Часть 2. МИФЫ И РЕАЛЬНОСТЬ
В первой части статьи мы уже рассмотрели самую «дорогую» ошибку, которую может допустить медицинская организация при работе с персональными данными своих пациентов и сотрудников.
Теперь рассмотрим, какие еще очевидные и не совсем очевидные ошибки могут привести клинику к серьезным штрафам от Роскомнадзора.
Обработка персональных данных без уведомления Роскомнадзора и включения в официальный Реестр операторов.
Проверить наличие медицинской клиники, как и любой другой организации или индивидуального предпринимателя, в официальном реестре операторов персональных данных можно на портале персональных данных Роскомнадзора.
Однако, несмотря на наличие открытых данных по операторам и на то, что сейчас практически из каждого утюга вещают о сильно возросших штрафах за несоблюдение требований законодательства о персональных данных, многие частные медицинские организации, к сожалению, по-прежнему не подают официальные уведомления в Роскомнадзор и не включаются в Реестр операторов.
Почему же они так делают?
На самом деле причины у каждого свои. Но самая частая причина – это заблуждения бизнеса.
В своей практике мы столкнулись с одним очень распространенным в среде предпринимателей и руководителей мнением, которое можно в двух словах описать как «не буди лихо пока тихо». То есть они уверены, что пока организация сама не заявила о себе в Роскомнадзор как об операторе персональных данных посредством подачи официального уведомления (напомним, что такая обязанность прямо закреплена в ст.22 Федерального закона №151-ФЗ «О персональных данных»), Роскомнадзор просто не будет обращать на нее внимание и соответственно не будет включать ее в план проверок. Но это довольно опасное заблуждение. И вот почему.
Важно понимать, что Роскомнадзор не ограничивается только проверками в соответствии с планом. Большинство проводимых проверок – внеплановые и связаны они с поступившими жалобами от граждан. Чаще всего с жалобами обращаются клиенты или даже конкуренты, которые в том числе могут использовать в своих целях вот такие, формально основанные на законе, способы борьбы с Вашим бизнесом.
Получив жалобу на организацию и не обнаружив ее в официальном реестре операторов, Роскомнадзор уже не станет ограничиваться небольшим штрафом до 5 000 рублей за сам факт неподачи уведомления и формальной документарной проверкой жалобы (то есть в формате запрос-ответ с предоставлением документов), а приедет к Вам с выездной проверкой, причем проверять будет гораздо дольше и тщательнее. Ведь контролерам совершенно очевидно, что если организация не удосужилась исполнить элементарное обязательное требование закона об уведомлении Роскомнадзора о начале обработки персональных данных, то говорить о наличии в такой организации выстроенной системы защиты персональных данных точно не приходится. Подумайте хорошо, насколько Вам нужна еще одна глубокая проверка бизнеса, которая явно внесет сложности в бесперебойную работу организации и точно повлечет совсем не маленький совокупный штраф за все выявленные нарушения.
Второе заблуждение, с которым мы столкнулись в своей практике, - это самоуспокоение примерно с такой аргументацией: «Мы же обрабатываем персональные данные своих сотрудников в соответствии с трудовым законодательством, а данные пациентов обрабатываем в связи с заключением с ними договоров на оказание услуг, поэтому в соответствии с частью 2 статьи 22 Федерального закона «О персональных данных» мы имеем право не подавать уведомление в Роскомнадзор».
Согласитесь, что такая аргументация со ссылками на закон, явно приведенная юристом или после консультации с юристом, звучит довольно убедительно. Но это только на первый взгляд.
Если копнуть чуть глубже, то окажется, что подавляющее большинство медицинских организаций кроме персональных данных своих сотрудников, хранит и обрабатывает данные их родственников, а еще кандидатов на вакантные должности. А клиенты частных медицинских центров регулярно получают не только медицинские услуги, но и СМС - рассылки или сообщения в Whatsap, Viber, по электронной почте с предложениями об акциях и скидках. Также очень многие благополучно забывают о персональных данных пользователей, которые те оставляют в форме обратной связи на официальном сайте клиники.
Такое нарушение уже будет квалифицировано как обработка персональных данных без согласия в письменной форме субъекта персональных данных и повлечет штраф до 75 000 рублей.
Поэтому мы рекомендуем не заниматься подобным самоуспокоением, а подготовить и подать в Роскомнадзор уведомление. Это можно сделать в электронном виде на официальном портале персональных данных с последующей досылкой оригинала уведомления в адрес территориального органа Роскомнадзора в Вашем регионе.
В следующей статье мы разберем самые распространенные ошибки, которые допускают медицинские организации на своих официальных сайтах.
Подписывайтесь и следите за обновлениями!
Другие наши статьи и аналитику можно также почитать на сайте.
