testvova

Журнал для профессионалов
аптечного бизнеса

Информация только для медицинских и фармацевтических специалистов


Персональные данные: как избежать штрафов?





Вопросам защиты персональных данных в последнее время уделяется повышенное внимание, требования к работе с ними постоянно конкретизируются и расширяются, а санкции за нарушения ужесточаются. Какие меры нужно предпринять аптечной организации, чтобы не вступить в конфликт с законодательством?





Сфера применения

Персональными данными в соответствии с законом «О персональных данных» № 152-ФЗ (далее – Закон) является любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу. 


В примерный перечень наиболее часто используемых персональных данных входят:


  • фамилия, имя, отчество

  • возраст, дата, место рождения

  • данные документа, удостоверяющего личность, других личных документов

  • адрес места жительства, регистрации

  • сведения о семейном положении

  • номер контактного телефона, информация о других средствах связи

  • фото гражданина и т.д.


В настоящее время перечень сведений, которые можно отнести к персональным данным, постоянно расширяется.

Посетители оставляют свои данные аптеке, делая заказы в Интернете, подписываясь на объявления об акциях, оформляя скидочные и бонусные карты, участвуя в опросах, анкетировании, конкурсах и т.д. Персональные данные также содержатся в рецептах, в том числе в тех, которые аптеки обязаны хранить после обслуживания.
Теперь вы оператор

Собирая, записывая, систематизируя, накапливая, храня, уточняя, используя, передавая персональные данные, аптека осуществляет их обработку и таким образом становится оператором персональных данных (п. 2 ст. 3 Закона). Их обработка должна проводиться в строгом соответствии с законодательством и только в том объеме и в такие сроки, какие необходимы для достижения заранее определенных целей. Объединение баз данных возможно только в случае, если они собирались для аналогичных целей. Также в обязанности оператора входит обеспечение точности и актуальности персональных данных. Однако главное требование, невыполнение которого чаще всего приводит к неблагоприятным последствиям в виде судебных исков, – это необходимость получения согласия гражданина (субъекта персональных данных). Такое согласие может быть дано в любой форме, позволяющей подтвердить факт его получения, если иное не установлено федеральным законом (п. 1 ст. 9 Закона). Например, для онлайн-магазина или сайта аптеки на настоящий момент вполне достаточно «галочки», свидетельствующей о согласии на обработку данных под формой для их сбора. Его также может дать законный представитель либо представитель клиента по доверенности.

Обратная связь

Если сведения получены не напрямую, а от других операторов, до начала их обработки необходимо предоставить субъектам персональных данных следующую информацию:


  • наименование оператора, его адрес

  • цель обработки персональных данных и ее законное основание

  • предполагаемые пользователи данных (работники оператора, государственные органы, иное)

  • права субъекта персональных данных (в соответствии с главой 3 Закона)

  • источник их получения.


Форма и правила направления отзыва согласия на обработку персональных данных также не оговариваются законом. В связи с этим рекомендуется реагировать на все поступающие сообщения такого рода.


Форма и порядок такого уведомления не предусмотрены, однако информировать гражданина необходимо так, чтобы это можно было впоследствии подтвердить. Таким образом, наиболее надежным решением будет уведомление клиента под подпись либо отправка ему уведомления с письмом о вручении или с описью вложения. 


Законодательством предусмотрены случаи, в которых обработка персональных данных может выполняться без согласия гражданина. Это можно делать:


  • для достижения целей, предусмотренных законодательством

  • для защиты жизни и здоровья гражданина, если получение его согласия невозможно

  • для исполнения договора, стороной, выгодоприобретателем или поручителем по которому является клиент, и др.

Форма и правила направления отзыва согласия на обработку персональных данных также не оговариваются законом. В связи с этим рекомендуется реагировать на все поступающие сообщения такого рода.
Организация процесса

При подготовке к работе с персональными данными рекомендуется использовать следующий порядок действий:


  • назначить приказом лицо, ответственное за организацию обработки персональных данных

  • издать локальные акты, определяющие политику организации в данной сфере и ознакомить с ними работников

  • разработать меры по обеспечению безопасности персональных данных (правовые, организационные, технические)

  • направить уведомление о намерении осуществлять обработку персональных данных в Роскомнадзор

  • провести учет машинных носителей персональных данных

  • обеспечить регистрацию и учет действий, совершаемых с персональными данными.


Возможные санкции – выплата компенсации морального вреда, штраф за нарушения правил обработки персональных данных в размере до 75 тыс. руб. Для уголовных правонарушений предусмотрены более суровые наказания – вплоть до тюремного заключения сроком до 5 лет.


Необходимо учесть, что согласно закону № 152-ФЗ (ч. 2 ст. 18. 1) оператор обязан предоставить клиентам неограниченный доступ к внутреннему документу о защите персональных данных. На практике такое положение обычно публикуется на сайте организации либо на ее стенде, доступном для покупателей. Если сбор данных осуществляется в Интернете, документ должен быть опубликован в открытом доступе именно в Сети.

В случае нарушений

Преступивший закон оператор персональных данных, в зависимости от обстоятельств, может быть привлечен к:


  • гражданско-правовой (ст. 152 ГК РФ «Защита чести, достоинства и деловой репутации»),

  • административной (ст. 13.11 КоАП РФ «Нарушение законодательства РФ в сфере персональных данных»),

  • уголовной ответственности (ст. 137 УК РФ «Нарушение неприкосновенности частной жизни»).


NB! С 01.09.2015 оператор обязан обеспечить обработку персональных данных российских граждан в базах данных, находящихся на территории Российской Федерации. Таким образом, серверы с информацией о клиентах должны фактически находиться на территории нашей страны. В зависимости от специфики деятельности оператора стоит учитывать те или иные требования подзаконных нормативных актов. Так, постановление правительства РФ от 01.11.2012 № 1119 устанавливает требования к уровню защищенности персональных данных при обработке в информационной системе, если оператор обрабатывает биометрические или иные специальные категории персональных данных более чем 100 тыс. субъектов, не являющихся сотрудниками оператора. Базы данных клиентов аптеки представляют также коммерческую ценность. Работа с такой информацией регулируется федеральным законом «О коммерческой тайне» от 29.07.2004 № 98-ФЗ.

Возможные санкции – выплата компенсации морального вреда, штраф за нарушения правил обработки персональных данных в размере до 75 тыс. руб. Для уголовных правонарушений предусмотрены более суровые наказания – вплоть до тюремного заключения сроком до 5 лет.
Роскомнадзор на связи

Оператор персональных данных обязан проинформировать о своей деятельности территориальное управление Роскомнадзора. Порядок уведомления регулируется административным регламентом по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных» (утвержден приказом Минкомсвязи России от 21.12.2011 № 346 (далее– Регламент). Уведомление должно быть составлено по форме, приведенной в Приложении № 2 к Регламенту.Подача уведомления является бесплатной (п. 30 Регламента). Оно направляется на бумажном носителе или в электронной форме (ч. 3 ст. 22 Закона). Во втором случае документ должен быть заверен электронной цифровой подписью (п. 43 Регламента). На практике чаще всего сотрудники Роскомнадзора просят заполнить уведомление на официальном сайте по адресу: https://pd.rkn.gov.ru/operators-registry/notification/, распечатать его на бланке организации и направить почтой, поставив на нем подпись и печать оператора. 

Возможные конфликтные ситуации

В ч. 2 ст. 22 закона «О персональных данных» перечислены случаи, когда уведомление в Роскомнадзор можно не направлять. Такой необходимости нет, когда персональные данные:


  • получены в связи с заключением договора, не распространяются третьим лицам и используются исключительно для исполнения договора (имеется в виду обработка тех или иных данных клиентов при приеме заказов, онлайн-расчетах и т.д., если полученная информация никак в дальнейшем не используется)

  • сделаны их субъектом общедоступными (справочники, адресные книги и т.д.)

  • включают в себя только фамилии, имена и отчества субъектов данных

  • обрабатываются без использования средств автоматизации (например, компьютеров).


Стоит иметь в виду, что должностные лица Роскомнадзора нередко предъявляют избыточные требования к операторам персональных данных, настаивая на необходимости уведомления вопреки требованиям законодательства. Известны случаи, когда компаниям удавалось отстоять свою правоту в суде (см., например, постановление Четвертого арбитражного апелляционного суда от 07.02.2018 № 04АП-127/2018 по делу № А19-17054/2017). 


Юлия Жижерина

Журнал "Российские аптеки" №10, 2018
 

Вам могут понравиться другие статьи:

  • Правомерны ли денежные штрафы за невыполнение выставленных руководством нормативов по продажам?
    По закону
    Правомерны ли денежные штрафы за невыполнение выставленных руководством нормативов по продажам?

    Подробнее
  • Реклама в в торговом зале аптеки
    По закону
    Реклама в в торговом зале аптеки

    Подробнее
  • Год отложенных решений
    По закону
    Год отложенных решений

    2018 год прошел под знаком грядущих перемен для аптечного бизнеса. Отраслевые СМИ и профессиональное сообщество обсуждали сразу несколько инициатив, реализация которых должна резко изменить сложившиеся правила игры и привести к глобальным сдвигам в отрасли.

    Подробнее
  • Полная открытость
    По закону
    Полная открытость

    Изменение требований к контрольно-кассовой технике сделало возможным новый формат сотрудничества между аптеками и фармпроизводителями – онлайн-мониторинг аптечных продаж ЛС. 

    Подробнее
  • Может ли аптека с открытой выкладкой размещать на открытых витринах лекарства, отпускаемые по рецепту?
    По закону
    Может ли аптека с открытой выкладкой размещать на открытых витринах лекарства, отпускаемые по рецепту?

    Подробнее
  • Кошка в аптеке. А можно ли?
    По закону
    Кошка в аптеке. А можно ли?

    Подробнее

 
Если вы фармацевт, провизор, первостольник, специалист здравоохранения или медицинский работник наш журнал «Российские аптеки» для вас.
long distance moving адвокат по уголовным деламдетский фотограф