Права и обязанности

Ответственность

Штрафы за нарушения при обработке персональных данных

Елена Федоровна Хмелевская, адвокат, советник специализированной юридической компании «Росмедконсалтинг», Санкт-Петербург

тысяч рублей —

максимальный штраф за нарушения при обработке персональных данных

С 1 июля увеличились размеры штрафов за нарушения законодательства в области персональных данных. Изменения в ст. 13.11 КоАП РФ, которая устанавливает ответственность за такие нарушения, предусмотрены Федеральным законом от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях». Медицинским организациям стоит обратить особое внимание на эти нововведения.

Ранее максимальный штраф за незаконный сбор, хранение, использование или распространение персональных данных составлял 10 000 рублей. И наложить его было непросто, ведь Роскомнадзор не вправе возбуждать дела об административном правонарушении, он должен передавать материалы в прокуратуру. Срок давности привлечения к ответственности короткий — три месяца, и за время пересылки материалов он нередко истекает.

С новым законом ситуация изменится. Возбуждать дела об административном правонарушении будет Роскомнадзор, а штрафы за нарушения будут доходить до 75 000 рублей. Рассмотрим подробно новые составы правонарушений и размеры штрафов для медорганизаций как юридических лиц.

Обработка персональных данных не соответствует заявленным целям

Если обработка данных не соответствует заявленным целям, штраф для юридических лиц может составить от 30 000 до 50 000 рублей. Это устанавливает ч. 1 ст. 13.11 КоАП РФ в новой редакции.

Медорганизация обрабатывает информацию о пациентах в медико-профилактических целях, для того, чтобы установить диагноз, оказать медицинские и медико-социальные услуги и т. д. При оказании платных услуг клиники запрашивают информацию, которая необходима, чтобы заключить договор с пациентом¹.

Однако перечень информации, которую можно истребовать у больного, небесконечен. Иногда медорганизации не только запрашивают лишние данные, но и отказывают пациенту в лечении, если он их не предоставляет. За это Роспотребнадзор может привлечь медорганизацию к административной ответственности по ст. 14.4. Возможный штраф: от 20 000 до 30 000 рублей.

Судебная практика. Рентген в обмен на сведения о доходах пациента

Гражданин обратился в медицинский центр, чтобы сделать флюорографию. При заключении договора ему предложили подписать согласие на обработку персональных данных. Пациент должен был дать согласие, что медорганизация вправе получить и обрабатывать информацию о семейном и имущественном положении, образовании, профессии, доходах и др. Пациент отказался подписать такое согласие и ему не оказали медпомощь.

Роспотребнадзор оштрафовал медорганизацию на 20 000 рублей. Суд признал привлечение к ответственности правильным и обоснованным — постановление Тринадцатого арбитражного апелляционного суда от 03.06.2014 по делу № А56-56137/2013.

Формы требуют сведений, которые пациент отказывается предоставить

Нередко проблемы вызывает не излишняя инициатива исполнителей, а несогласованность нормативных актов. Формы требуют сведений, которые пациент может отказаться предоставить, т. к. посчитает их личной информацией.

Пример. Форма требует информации об отце ребенка

В форме № 111/у «Индивидуальная карта беременной и родильницы», которая утверждена приказом Минздрава СССР от 04.10.1980 № 1030, врач должен заполнить графы, касающиеся отца ребенка, в т. ч. Ф. И. О., место работы, телефон. Пациент может отказаться предоставить эти данные, посчитать, что они не обязательны для медицинских целей.

Медорганизация оказывается между двух огней: Росздравнадзор может привлечь к административной ответственности за незаполнение меддокументации, а Роскомнадзор — за попытку их заполнить.

Если пациент отказывается предоставить какую-либо личную информацию, оцените, препятствует ли это оказанию медицинской помощи. Если нет, не отказывайте пациенту. Санкции проверяющих органов в таком случае можно оспорить: суды встают на сторону медицинских организаций.

Судебная практика. Пациент не обязан сообщать все сведения о себе

В карте пациентки отсутствовала графа о льготах, не была заполнена графа СНИЛС, не было сведений о документе, удостоверяющем право на льготное обеспечение, отсутствовала информация об инвалидности. Росздравнадзор посчитал это нарушением по ст. 19.20 КоАП РФ.

Арбитражный суд с госорганом не согласился. По мнению суда, все эти сведения — персональные данные, их сообщение — право, а не обязанность пациентки. Настаивать на том, чтобы пациентка предоставила их в принудительном порядке, клиника не могла. Отказать в лечении и не дать заключение тоже было бы незаконно. Отсутствие данных сведений на информативность амбулаторной карты не повлияло (постановление Восьмого арбитражного апелляционного суда от 08.02.2012 по делу № А46-12206/2011).

Нет письменного согласия на обработку данных

Ответственность за обработку персональных данных без письменного согласия пациента, когда закон требовал его получить, а также за несоблюдение требований к содержанию такого согласия устанавливает ч. 2 ст. 13.11 КоАП РФ. Штраф для юридических лиц — от 15 000 до 75 000 рублей.

Вопрос о том, нужно ли брать письменное согласие на обработку персональных данных, до сих пор дискуссионный

Вопрос о том, нужно ли брать письменное согласие на обработку персональных данных пациентов, до сих пор дискуссионный.

Случаи, когда разрешена обработка персональных данных, перечислены в ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ). В пункте 5 ч. 1 данной статьи говорится, что обрабатывать данные можно для исполнения договора с субъектом персональных данных.

При этом в ст. 10 Закона № 152-ФЗ говорится, что данные о состоянии здоровья, интимной жизни считаются специальной категорией персональных данных. Обрабатывать их можно только в исключительных случаях.

Один из таких случаев — обработка данных в медико-профилактических целях, для установления медицинского диагноза, оказания медицинских и медико-социальных услуг. Но данные должно обрабатывать лицо, профессионально занимающееся медицинской деятельностью и обязанное в соответствии с законом сохранять врачебную тайну (подп. 4 п. 2 ст. 10 Закона № 152-ФЗ). Из этих норм некоторые комментаторы делают вывод, что медорганизация может не получать письменное согласие, ведь персональные данные обрабатываются, чтобы оказать медицинскую помощь и заключить договор с пациентом.

Это интересно

Относится ли медицинская информация к биометрическим персональным данным

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» выделяет «биометрические персональные данные», которые можно обрабатывать только с письменного согласия лица (ст. 11). Биометрические персональные данные — это сведения о физиологических и биологических особенностях человека, на основании которых можно установить его личность. Перечня таких данных нет.

Роскомнадзор в разъяснениях от 30.08.2013 приводит такие примеры биометрических данных: дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес, изображение человека (фотография). Ведомство отмечает, что рентгеновские или флюорографические снимки не относятся к биометрическим персональным данным, поскольку медучреждение не использует их, чтобы устанавливать личность пациента. Но если медорганизация передаст их по запросу субъектов оперативно-разыскной деятельности, органов следствия и дознания, снимки становятся биометрическими персональными данными, поскольку их используют, чтобы установить личность конкретного лица.

Итак, медицинская информация, имеющаяся в медорганизации, не попадает в разряд биометрических персональных данных, Она используется для того, чтобы лечить пациентов, а не устанавливать их личность.

На практике цели обработки данных нередко бывают шире, чем указано в законе. Помимо этого круг лиц, которые имеют доступ к персональным данным, не ограничивается только медработниками. Например, данные передаются в страховые компании, работодателю пациента, если он проходил профосмотр, вносятся в информационные системы, к ним имеют доступ сотрудники ИТ-служб, а иногда и сторонние организации.

Судебная практика по вопросам получения письменного согласия еще не сложилась. В одном из недавних решений суд субъекта отклонил ссылки на то, что персональные данные пациентов обрабатывались для исполнения договора, и признал незаконным отсутствие письменного согласия (постановление Самарского областного суда от 08.02.2016 № 4а-130/2016). Позиция территориальных органов Роскомнадзора тоже противоречива.

Пока в правоприменительной практике не сложились единые подходы, целесообразно подписывать у пациентов согласие на обработку персональных данных.

Нет свободного доступа к документу по обработке персональных данных

Политику обработки персональных данных необходимо разместить в свободном доступе

В медорганизации в свободном доступе должен быть документ, который определяет политику обработки персональных данных, а также требования к их защите. Это установлено ч. 2 ст. 18.1 Закона № 152-ФЗ. Обычно данную информацию размещают на официальных сайтах медорганизаций и в бумажной версии на информационном стенде, т. к. она предназначена для потребителей.

Если медорганизация не обеспечила неограниченный доступ к политике оператора в отношении обработки персональных данных, ее оштрафуют (ч. 3 ст. 13.11 КоАП РФ). Штраф для юридических лиц — от 15 000 до 30 000 рублей.

Во многих медорганизациях принято Положение об обработке персональных данных или иной подобный документ. Рекомендуем внимательно изучить его и оценить, насколько он соответствует требованиям закона. Вполне вероятно, что он касается только работников организации.

Учтите, что в Законе № 152-ФЗ речь идет о более общем документе, который регулирует вопросы обработки и защиты всех персональных данных, которые поступают в организацию. Если такой документ отсутствует, его необходимо разработать и утвердить.

Пациент не получил информацию об обработке данных

Важно

Не игнорируйте запросы пациентов об их персональных данных. Молчание или ответ не в установленный срок может стать основанием, чтобы привлечь медорганизацию к ответственности

Ответственность за непредоставление пациенту информации об обработке его персональных данных предусматривает ч. 4 ст. 13.11 КоАП РФ. Штраф для юридических лиц — от 20 000 до 40 000 рублей.

Перечень информации, которую вправе запросить пациент, чьи данные обрабатываются, установлен в ч. 7 ст. 14 Закона № 152-ФЗ. В перечень входят, например, цели обработки, источники получения данных, сроки их хранения, данные о лице, которому поручена обработка, и т. д. Медорганизация должна предоставить информацию в течение 30 дней с даты получения запроса (ч. 1 ст. 20 Закона № 152-ФЗ).

Медорганизация не выполнила требования субъекта данных

Пациент, чьи персональные данные обрабатывает медорганизация, может потребовать уточнить неполные, устаревшие, неточные данные. Если эти сведения получены незаконно или они не являются необходимыми для заявленных целей обработки, пациент вправе потребовать их заблокировать или уничтожить (ч. 5 ст. 13.11 КоАП РФ). Штраф за это нарушение для юридических лиц — от 25 000 до 45 000 рублей.

Медорганизация должна выполнить требования пациента в течение 7 рабочих дней с момента, когда их получит, при условии, что они обоснованны. Это установлено в ч. 2 ст. 21 Закона № 152-ФЗ.

О внесенных изменениях и предпринятых мерах медицинская организация уведомляет субъекта персональных данных. Также она сообщает об изменениях третьим лицам, которым передала персональные данные субъекта.

Медорганизация не предотвратила несанкционированный доступ к данным

На заметку

Когда изменения в КоАП РФ вступят в силу, госорганы усилят контроль за соблюдением требований законодательства о персональных данных

Ответственность за нарушения, которые были допущены при неавтоматизированной обработке персональных данных и привели к несанкционированному доступу к ним, уничтожению, блокированию, копированию, распространению, устанавливает ч. 6 ст. 13.11 КоАП РФ. Возможный штраф для юридических лиц — от 25 000 до 50 000 рублей. Положение об особенностях обработки персональных данных без использования средств автоматизации утверждено постановлением Правительства РФ от 15.09.2008 № 687.

Рекомендуем медицинским организациям:

1. Проверить тексты согласий на обработку персональных данных и удалить из них лишнюю информацию.

2. Разъяснить сотрудникам, что отказать в медпомощи можно лишь тогда, когда отказ пациента предоставить необходимую информацию не позволяет выполнить медицинское вмешательство.

3. Всегда получать у пациента письменное согласие на обработку его персональных данных.

4. При разработке бланка согласия учесть, что он должен содержать всю информацию, указанную в ч. 4 ст. 9 Закона № 152-ФЗ.

5. Разработать и утвердить документ, который определяет политику обработки персональных данных.

6. Отвечать пациенту на запросы, касающиеся его персональных данных, в течение 30 дней.

7. Если есть основания, своевременно уточнять персональные данные, блокировать или уничтожать их.

8. Проверить меры защиты персональных данных — достаточны ли они и соответствуют ли требованиям.

¹Пункт 17 Правил предоставления медицинскими организациями платных медицинских услуг, утвержденных постановлением Правительства РФ от 04.10.2012 № 1006.
>> Вернуться в статью