Что такое согласие на обработку персональных данных: зачем необходим этот документ работодателю, а также для кого он может понадобиться в поликлинике?

Данную статью посвятим тому, что собой представляют персональные данные, каким должно быть согласие на обработку персональных данных при приеме на работу, при каких обстоятельствах и кто может обладать доступом к субъектным сведениям о персонале.

Что считается персональными данными

Среди локальных нормативных актов стоит акцентировать внимание на Положении о персонале, которые разрабатывается работодателем, и своим действием распространяется на коллектив компании, Положении о порядке использования личных сведений кадрового состава предприятия и других, подобных им.

Персональными данными сотрудника считаются сведения, необходимые работодателю для вступления с ним в трудовые отношения. Такие данные относятся к группе документированной информации, то есть сведений, зафиксированных на материальном носителе с идентифицирующими их реквизитами.

Объем и вид информации, составляющих личные данные, должны быть определены в соответствующем локальном акте компании.

Информацией, составляющей личные сведения, считается следующая:

• данные, которые предоставляет работник при трудоустройстве, установленные ст. 65 ТК РФ;
• данные, получаемые и создаваемые работодателем в период осуществления принятым на работу гражданином трудовой деятельности;
• сведения о сотруднике, которые хранятся у работодателя после расторжения с ним трудовых взаимоотношений.

Данные личного характера разделяются на два вида:

1. сведения, являющиеся фактами, и не подлежащие субъективной оценке, к примеру, специальность, приобретенная сотрудником в ходе обучения в каком-либо учебном заведении;
2. сведения оценочного характера, содержащиеся, в частности, в заключении аттестационной комиссии, характеристике и др.

Обработка персональных данных

Процедура обработки личных данных специалиста – совокупность отношений, которые возникают в процессе:

1. формирования информационной базы на основе получения, комбинирования, хранения, документирования сведений о конкретном трудоустраиваемом гражданине в порядке, регламентированном ст. 86 ТК РФ;
2. использования отдельной документации, а также иного рода информации, которая относится к числу личных данных специалиста, находящихся на хранении у нанимателя.

Субъектами таких взаимоотношений выступают:

• работодатель;
• работник (или его представитель);
• должностные лица, которые осуществляют обработку персональной информации;
• третьи лица, предоставляющие (или получающие) информацию о сотруднике.

Цели обработки субъектной информации кадров в организации:

1. обеспечение соблюдения норм законодательства;
2. обеспечение личной безопасности соискателей/рабочих;
3. содействие в их трудоустройстве/карьерном росте;
4. контролирование количества и качества трудовых процессов и обеспечение сохранности имущества организации.

Персональные данные: Видео

Нужно ли оформлять согласие

Законом не закреплена процедура обработки данных индивидуального характера о работниках, но в ст. 86 Трудового кодекса РФ приведен список общих требований, которые для обеспечения прав граждан предъявляются к обработке подобных сведений.

Среди них стоит назвать следующие:

1. обрабатываться личные сведения о трудоустроенных могут исключительно в ранее указанных целях;
2. определяя количественный перечень подлежащих анализу персональных сведений сотрудника, работодатель должен опираться на Конституцию РФ и содержимое иных федеральных законов;
3. вся информация данного типа должна получаться исключительно у работника. В случае ее предоставления третьими лицами должно быть предоставлено согласие работника на обработку персональных данных в письменной форме;
4. наниматель не обладает правом получения и обработки данных сотрудника о его частной (личной) жизни и религиозных, политических и любых других убеждениях. Если же подобное требуется условиями предстоящей профессиональной деятельности, то работа с такими материалами возможна лишь при документальном, то есть письменном, согласии на то работника;
5. работодатель не может использовать данные личного характера, отражающих участие сотрудников в деятельности профсоюзных организаций или членство в общественных объединениях. Исключение являются случаи, определенные соответствующими федеральными законами;
6. принимая решения, затрагивающие индивидуальные интересы сотрудника, наниматель не может брать за основу личные сведения о нем, которые были получены после проведения автоматизированного сбора подобных материалов;
7. защищены данные личного характера персонала от утраты и неправомерного использования должны быть нанимателем за его счет в установленном ФЗ порядке;
8. работник и/или его представитель должны быть под роспись ознакомлены с документацией организации, утверждающей порядок обработки субъектных данных каждого сотрудника, а также о своих обязанностях и правах в данной области;
9. работники не обязаны отказываться от прав на защиту и сохранение тайны;
10. меры по защите личных сведений о кадровом составе компании должны быть выработаны совместно работодателем, представителем работника и ним лично.

Нужно ли согласие

Согласно общим правилам, обрабатываться данные работников могут только с согласия на то последних (п. 1 ст. 6 Закон о персональных данных). Однако обязан ли работодатель при приеме на работу брать заявление об обработке персональных данных?

Статьей 6 указанного выше Закона установлено, что в большинстве случаев нанимателю не требуется получать согласие рабочего на обработку его личных данных, поскольку осуществление этой процедуры происходит в целях исполнения контракта о сотрудничестве.

В таком случае данного рода разрешение может быть составлено в устной или письменной форме.

Получение письменного разрешения на обработку личных сведений необходимо:

• при обработке информации личного характера, касающейся частной жизни;
• при обработке биометрических данных;
• для осуществления трансграничной передачи личных сведений;
• для принятия решений на основе только автоматизированной обработки данных персонального характера.

Важно отметить, что согласие на обработку персональных данных работника обязательно должно быть получено при включении последних в общедоступные источники. В таком случае письменное согласие должно содержать:

• Ф.И.О., адрес трудоустраиваемого, номер основного удостоверяющего личность документа, сведения о последнем: дата выдачи и орган, выдавший его;
• название и адрес оператора, который получил согласие субъекта личной информации;
• цель обработки субъектной информации;
• список персональных сведений, которые могут обрабатываться согласно этому разрешению;
• перечень действий, которые могут быть совершены с персональными сведениями, основываясь на этом согласии, общее описание допустимых для применения оператором способов;
• срок действия согласия и порядок его отзыва.

Подобное согласие может быть отозвано субъектом в любой момент. В таком случае обработка данных индивидуального характера о нем должна быть прекращена, а все сведения уничтожены в трехдневный срок с даты составления отзыва.

Об этой возможности сотрудник должен быть уведомлен до момента составления разрешительного документа на обработку личных сведений.

Кроме того, существует возможность установления иного срока и условий по обоюдной договоренности сторон.

Может ли сотрудник отказать

Если работник не подписывает согласие на обработку персональных данных, обрабатываться сведения о нем должны сотрудниками кадровой службы организации в пределах, установленных действующим российским трудовым законодательством.

Если же предполагаемые действия приведут к выходу за пределы законов, необходимо будет получить от работника соответствующее согласие, то есть документированное добровольное волеизъявление сотрудника о предоставлении разрешения на использование его личных данных для сформулированных целей.

Права сотрудников и персональные данные

Права рабочих в сфере защиты их личных данных регламентированы ст. 88 ТК РФ.

• информация о персональных данных в полном объеме, включая допустимую их обработку;
• запрос устранения недостатков, которые имеют место в личном деле рабочего в информационной базе компании;
• защита от бездействия или неправомерных действий работодателя любыми определенными законом способами.

Вышеназванные права работников четко прописаны в ФЗ «Об информации, ее защите и информатизации» от 20 февраля 1995 г., а также установлены отдельными федеральными актами, постановлениями Правительства России, указами Президента РФ.

Также трудовым законодательством предусмотрена возможность требования работником выдачи ему копии любой записи из личного дела, содержащей персональные данные о нем.

Ответственность за разглашение личных данных

В соответствии со ст. 90 Трудового кодекса РФ, лица, из-за действий или бездействия которых были нарушены нормы, регулирующие получение, защиту и обработку персональных сведений кадрового состава компании, несут юридическую ответственность.

Так, согласно ст. 24 ФЗ № 24 от 20 февраля 1995 г.

, ответственность за ограничение доступа в незаконном порядке к сведениям и нарушение порядка защиты последних возлагается на руководящие лица и других служащих организаций, органов государственной власти при наличии вины с их стороны в соответствии с действующим гражданским, уголовным законодательством и законами об административных правонарушениях.

Согласно ст.

13 Кодекса об административных правонарушениях РФ, при нарушении утвержденного законом порядка хранения, сбора и использования, в том числе распространения, сведений о гражданах, предусмотрена административная ответственность посредством наложения штрафа размером до пяти минимальных оплат труда или предупреждения об этой возможности в отношении рядовых работников. При совершении должностными лицами аналогичных действий размер административного штрафа для них может достигать десяти минимальных зарплат, и для юридических лиц в таких случаях — ста минимальных заработных плат.

Ст.

137 УК РФ установлена уголовная ответственность за противозаконное распространение или сбор информации о частной жизни граждан, составляющей их семейную/личную тайну, без их на то согласия, либо распространение сведений данной категории в публичном выступлении, если подобные деяния совершались из корыстной или любой другой личной заинтересованности и способны были причинить вред правам граждан. Наказанием в таком случае выступает штраф размером от 250 до 500 заработных плат.

Источник: https://podborkadrov.com/priem-na-rabotu/obshhie-voprosy/soglasie-na-obrabotku-personalnyx-dannyx.html

Для чего работодателю согласие на обработку персональных данных? — Правовед.RU

1344 юриста сейчас на сайте

Стоит ли давать согласие на обработку данных или нет. И зачем работодателю нужна эта информация

P70309-0P70309-094207.jpg94207.jpg Консультация юриста онлайн Ответ на сайте в течение 15 минут Задать вопрос

данная процедура нужна больше для службы безопасности предприятия куда вы устраиваетесь, это формальность, но они не имеют права собирать на вас какую либо информацию без вашего согласия, в противном случае вам откажут в дальнейшей работе, т.к. вас не смогли проверить!

Здравствуйте, уважаемый Александр!

Данный закон требуется соблюдать работодателями согласно законоположения ТК РФ

1)обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;2) при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, настоящим Кодексом и иными федеральными законами;3) все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характереподлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;Информация об изменениях:Федеральным законом от 7 мая 2013 г. N 99-ФЗ пункт 4 статьи 86 настоящего Кодекса изложен в новой редакцииСм. текст пункта в предыдущей редакции4) работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательствомРоссийской Федерации в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных настоящим Кодексом и другими федеральными законами;5) работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественныхобъединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных настоящим Кодексом или иными федеральными законами;6) при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;7) защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном настоящим Кодексом и иными федеральными законами;8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах иобязанностях в этой области;9) работники не должны отказываться от своих прав на сохранение и защиту тайны;10) работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.

Это Ваши права, гарантии защиты Ваших персональных данных из трудового законодательства который работоадтель не вправе переступать. В противном случае, у Вас будут основания для подачи соотвтствующих жалоб.

Кроме того у Вас есть право на отзыв такого согласия (в силу закона о защите п.д).

С уважением, Райнхард.

Любая информация о вас — это персональные данные.Эти данные неизбежно попадают к работодателю при заключении с вами трудового договора.

Закон обязывает работодателя «обрабатывать» данные в установленном порядке, о чем вы должны быть предупреждены. По большому счету этот закон защищает именно вас, так как запрещает данные о вас, например, распространять третьим лицам.

Вы ничем не рискуете, когда даете согласие на обработку, а вот не подписав создаете ситуацию объективно исключающую ваше оформление на работу.

Вы не сможете быть трудоустроены без такого согласия, так как работодатель обязан истребовать получение этого согласия.

Источник: https://pravoved.ru/question/1564720/

Персональные данные пациентов в медицинских организациях: требования к обработке и ответственность

Главная → Статьи → Персональные данные пациентов в медицинских организациях: требования к обработке и ответственность

Медицинские организации в силу законодательства являются операторами персональных данных своих пациентов.

Они принимают непосредственное участие в сборе, систематизации, накоплении, хранении, уточнении, обновлении, изменении, распространении и уничтожении такой информации.

Персональные данные представляют собой любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ)).

Медицинская организация, получая персональные данные от пациента (субъекта персональных данных), например, при его первоначальном поступлении или заключении договора на оказание медицинских услуг, а также в процессе лечения, приобретает статус оператора. У нее возникают определенные обязанности в части работы с полученными персональными данными.

Данные обязанности регулируются следующими нормативными актами:
– Конституция РФ;
– КоАП РФ, УК РФ, ГПК РФ;
– упомянутый выше Закон № 152-ФЗ;
– Федеральный закон от 27.07.

2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
– Федеральный закон от 21.11.

2011 № 323-ФЗ «Об основах охраны здоровья граждан в РФ» (далее — Закон № 323-ФЗ);
– другие положения и нормативно-правовые акты.

Важно!
Оператор персональных данных — это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (ст. 3 Закона № 152-ФЗ).

Персональные данные пациента и врачебная тайна

Сразу отметим, что информация о состоянии здоровья пациента относится к специальным категориям персональных данных, обработка которых не допускается, за исключением случаев, когда (ст.

10 Закона № 152-ФЗ):
– пациент дал согласие в письменной форме на обработку своих персональных данных;
– пациент сам сделал персональные данные общедоступными;
– обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов пациента либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия пациента невозможно;
– обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну.

Информация, являющаяся врачебной тайной, — это отдельный подвид персональных данных.

13 Закона № 323-ФЗ). Ее разглашение не допускается (п. 2 ст. 13 Закона № 323-ФЗ), за исключением отдельных случаев, о которых мы расскажем ниже.

Обработка персональных данных

Обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение (ст. 3 Закона № 152-ФЗ).

Как было сказано выше, перед получением от пациента информации медицинская организация должна запросить у него согласие на обработку персональных данных (ст. 6, ст. 10 Закона № 152-ФЗ).

Пациент вправе полностью или частично отказаться от предоставления согласия на обработку персональных данных. Поэтому медицинской организации следует правильно подходить к виду и объему запрашиваемой информации. В обработку нужно запрашивать только те сведения, которые отвечают ее целям. Сведения не должны быть избыточными (ст. 5 Закона № 152-ФЗ).

При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе следующую информацию:
– подтверждение факта обработки персональных данных;
– правовые основания и цели обработки;
– цели и применяемые способы обработки;
– наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании положений законодательства;
– обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен положениями законодательства;
– сроки обработки персональных данных, в том числе сроки их хранения;
– порядок осуществления субъектом персональных данных прав, предусмотренных Законом № 152-ФЗ;
– информацию об осуществленной или о предполагаемой трансграничной передаче персональных данных;
– наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
– иные сведения, предусмотренные Законом № 152-ФЗ или другими федеральными законами.

Согласие на обработку персональных данных может быть получено в электронной либо в письменной форме.

При этом согласие на обработку биометрических данных необходимо получить от пациента именно в письменной форме (ст. 11 Закона № 152-ФЗ), так как они представляют собой сведения, которые характеризуют физиологические и биологические особенности на основании которых можно установить личность.

Бумажный документ должен содержать следующие реквизиты (п. 4 ст. 9 Закона № 152-ФЗ):
– фамилию, имя, отчество, адрес пациента, номер основного документа, удостоверяющего его личность, сведения о дате выдачи этого документа и выдавшем его органе;
– Ф.И.О.

, адрес представителя пациента, номер основного документа, удостоверяющего его личность, сведения о дате выдачи этого документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя пациента (при получении согласия от него);
– наименование медицинской организации;
– цель обработки персональных данных;
– перечень персональных данных, на обработку которых пациент дает согласие;
– наименование или Ф.И.О. и адрес лица, осуществляющего обработку персональных данных по поручению медицинской организации, если обработка будет поручена такому лицу;
– перечень действий с персональными данными, на совершение которых дается согласие, и общее описание используемых способов обработки персональных данных;
– срок, в течение которого действует согласие пациента, а также способ отзыва такого согласия, если иное не установлено законодательством;
– подпись пациента.

Также обратите внимание, что при заключении договора с пациентом медицинская организация обязана предоставить ему информацию о номере своей лицензии, сроке ее действия и выдавшем ее органе. Такую информацию можно включить непосредственно в договор либо прописать в нем ссылку на источник откуда можно получить информацию.

При заключении договора на сложные и дорогостоящие услуги пациенту следует предложить под роспись ознакомиться с описанием этих услуг, способами их оказания, возможными последствиями и т. д.

Его следует оформить в письменном виде – записью в истории болезни, заверенной подписью самого пациента (его законного представителя) либо его отдельной распиской или заявлением.

С 1 января 2018 года согласие также можно оформить в виде электронного документа, подписанного усиленной квалифицированной или простой электронной подписью пациента (его законного представителя) и электронной подписью медицинского работника.

Если состояние пациента не позволяет ему выразить свою волю, а медицинское вмешательство неотложно, вопрос о его проведении решают консилиум или лечащий врач.

Медицинское вмешательство без информированного добровольного согласия также возможно в отношении пациентов:
– страдающих заболеваниями, представляющими опасность для окружающих;
– страдающих тяжелыми психическими расстройствами;
– совершивших общественно опасные деяния (преступления);
– направленных на судебно-медицинскую и (или) судебно-психиатрическую экспертизы.

Предоставление персональных пациента данных третьим лицам

Законодательство запрещает предоставлять третьим лицам и распространять персональные данные без согласия пациента (ст. 7 Закона № 152-ФЗ).

Под предоставлением в данном случае понимаются действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц, а под распространением — действия, направленные на раскрытие персональных данных неопределенному кругу лиц (ст. 2 Закона № 152-ФЗ).

Вместе с тем, Закон № 323-ФЗ допускает разглашение сведений, составляющих врачебную тайну, с письменного согласия пациента или его законного представителя другим гражданам, в том числе должностным лицам, в целях медицинского обследования и лечения пациента, проведения научных исследований, их опубликования в научных изданиях, использования в учебном процессе и в иных целях (п. 2 ст. 13 Закона № 323-ФЗ).

13 Закона № 323-ФЗ):
– в целях проведения медицинского обследования и лечения пациента, который в результате своего состояния не способен выразить свою волю;
– при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;
– по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органов прокуратуры в связи с осуществлением прокурорского надзора, по запросу органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля;
– в целях осуществления уполномоченными федеральными органами исполнительной власти контроля за исполнением лицами, признанными больными наркоманией либо потребляющими наркотические средства или психотропные вещества без назначения врача либо новые потенциально опасные психоактивные вещества, возложенной на них при назначении административного наказания судом обязанности пройти лечение от наркомании, диагностику, профилактические мероприятия и (или) медицинскую реабилитацию;
– в случае оказания медицинской помощи несовершеннолетнему для информирования одного из его родителей или иного законного представителя;
– в целях информирования органов внутренних дел о поступлении пациента, в отношении которого имеются достаточные основания полагать, что вред его здоровью причинен в результате противоправных действий;
– в целях проведения военно-врачебной экспертизы по запросам военных комиссариатов, кадровых служб и военно-врачебных (врачебно-летных) комиссий;
– при обмене информацией между медицинскими организациями, в том числе размещенной в медицинских информационных системах, в целях оказания медицинской помощи с учетом требований законодательства РФ о персональных данных;
– в целях осуществления учета и контроля в системе обязательного социального страхования.

Предоставление персональных данных пациенту или его законному представителю

Источник: https://www.garantexpress.ru/statji/personalnie-dannie-patsientov-v-meditsinskih-organizatsijah-trebovania-k-obrabotke-i-otvetstvennost/

Зачем нужно согласие на обработку персональных данных

В соответствии с Конституцией каждый житель РФ обладает правом на неприкасаемость частной жизни, частной собственности, а также семейной и личной тайны. Чтобы иметь возможность использовать персональную информацию о человеке, необходимо оформление письменного документа, которым является согласие на обработку персональных данных.

Это согласие нужно при официальном устройстве на работу, для заключения различного рода договоров с банком и поставщиками услуг (кредит, открытие счета, мобильные операторы), а также при обращении в большинство государственных организаций (образовательные учреждения, пенсионный фонд, органы социальной защиты).

Персональные данные: что это такое и что к ним относится

Персональные данные – это любые сведения, позволяющие идентифицировать физический субъект, а именно:

• фамилия, имя, отчество;
• контактные данные (номера мобильного и стационарного (если есть) телефонов, email);
• место фактического проживания;
• паспортные данные (включая адрес регистрации и семейный статус);
• образование;
• сведения о предыдущих местах работы и занимаемых должностях;
• наличие судимости;
• национальность;
• вероисповедание.

Отказ от предоставления согласия на обработку персональных данных и его вероятные последствия

Давать согласие на обработку персональных данных или нет – это личное дело каждого, и человек вправе принимать решение самостоятельно. Как таковой, отказ не несет никаких нежелательных юридических последствий.

Но важно помнить, что в некоторых ситуациях неимение согласия на обработку персональной информации может привести к негативным результатам.

Так, например, если на работе применяется система пропусков, то работодатель просто не имеет право выписать сотруднику допуск на рабочее место.

Но есть также несколько условий, согласно которым для обработки личной информации не требуется наличие согласия субъекта. К ним относятся:

• необходимость исполнения договора о заключенных трудовых отношениях;
• необходимость исполнения обязанностей работодателем, регламентированных законом.

Ответственность работодателя за предание огласке персональной информации

За утечку конфиденциальных данных работника директор (руководитель) организации, сотрудник отдела кадров или иное лицо, по вине которого произошла огласка или неправомерное использование личной информации, может понести очень суровое наказание в виде административной, а порой даже уголовной ответственности (наложение штрафа, запрет на занимание определенной должности, взятие под арест).

Источник: https://otomkak.ru/zachem-nuzhno-soglasie-na-obrabotku-personalnyh-dannyh/

Персональные данные пациента косметологической клиники: правила обработки

Ключевым актом, регулирующим вопросы обработки и использования персональных данных (далее – ПД) является Федеральный закон от 27.07.

2006 №152-ФЗ «О персональных данных» (далее – ФЗ-152), который и закрепил определение персональных данных. Согласно п.1 ст.

Из указанного определения следует, что персональными данными являются не только ФИО гражданина и его паспортные и контактные данные (номер телефона, адрес электронной почты), что очевидно, но и дата и место рождения, национальность, рост и вес, вероисповедание и так далее. Перечень персональных данных не может быть исчерпывающим; он включает в себя любую информацию, позволяющую тем или иным образом (прямо или косвенно) идентифицировать лицо.

Является ли медицинская организация оператором персональных данных?

Сразу оговоримся, что в данной статье мы будем говорить только об обработке персональных данных пациентов. Обработка персональных данных сотрудников клиники работодателем подчиняется общим правилам обработки персональных данных, за некоторыми исключениями, но данный вопрос не является предметом настоящей статьи.

На оператора персональных данных ФЗ-152 возложен ряд обязанностей, исполнение которых влечет материальные и временные издержки, в связи с чем медицинские организации при назначении административных штрафов периодически пытаются доказать тот факт, что они операторами персональных данных не являются, а если и являются, то перечень их обязанностей должен быть усечен. Давайте разберемся, так ли это.

Первая точка зрения: медицинская организация не является оператором персональных данных

Данная точка зрения базируется на аргументации, согласно которой медицинская организация обрабатывает персональные данные только в целях исполнения договора об оказании платных медицинских услуг.

Ее сторонники не учитывают, что сама по себе информация, необходимая для заполнения медицинской карты по форме 025/у, уже является персональными данными, так как позволяет без труда идентифицировать личность, а доказать исключительность цели обработки – крайне сложная задача. Клиника занимается обработкой персональных данных, определяет цели такой обработки, совершает операции с персональными данными, то есть, используя терминологию ФЗ-152, является оператором персональных данных.

Оператор персональных данных – категория, связанная с фактической деятельностью юридического лица, а не процедурой присвоения этого статуса. То есть если вы собираете информацию о пациенте, вы являетесь оператором персональных данных вне зависимости от наличия организации в реестре операторов персональных данных.

Вторая точка зрения: медицинская организация все же оператор персональных данных, но с ограниченным перечнем обязанностей

Сторонники этой точки зрения «освобождают» клинику от двух основных обязанностей оператора персональных данных: обязанности получать согласие субъекта персональных данных и обязанности уведомить Роскомнадзор о начале обработки персональных данных.

Тезис 1: получение согласия субъекта персональных данных не является обязательным в случае обработки данных исключительно для исполнения договора (п.5 ч.1 ст. 6 ФЗ-152).

Суды не находят данную аргументацию убедительной. Наглядным примером может служить постановление Самарского областного суда от 08.02.2016 №4а-131/2016. Позиция медицинской организации, подкрепленная ссылкой на п.5 ч.1ст.

6 ФЗ-152, не явилась основанием для отмены административного штрафа.

Логика суда следующая: медицинская организация – юридическое лицо, осуществляющее обработку персональных данных, а значит, необходимо согласие на обработку персональных данных.

Тезис 2: медицинская организация не обязана направлять уведомление в Роскомнадзор, так как обработка информации направлена исключительно на исполнение заключенного с пациентом договора об оказании платных медицинских услуг, что является исключением, названным в п. 2 ч.2 ст. 22 ФЗ-152.

Все было бы хорошо, если бы не тот факт, что на практике доказать направленный исключительно на исполнение договора характер обработки персональных данных практически нереально.

Если у клиники есть сайт с возможностью регистрации пользователей или с формой обратной связи, то она однозначно является оператором персональных данных. В таком случае графу, посвященную согласию на обработку персональных данных, нужно добавить в форму регистрации.

Также в форму регистрации добавляется ссылка на политику организации в отношении персональных данных (подробнее – см.ниже).

Таким образом, медицинская организация обязана получать согласие на обработку персональных данных, а также направлять уведомление в территориальный орган Роскомнадзора для включения в реестр операторов персональных данных.

Медицинские карты. Врачебная тайна.

Информация о состоянии здоровья пациента носит особый характер.

В соответствии со ст.13 Федерального закона от 21.11.

2011 №323-ФЗ «Об основах охраны здоровья граждан в РФ» (далее – ФЗ-323) сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну. Без согласия гражданина такая информация может быть предоставлена исключительно в случаях, перечисленных в названной статье.

Как указано в п.4 ст. 92 ФЗ-323 сведения о лицах, которые участвуют в оказании медицинских услуг, и о лицах, которым оказываются медицинские услуги, относятся к информации ограниченного доступа и подлежат защите в соответствии с законодательством Российской Федерации.

Из этого следует вывод, что информация, которую врач указывает в медицинской карте пациента, составляет врачебную тайну, которая в свою очередь является информацией ограниченного доступа, разглашение которой влечет последствия, отличные от последствий ординарного разглашения персональных данных.

Субъектом такого правонарушения, как разглашение информации с ограниченным доступом, предусмотренного ст. 13.14 КоАП РФ, не может являться организация (клиника в целом), но исключительно граждане и должностные лица; штраф для последних составляет от 4 до 5 тысяч рублей.

Однако, стоит помнить о возможности привлечения к уголовной ответственности по ч.2 ст. 137 УК РФ, о чем будет сказано далее.

Приказ Минздрава РФ от 15.12.2014 №834н, к сожалению, с точки зрения информации о способах хранения медицинских карт, абсолютно не информативен.

С точки зрения обеспечения безопасности персональных данных, содержащихся в медицинских картах, медицинская организация должна предпринять общие меры, перечисленные ниже, направленные на исключение возможности разглашения персональных данных, доступа третьих лиц и т.д.

Обязанности оператора персональных данных

Так как мы уже определились с тем, что клиника является оператором персональных данных, следует разобраться, какие именно обязанности на нее, как на оператора, возложены законом.

Обязанность получать согласие пациента на обработку персональных данных

Безусловно, самая известная обязанность, о которой знает большинство руководителей клиник косметологии.

Информация, которая обязательно должна входить в согласие на обработку персональных данных, перечислена в ч.4 ст.9 ФЗ-152.

Согласие на обработку персональных данных заполняется на каждого пациента при первом посещении. Отсутствие согласия на обработку персональных данных грозит организации штрафом, максимальный размер которого составляет 75 тысяч рублей.

Особое внимание следует уделить целям обработки персональных данных, которые указываются в согласии. Цели должны быть сформулированы в максимальном соответствии с осуществляемой в действительности обработкой персональных данных, так как ответственность предусмотрена не только за отсутствие согласия, но и за обработку данных в целях, этим согласием не предусмотренных.

Поясним на примере. Если в качестве целей обработки персональных данных в согласии указано только оказание медицинских услуг, а на деле осуществляется рассылка смс/электронной почты рекламного содержания, юридическое лицо должно быть привлечено к административной ответственности в виде штрафа по ч.1 ст. 13.11 КоАП РФ, размер которого варьируется в пределах от 30 до 50 тысяч рублей.

Более того, помимо целей, следует избегать сбора избыточной информации, так как обработка персональных данных, не связанных с целью их сбора, также влечет административное наказание. Например, неуместен сбор паспортных данных при оформлении согласия для участие в программе лояльности.

Если пациент откажется заполнять излишне объемный бланк согласия и клиника на этом основании откажет ему в предоставлении медицинских услуг, штраф будет по ч.1 ст. 14.4 КоАП РФ за отказ в предоставлении услуг в нарушение лицензионных требований. Пример — Постановление Тринадцатого арбитражного апелляционного суда от 03.06.2014 по делу N А56-56137/2013.

Мнение эксперта

Относительно организаций, осуществляющих иные виды деятельности, медицинские организации находятся в более выгодном положении, так как законодательно закреплен большой объем информации, который должен быть собран в рамках оказания медицинской помощи. При таком регулировании обвинять медицинскую организацию в сборе «избыточной информации» достаточно сложно.

Сразу отметим, что согласие должно быть получено даже в том случае, если юридическое лицо собирает незначительное количество информации, например, только номер телефона или адрес электронной почты (даже без обязательного указания имени). Такие контактные данные позволяют идентифицировать лицо, а значит, являются персональными данными.

Противоположную позицию, согласно которой отдельно взятый номер мобильного телефона не позволяет идентифицировать лицо и не является персональными данными, можно встретить на официальном сайте Управления Роскомнадзора по одной из республик Российской Федерации.

Это актуально для клиник, на сайтах которых есть форма обратной связи. Заполнение такой формы и обработка указанных в ней данных в отсутствие графы, подтверждающей факт дачи согласия на обработку персональных данных, влечет штраф за обработку персональных данных без согласия. В качестве примера из судебной практики см. постановление Тамбовского областного суда от 04.10.2016 №4А-288/2016.

При оформлении договора оказания платных медицинских услуг, согласие на обработку данных рекомендуется составлять в виде отдельного документа.

Требования к форме согласия в законе отсутствуют, однако, всегда стоит помнить о том, что бремя доказывания факта получения согласия лежит на операторе персональных данных, то есть на медицинской организации.

Соответственно, проще составить его в качестве лаконичного отдельного документа и хранить вместе с договором, нежели включать в качестве пункта договора. Однако, повторюсь, запрета на включение раздела, касающегося обработки персональных данных, непосредственно в договор нет.

В соответствии с постановлением Правительства РФ от 04.10.2012 №1006 договор об оказании платных медицинских услуг может включать и иные условия, определенные соглашением сторон, в том числе и условие об обработке и использовании персональных данных.

Мнение эксперта

Медицинская организация всегда заключает с пациентом договор об оказании платных медицинских услуг, оформляет медицинскую карту пациента и т.д.

, то есть отношения между клиникой и пациентом подтверждаются достаточным массивом документации, в отличие от организаций, где отношения «продавец-клиент» могут быть подтверждены лишь чеком.

В такой ситуации для минимизации количества бумаг и упрощения процедуры хранения, возможно включение текста согласия на обработку персональных данных непосредственно в текст договора об оказании платных медицинских услуг.

Уведомление подается в территориальный орган Роскомнадзора по месту регистрации юридического лица.

Обязанность опубликовать политику в отношении персональных данных

Оператор персональных данных обязан опубликовать на сайте или иным способом обеспечить доступ неограниченного числа лиц к документу, определяющему политику оператора в отношении обработки персональных данных или сведениям о реализуемых требованиях к защите персональных данных (далее – Политика).

Приказом руководителя организации должна быть утверждена «Политика в отношении обработки персональных данных», которая затем размещается на сайте организации. Лучше всего в форме, которую субъект персональных данных заполняет на сайте, рядом с графой, где непосредственно проставляется отметка о согласии на обработку, сделать активную ссылку на документ, устанавливающий Политику.

• Также советуем включить в текст документа, устанавливающего Политику, помимо информации о способах и целях обработки персональных данных, их конфиденциальности, раздел, где будет детально описан способ направления запросов субъектов персональных данных (с указанием контактов оператора ПД), а также порядок ответа на них.
• Содержание политики определяется руководством организации, как и форма документа.
• Формы документов различны: пользовательское соглашение, официальное уведомление, политика конфиденциальности и др.
• Неисполнение данной обязанности влечет для юридического лица наложение штрафа в размере от 15 до 30 тысяч рублей.

Обязанность назначить ответственного сотрудника

Для исполнения этой обязанности приказом руководителя клиники нужно назначить ответственного за обработку персональных данных. Минимальный перечень его обязанностей установлен ч.4 ст. 22.1 ФЗ-152.

Необходимо подготовить для сотрудников, работающих с персональными данными, внутренние документы о порядке доступа к данным, их хранении, ответственности. Документы могут быть изданы в форме инструкций, приказов, регламентов.

Локальные акты, направленные на исполнение этой обязанности, не публикуются для неограниченного доступа.

Обязанность обеспечить безопасность данных

Обязанность регламентирована ст. 19 ФЗ-152.

Если оператор персональных данных не использует средства автоматизации, то в соответствии с Перечнем НПА Роскомнадзора, для него обязательно соблюдение требований, установленных постановлением Правительства РФ от 15.09.2008 №687.

Невыполнение требования, имевшее последствия в виде неправомерного доступа, уничтожения, изменения персональных данных и т.д., влечет наложение штрафа в размере от 25 до 50 тысяч рублей.

Источник: https://www.1nep.ru/articles/personalnye-dannye-patsienta-kosmetologicheskoy-kliniki-pravila-obrabotki/

Согласие пациента на обработку его персональных данных в медицинской организации

Отказать пациенту в оказании медицинских услуг, если он не предоставляет свои персональные данные (то есть не показывает паспорт, полис и другие документы), нельзя в силу публичного характера договора оказания услуг (ст.426 ГК РФ) — медицинская организация должна осуществлять оказание медицинских услуг в отношении каждого, кто к ней обратится.

Однако медицинская помощь в данном случае может быть оказана только на возмездной основе на основании договора возмездного оказания медицинских услуг, поскольку пациент не подтвердил статус застрахованного лица по обязательному медицинскому страхованию.

При оформлении договора, акта или счета в графе «заказчик» указывается «аноним», и делается пометка о том, что пациент отказался от предоставления персональных данных.

Если пациент предоставил персональные данные, но отказывается дать согласие на их обработку, необходимо, во-первых, определить, действительно ли такое согласие необходимо с учетом положений закона.

Представляется, что если пациент хочет получить медицинскую помощь по ОМС, то его персональные данные, необходимые для целей персонифицированного учета в сфере ОМС, а также персональные данные, касающиеся его здоровья, могут быть обработаны без его согласия, но с соблюдением всех требований законодательства по их защите.

Представляется также, что если пациент желает получить медицинские услуги на основе возмездного договора, то обработка его персональных данных в целях исполнения такого договора также не требует его согласия. Поэтому к получению согласия на обработку персональных данных не рекомендуется подходить формально и предлагать подписать его всем пациентам.

Необходимо четкое понимание случаев, когда такое согласие требуется, а когда нет. Во избежание лишних конфликтных ситуаций и споров предлагать подписать согласие целесообразно только в тех случаях, когда оно должно быть подписано в силу закона.

Вместо этого пациенту подсовывается листок, где его просят поставить подпись. При таком подходе отказ — вполне ожидаемая реакция пациента.

То есть если отказы в получении согласия на обработку персональных данных стали повторяться, то необходимо заняться их «профилактикой»: обеспечить информирование пациентов, разъяснительную работу, соблюдать этику общения с пациентом и т.д.

Следует помнить также, что если федеральным законом не установлена обязательная письменная форма для согласия, оно может быть получено в любой позволяющей подтвердить факт его получения форме.

Если пациент отозвал данное ранее согласие на обработку его персональных данных, медицинская организация вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона о персональных данных — то есть, если обработка персональных данных пациента возможна без его согласия.

Источник: https://zakon.ru/Blogs/OneBlog/930