при использовании ПД, полученных путем заполнения субъектом формы обратной связи на сайте.

 

 

 

15 000 – 75 000 рублей (ч.2 ст. 13.11 КоАП РФ)

Получать от каждого посетителя, подписчика или клиента письменное согласие на обработку, хранение и распространение персональных данных

 

 

 

 

 

 

 

 

 

 

Обработка ПД, несовместимая с целями сбора ПД

 

 

 

 

В согласии в качестве цели указано исполнение договора об оказании платных медицинских услуг, а в реальности осуществляется рассылка рекламного содержания.

Оператор ПД собирает «избыточную» информацию, не имеющую прямой взаимосвязи с исполнением договора (просит указать национальность или номер СНИЛС при заполнении анкеты-согласия для участия в программе лояльности)

                                            

 

 

 

 

 

 

 

 

 

 

 

 

30 000 – 50 000 рублей (ч.1 ст. 13.11 КоАП РФ)

Формулировать цели обработки и использования ПД в строгом соответствии с реально осуществляемыми действиями.

Запрашивать только необходимые данные, требуемые для конкретной цели. Так, для подписки на электронную рассылку можно запросить email, а вот паспортные данные или домашний адрес — нельзя;

Использовать полученные данные только в целях, которые прописаны в документах или политике работы с персональными данными.

Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных

 

На сайте нет «Политики организации…», нет «Политики конфиденциальности..» или иного аналогичного по содержанию документа

   

 

 

15 000 – 30 000 рублей (ч.3 ст. 13.11 КоАП РФ)

Разместить на сайте документ, определяющий Политику.

Сделать возможность перехода к файлу с «Политикой» с любой страницы сайта; добавить гиперссылку на Политику в форму обратной связи

Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных

 

 

 

 

Проигнорировали запрос субъекта ПД или ответили на него по истечении 30 дней с момента получения

 

 

 

 

20 000 – 40 000 рублей

(ч.4 ст. 13.11 КоАП РФ)

На сайте (и/или в согласии) в доступной форме должен быть указан телефон/электронный адрес, обратившись по которому лицо может сделать запрос об уточнении, уничтожении согласия, его отзыве. Также должна быть указано форма запроса и его обязательное содержание.

Контактные данные оператора ПД, по которым он поддерживает связь с субъектами ПД должны быть доступны и прописаны в Политике. Также в Политике стоит прописать порядок реагирования на запросы субъектов ПД.

Удалять данные, которые используются для рассылки предложений и информации о скидках и акциях, нужно по первому требованию субъекта ПД.

 

 

 

Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки

 

 

 

 

 

 

 

 

 

 

Проигнорировали запрос субъекта ПД или отреагировали на него по истечении 7 рабочих дней с момента представления сведений, подтверждающих неточность, неполноту и т.д. персональных данных

 

 

 

 

 

 

 

 

25 000 – 45 000 рублей

(ч.5 ст. 13.11 КоАП РФ)

Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния.

 

Если вы храните свои бумажные архивы (анкеты, согласия, договоры) в условиях,  не обеспечивающих конфиденциальность. Для привлечения к административной ответственности по данному основанию необходимо доказать факт наличия неправомерного доступа к этим данным или факт уничтожения/копирования и проч.

Самого по себе невыполнения обязанности без доказанных последствий недостаточно для привлечения к административной ответственности.

 

 

 

 

 

 

 

 

 

25 000 – 50 000 рублей

(ч.6 ст. 13.11 КоАП РФ)

Обеспечить сохранность и защиту от доступа третьих лиц;

Обучить своих сотрудников порядку работы с персональными данными, гарантирующему их сохранность.

 

Разглашение информации, доступ к которой ограничен федеральным законом.

 

Разглашение посторонним лицам информации о факте обращения лица в медицинскую организацию, о состоянии его здоровья

К ответственности могут быть привлечены только должностные лица

Штраф в размере от 4 000 до 5 000

(ст.13.4 КоАП РФ)

Не допускать предоставления информации составляющей врачебную тайну посторонним лицам без согласия лица за исключением случаев, перечисленных в ч.4 ст. 13 ФЗ-323

 

 

 

 

Нарушение законодательства о рекламе

 

 

 

Рассылка сообщений без предварительного согласия лица

 

 

 

 

100 000 – 500 000 рублей (ч.1 ст. 14.3 КоАП РФ)

Использовать только самостоятельно сформированные базы телефонных номеров, адресов электронной почты.

Иметь письменное согласие на рассылку с указанием ее способа от каждого клиента.

Поделиться

Подписаться на ежедневный дайджест 1nep.ru

Другие статьи по темам

Ксеомин® в коррекции нижней трети лица Статьи Ксеомин® в коррекции нижней трети лица
Итоги IV International Dermoaesthetic Medical Day «Ageless Generation – симбиоз геронтологии и эстетической медицины» Обзор Итоги IV International Dermoaesthetic Medical Day «Ageless Generation – симбиоз геронтологии и эстетической медицины»
Возможность улучшения эстетического результата при хирургическом лечении гинекомастии Статьи Возможность улучшения эстетического результата при хирургическом лечении гинекомастии

Читайте также

Этермис - новое звучание филлера Glytone Этермис - новое звучание филлера Glytone
Масс-спектрометр способен диагностировать состояние кожи Масс-спектрометр способен диагностировать состояние кожи
Найдены потенциальные бактерии для улучшения внешнего вида кожи Найдены потенциальные бактерии для улучшения внешнего вида кожи

Комментарии (2)

14.07.2017 15:13:59 Анна Олеговна

Здравствуйте! Спасибо за информативную статью! Возник вопрос: Роскомнадзор обязательно уведомлять о сборе данных?
Спасибо.

25.07.2017 10:00:04 Алина Чимбирева

Добрый день, Анна. Несмотря на возможность при буквальном прочтении ФЗ-152 (п.2 ч.2 ст.22) трактовать обработку персональных данных (далее - ПД) медицинской организацией как направленную исключительно на исполнение договора об оказании платных медицинских услуг, все не так однозначно и доказать упомянутую выше "исключительную направленность.." достаточно проблематично. В связи с этим рациональнее придерживаться точки зрения, согласно которой на медицинскую организацию, как на оператора ПД, возложена обязанность направления уведомления в Роскомнадзор. Более того, от факта (не)направления не зависит характеристика организации как оператора ПД. Подробнее - см. ответ на аналогичный вопрос.

Войти по логину портала 1nep.ru или с помощью
img img