Как клиникам работать с перс. данными, чтобы избежать штрафов». Часть 2

В первой части статьи мы уже рассмотрели самую «дорогую» ошибку, которую может допустить медицинская организация при работе с персональными данными своих пациентов и сотрудников.

Теперь рассмотрим, какие еще очевидные и не совсем очевидные ошибки могут привести клинику к серьезным штрафам от Роскомнадзора. 

Обработка персональных данных без уведомления Роскомнадзора и включения в официальный Реестр операторов.

Проверить наличие медицинской клиники, как и любой другой организации или индивидуального предпринимателя, в официальном реестре операторов персональных данных можно на портале персональных данных Роскомнадзора.

Однако, несмотря на наличие открытых данных по операторам и на то, что сейчас практически из каждого утюга вещают о сильно возросших штрафах за несоблюдение требований законодательства о персональных данных, многие частные медицинские организации, к сожалению, по-прежнему не подают официальные уведомления в Роскомнадзор и не включаются в Реестр операторов.

Почему же они так делают?

На самом деле причины у каждого свои. Но самая частая причина – это заблуждения бизнеса. 

В своей практике мы столкнулись с одним очень распространенным в среде предпринимателей и руководителей мнением, которое можно в двух словах описать как «не буди лихо пока тихо». То есть они уверены, что пока организация сама не заявила о себе в Роскомнадзор как об операторе персональных данных посредством подачи официального уведомления (напомним, что такая обязанность прямо закреплена в ст.22 Федерального закона №151-ФЗ «О персональных данных»), Роскомнадзор просто не будет обращать на нее внимание и соответственно не будет включать ее в план проверок.  Но это довольно опасное заблуждение. И вот почему.

Важно понимать, что Роскомнадзор не ограничивается только проверками в соответствии с планом. Большинство проводимых проверок – внеплановые и связаны они с поступившими жалобами от граждан. Чаще всего с жалобами обращаются клиенты или даже конкуренты, которые в том числе могут использовать в своих целях вот такие, формально основанные на законе, способы борьбы с Вашим бизнесом.

Получив жалобу на организацию и не обнаружив ее в официальном реестре операторов, Роскомнадзор уже не станет ограничиваться небольшим штрафом до 5 000 рублей за сам факт неподачи уведомления и формальной документарной проверкой жалобы (то есть в формате запрос-ответ с предоставлением документов), а приедет к Вам с выездной проверкой, причем проверять будет гораздо дольше и тщательнее. Ведь контролерам совершенно очевидно, что если организация не удосужилась исполнить элементарное обязательное требование закона об уведомлении Роскомнадзора о начале обработки персональных данных, то говорить о наличии в такой организации  выстроенной системы защиты персональных данных точно не приходится. Подумайте хорошо, насколько Вам нужна еще одна глубокая проверка бизнеса, которая явно внесет сложности в бесперебойную работу организации и точно повлечет совсем не маленький совокупный штраф за все выявленные нарушения.   

Второе заблуждение, с которым мы столкнулись в своей практике, – это самоуспокоение примерно с такой аргументацией: «Мы же обрабатываем персональные данные своих сотрудников в соответствии с трудовым законодательством, а данные пациентов обрабатываем в связи с заключением с ними договоров на оказание услуг, поэтому в соответствии с частью 2 статьи 22 Федерального закона «О персональных данных» мы имеем право не подавать уведомление в Роскомнадзор».

Согласитесь, что такая аргументация со ссылками на закон, явно приведенная юристом или после консультации с юристом, звучит довольно убедительно.  Но это только на первый взгляд.

Если копнуть чуть глубже, то окажется, что подавляющее большинство медицинских организаций кроме персональных данных своих сотрудников, хранит и обрабатывает данные их родственников, а еще кандидатов на вакантные должности. А клиенты частных медицинских центров регулярно получают не только медицинские услуги, но и  СМС – рассылки или сообщения в Whatsap, Viber, по электронной почте с предложениями об акциях и скидках. Также очень многие благополучно забывают о персональных данных пользователей, которые те оставляют в форме обратной связи на официальном сайте клиники.

Такое нарушение уже будет квалифицировано как обработка персональных данных без согласия в письменной форме субъекта персональных данных и повлечет штраф до 75 000 рублей. 

Поэтому мы рекомендуем не заниматься подобным самоуспокоением, а  подготовить и подать в Роскомнадзор уведомление. Это можно сделать в электронном виде на официальном портале персональных данных с последующей досылкой оригинала уведомления в адрес территориального органа Роскомнадзора в Вашем регионе.    

В следующей статье мы разберем самые распространенные ошибки, которые допускают медицинские организации на своих официальных сайтах. 

Документы для работы с персональными данными Вы найдете здесь. https://www.premium-a.ru/legals/zashhita-personalnyh-dannyh-patsientov-i-sotrudnikov/

В компании Premium Aesthetics можно приобрести косметологическое оборудование следующих видов:

Мы предлагаем самые современные аппараты для эстетической косметологии: