Юрист по трудовому праву и работе с персональными данными, кадровый аудитор, основатель Центра бизнес-образования и консалтинга «ТРУДСИТИ», к.ю.н.

27 июля 2023

Обратите внимание на дату публикации материала: информация могла устареть из-за изменений в законодательстве или правоприменительной практике.

Ошибки клиник при работе с персональными данными

Неправильная обработка данных пациентов может обернуться миллионными штрафами

Клиники тоже операторы

Все медицинские организации являются операторами персональных данных по смыслу Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных).

Законодательство налагает на операторов огромное количество обязанностей, которых с каждым годом становится только больше, как и санкций за их нарушение. Например, за несоблюдение требований к обработке и защите персональных данных могут назначить миллионный штраф по ст. 13.11 КоАП РФ.

Чтобы не пришлось платить штрафы, прежде всего не допускайте четыре распространенные ошибки.

Ошибка № 1. Неправильное оформление согласия на обработку персональных данных

Когда согласие не нужно. Каждый раз просить пациента подписать согласие на обработку данных – лишнее действие. Статья 6 Закона о персональных данных разрешает обрабатывать данные без письменного согласия, если их обработка необходима для достижения предусмотренных законами целей, осуществления законных полномочий и обязанностей или исполнения договоров. Наличие письменного согласия – лишь одно из правовых оснований для обработки данных, оно не является единственным.

Допустим, частная клиника обязана заключить с пациентом договор об оказании платных медицинских услуг до начала лечения. Вот вам и основание не брать согласие: обработка данных необходима для исполнения договора (п. 5 ч. 1 ст. 6 Закона о персональных данных). Что касается сведений о состоянии здоровья пациента (на эту категорию персональных данных распространяются специальные требования), то их обработка тоже законна в таком случае, поскольку осуществляется в целях установления диагноза и оказания медицинских услуг (п. 4 ч. 2 ст. 10 Закона о персональных данных)¹.

В договоре об оказании платных медуслуг не нужно прописывать, что пациент дает согласие на обработку персональных данных².

Когда согласие нужно. Заключение договора – не повод запрашивать у пациента «автобиографию»: где родился, на ком женился и т.д. Обрабатываемые персональные данные не могут быть избыточными по отношению к цели договора, они должны ей полностью соответствовать.

Например, клиника хочет делать рекламную рассылку. Для этого ей нужны Ф.И.О., телефоны и адреса электронной почты пациентов. Договор заключен для оказания медуслуг, а не для отправки рекламы. Поэтому придется взять у пациентов письменные согласия на обработку персональных данных, а также согласие на рекламную рассылку.

Найти медорганизацию, в которой правильно оформлено согласие, практически невозможно. Чаще это шаблон из Интернета, в который внесли только название клиники.

Как правило, в шаблонное согласие включают избыточный перечень персональных данных, там нет четкой цели их обработки или перечислены несколько целей, состав данных не соответствует цели обработки, не указан срок обработки и допущены еще десятки ошибок. Вишенка на торте – пациентам и работникам предлагают подписать одинаковое согласие. Конечно, так делать нельзя: одни приходят в клинику лечиться, другие – трудиться. То есть объем персональных данных и цель их обработки разные. В итоге клиника допускает сразу две ошибки: оформляет согласие, когда оно не нужно, да еще и некорректно это делает.

Содержанию согласия важно уделить внимание, поскольку это один из самых дорогих документов для операторов. За отсутствие согласия, когда оно необходимо, или за его некорректное содержание грозит штраф от 30 тыс. до 150 тыс. руб. (ч. 2 ст. 13.11 КоАП РФ).

В июне 2023 г. Госдума приняла в первом чтении проект поправок в КоАП РФ (законопроект № 353266-8). Они увеличат размеры штрафов за незаконную обработку персональных данных – как за первичное нарушение (до 700 тыс. руб.), так и за повторное (до 1,5 млн руб.).

В целом клиникам рекомендуется сформировать внутренний реестр работы с персональными данными. Это поможет понять, когда согласие нужно, а когда – нет, какие еще документы по работе с данными необходимо оформить. Реестр ведется в свободной форме и может предусматривать для каждой цели обработки перечень сведений, категории субъектов и проч.

Ошибка № 2. Передача персональных данных третьим лицам без согласия пациента

Некоторые клиники ошибочно полагают, что достаточно оформить с пациентом согласие на обработку персональных данных, и после можно передавать его данные другим организациям, например лабораториям, или зубным техникам. Это не так.

Оператор не должен раскрывать персональные данные третьим лицам и распространять их без согласия субъекта (ст. 5, 6, 7, 10.1 Закона о персональных данных). Для каждой передачи данных третьему лицу нужно отдельное согласие (либо включить в общее согласие, если оно оформляется). В нем необходимо указать перечень данных, цель их передачи и лицо, которое их получит, а также другие обязательные сведения. Причем нельзя написать, что «данные передаются лаборатории», – нужно обозначить наименование организации.

Штраф за передачу персональных данных третьему лицу без согласия пациента – от 30 тыс. до 150 тыс. руб. (ч. 2 ст. 13.11 КоАП).

До передачи персональных данных в договоры с третьими лицами надо включить положения о соблюдении режима конфиденциальности и разграничении зон ответственности. Это не спасет от всех бед, но позволит клинике защититься в случае утечки данных не по ее вине.

Ошибка № 3. Нет политики обработки персональных данных

Сайты медорганизаций находятся под присмотром не только Роскомнадзора, но и других надзорных органов, в том числе Росздравнадзора и Роспотребнадзора. В любой момент госорган может заметить ошибку, которую не получится исправить задним числом, за что последует ответственность. Да и любой пользователь может пожаловаться на неправовое убранство сайта.

Часто клиники не публикуют на своих сайтах политику обработки персональных данных, хотя это обязательное требование (ч. 2 ст. 18.1 Закона о персональных данных). Порой политику ошибочно подменяют согласием на обработку данных. Также нарушением будет формальная политика. То есть та, что не учитывает реальный процесс обработки данных, в которой нет четкого разграничения целей обработки, а для каждой цели – перечня обрабатываемых данных, сроков обработки и т.д.

За отсутствие политики обработки персональных данных грозит штраф в размере от 30 тыс. до 60 тыс. руб. (ч. 3 ст. 13.11 КоАП РФ).

Ошибка № 4. Персональные данные хранятся за границей

Базы персональных данных (серверы, облачные хранилища и т.п.) должны быть расположены на территории РФ. И медорганизации нужно обзавестись документами, подтверждающими это (ч. 5 ст. 18 Закона о персональных данных). К сожалению, клиники не всегда знают, что их базы данных находятся не в России (например, при применении гугл-форм для сбора данных).

Чтобы клинику не привлекли к административной ответственности, необходимо подтверждение размещения базы персональных данных на территории РФ. Избегайте работы с иностранными сервисами и облачными хранилищами.

За использование баз, находящихся за пределами России, предусмотрен штраф до 6 млн руб., при рецидиве – до 18 млн руб. (ч. 8, 9 ст. 13.11 КоАП РФ). И такие штрафы действительно назначают³.

(О том, как правильно обрабатывать и защищать данные, – читайте в статье «Комплексная защита персональных данных».)

¹ Разъяснения Роскомнадзора: памятка по обработке персональных данных медицинскими организациями (https://42.rkn.gov.ru/p32466/p32472/), памятка для медицинских учреждений по актуальным проблемам обработки персональных данных (https://54.rkn.gov.ru/protection/p24018/).

² Статья 16 Закона о защите прав потребителей, Определение Верховного Суда РФ от 5 октября 2018 г. № 306-АД18-16256.

³ Постановление Второго кассационного суда общей юрисдикции от 7 июля 2020 г. по делу № 16-3770/2020.

Фото: фотобанк Freepik/@jcomp