Первая распространенная ошибка – это неправильное оформление согласия на обработку персональных данных.
Когда согласие не является необходимым: Зачастую, просьба о подписании согласия на обработку данных каждый раз, становится излишней. Закон о персональных данных, в своей статье 6, разрешает обработку данных без письменного согласия, если это необходимо для целей, предусмотренных законом, выполнения законных полномочий и обязанностей, или исполнения договоров. Письменное согласие является лишь одним из оснований для обработки данных и не является единственным.
Рассмотрим ситуацию, когда частная клиника обязана заключить договор о предоставлении платных медицинских услуг перед началом лечения. В данном случае, согласие не требуется, так как обработка данных необходима для исполнения договора. Касательно информации о состоянии здоровья пациента, их обработка также является законной, так как осуществляется в целях установления диагноза и предоставления медицинских услуг (п. 4 ч. 2 ст. 10 Закона о персональных данных).
В договоре на предоставление платных медицинских услуг нет необходимости прописывать согласие на обработку персональных данных.
Когда согласие необходимо. Например, медицинской организации необходимы Ф.И.О., телефоны и адреса электронной почты пациентов для рекламной рассылки. Договор заключен для предоставления медицинских услуг, а не для рассылки рекламы. Поэтому для этого потребуется письменное согласие пациентов на обработку персональных данных и согласие на рекламную рассылку.
Найти медицинскую организацию, где согласие оформлено правильно, практически невозможно. В большинстве случаев, это лишь шаблон из интернета. Шаблонное согласие обычно включает избыточный перечень персональных данных, в нем отсутствует четкая цель обработки данных, перечислены несколько целей, состав данных не соответствует цели обработки, не указано время обработки, а также имеются другие десятки ошибок. К тому же пациентам и сотрудникам предлагают подписывать одно и то же согласие. Конечно же, такой подход недопустим, поскольку одни приходят в клинику для лечения, а другие – для работы. То есть объем и цель обработки персональных данных различны. В итоге клиника допускает сразу две ошибки: необоснованное оформление согласия и его некорректность.
Необходимо уделить особое внимание содержанию согласия, поскольку это один из самых важных документов для операторов. За отсутствие необходимого согласия или некорректное его содержание может грозить штраф от 30 тыс. до 150 тыс. рублей.
Вторая распространенная ошибка – это передача персональных данных третьим лицам без согласия субъекта. В некоторых медицинских организациях ошибочно полагают, что достаточно получить от пациента согласие на обработку его персональных данных, а затем передавать эти данные другим организациям, таким как лаборатории или зубные техники. Однако, это неверно.
Согласно законодательству о персональных данных (статьи 5, 6, 7 и 10.1), оператор не имеет права раскрывать персональные данные третьим лицам и передавать их без согласия субъекта. Для каждой передачи данных третьему лицу требуется отдельное согласие, которое может быть включено в общее согласие, если таковое оформляется. В этом согласии должны быть указаны перечень передаваемых данных, цель их передачи, получатель данных и другие обязательные сведения. Важно отметить, что недостаточно указать, что "данные передаются лаборатории" – необходимо указать конкретное наименование организации. Перед тем, как передавать персональные данные третьим лицам, необходимо включить в соответствующие договоры положения, касающиеся соблюдения режима конфиденциальности и разграничения зон ответственности.
Не соблюдение данного требования может повлечь за собой штраф в размере от 30 000 до 150 000 рублей (в соответствии с частью 2 статьи 13.11 КоАП).
Третья распространенная ошибка – это отсутствие политики обработки персональных данных. Далеко не все медицинские организации публикуют политику обработки персональных данных на своих сайтах, хотя это является обязательным требованием (ч. 2 ст. 18.1 Закона о персональных данных). Иногда политика неправильно заменяется согласием на обработку данных. Также нарушением будет формальная политика, которая не учитывает реальный процесс обработки данных и не содержит четкого разграничения целей обработки, а также перечня обрабатываемых данных, сроков обработки и прочего.
В случае отсутствия политики обработки персональных данных предусмотрен штраф в размере от 30 тыс. до 60 тыс. рублей (ч. 3 ст. 13.11 КоАП РФ).
Четвертая распространенная ошибка – это хранение персональных данных за границей. Согласно закону о персональных данных, базы данных с персональными данными должны располагаться на территории Российской Федерации. Однако, многие медицинские учреждения не осознают, что их базы данных находятся за пределами России, особенно при использовании иностранных облачных хранилищ и сервисов, таких как гугл-формы. Чтобы избежать административной ответственности, необходимо иметь документальное подтверждение размещения базы персональных данных на территории РФ. Рекомендуется избегать работы с иностранными сервисами и облачными хранилищами, чтобы избежать штрафов до 6 млн. рублей, а при рецидиве - до 18 млн. рублей.
Важно понимать, что обработка персональных данных - это серьезная ответственность, особенно для медицинских организаций. Соблюдение требований закона о персональных данных и принятие соответствующих мер поможет избежать неприятностей и защитить интересы как медицинских организаций, так и ее пациентов.
