Медицинская организация является оператором персональных данных (далее - ПД), соответственно, несет определенные обязанности. Существует точка зрения, согласно которой деятельность медицинской организации по обработке ПД направлена исключительно на исполнение договора (об оказании платных медицинских услуг) и подпадает под исключение, предусмотренное п.2 ч.2 ст. 22 ФЗ-152. В соответствии с указанным положением допускается обработка ПД без уведомления Роскомнадзора (далее -РКН). Однако, имеются основания полагать, что при проверке РКН будет придерживаться иной точки зрения и не сочтет обработку ПД клиникой как имеющую исключительную направленность на исполнение договора. Доказать обратное будет проблематично.
В связи со сказанным рекомендуем направить уведомление о начале обработки ПД в РКН. Более того, факт признания организации оператором ПД не зависит от направления уведомления и наличия/отсутствия организации в реестре операторов ПД.
Подробнее о ПД, а также о форме уведомления и порядке ее направления - см. статью «Персональные данные пациента косметологической клиники: правила обработки».