Специалисты нашего юридического бюро в Москве Долгопрудном и Подмосковье предупреждают, что некорректное использование данных пациентов чревато крупными штрафами.

Медицинские клиники являются своеобразными операторами

Согласно положениям закона №152-ФЗ от 27.07.2006г «О персональных данных» все медорганизации являются ещё и операторами персональных данных.

Чтобы клиникам-операторам правильно организовать обработку и хранение персональных данных и избежать риска штрафных санкций, следует учесть 4 часто встречающиеся ошибки.

Первая ошибка – некорректное оформление согласия пациента клиники на обработку его личных данных

Если нет необходимости в согласии.

Предлагать пациенту давать письменное согласие каждый раз – излишняя мера. Закон №152-ФЗ не запрещает обработку и хранение данных без оформления согласия, когда эти действия нужны для выполнения поставленных законом задач, исполнения обязанностей и полномочий, законом определённых, или выполнения договоров. Причём наличие оформленного согласия является лишь одним, но не единственным, из законных оснований, допускающих обработку клиникой данных пациента.

Предположим, некая коммерческая клиника, прежде чем начать лечение, должна с пациентом оформить договор на оказание медицинских услуг. Обработка данных необходима для выполнения договора и, следовательно, оснований для оформления согласия нет. К тому же, обработка информации о показателях здоровья пациента законна и по той причине, что она производится в порядке оказания медуслуг и определения диагноза.

То есть, как подчёркивают юристы в сфере обработки персональных данных, заключаемые договоры на выполнение медицинских услуг не обязаны содержать пункт об оформлении согласия пациента с обработкой его личных данных.

Когда необходимо оформление согласия

Перечень персональных данных и декларируемые договором цели должны соответствовать друг другу и их количество должно быть в пределах необходимости.

К примеру, клиника собралась произвести рассылку рекламы, для чего ей необходимы ФИО, e-mail пациентов и их телефоны. Но заключались договоры не для участия в рекламной акции, а для получения медицинских услуг. Следовательно, придётся с пациентов взять оформленное согласие как на участие в акции, так и на обработку их личных данных.

Медицинских клиник, корректно оформляющих согласие – крайне мало. Им проще без консультации юриста взять шаблон с какого-нибудь сайта в сети. Обычно такой шаблон отличается тем, что:

• Имеет чрезмерное количество требуемых личных данных;

• Отсутствует чёткая цель обработки, а порой указывается несколько таковых целей;

• Заявленная цель не соответствует перечню требуемых данных;

• Не определена длительность выполнения обработки;

• Присутствует масса иных неточностей.

Юристы по защите персональных данных особо отмечают ошибочность часто встречающегося предложения подписать как работникам, так и пациентам одинаковое согласие. Само собой, что это неправильно, ведь первые работают в клинике, а вторые – лечатся, и наборы персональных данных, и, соответственно, цели обработки у них отличаются. В результате клиника делает 2 ошибки одновременно – получает ненужное согласие, причём некорректным образом.

Юристы в Москве подчёркивают, что когда согласие должно быть, но отсутствует, или содержание его ошибочно, это чревато штрафными санкциями в размере до 150 000 рублей.

Государственная Дума ещё в 2023 году рассмотрела законопроект поправок, в котором планируется увеличение сумм штрафов за совершённое впервые нарушение законодательных правил обработки личных данных до семисот тысяч рублей, и за рецидив - до полутора миллионов рублей.

Клиникам рекомендуется сформировать и вести в произвольном виде так называемый внутренний реестр обработки данных. Он позволяет понять, оформлять согласие или не оформлять, какие дополнительные регламенты обработки следует предусмотреть.

Вторая ошибка – Не согласованное с субъектом разглашение третьей стороне его данных

Часть клиник совершенно зря считают, что разрешение пациента на обработку позволяет им предоставлять эту информацию иным организациям, к примеру, зубоврачебным кабинетам, лабораториям. Но в каждом случае передачи информации третьим лицам необходимо отдельное согласие, при этом должны быть перечислены передаваемые данные, цель этой передачи, получающее информацию лицо и иные сведения. Обязательно должно быть указано название организации.

Штраф, налагаемый за несогласованную пациентом передачу информации третьему лицу, – в диапазоне 30 – 150 тысяч рублей.

Следует учесть, что договоры, заключаемые с иными лицами до осуществления передачи им личных данных, должны содержать пункты о разделении сфер ответственности и исполнении режима конфиденциальности. Это позволит защитить интересы клиники в ситуации возможной утечки информации, если вины клиники в утечке не было.

Третья ошибка – отсутствует политика обработки полученных личных данных

Контролирующие госорганы: Роскмнадзор, Роспотребнадзор и Росздравнадзор, осуществляют постоянный мониторинг сайтов медорганизаций.

Юристы в сфере защиты персональных данных отмечают, что зачастую клиники не размещают на их сайтах политику обработки вопреки требованиям закона. Или подменяют её просто разрешением пациента на обработку. Ошибкой будет и публикация формальной политики, не учитывающей действующую процедуру обработки данных, без точного разделения целей и сроков самой обработки.

За отсутствие реальной политики обработки полученных от пациентов данных возможен штраф от тридцати до шестидесяти тысяч рублей.

Четвёртая ошибка – зарубежное хранение персональных данных

Все массивы информации о пациентах (облачные хранилища, а также серверы и т.п.) должны располагаться в границах России. Зачастую клиники не осведомлены о том, что их информация о пациентах находятся за границей (к примеру, при использовании при сборе показателей для гугл-форм).

Во избежание административной ответственности, клиники должны иметь документы, подтверждающие локализацию баз персональных данных внутри страны. Не следует использовать зарубежные облачные хранилища, сервисы.

Штраф за хранение персональных данных вне пределов страны – до шести миллионов рублей, а при повторном нарушении – до 18 миллионов рублей.

Последствия игнорирования требований закона при обработке персональных данных пациентов могут быть далеко не самыми приятными. Чтобы избежать их, порой достаточно консультации юриста. В сложных случаях лучше воспользоваться услугами юристов нашего юридического бюро в Москве Долгопрудном и Подмосковье, для чего нужно просто задать вопрос нашему юристу по телефону 8 (495) 969-77-44 или оставить заявку на сайте.