В России с 30.05.25 вступают в силу новые требования к обработке персональных данных. Главные изменения касаются локализации баз данных, работы с cookie и ответственности за утечки.
Каким образом это относится к медицинским центрам? Самым прямым.
Разбираемся, что делать, чтобы избежать проблем с Роскомнадзором и не получить штрафы.
Начнем с того, что компания, которая обрабатывает ПД, (а медцентры самым непосредственным образом этим занимаются), обязана быть зарегистрирована в Роскомнадзоре в качестве оператора обработки этих самых ПД. Будем откровенны, что соблюдают эти требования единицы, надеясь на старый добрый «авось», хотя штрафы за нерегистрацию тоже есть.
Но законодательство на месте не стоит и ожесточается, а вслед за ним и штрафы. Теперь, например, несообщение об утечке может обойтись в миллионы рублей, а за повторные нарушения введут оборотные штрафы, которые будут зависеть от выручки компании.
Так что читаем и берем на заметку.
Локализация баз данных
Теперь операторы данных обязаны собирать, хранить и обрабатывать информацию исключительно на территории РФ. С этим у подавляющего большинства все норм. МИС и CRM, которыми пользуются медцентры, хранят данные, как правила, в РФ.
Ранее закон требовал проводить в России только первичную обработку данных, допуская их последующую передачу на зарубежные серверы. Теперь такая практика станет недопустимой. Вся инфраструктура для сбора, хранения и обработки должна размещаться в РФ.
Это все говорит нам о том, что хранить, собирать, обрабатывать ПД на иностранных ресурсах мы не можем. Например, в облачных хранилищах, Google Forms, Google Analytics.
Отслеживать исполнение закона Роскомнадзор будет через автоматизированную систему «Ревизор». Она отслеживает местоположение серверов и анализирует трафик.
Cookie от скуки
Хотя в законе нет прямого упоминания cookie, Роскомнадзор трактует их использование как сбор персональных данных.
1. Сайты, как и раньше, должны запрашивать разрешение на сбор cookie с помощью баннеров, появляющихся при первом посещении.
2. Пользователи должны иметь возможность выбрать, какие данные они готовы предоставить — аналитические, рекламные, технические.
3. Должна быть возможность полностью отказаться от сбора cookie — кроме технически необходимых.
4. Если cookie содержат идентифицирующие данные, они должны обрабатываться на территории РФ.
Ответственность за утечку персональных данных.
Административная ответственность за утечки ужесточается. Изменения касаются ст. 13.11 КоАП РФ. В кодексе появились новые взыскания и принципы их расчета.
В каких случаях наступает ответственность:
• несообщение в Роскомнадзор об утечке;
• неправомерная передача информации третьим лицам без согласия субъекта;
• халатность оператора, которая привела к утечке;
• отсутствие мер по защите персональных данных — если компания не соблюдала нормы информационной безопасности.
У управленцев медцентров и так забот хватает, а еще тут какие-то ПД. Понимаю, но жареный петух все же существует, поэтому поручите специально обученным в компании людям, сверится: все ли у вас соответствует!