Обработка и защита персональных данных.

Защита персональных данных на сегодняшний день является актуальным вопросом не только для работодателя и работника, но и для любой сферы, где собираются и обрабатываются личные данные.

Понятие персональные данные содержится в ст. 3  ФЗ РФ № 152-ФЗ от 27 июля 2006 года.

Персональные данные (ПД) – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Иными словами, это любая информация, которая хоть как-то относится к определенному лицу.

Состав персональных данных определяют операторы персональных данных в зависимости от целей их обработки.

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Юридическое лицо становится оператором персональных данных с момента создания. Так как уже начинает обрабатывать анкеты соискателей, а приняв на работу сотрудника  — обрабатывает его персональные данные, заключая договор гражданско-правового характера – обрабатывает ПД контрагента и т.д.

Под физическими лицами, осуществляющими обработку ПД в рамках ФЗ № 152, понимаются граждане, осуществляющие индивидуальную предпринимательскую деятельность.

Таким образом, любое лицо, начав даже простую систематизацию или накопление персональных данных, становится оператором ПД.

Ошибочно считать, что вы будете являться оператором ПД только лишь с момента подачи уведомления в Роскомнадзор.

Оператором становятся независимо от включения  в реестр операторов, осуществляющих обработку ПД, который ведет Роскомнадзор и, следовательно, на вас распространяются требования ФЗ № 152 с момента начала обработки ПД.

 Обработка персональных данных —  любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Таким образом, любое действие с персональными данными считается их обработкой.

Медицинская организация становится оператором ПД своих сотрудников и пациентов.

Кроме требований ФЗ № 152 к порядку обработки персональных данных дополнительно применяется обязанность сохранения врачебной тайны (ст. 73 ФЗ РФ № 323-ФЗ «Об основах охраны здоровья граждан в РФ»).

Заключая договор на оказание медицинских услуг, или заполняя медицинскую карту, медицинская организация получает персональные данные пациента.

Федеральный закон № 152 содержит требование об обработке персональных данных с согласия субъекта ПД (п.1 ч.1 ст. 6)

Персональные данные о состоянии здоровья относятся к специальной категории ПД, обработка которых не допускается, за рядом исключений — ч.2 ст. 10 ФЗ № 152. Для медицинской организации имеют два значения:

— субъект персональных данных дал согласие в письменной форме на обработку своих ПД.

-обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну.

Требования к согласию субъекта ПД изложены в ч.4 ст. 9 ФЗ № 152.

Однако, при отказе пациента от подписания согласия на обработку ПД, медицинская организация не вправе отказать в заключении договора оказания медицинских услуг.

За отказ – привлечение к административной ответственности по ч.1 ст.14.4 КоАП РФ.

Напоминаем, что ФЗ № 323 «Об основах охраны здоровья граждан в РФ» обязывает медицинскую организацию иметь свой сайт. 

Согласно ч.2 ст. 18.1. ФЗ № 152 оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите ПД. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

Не выполнение данной обязанности влечет привлечение к административной ответственности по ст. 13.11 КоАП РФ.

Ст. 18.1 ФЗ № 152 обязывает оператора ПД к принятию мер, направленных на обеспечение своих обязанностей, в том числе разработка и издание документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки ПД и ряда других локальных актов.  

Отсутствие указанных актов влечет привлечение к административной ответственности.

Статья 22 ФЗ № 152 обязывает оператора до начала обработки ПД уведомить Роскомнадзор о своем намерении осуществлять обработку ПД, за рядом исключений.

Однако следует отметить, что медицинская организация производит обработку ПД своих сотрудников, пациентов, контрагентов, в том числе с использованием средств автоматизации,  поэтому подпадает под действие указанного закона и обязана подать уведомление.  

Если у вас еще остались какие-либо вопросы, смело обращайтесь к нам. Мы можем провести юридический аудит вашей документации, касающейся обработки персональных данных, по результатам которого, вам станет известно, в какой части она не соответствует действующему законодательству. А в случае отсутствия, поможем разработать полный пакет документов.

 

 

 

 

 

START TYPING AND PRESS ENTER TO SEARCH