Приказ о персональных данных в медицинском учреждении

Оглавление:

Сбор личных сведений в медицинском учреждении: согласие пациента на обработку персональных данных

В связи с компьютеризацией всех сфер жизни человека все более актуальным становится вопрос защиты информации.

Особенно важно соблюдение принципов конфиденциальности для пациентов и сотрудников медицинских учреждений.

Рассмотрим, какие меры должны предприниматься медицинскими организациями для защиты персональной информации пациентов, как документально оформляется согласие на сбор и обработку данных, а также уделим внимание юридической стороне вопроса.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (495) 212-90-15 . Это быстро и бесплатно !

Как осуществляется защита личной информации в медицинском учреждении?

Одним из актуальных вопросов в области защиты информации является защита информации о пациентах клиник. Личные сведения, место проживания, история болезни и лечения не должны быть использованы против личности. В соответствии с Федеральным законом от 27.07.2006 №152 «О персональных данных» в каждом медицинском учреждении должно быть разработано и утверждено «Положение о защите персональных данных».

Документа должно быть два:

  1. один регламентирует информацию о пациентах;
  2. другой – о сотрудниках медицинского учреждения.

За нарушения сотрудниками правил предусматривается дисциплинарное наказание.

Положение о защите включает в себя следующую информацию:

  • Юридические официальные данные организации.
  • ФИО руководителя организации.
  • Список ответственных за защиту информации лиц.
  • Основные принципы защиты данных.
  • Меры наказания за нарушения.

Чтобы не допустить утечки информации и добиться грамотной систематизации в соответствии с Постановлением правительства РФ от 01.11.2012 №1119 руководство учреждения должно разработать собственную систему защиты информации.

Это обязывает сделать Постановление Правительства РФ №1119. Техническими вопросами занимаются специалисты в области защиты информации. Например, они блокируют доступ к сведениям о клиентах больницы для некоторых сотрудников. Эти и другие хитрости позволяют создать функциональную, удобную и безопасную базу данных пациентов.

Юридическая сторона

Согласно ФЗ №152 персональными данными являются любые сведения, прямо или косвенно относящиеся к физическому лицу, субъекту данных:

  • Фамилия, имя, отчество.
  • Адрес жительства и прописки.
  • Место работы и должность.
  • Семейное положение.
  • Сведения об имуществе.
  • Другая личная информация.

Персональная информация о пациентах кроме сведений общего характера содержит также сведения о диагнозе, анализах, лечении. Эта информация относится к врачебной тайне. Ее сохранность является одним из важнейших принципов врачебной этики. Сохранение врачебной тайны обязан обеспечить каждый сотрудник медицинского учреждения.

По этой причине при приеме на работу он заполняет и подписывает официальный документ – обязательство о сохранении врачебной тайны.

Обязательство о сохранении врачебной тайны включает в себя:

  • ФИО сотрудника.
  • Место работы или учебы (если медицинский сотрудник является студентом).
  • Текст обязательства с указанием законов, регламентирующих его деятельность в сфере сохранения врачебной тайны.
  • Меры наказания за нарушение.
  • Дата, подпись.

Документ, подтверждающий согласие на сбор и хранение сведений о больном

При обращении в медицинское учреждение каждый должен ознакомиться и заполнить документ, подтверждающий согласие на обработку персональных данных. Согласие на обработку данных – документ, подтверждающий согласие пациента на сбор, хранение сведений о себе. В него входят:

  • ФИО субъекта данных (пациента).
  • Адрес регистрации.
  • Паспортные данные.
  • Срок действия согласия.
  • Виды действий, которые будут применены к данным субъекта.
  • Меры ответственности за нарушения.

Согласие пациент подписывает при обращении в учреждение, обычно прямо у стойки регистрации. Его можно отозвать в любой момент.

Для этого необходимо обратиться в учреждение и заполнить соответствующий документ. Если данные будет обрабатывать не только медицинское учреждение, но и другой оператор (аутсорсинговая или страховая компания), необходимо дополнительно указать это. Пациент обязан знать, что сведения о нем будут доступны другой организации.

Политика больницы в отношении обязательств о неразглашении

Персональные данные клиента медицинского учреждения – строго закрытая информация. Она не может быть передана третьим лицам без согласия субъекта.

Очень часто сведения от медицинских учреждений пытаются получить адвокаты. Это незаконно! За нарушение правил сбора, хранения информации, а также передачу ее третьим лицам предусмотрена административная или уголовная ответственность.

Согласно ст. 13.11 КоАП может наказываться штрафом до 1000 рублей для должностных лиц, и от 4 до 5 тысяч для юридических лиц. Уголовная ответственность наступает в соответствии со статьей 137 УК РФ. В соответствии с этим законом наказание будет более серьезным: возможны штраф от 100 до 300 тысяч рублей, исправительные работы, арест, лишение права заниматься врачебной деятельностью.

Если сведения о гражданине были разглашены, и это нанесло ему моральный вред, можно обратиться в суд и получить компенсацию. В этом поможет грамотный юрист. Итак, личные данные пациента должны храниться и обрабатываться с учетом всех правил, предусмотренных законом.

Ведь они содержат не только общую информацию, но и сведения, относящиеся к врачебной тайне. Клиент медицинского учреждения при обращении предоставляет согласие на обработку, которое может отозвать в любой момент.

Смотрим видео с детальной информацией по вопросу сбора, обработки и защиты персональных данных в медицинских учреждениях:

Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

+7 (495) 212-90-15 (Москва)
+7 (812) 332-54-12 (Санкт-Петербург)

Персональные данные пациентов в медицинских организациях: требования к обработке и ответственность

Медицинские организации в силу законодательства являются операторами персональных данных своих пациентов. Они принимают непосредственное участие в сборе, систематизации, накоплении, хранении, уточнении, обновлении, изменении, распространении и уничтожении такой информации. Разберемся, какие требования предъявляет законодательство к медицинской организации в качестве оператора персональных данных и какие виды ответственности предусмотрены за их нарушение.

Персональные данные представляют собой любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ)).

Медицинская организация, получая персональные данные от пациента (субъекта персональных данных), например, при его первоначальном поступлении или заключении договора на оказание медицинских услуг, а также в процессе лечения, приобретает статус оператора. У нее возникают определенные обязанности в части работы с полученными персональными данными.

Данные обязанности регулируются следующими нормативными актами:
– Конституция РФ;
– КоАП РФ, УК РФ, ГПК РФ;
– упомянутый выше Закон № 152-ФЗ;
– Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
– Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в РФ» (далее — Закон № 323-ФЗ);
– другие положения и нормативно-правовые акты.

Важно!
Оператор персональных данных — это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (ст. 3 Закона № 152-ФЗ).

Персональные данные пациента и врачебная тайна

Сразу отметим, что информация о состоянии здоровья пациента относится к специальным категориям персональных данных, обработка которых не допускается, за исключением случаев, когда (ст. 10 Закона № 152-ФЗ):
– пациент дал согласие в письменной форме на обработку своих персональных данных;
– пациент сам сделал персональные данные общедоступными;
– обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов пациента либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия пациента невозможно;
– обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну.

Информация, являющаяся врачебной тайной, — это отдельный подвид персональных данных. Она представляет собой сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья, диагнозе и иные сведения, полученные при его медицинском обследовании и лечении (п. 1 ст. 13 Закона № 323-ФЗ). Ее разглашение не допускается (п. 2 ст. 13 Закона № 323-ФЗ), за исключением отдельных случаев, о которых мы расскажем ниже.

Обработка персональных данных

Обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение (ст. 3 Закона № 152-ФЗ).

Как было сказано выше, перед получением от пациента информации медицинская организация должна запросить у него согласие на обработку персональных данных (ст. 6, ст. 10 Закона № 152-ФЗ).

Пациент вправе полностью или частично отказаться от предоставления согласия на обработку персональных данных. Поэтому медицинской организации следует правильно подходить к виду и объему запрашиваемой информации. В обработку нужно запрашивать только те сведения, которые отвечают ее целям. Сведения не должны быть избыточными (ст. 5 Закона № 152-ФЗ).

При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе следующую информацию:
– подтверждение факта обработки персональных данных;
– правовые основания и цели обработки;
– цели и применяемые способы обработки;
– наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании положений законодательства;
– обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен положениями законодательства;
– сроки обработки персональных данных, в том числе сроки их хранения;
– порядок осуществления субъектом персональных данных прав, предусмотренных Законом № 152-ФЗ;
– информацию об осуществленной или о предполагаемой трансграничной передаче персональных данных;
– наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
– иные сведения, предусмотренные Законом № 152-ФЗ или другими федеральными законами.

Согласие на обработку персональных данных может быть получено в электронной либо в письменной форме.

При этом согласие на обработку биометрических данных необходимо получить от пациента именно в письменной форме (ст. 11 Закона № 152-ФЗ), так как они представляют собой сведения, которые характеризуют физиологические и биологические особенности на основании которых можно установить личность.

Бумажный документ должен содержать следующие реквизиты (п. 4 ст. 9 Закона № 152-ФЗ):
– фамилию, имя, отчество, адрес пациента, номер основного документа, удостоверяющего его личность, сведения о дате выдачи этого документа и выдавшем его органе;
– Ф.И.О., адрес представителя пациента, номер основного документа, удостоверяющего его личность, сведения о дате выдачи этого документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя пациента (при получении согласия от него);
– наименование медицинской организации;
– цель обработки персональных данных;
– перечень персональных данных, на обработку которых пациент дает согласие;
– наименование или Ф.И.О. и адрес лица, осуществляющего обработку персональных данных по поручению медицинской организации, если обработка будет поручена такому лицу;
– перечень действий с персональными данными, на совершение которых дается согласие, и общее описание используемых способов обработки персональных данных;
– срок, в течение которого действует согласие пациента, а также способ отзыва такого согласия, если иное не установлено законодательством;
– подпись пациента.

Смотрите так же:  1864 год мировой суд

Также обратите внимание, что при заключении договора с пациентом медицинская организация обязана предоставить ему информацию о номере своей лицензии, сроке ее действия и выдавшем ее органе. Такую информацию можно включить непосредственно в договор либо прописать в нем ссылку на источник откуда можно получить информацию.

При заключении договора на сложные и дорогостоящие услуги пациенту следует предложить под роспись ознакомиться с описанием этих услуг, способами их оказания, возможными последствиями и т. д.

От пациента обязательно потребуется получить информированное добровольное согласие на медицинское вмешательство (на анестезиологическое обеспечение медицинского вмешательства, на оперативное вмешательство, в том числе переливание крови и ее компонентов, и т. д.). Его следует оформить в письменном виде – записью в истории болезни, заверенной подписью самого пациента (его законного представителя) либо его отдельной распиской или заявлением. С 1 января 2018 года согласие также можно оформить в виде электронного документа, подписанного усиленной квалифицированной или простой электронной подписью пациента (его законного представителя) и электронной подписью медицинского работника.

Если состояние пациента не позволяет ему выразить свою волю, а медицинское вмешательство неотложно, вопрос о его проведении решают консилиум или лечащий врач.

Медицинское вмешательство без информированного добровольного согласия также возможно в отношении пациентов:
– страдающих заболеваниями, представляющими опасность для окружающих;
– страдающих тяжелыми психическими расстройствами;
– совершивших общественно опасные деяния (преступления);
– направленных на судебно-медицинскую и (или) судебно-психиатрическую экспертизы.

Предоставление персональных пациента данных третьим лицам

Законодательство запрещает предоставлять третьим лицам и распространять персональные данные без согласия пациента (ст. 7 Закона № 152-ФЗ).

Под предоставлением в данном случае понимаются действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц, а под распространением — действия, направленные на раскрытие персональных данных неопределенному кругу лиц (ст. 2 Закона № 152-ФЗ).

Вместе с тем, Закон № 323-ФЗ допускает разглашение сведений, составляющих врачебную тайну, с письменного согласия пациента или его законного представителя другим гражданам, в том числе должностным лицам, в целях медицинского обследования и лечения пациента, проведения научных исследований, их опубликования в научных изданиях, использования в учебном процессе и в иных целях (п. 2 ст. 13 Закона № 323-ФЗ).

Кроме того, предоставление сведений, составляющих врачебную тайну, без согласия пациента или его законного представителя возможно (п. 3 ст. 13 Закона № 323-ФЗ):
– в целях проведения медицинского обследования и лечения пациента, который в результате своего состояния не способен выразить свою волю;
– при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;
– по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органов прокуратуры в связи с осуществлением прокурорского надзора, по запросу органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля;
– в целях осуществления уполномоченными федеральными органами исполнительной власти контроля за исполнением лицами, признанными больными наркоманией либо потребляющими наркотические средства или психотропные вещества без назначения врача либо новые потенциально опасные психоактивные вещества, возложенной на них при назначении административного наказания судом обязанности пройти лечение от наркомании, диагностику, профилактические мероприятия и (или) медицинскую реабилитацию;
– в случае оказания медицинской помощи несовершеннолетнему для информирования одного из его родителей или иного законного представителя;
– в целях информирования органов внутренних дел о поступлении пациента, в отношении которого имеются достаточные основания полагать, что вред его здоровью причинен в результате противоправных действий;
– в целях проведения военно-врачебной экспертизы по запросам военных комиссариатов, кадровых служб и военно-врачебных (врачебно-летных) комиссий;
– при обмене информацией между медицинскими организациями, в том числе размещенной в медицинских информационных системах, в целях оказания медицинской помощи с учетом требований законодательства РФ о персональных данных;
– в целях осуществления учета и контроля в системе обязательного социального страхования.

Предоставление персональных данных пациенту или его законному представителю

Медицинская организация обязана сообщить пациенту или его законному представителю информацию о наличии персональных данных и предоставить возможность для ознакомления с ними в течение 30 дней с даты получения соответствующего запроса от пациента или его представителя (ст. 14, ст. 20 Закона № 152-ФЗ).
Согласно Закону № 323-ФЗ пациент или его законный представитель имеют право на основании письменного заявления получать отражающие состояние здоровья медицинские документы, их копии и выписки из медицинских документов (п. 5 ст. 22 Закона № 323-ФЗ) в порядке утвержденном приказом Минздравсоцразвития РФ от 02.05.2012 № 441н, а также непосредственно знакомиться с медицинской документацией, отражающей состояние здоровья в порядке, утвержденном приказом Министерства здравоохранения РФ от 29.06.2016 № 425н.

Ответственность за нарушение правил работы с персональными данными

Административная ответственность за нарушения в области защиты персональных данных установлена статьей 13.11 КоАП РФ. Перечислим за что могут оштрафовать медицинскую организацию.

Обработка персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо обработка персональных данных, несовместимая с целями их сбора влечет предупреждение или наложение штрафа:
– на граждан в размере от 1000 до 3000 рублей;
– на должностных лиц – от 5000 до 10 000 рублей;
– на юридических лиц – от 30 000 до 50 000 рублей.

Обработка персональных данных без согласия в письменной форме в случаях, когда оно должно быть получено в соответствии с законодательством РФ в области персональных данных (если эти действия не содержат уголовно наказуемого деяния), либо обработка персональных данных с нарушением установленных законодательством РФ в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме влечет:
– наложение административного штрафа на граждан в размере от 3000 до 5000 рублей;
– на должностных лиц – от 10 000 до 20 000 рублей;
– на юридических лиц – от 15 000 до 75 000 рублей.

Невыполнение предусмотренной законодательством РФ в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся их обработки, влечет предупреждение или наложение штрафа:
– на граждан в размере от 1000 до 2000 рублей;
– на должностных лиц – от 4000 до 6000 рублей;
– на юридических лиц – от 20 000 до 40 000 рублей.

Несоблюдение сроков выполнения требований по защите прав субъектов персональных данных об их уточнении, блокировании или уничтожении, когда данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, влечет предупреждение или наложение административного штрафа:
– на граждан в размере от 1000 до 2000 рублей;
– на должностных лиц – от 4000 до 10 000 рублей;
– на юридических лиц – от 25 000 до 45 000 рублей.

Невыполнение требований по сохранности персональных данных при их обработке без использования средств автоматизации, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении данных, при отсутствии признаков уголовно наказуемого деяния влечет наложение штрафа:
– на граждан в размере от 700 до 2000 рублей;
– на должностных лиц – от 4000 до 10 000 рублей;
– на юридических лиц – от 25 000 до 50 000 рублей.

Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных для этого требований или методов влечет предупреждение или наложение штрафа на должностных лиц в размере от 3000 до 6000 рублей.

Уголовная ответственность предусмотрена за следующие правонарушения.

Незаконное собирание или распространение с использованием служебного положения сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИ может повлечь (ст. 137 УК РФ):
– штраф в размере от 100 000 до 300 000 рублей;
– лишение права занимать определенные должности на срок от двух до пяти лет;
– принудительные работы на срок до четырех лет (с лишением права занимать определенные должности на срок до пяти лет или без такового);
– арест на срок до шести месяцев;
– лишение свободы на срок до четырех лет (с лишением права занимать определенные должности на срок до пяти лет).

За неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы пациента, либо предоставление ему неполной или заведомо ложной информации, если это причинило вред правам и законным интересам пациента медицинской организации грозит (ст. 140 УК РФ):
– штраф до 200 000 рублей;
– лишение права занимать определенные должности на срок от двух до пяти лет.

Неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло ее уничтожение, блокирование, модификацию либо копирование предусматривает:
– штраф до 200 000 рублей;
– исправительные работы на срок до одного года;
– ограничение свободы на срок до двух лет;
– принудительные работы на срок до двух лет;
– лишение свободы на тот же срок.

Кроме того, медицинскую организацию могут привлечь к гражданско-правовой ответственности за причинение пациенту морального вреда (нравственных страданий) вследствие нарушения правил обработки персональных данных (ст. 24 Закона № 152-ФЗ; ст. 151 ГК РФ). Ответственность предусматривает компенсацию морального вреда (независимо от возмещения имущественного вреда и понесенных субъектом убытков).

Свежие новости цифровой экономики на нашем канале в Телеграм

Образец приказа о защите персональных данных работников

Мировая тенденция развития законодательства в области защиты персональных данных демонстрирует ужесточение норм, регламентирующих наказание за незаконное использование личной информации. Российское право в этом вопросе не стоит особняком и так же стремится к усилению контроля над утечкой данных. В связи с этим при организации защиты конфиденциальных сведений на предприятии необходимо опираться на главу 14 ТК РФ и Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».

Какие данные относятся к персональным

К персональным относятся следующие сведения:

  • ФИО;
  • возраст;
  • семейное положение;
  • образование;
  • профессия;
  • адрес проживания;
  • расовая и национальная принадлежность;
  • вероисповедание;
  • биометрические данные;
  • политические взгляды;
  • состояние здоровья.

Подготовка приказа о защите персональных данных

На предприятии должен быть назначен сотрудник, ответственный за подготовку пакета документов о защите конфиденциальной информации. Такое назначение делается на основании соответствующего приказа руководителя. Ответственный сотрудник должен подготовить определенный пакет документов:

  • положение об обработке и защите конфиденциальной информации;
  • политика предприятия в отношении таких сведений;
  • перечень лиц, имеющих доступ к ним;
  • согласие на обработку;
  • соглашение о неразглашении;
  • журнал учета передачи данных.

Этот пакет бумаг поможет не только соблюсти закон, но и обезопасить организацию от претензий со стороны Роскомнадзора, который является проверяющим органом в этой сфере. Порядок таких проверок, а также права и обязанности контролирующего органа и инспектируемой организации регулируются Приказом Минкомсвязи России № 312 от 14.11.2011 года.

Перечисленные документы вводятся в действие соответствующим приказом. Его образец представлен ниже.

Работодатель должен помнить, что вся информация о работнике должна быть получена от него самого или из третьих источников, но только с его письменного согласия. Воспользоваться такой возможностью можно, если утрачены какие-либо документы.

Нередки случаи, когда сведения о сотруднике меняются, например, при перемене фамилии или изменении семейного положения. Законодательство не устанавливает конкретный срок, в течение которого работник должен уведомить работодателя об изменениях. Поэтому рекомендуется закрепить сроки в локальном нормативном акте. Уведомить работодателя необходимо посредством соответствующего заявления, подкрепленного документами, удостоверяющими изменения. Образец представлен ниже.

На некоторых предприятиях затем на основании заявления издается приказ об изменении информации о сотруднике. Образец этого документа можно скачать ниже. Но для облегчения процедуры зачастую просто готовится дополнительное соглашение, вносятся изменения в личную карточку, трудовую книжку работника и другие документы при необходимости.

Особое внимание уделяется конфиденциальности информации о пациентах медицинских учреждений. Прежде всего, обязанность хранить молчание о состоянии пациентов лежит на самом враче. Но это не снимает с администрации лечебного учреждения необходимость издать приказ «Перечень персональных данных пациентов, подлежащих защите».

Смотрите так же:  Фз закон о субсидиях

Образец приказа о персональных данных работников

Из истории вопроса

Развитие информационных технологий сделало тему защиты персональных данных одной из наиболее обсуждаемых на самых разных уровнях. Масштабные скандалы с утечками конфиденциальной информации из Белого дома или личных сведений миллионов посетителей международного сайта знакомств прогремели на весь мир. Есть случаи и помельче, на уровне организаций (например, использование сотрудницами отдела кадров страниц с личной информацией сотрудников в качестве черновиков-«обороток», размещение в открытом доступе сведений об учениках образовательных учреждений или пациентах клиник). Часто это происходит по незнанию: не все должностные лица понимают, что входит в состав персональных данных. Тем не менее, поисковая фраза «скачать образец приказа о защите персональных данных работников 2019 год» находится на лидирующих позициях в поисковых системах. И на это есть вполне понятные причины.

Отношение государства к таким «оплошностям» решительно меняется в сторону ужесточения наказаний за них. Чтобы не иметь неприятностей, нужно организовать защиту персональных данных так, как этого требует глава 14 ТК РФ и закон № 152-ФЗ. В статье мы коротко расскажем о том, какой пакет документов нужно подготовить, а также дадим образец приказа о защите персональных данных работников.

Организация защиты (пакет документов)

Руководитель предприятия должен своим приказом назначить одного из сотрудников ответственным за обработку и хранение конфиденциальной информации и поручить ему составить локальные нормативные акты. Вот их небольшой перечень:

  • политика организации в отношении персональных данных (в данном случае будет составлен образец приказа об утверждении политики обработки персональных данных в целом по организации);
  • положение об обработке и защите конфиденциальной информации (приказ на утверждение положения о защите персональных данных);
  • перечень лиц, имеющих к ней доступ;
  • согласие на обработку (в общем случае согласие нужно получить от сотрудников, в частных случаях, например, для школ — от родителей, для медучреждений — от пациентов, для газет, журналов и издательств — от авторов и т. д.);
  • соглашение о неразглашении;
  • журнал учета передачи данных.

Порядок разработки и утверждения

Насколько хорошо организации выполняют требования 152-ФЗ, проверяет Роскомнадзор в соответствии с Административным регламентом, утвержденным Приказом Минкомсвязи России от 14.11.2011 № 312. Для того чтобы у инспектора не было повода «принимать меры», нужно подготовить документы, перечисленные выше, и утвердить их приказами руководителя. Основополагающим станет распоряжение об утверждении Положения — смотрите образец приказа об утверждении положения о персональных данных (2019 год).

Образец приказа о персональных данных работников 2019

Крайне важно соблюдать правило, сформулированное в ст. 86 ТК РФ: все, что мы знаем о работнике, мы должны узнать от него самого. В крайнем случае можно обратиться к так называемой третьей стороне, если работник не владеет необходимой информацией (забыл, потерял. ), но только с его ведома (например, запросить копию диплома в архиве вуза). Работника необходимо поставить об этом в известность и получить его согласие: это делается в форме заявления-согласия на получение сведений у третьей стороны.

Все это надо прописать в положении, с которым работник должен быть ознакомлен до момента подписания трудового договора.

Положение о защите персональных данных работников 2019 года

Допуск к персональным данным

Персональные данные работников — это, образно говоря, «золото и бриллианты», доступ к которым ограничен даже для сотрудников организации. Кто будет иметь к ним доступ — решает директор. Общие требования по работе в данном направлении прописываются в положении (образец приказа об утверждении положения о защите персональных данных 2019 году можно сделать в свободной форме, унифицированной формы данного документа не существует). В то же время отдельным нормативным документом пишут, кто, когда и с какой целью имеет доступ к тем или иным персональным данным. Полный допуск, как правило, имеют:

  • генеральный директор и его заместитель по безопасности;
  • начальник отдела кадров.

Остальные специалисты, в том числе и бухгалтеры, могут иметь доступ только к той информации, которая им необходима для выполнения своих должностных обязанностей.

Бывает, что сведения меняются (например, женщина выходит замуж и меняет фамилию или студент получает диплом о высшем образовании). В этом случае сотрудник подает заявление, и на его основе издается приказ о внесении изменений в ряд документов (см. образец приказа об изменении персональных данных работника). Однако это распоряжение не относится к документам, наличие которых продиктовано ФЗ-152, — это один из стандартных приказов по кадрам.

Медицинская организация обязана особенно внимательно относиться к обработке данных и готовить свою, отраслевую документацию, например иметь приказ о утверждении положения о защите персональных данных и приказ «Перечень персональных данных пациентов, подлежащих защите».

Персональные данные пациента косметологической клиники: правила обработки

Что относится к персональным данным?

Ключевым актом, регулирующим вопросы обработки и использования персональных данных (далее – ПД) является Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» (далее – ФЗ-152), который и закрепил определение персональных данных. Согласно п.1 ст.3 указанного федерального закона под персональными данными понимается «любая информация, относящаяся к прямо или косвенно определяемому физическому лицу (субъекту персональных данных)».

Из указанного определения следует, что персональными данными являются не только ФИО гражданина и его паспортные и контактные данные (номер телефона, адрес электронной почты), что очевидно, но и дата и место рождения, национальность, рост и вес, вероисповедание и так далее. Перечень персональных данных не может быть исчерпывающим; он включает в себя любую информацию, позволяющую тем или иным образом (прямо или косвенно) идентифицировать лицо.

Является ли медицинская организация оператором персональных данных?

Сразу оговоримся, что в данной статье мы будем говорить только об обработке персональных данных пациентов. Обработка персональных данных сотрудников клиники работодателем подчиняется общим правилам обработки персональных данных, за некоторыми исключениями, но данный вопрос не является предметом настоящей статьи.

На оператора персональных данных ФЗ-152 возложен ряд обязанностей, исполнение которых влечет материальные и временные издержки, в связи с чем медицинские организации при назначении административных штрафов периодически пытаются доказать тот факт, что они операторами персональных данных не являются, а если и являются, то перечень их обязанностей должен быть усечен. Давайте разберемся, так ли это.

Первая точка зрения: медицинская организация не является оператором персональных данных

Данная точка зрения базируется на аргументации, согласно которой медицинская организация обрабатывает персональные данные только в целях исполнения договора об оказании платных медицинских услуг.

Ее сторонники не учитывают, что сама по себе информация, необходимая для заполнения медицинской карты по форме 025/у, уже является персональными данными, так как позволяет без труда идентифицировать личность, а доказать исключительность цели обработки – крайне сложная задача. Клиника занимается обработкой персональных данных, определяет цели такой обработки, совершает операции с персональными данными, то есть, используя терминологию ФЗ-152, является оператором персональных данных.

Оператор персональных данных – категория, связанная с фактической деятельностью юридического лица, а не процедурой присвоения этого статуса. То есть если вы собираете информацию о пациенте, вы являетесь оператором персональных данных вне зависимости от наличия организации в реестре операторов персональных данных.

Вторая точка зрения: медицинская организация все же оператор персональных данных, но с ограниченным перечнем обязанностей

Сторонники этой точки зрения «освобождают» клинику от двух основных обязанностей оператора персональных данных: обязанности получать согласие субъекта персональных данных и обязанности уведомить Роскомнадзор о начале обработки персональных данных.

Тезис 1: получение согласия субъекта персональных данных не является обязательным в случае обработки данных исключительно для исполнения договора (п.5 ч.1 ст. 6 ФЗ-152).

Суды не находят данную аргументацию убедительной. Наглядным примером может служить постановление Самарского областного суда от 08.02.2016 №4а-131/2016. Позиция медицинской организации, подкрепленная ссылкой на п.5 ч.1ст. 6 ФЗ-152, не явилась основанием для отмены административного штрафа. Логика суда следующая: медицинская организация – юридическое лицо, осуществляющее обработку персональных данных, а значит, необходимо согласие на обработку персональных данных.

Тезис 2: медицинская организация не обязана направлять уведомление в Роскомнадзор, так как обработка информации направлена исключительно на исполнение заключенного с пациентом договора об оказании платных медицинских услуг, что является исключением, названным в п. 2 ч.2 ст. 22 ФЗ-152.

Все было бы хорошо, если бы не тот факт, что на практике доказать направленный исключительно на исполнение договора характер обработки персональных данных практически нереально.

Если у клиники есть сайт с возможностью регистрации пользователей или с формой обратной связи, то она однозначно является оператором персональных данных. В таком случае графу, посвященную согласию на обработку персональных данных, нужно добавить в форму регистрации. Также в форму регистрации добавляется ссылка на политику организации в отношении персональных данных (подробнее – см.ниже). Учтите, что у Вас должна быть техническая возможность подтверждения факта согласия субъекта персональных данных на обработку данных на случай спора с проверяющей инстанцией, то есть должна быть предусмотрена возможность хранения и отображения фактов дачи согласия пользователями сайта.

Таким образом, медицинская организация обязана получать согласие на обработку персональных данных, а также направлять уведомление в территориальный орган Роскомнадзора для включения в реестр операторов персональных данных.

Медицинские карты. Врачебная тайна.

Информация о состоянии здоровья пациента носит особый характер.

В соответствии со ст.13 Федерального закона от 21.11.2011 №323-ФЗ «Об основах охраны здоровья граждан в РФ» (далее – ФЗ-323) сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну. Без согласия гражданина такая информация может быть предоставлена исключительно в случаях, перечисленных в названной статье.

Как указано в п.4 ст. 92 ФЗ-323 сведения о лицах, которые участвуют в оказании медицинских услуг, и о лицах, которым оказываются медицинские услуги, относятся к информации ограниченного доступа и подлежат защите в соответствии с законодательством Российской Федерации.

Из этого следует вывод, что информация, которую врач указывает в медицинской карте пациента, составляет врачебную тайну, которая в свою очередь является информацией ограниченного доступа, разглашение которой влечет последствия, отличные от последствий ординарного разглашения персональных данных.

Субъектом такого правонарушения, как разглашение информации с ограниченным доступом, предусмотренного ст. 13.14 КоАП РФ, не может являться организация (клиника в целом), но исключительно граждане и должностные лица; штраф для последних составляет от 4 до 5 тысяч рублей.

Однако, стоит помнить о возможности привлечения к уголовной ответственности по ч.2 ст. 137 УК РФ, о чем будет сказано далее.

Приказ Минздрава РФ от 15.12.2014 №834н , к сожалению, с точки зрения информации о способах хранения медицинских карт, абсолютно не информативен. С точки зрения обеспечения безопасности персональных данных, содержащихся в медицинских картах, медицинская организация должна предпринять общие меры, перечисленные ниже, направленные на исключение возможности разглашения персональных данных, доступа третьих лиц и т.д.

Обязанности оператора персональных данных

Так как мы уже определились с тем, что клиника является оператором персональных данных, следует разобраться, какие именно обязанности на нее, как на оператора, возложены законом.

Обязанность получать согласие пациента на обработку персональных данных

Безусловно, самая известная обязанность, о которой знает большинство руководителей клиник косметологии.

Информация, которая обязательно должна входить в согласие на обработку персональных данных, перечислена в ч.4 ст.9 ФЗ-152.

Согласие на обработку персональных данных заполняется на каждого пациента при первом посещении. Отсутствие согласия на обработку персональных данных грозит организации штрафом, максимальный размер которого составляет 75 тысяч рублей.

К согласию, составленному в бумажном виде, приравнивается согласие, полученное в форме электронного документа, подписанного электронной подписью.

Особое внимание следует уделить целям обработки персональных данных, которые указываются в согласии. Цели должны быть сформулированы в максимальном соответствии с осуществляемой в действительности обработкой персональных данных, так как ответственность предусмотрена не только за отсутствие согласия, но и за обработку данных в целях, этим согласием не предусмотренных.

Поясним на примере. Если в качестве целей обработки персональных данных в согласии указано только оказание медицинских услуг, а на деле осуществляется рассылка смс/электронной почты рекламного содержания, юридическое лицо должно быть привлечено к административной ответственности в виде штрафа по ч.1 ст. 13.11 КоАП РФ, размер которого варьируется в пределах от 30 до 50 тысяч рублей.

Смотрите так же:  Приказ отзыв из отпуска в командировку

Более того, помимо целей, следует избегать сбора избыточной информации, так как обработка персональных данных, не связанных с целью их сбора, также влечет административное наказание. Например, неуместен сбор паспортных данных при оформлении согласия для участие в программе лояльности.

Если пациент откажется заполнять излишне объемный бланк согласия и клиника на этом основании откажет ему в предоставлении медицинских услуг, штраф будет по ч.1 ст. 14.4 КоАП РФ за отказ в предоставлении услуг в нарушение лицензионных требований. Пример — Постановление Тринадцатого арбитражного апелляционного суда от 03.06.2014 по делу N А56-56137/2013.

Мнение эксперта

Сразу отметим, что согласие должно быть получено даже в том случае, если юридическое лицо собирает незначительное количество информации, например, только номер телефона или адрес электронной почты (даже без обязательного указания имени). Такие контактные данные позволяют идентифицировать лицо, а значит, являются персональными данными. Противоположную позицию, согласно которой отдельно взятый номер мобильного телефона не позволяет идентифицировать лицо и не является персональными данными, можно встретить на официальном сайте Управления Роскомнадзора по одной из республик Российской Федерации. Однако, указанный подход не проводится последовательно на территории всей Российской Федерации.

Это актуально для клиник, на сайтах которых есть форма обратной связи. Заполнение такой формы и обработка указанных в ней данных в отсутствие графы, подтверждающей факт дачи согласия на обработку персональных данных, влечет штраф за обработку персональных данных без согласия. В качестве примера из судебной практики см. постановление Тамбовского областного суда от 04.10.2016 №4А-288/2016.

При оформлении договора оказания платных медицинских услуг, согласие на обработку данных рекомендуется составлять в виде отдельного документа. Требования к форме согласия в законе отсутствуют, однако, всегда стоит помнить о том, что бремя доказывания факта получения согласия лежит на операторе персональных данных, то есть на медицинской организации. Соответственно, проще составить его в качестве лаконичного отдельного документа и хранить вместе с договором, нежели включать в качестве пункта договора. Однако, повторюсь, запрета на включение раздела, касающегося обработки персональных данных, непосредственно в договор нет. В соответствии с постановлением Правительства РФ от 04.10.2012 №1006 договор об оказании платных медицинских услуг может включать и иные условия, определенные соглашением сторон, в том числе и условие об обработке и использовании персональных данных.

Мнение эксперта

Обязанность уведомить Роскомнадзор

До начала обработки персональных данных оператор ПД обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных. По результатам рассмотрения заявления оператор ПД вносится в реестр операторов ПД, который ведет Роскомнадзор. Форма уведомления установлена в Приложении 2 Административного регламента. Рекомендации по заполнению – здесь.

Уведомление подается в территориальный орган Роскомнадзора по месту регистрации юридического лица.

Обязанность опубликовать политику в отношении персональных данных

Оператор персональных данных обязан опубликовать на сайте или иным способом обеспечить доступ неограниченного числа лиц к документу, определяющему политику оператора в отношении обработки персональных данных или сведениям о реализуемых требованиях к защите персональных данных (далее – Политика).

Приказом руководителя организации должна быть утверждена «Политика в отношении обработки персональных данных», которая затем размещается на сайте организации. Лучше всего в форме, которую субъект персональных данных заполняет на сайте, рядом с графой, где непосредственно проставляется отметка о согласии на обработку, сделать активную ссылку на документ, устанавливающий Политику.

Также советуем включить в текст документа, устанавливающего Политику, помимо информации о способах и целях обработки персональных данных, их конфиденциальности, раздел, где будет детально описан способ направления запросов субъектов персональных данных (с указанием контактов оператора ПД), а также порядок ответа на них.

Содержание политики определяется руководством организации, как и форма документа.

Формы документов различны: пользовательское соглашение, официальное уведомление, политика конфиденциальности и др.

Неисполнение данной обязанности влечет для юридического лица наложение штрафа в размере от 15 до 30 тысяч рублей.

Обязанность назначить ответственного сотрудника

Для исполнения этой обязанности приказом руководителя клиники нужно назначить ответственного за обработку персональных данных. Минимальный перечень его обязанностей установлен ч.4 ст. 22.1 ФЗ-152.

Необходимо подготовить для сотрудников, работающих с персональными данными, внутренние документы о порядке доступа к данным, их хранении, ответственности. Документы могут быть изданы в форме инструкций, приказов, регламентов.

Локальные акты, направленные на исполнение этой обязанности, не публикуются для неограниченного доступа.

Обязанность обеспечить безопасность данных

Обязанность регламентирована ст. 19 ФЗ-152.

Если оператор персональных данных не использует средства автоматизации, то в соответствии с Перечнем НПА Роскомнадзора, для него обязательно соблюдение требований, установленных постановлением Правительства РФ от 15.09.2008 №687 .

Невыполнение требования, имевшее последствия в виде неправомерного доступа, уничтожения, изменения персональных данных и т.д., влечет наложение штрафа в размере от 25 до 50 тысяч рублей.

Подробнее о мерах безопасности см. постановление Правительства от 01.11.2012 №1119 и Приказ ФСТЭК России от 18.02.2012 №21 .

Обязанности, корреспондирующие правам субъекта персональных данных

Данная группа обязанностей включает в себя действия оператора ПД, которые он должен совершить при обращению к нему субъекта персональных данных.

  1. Обязанность предоставить доступ к информации, касающейся обработки ПД.
    Перечень такой информации приведен в ч.7 ст. 14 ФЗ-152, он включает в себя подтверждение факта обработки, содержание и источник ПД, цели и способы обработки ПД и др. Информация должна быть предоставлена субъекту в течение 30 дней с момента получения запроса субъекта ПД. Неисполнение указанной обязанности влечет наложение штрафа на клинику в размере от 20 до 40 тысяч рублей (ч.4 ст. 13.11 КоАП РФ).
  2. Обязанность по требованию субъекта персональных данных (или его представителя) уточнить, блокировать или уничтожить персональные данные в случае, если персональные данные являются неполными, неточными, устаревшими, незаконно полученными или не являются необходимыми для заявленной цели обработки (ст. 21 ФЗ-152). На время проверки ПД они должны быть заблокированы оператором. На исполнение данной обязанности отводится срок в 7 рабочих дней с момента представления субъектом ПД информации, подтверждающей неполноту, неточность, незаконный способ получения ПД. Оператор обязан уведомить субъекта ПД о внесенных изменениях и предпринятых мерах. Неисполнение данной обязанности грозит организации штрафом в размере от 25 до 45 тысяч рублей.
  3. Обязанность удовлетворить запрос в случае отзыва согласия.
    Право отозвать согласие на обработку персональных данных закреплено за субъектом ч.2 ст. 9. ФЗ-152.
    В случае отзыва субъектом ПД согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий 30 дней с даты поступления указанного отзыва, если иное не предусмотрено договором.
    Оператор ПД обязан по запросу прекратить обрабатывать ПД, например, в рекламных целях. Разумеется, не подлежит уничтожению медицинская документация, содержащая ПД пациента, так как на медицинскую организацию возложена обязанность хранить документацию в течение определенного срока. В частности, в соответствии с актуальными рекомендациями Минздрава РФ для медицинской карты пациента по форме 025/у срок хранения составляет 25 лет.

Рассылки: СМС, электронная почта, мессенждеры

При соблюдении ряда правил СМС-рассылка будет служить правомерным и эффективным средством распространения информации.

  • Ключевое правило – рассылка осуществляется только с согласия абонента (ст. 15 ФЗ-152, ст. 18 Федерального закона от 13.03.2006 №38-ФЗ «О рекламе», ст. 44.1 Федерального закона от 07.07.2003 №126-ФЗ «О связи»). Бремя доказывания факта получения согласия лежит на операторе персональных данных, рекламораспространителе. Использовать следует только базы, сформированные самостоятельно.
  • Способ информирования (рассылки) должен быть отражен в согласии. Субъект дает согласие не абстрактно, а на информирование его конкретным способом. Для сбора номеров используйте только анкеты, в которых есть пункт о согласии на получение СМС-рассылок. В них также должна быть подпись клиента и дата заполнения. Анкеты нужно сохранять.
  • Субъект персональных данных должен быть отписан от рассылки по первому обращению с данной просьбой. В противном случае нарушение может быть трактовано как рассылка без согласия. Процедуру направления отказа лучше прописать в Политике. (При рассылке по электронной почте следует добавить ссылку, переход по которой влечет отписку от рассылки. При СМС-рассылке это нецелесообразно, так как стоимость зависит от количества знаков в сообщении).
  • Время рассылки. Отдельного правонарушения в виде рассылки в «неразрешенное» время нет, так как отсутствует регламентация времени рассылки. Единственным Вашим ограничителем должен послужить здравый смысл и понимание, что ночная или утренняя рассылка вряд ли вызовет у получателя положительные эмоции и желание воспользоваться услугами клиники.
  • Запрет автоматических рассылок и автодозвона (без участия человека, с использованием генератора номеров).
  • Нарушение законодательства о рекламе, коим и будет являться смс-рассылка сообщений рекламного содержания без согласия абонента, грозит нарушителям-юридическим лицам штрафом в размере от 100 до 500 тысяч рублей (ч.1 ст. 14.3 КоАП РФ).

Рассылки с использованием мессенджеров отдельно не регламентируются, однако, есть все основания полагать, что в связи с тем, что в них используется номер мобильного телефона, споры будут разрешаться по аналогии, по правилам, применимым для СМС-рассылок.

Рассылки по электронной почте также требуют согласия субъекта персональных данных, и соблюдения указанных выше правил, что подтверждается п.2 Письма ФАС от 19.05.2006 №АК/7654, согласно которому на рассылку в сети Интернет распространяются положения ст.18 ФЗ «О рекламе».

Кроме административных штрафов, уже названных по ходу статьи, возможно привлечение к гражданской и уголовной ответственности.

Уголовная ответственность предусмотрена ст. 137 УК РФ (Нарушение неприкосновенности частной жизни). Если данное преступление совершено медицинским работником в ходе профессиональной деятельности, то деяние будет квалифицировано по ч. 2 ст. 137 УК РФ, предусматривающей, помимо иных мер наказания, штраф до 300 тысяч рублей или лишение свободы на срок до 4 лет.

Но ключевая опасность кроется не столько в существенном увеличении штрафов и появлении новых составов административных нарушений в области обработки персональных данных, а в том, что изменился субъект, имеющий право применять административные санкции за такие нарушения.

Если до 1 июля 2017 года возбуждать дела по административным делам, связанным с персональными данными, по статье 13.11 КоАП РФ мог только и без того загруженный делами прокурор, то с указанной даты дела по статье 13.11 КоАП будут вправе возбуждать должностные лица Роскомнадзора. Следовательно, процедура привлечения к ответственности по делам о персональных данных станет проще, а с точки зрения пополнения бюджета – эффективнее. Сумма собранных штрафов однозначно вырастет. Также следует помнить о том, что штрафы по разным частям ст. 13.11 КоАП РФ могут суммироваться.

Помимо всех перечисленных выше мер ответственности, стоит помнить о праве Роскомнадзора заблокировать сайт нарушителя законодательства в области персональных данных, которым он (Роскомнадзор) регулярно пользуется в порядке ст. 15.5 Федерального закона от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и защите информации», пополняя тем самым «Реестр нарушителей прав субъектов персональных данных».

Интересный факт. 20 февраля 2017 года, практически сразу после опубликования закона об усилении ответственности за нарушение в области персональных данных, на официальном сайте Роскомнадзора сообщалось о фальшивой рассылке сообщений о проверках от имени должностных лиц Роскомнадзора. Есть основания полагать, что подобные мошеннические действия могут иметь место и после вступления в силу новой редакции ст. 13.11 КоАП РФ, в связи с чем призываем Вас быть бдительными и при получении писем о грядущих (вне)плановых проверках руководствоваться законом и информацией, полученной из официальных источников.