testvova

Журнал для профессионалов
аптечного бизнеса

Информация только для медицинских и фармацевтических специалистов


Персональные данные: как избежать штрафов?





Вопросам защиты персональных данных в последнее время уделяется повышенное внимание, требования к работе с ними постоянно конкретизируются и расширяются, а санкции за нарушения ужесточаются. Какие меры нужно предпринять аптечной организации, чтобы не вступить в конфликт с законодательством?





Сфера применения

Персональными данными в соответствии с законом «О персональных данных» № 152-ФЗ (далее – Закон) является любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу. 


В примерный перечень наиболее часто используемых персональных данных входят:


  • фамилия, имя, отчество

  • возраст, дата, место рождения

  • данные документа, удостоверяющего личность, других личных документов

  • адрес места жительства, регистрации

  • сведения о семейном положении

  • номер контактного телефона, информация о других средствах связи

  • фото гражданина и т.д.


В настоящее время перечень сведений, которые можно отнести к персональным данным, постоянно расширяется.

Посетители оставляют свои данные аптеке, делая заказы в Интернете, подписываясь на объявления об акциях, оформляя скидочные и бонусные карты, участвуя в опросах, анкетировании, конкурсах и т.д. Персональные данные также содержатся в рецептах, в том числе в тех, которые аптеки обязаны хранить после обслуживания.
Теперь вы оператор

Собирая, записывая, систематизируя, накапливая, храня, уточняя, используя, передавая персональные данные, аптека осуществляет их обработку и таким образом становится оператором персональных данных (п. 2 ст. 3 Закона). Их обработка должна проводиться в строгом соответствии с законодательством и только в том объеме и в такие сроки, какие необходимы для достижения заранее определенных целей. Объединение баз данных возможно только в случае, если они собирались для аналогичных целей. Также в обязанности оператора входит обеспечение точности и актуальности персональных данных. Однако главное требование, невыполнение которого чаще всего приводит к неблагоприятным последствиям в виде судебных исков, – это необходимость получения согласия гражданина (субъекта персональных данных). Такое согласие может быть дано в любой форме, позволяющей подтвердить факт его получения, если иное не установлено федеральным законом (п. 1 ст. 9 Закона). Например, для онлайн-магазина или сайта аптеки на настоящий момент вполне достаточно «галочки», свидетельствующей о согласии на обработку данных под формой для их сбора. Его также может дать законный представитель либо представитель клиента по доверенности.

Обратная связь

Если сведения получены не напрямую, а от других операторов, до начала их обработки необходимо предоставить субъектам персональных данных следующую информацию:


  • наименование оператора, его адрес

  • цель обработки персональных данных и ее законное основание

  • предполагаемые пользователи данных (работники оператора, государственные органы, иное)

  • права субъекта персональных данных (в соответствии с главой 3 Закона)

  • источник их получения.


Форма и правила направления отзыва согласия на обработку персональных данных также не оговариваются законом. В связи с этим рекомендуется реагировать на все поступающие сообщения такого рода.


Форма и порядок такого уведомления не предусмотрены, однако информировать гражданина необходимо так, чтобы это можно было впоследствии подтвердить. Таким образом, наиболее надежным решением будет уведомление клиента под подпись либо отправка ему уведомления с письмом о вручении или с описью вложения. 


Законодательством предусмотрены случаи, в которых обработка персональных данных может выполняться без согласия гражданина. Это можно делать:


  • для достижения целей, предусмотренных законодательством

  • для защиты жизни и здоровья гражданина, если получение его согласия невозможно

  • для исполнения договора, стороной, выгодоприобретателем или поручителем по которому является клиент, и др.

Форма и правила направления отзыва согласия на обработку персональных данных также не оговариваются законом. В связи с этим рекомендуется реагировать на все поступающие сообщения такого рода.
Организация процесса

При подготовке к работе с персональными данными рекомендуется использовать следующий порядок действий:


  • назначить приказом лицо, ответственное за организацию обработки персональных данных

  • издать локальные акты, определяющие политику организации в данной сфере и ознакомить с ними работников

  • разработать меры по обеспечению безопасности персональных данных (правовые, организационные, технические)

  • направить уведомление о намерении осуществлять обработку персональных данных в Роскомнадзор

  • провести учет машинных носителей персональных данных

  • обеспечить регистрацию и учет действий, совершаемых с персональными данными.


Возможные санкции – выплата компенсации морального вреда, штраф за нарушения правил обработки персональных данных в размере до 75 тыс. руб. Для уголовных правонарушений предусмотрены более суровые наказания – вплоть до тюремного заключения сроком до 5 лет.


Необходимо учесть, что согласно закону № 152-ФЗ (ч. 2 ст. 18. 1) оператор обязан предоставить клиентам неограниченный доступ к внутреннему документу о защите персональных данных. На практике такое положение обычно публикуется на сайте организации либо на ее стенде, доступном для покупателей. Если сбор данных осуществляется в Интернете, документ должен быть опубликован в открытом доступе именно в Сети.

В случае нарушений

Преступивший закон оператор персональных данных, в зависимости от обстоятельств, может быть привлечен к:


  • гражданско-правовой (ст. 152 ГК РФ «Защита чести, достоинства и деловой репутации»),

  • административной (ст. 13.11 КоАП РФ «Нарушение законодательства РФ в сфере персональных данных»),

  • уголовной ответственности (ст. 137 УК РФ «Нарушение неприкосновенности частной жизни»).


NB! С 01.09.2015 оператор обязан обеспечить обработку персональных данных российских граждан в базах данных, находящихся на территории Российской Федерации. Таким образом, серверы с информацией о клиентах должны фактически находиться на территории нашей страны. В зависимости от специфики деятельности оператора стоит учитывать те или иные требования подзаконных нормативных актов. Так, постановление правительства РФ от 01.11.2012 № 1119 устанавливает требования к уровню защищенности персональных данных при обработке в информационной системе, если оператор обрабатывает биометрические или иные специальные категории персональных данных более чем 100 тыс. субъектов, не являющихся сотрудниками оператора. Базы данных клиентов аптеки представляют также коммерческую ценность. Работа с такой информацией регулируется федеральным законом «О коммерческой тайне» от 29.07.2004 № 98-ФЗ.

Возможные санкции – выплата компенсации морального вреда, штраф за нарушения правил обработки персональных данных в размере до 75 тыс. руб. Для уголовных правонарушений предусмотрены более суровые наказания – вплоть до тюремного заключения сроком до 5 лет.
Роскомнадзор на связи

Оператор персональных данных обязан проинформировать о своей деятельности территориальное управление Роскомнадзора. Порядок уведомления регулируется административным регламентом по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных» (утвержден приказом Минкомсвязи России от 21.12.2011 № 346 (далее– Регламент). Уведомление должно быть составлено по форме, приведенной в Приложении № 2 к Регламенту.Подача уведомления является бесплатной (п. 30 Регламента). Оно направляется на бумажном носителе или в электронной форме (ч. 3 ст. 22 Закона). Во втором случае документ должен быть заверен электронной цифровой подписью (п. 43 Регламента). На практике чаще всего сотрудники Роскомнадзора просят заполнить уведомление на официальном сайте по адресу: https://pd.rkn.gov.ru/operators-registry/notification/, распечатать его на бланке организации и направить почтой, поставив на нем подпись и печать оператора. 

Возможные конфликтные ситуации

В ч. 2 ст. 22 закона «О персональных данных» перечислены случаи, когда уведомление в Роскомнадзор можно не направлять. Такой необходимости нет, когда персональные данные:


  • получены в связи с заключением договора, не распространяются третьим лицам и используются исключительно для исполнения договора (имеется в виду обработка тех или иных данных клиентов при приеме заказов, онлайн-расчетах и т.д., если полученная информация никак в дальнейшем не используется)

  • сделаны их субъектом общедоступными (справочники, адресные книги и т.д.)

  • включают в себя только фамилии, имена и отчества субъектов данных

  • обрабатываются без использования средств автоматизации (например, компьютеров).


Стоит иметь в виду, что должностные лица Роскомнадзора нередко предъявляют избыточные требования к операторам персональных данных, настаивая на необходимости уведомления вопреки требованиям законодательства. Известны случаи, когда компаниям удавалось отстоять свою правоту в суде (см., например, постановление Четвертого арбитражного апелляционного суда от 07.02.2018 № 04АП-127/2018 по делу № А19-17054/2017). 


Юлия Жижерина

Журнал "Российские аптеки" №10, 2018
 

Вам могут понравиться другие статьи:

  • Зона вашей ответственности
    По закону
    Зона вашей ответственности

    Работа аптеки не относится к опасным видам деятельности, однако несчастные случаи на ее территории не исключены. 

    Подробнее
  • Приказ № 149н: что изменилось?
    По закону
    Приказ № 149н: что изменилось?

    Приказ Минздрава № 149н от 05.04.2018, вносящий ряд изменений в документы, регулирующие предметно-количественный учет лекарственных средств (ПКУ), вызвал многочисленные вопросы у медицинских и фармацевтических работников.

    Подробнее
  • Предъявите документы!
    По закону
    Предъявите документы!

    Как и любой работодатель, аптеки не застрахованы от трудовых споров. Их исход зачастую зависит от того, насколько грамотно был очерчен круг обязанностей работника, а также от скрупулезной фиксации допущенных им нарушений. 

    Подробнее
  • Лекарственный препарат, разрешенный ранее детям с 6 лет, теперь можно назначать только пациентам с 18 лет
    По закону
    Лекарственный препарат, разрешенный ранее детям с 6 лет, теперь можно назначать только пациентам с 18 лет

    Подробнее
  • Нужно ли аптеке составлять акты на уничтожение рецептов, срок хранения которых истек?
    По закону
    Нужно ли аптеке составлять акты на уничтожение рецептов, срок хранения которых истек?

    Подробнее

 
Если вы фармацевт, провизор, первостольник, специалист здравоохранения или медицинский работник наш журнал «Российские аптеки» для вас.
long distance moving адвокат по уголовным деламдетский фотограф