1. Клиент
Медицинское учреждение, оказывающее услуги в Москве более 10 лет.Представлена основным сайтом и двумя лендинговыми страницами (маркетинговые каналы привлечения пациентов).
2. Исходная ситуация
В связи с изменениями в регулировании обработки персональных данных (ПД) и усилением контроля со стороны Роскомнадзора (РКН) возникла необходимость:
- привести локальные нормативные акты и формы согласий в соответствие с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
- учесть требования отраслевого законодательства в сфере здравоохранения;
- обеспечить корректную регистрацию/уведомление в Роскомнадзоре в качестве оператора ПД (без надлежащего уведомления правомерная обработка ПД сопряжена с высоким риском привлечения к ответственности).
3. Риски несоблюдения законодательства
Нарушения в области ПД могут привести к административной ответственности по ст. 13.11 КоАП РФ «Нарушение законодательства Российской Федерации в области персональных данных». Размеры штрафов (в зависимости от состава правонарушения) достигают:
- граждане: от 10 000 до 15 000 руб.;
- должностные лица: от 50 000 до 100 000 руб.;
- юридические лица: от 150 000 до 300 000 руб.
Отдельно:
Часть 11 ст. 13.11 КоАП РФ — невыполнение или несвоевременное выполнение оператором обязанности уведомить уполномоченный орган (РКН) при выявлении факта неправомерной или случайной передачи (доступа) ПД, повлекшей нарушение прав субъекта ПД — влечёт повышенные штрафы:
- граждане: 50 000 – 100 000 руб.;
- должностные лица: 400 000 – 800 000 руб.;
- юридические лица: 1 000 000 – 3 000 000 руб.
4. Цель проекта
Минимизировать регуляторные и правовые риски, обеспечить правомерную и документально подтвержденную обработку персональных данных пациентов, сотрудников и соискателей медицинской организации; подготовить пакет документов для уведомления (регистрации) в РКН как оператора ПД.
5. Выполненные работы
Подготовлены и/или обновлены локальные акты и формы:
- Политика медицинского учреждения в отношении обработки персональных данных.
- Политика конфиденциальности персональных данных медицинского учреждения.
- Согласие соискателя на обработку персональных данных.
- Согласие работника на обработку персональных данных.
- Согласие на обработку персональных данных (пациенты).
- Положение об обработке и защите персональных данных работников медицинского учреждения.
- Согласие на обработку персональных данных, разрешённых субъектом для распространения.
- Обязательство о неразглашении персональных данных (для сотрудников и привлекаемых лиц).
- Внесены положения о защите ПД в Договор об оказании платных медицинских услуг.
- Подготовлено Информированное добровольное согласие с общим планом обследования и лечения (с увязкой с ПД).
Регуляторное взаимодействие:
- Подготовлено и подано заявление в Роскомнадзор о включении компании в реестр операторов, осуществляющих обработку персональных данных.
Правовой анализ:
Разработано правовое заключение, включающее:
- анализ фактических процессов обработки ПД в компании (пациенты, персонал, соискатели; сайт + лендинги);
- рекомендации по минимизации рисков нарушений законодательства о ПД;
- предложения по организации мероприятий оценки рисков и потенциального вреда субъектам ПД;
- общие выводы по усилению физической защиты данных и улучшению регламента взаимодействия с субъектами ПД (запросы, уточнения, отказы, инциденты).
6. Результат
- Компания уведомлена / включена в реестр операторов ПД Роскомнадзора (процедура инициирована и сопровождена).
- Сформирован полный пакет актуальных локальных правовых и организационных документов для медицинской организации с учётом требований 152-ФЗ и медицинского регулирования.
- Процессы обработки ПД приведены в документированную систему: формы согласий, внутренние положения, регламенты реагирования на инциденты, обновлённые договорные блоки с пациентами.
- Подготовлена правовая база для дальнейшего комплаенса при проверках РКН и иных органов.
Вывод / рекомендации
ООО «Патрикеев и партнёры» успешно реализовало комплексный проект по правовой адаптации процессов обработки персональных данных в медицинской организации. Работа включала аудит, документирование, регуляторное взаимодействие и выработку практических мер снижения рисков. Клиент получил не только документы «для папки», но и работающий правовой каркас, который можно предъявить при проверке и использовать в ежедневной деятельности.
Что сделано (кратко):
- Внесены сведения в реестр операторов ПД (Роскомнадзор) / подготовлено уведомление.
- Подготовлен пакет локальных актов, согласий и договорных форм.
- Обновлён договор на мед. услуги с учётом требований защиты ПД.
- Разработаны рекомендации по безопасности, хранению и реагированию на инциденты.
Что рекомендовано клиенту продолжать делать:
1.Уведомлять Роскомнадзор о:
- изменении сведений, указанных в уведомлении оператора ПД;
- инцидентах утечки или неправомерного доступа к ПД (в сроки, предусмотренные ст. 21 Закона № 152-ФЗ и ч. 11 ст. 13.11 КоАП РФ — во избежание крупных штрафов).
2.Контролировать третьих лиц, которые получают ПД (ИТ-подрядчики, хостинг, лаборатории, страховые, CRM-провайдеры):
- заключить договоры обработки ПД (поручения) с требованиями к безопасности;
- проверять наличие у них мер защиты (ст. 6, 19 Закона № 152-ФЗ).
3.Регулярно актуализировать локальные акты при изменении услуг, каналов сбора данных (новые лендинги, формы записи, телемедицина).
4.Обучать персонал, особенно администраторов, врачей, маркетинг и ИТ: что можно собирать, как хранить, куда передавать.
5.Вести учёт согласий и их отзывов: фиксировать правовые основания обработки, когда согласие не требуется (медицинская деятельность, исполнение договора, обязательность по закону).
6.Проводить периодические внутренние проверки: полнота пакета документов, журнал инцидентов, сроки хранения мед. документации, корректность обезличивания.
4.Обучать персонал, особенно администраторов, врачей, маркетинг и ИТ: что можно собирать, как хранить, куда передавать.
5.Вести учёт согласий и их отзывов: фиксировать правовые основания обработки, когда согласие не требуется (медицинская деятельность, исполнение договора, обязательность по закону).
6.Проводить периодические внутренние проверки: полнота пакета документов, журнал инцидентов, сроки хранения мед. документации, корректность обезличивания.
Ключевые нормы права (для быстрой ориентации клиента):
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» — общие требования к сбору, хранению, передаче, защите ПД; уведомление РКН; права субъектов.
- Ст. 19 Закона № 152-ФЗ — требования к обеспечению безопасности ПД при их обработке.
- Ст. 21 Закона № 152-ФЗ — уведомление уполномоченного органа (РКН), в т.ч. об инцидентах.
- Ст. 13.11 КоАП РФ — административная ответственность за нарушения в области ПД; повышенные штрафы за не уведомление о нарушении безопасности ПД (ч. 11).
- Профильное медицинское законодательство (в части обязательного ведения медицинской документации и хранения данных пациентов).