Вопросам защиты персональных данных в последнее время уделяется повышенное внимание, требования к работе с ними постоянно конкретизируются и расширяются, а санкции за нарушения ужесточаются. Какие меры нужно предпринять аптечной организации, чтобы не вступить в конфликт с законодательством?

Сфера применения

Персональными данными в соответствии с законом «О персональных данных» № 152-ФЗ (далее – Закон) является любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу. 

В примерный перечень наиболее часто используемых персональных данных входят:

• фамилия, имя, отчество

• возраст, дата, место рождения

• данные документа, удостоверяющего личность, других личных документов

• адрес места жительства, регистрации

• сведения о семейном положении

• номер контактного телефона, информация о других средствах связи

• фото гражданина и т.д.

В настоящее время перечень сведений, которые можно отнести к персональным данным, постоянно расширяется.

Посетители оставляют свои данные аптеке, делая заказы в Интернете, подписываясь на объявления об акциях, оформляя скидочные и бонусные карты, участвуя в опросах, анкетировании, конкурсах и т.д. Персональные данные также содержатся в рецептах, в том числе в тех, которые аптеки обязаны хранить после обслуживания.

Теперь вы оператор

Собирая, записывая, систематизируя, накапливая, храня, уточняя, используя, передавая персональные данные, аптека осуществляет их обработку и таким образом становится оператором персональных данных (п. 2 ст. 3 Закона). Их обработка должна проводиться в строгом соответствии с законодательством и только в том объеме и в такие сроки, какие необходимы для достижения заранее определенных целей. Объединение баз данных возможно только в случае, если они собирались для аналогичных целей. Также в обязанности оператора входит обеспечение точности и актуальности персональных данных. Однако главное требование, невыполнение которого чаще всего приводит к неблагоприятным последствиям в виде судебных исков, – это необходимость получения согласия гражданина (субъекта персональных данных). Такое согласие может быть дано в любой форме, позволяющей подтвердить факт его получения, если иное не установлено федеральным законом (п. 1 ст. 9 Закона). Например, для онлайн-магазина или сайта аптеки на настоящий момент вполне достаточно «галочки», свидетельствующей о согласии на обработку данных под формой для их сбора. Его также может дать законный представитель либо представитель клиента по доверенности.

Обратная связь

Если сведения получены не напрямую, а от других операторов, до начала их обработки необходимо предоставить субъектам персональных данных следующую информацию:

• наименование оператора, его адрес

• цель обработки персональных данных и ее законное основание

• предполагаемые пользователи данных (работники оператора, государственные органы, иное)

• права субъекта персональных данных (в соответствии с главой 3 Закона)

• источник их получения.

Форма и порядок такого уведомления не предусмотрены, однако информировать гражданина необходимо так, чтобы это можно было впоследствии подтвердить. Таким образом, наиболее надежным решением будет уведомление клиента под подпись либо отправка ему уведомления с письмом о вручении или с описью вложения. 

Законодательством предусмотрены случаи, в которых обработка персональных данных может выполняться без согласия гражданина. Это можно делать:

• для достижения целей, предусмотренных законодательством

• для защиты жизни и здоровья гражданина, если получение его согласия невозможно

• для исполнения договора, стороной, выгодоприобретателем или поручителем по которому является клиент, и др.

Форма и правила направления отзыва согласия на обработку персональных данных также не оговариваются законом. В связи с этим рекомендуется реагировать на все поступающие сообщения такого рода.

Организация процесса

При подготовке к работе с персональными данными рекомендуется использовать следующий порядок действий:

• назначить приказом лицо, ответственное за организацию обработки персональных данных

• издать локальные акты, определяющие политику организации в данной сфере и ознакомить с ними работников

• разработать меры по обеспечению безопасности персональных данных (правовые, организационные, технические)

• направить уведомление о намерении осуществлять обработку персональных данных в Роскомнадзор

• провести учет машинных носителей персональных данных

• обеспечить регистрацию и учет действий, совершаемых с персональными данными.

Необходимо учесть, что согласно закону № 152-ФЗ (ч. 2 ст. 18. 1) оператор обязан предоставить клиентам неограниченный доступ к внутреннему документу о защите персональных данных. На практике такое положение обычно публикуется на сайте организации либо на ее стенде, доступном для покупателей. Если сбор данных осуществляется в Интернете, документ должен быть опубликован в открытом доступе именно в Сети.

В случае нарушений

Преступивший закон оператор персональных данных, в зависимости от обстоятельств, может быть привлечен к:

• гражданско-правовой (ст. 152 ГК РФ «Защита чести, достоинства и деловой репутации»),

• административной (ст. 13.11 КоАП РФ «Нарушение законодательства РФ в сфере персональных данных»),

• уголовной ответственности (ст. 137 УК РФ «Нарушение неприкосновенности частной жизни»).

NB! С 01.09.2015 оператор обязан обеспечить обработку персональных данных российских граждан в базах данных, находящихся на территории Российской Федерации. Таким образом, серверы с информацией о клиентах должны фактически находиться на территории нашей страны. В зависимости от специфики деятельности оператора стоит учитывать те или иные требования подзаконных нормативных актов. Так, постановление правительства РФ от 01.11.2012 № 1119 устанавливает требования к уровню защищенности персональных данных при обработке в информационной системе, если оператор обрабатывает биометрические или иные специальные категории персональных данных более чем 100 тыс. субъектов, не являющихся сотрудниками оператора. Базы данных клиентов аптеки представляют также коммерческую ценность. Работа с такой информацией регулируется федеральным законом «О коммерческой тайне» от 29.07.2004 № 98-ФЗ.

Возможные санкции – выплата компенсации морального вреда, штраф за нарушения правил обработки персональных данных в размере до 75 тыс. руб. Для уголовных правонарушений предусмотрены более суровые наказания – вплоть до тюремного заключения сроком до 5 лет.

Роскомнадзор на связи

Оператор персональных данных обязан проинформировать о своей деятельности территориальное управление Роскомнадзора. Порядок уведомления регулируется административным регламентом по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных» (утвержден приказом Минкомсвязи России от 21.12.2011 № 346 (далее – Регламент). Уведомление должно быть составлено по форме, приведенной в Приложении № 2 к Регламенту.Подача уведомления является бесплатной (п. 30 Регламента). Оно направляется на бумажном носителе или в электронной форме (ч. 3 ст. 22 Закона). Во втором случае документ должен быть заверен электронной цифровой подписью (п. 43 Регламента). На практике чаще всего сотрудники Роскомнадзора просят заполнить уведомление на официальном сайте по адресу: https://pd.rkn.gov.ru/operators-registry/notification/, распечатать его на бланке организации и направить почтой, поставив на нем подпись и печать оператора. 

Возможные конфликтные ситуации

В ч. 2 ст. 22 закона «О персональных данных» перечислены случаи, когда уведомление в Роскомнадзор можно не направлять. Такой необходимости нет, когда персональные данные:

• получены в связи с заключением договора, не распространяются третьим лицам и используются исключительно для исполнения договора (имеется в виду обработка тех или иных данных клиентов при приеме заказов, онлайн-расчетах и т.д., если полученная информация никак в дальнейшем не используется)

• сделаны их субъектом общедоступными (справочники, адресные книги и т.д.)

• включают в себя только фамилии, имена и отчества субъектов данных

• обрабатываются без использования средств автоматизации (например, компьютеров).

Стоит иметь в виду, что должностные лица Роскомнадзора нередко предъявляют избыточные требования к операторам персональных данных, настаивая на необходимости уведомления вопреки требованиям законодательства. Известны случаи, когда компаниям удавалось отстоять свою правоту в суде (см., например, постановление Четвертого арбитражного апелляционного суда от 07.02.2018 № 04АП-127/2018 по делу № А19-17054/2017). 

Юлия Жижерина

Журнал "Российские аптеки" №10, 2018