В первой части статьи мы уже рассмотрели самую «дорогую» ошибку, которую может допустить медицинская организация при работе с персональными данными своих пациентов и сотрудников.
Теперь рассмотрим, какие еще очевидные и не совсем очевидные ошибки могут привести клинику к серьезным штрафам от Роскомнадзора.
Обработка персональных данных без уведомления Роскомнадзора и включения в официальный Реестр операторов.
Проверить наличие медицинской клиники, как и любой другой организации или индивидуального предпринимателя, в официальном реестре операторов персональных данных можно на портале персональных данных Роскомнадзора.
Однако, несмотря на наличие открытых данных по операторам и на то, что сейчас практически из каждого утюга вещают о сильно возросших штрафах за несоблюдение требований законодательства о персональных данных, многие частные медицинские организации, к сожалению, по-прежнему не подают официальные уведомления в Роскомнадзор и не включаются в Реестр операторов.
Почему же они так делают?
На самом деле причины у каждого свои. Но самая частая причина – это заблуждения бизнеса.
В своей практике мы столкнулись с одним очень распространенным в среде предпринимателей и руководителей мнением, которое можно в двух словах описать как «не буди лихо пока тихо». То есть они уверены, что пока организация сама не заявила о себе в Роскомнадзор как об операторе персональных данных посредством подачи официального уведомления (напомним, что такая обязанность прямо закреплена в ст.22 Федерального закона №151-ФЗ «О персональных данных»), Роскомнадзор просто не будет обращать на нее внимание и соответственно не будет включать ее в план проверок. Но это довольно опасное заблуждение. И вот почему.
Важно понимать, что Роскомнадзор не ограничивается только проверками в соответствии с планом. Большинство проводимых проверок – внеплановые и связаны они с поступившими жалобами от граждан. Чаще всего с жалобами обращаются клиенты или даже конкуренты, которые в том числе могут использовать в своих целях вот такие, формально основанные на законе, способы борьбы с Вашим бизнесом.
Получив жалобу на организацию и не обнаружив ее в официальном реестре операторов, Роскомнадзор уже не станет ограничиваться небольшим штрафом до 5 000 рублей за сам факт неподачи уведомления и формальной документарной проверкой жалобы (то есть в формате запрос-ответ с предоставлением документов), а приедет к Вам с выездной проверкой, причем проверять будет гораздо дольше и тщательнее. Ведь контролерам совершенно очевидно, что если организация не удосужилась исполнить элементарное обязательное требование закона об уведомлении Роскомнадзора о начале обработки персональных данных, то говорить о наличии в такой организации выстроенной системы защиты персональных данных точно не приходится. Подумайте хорошо, насколько Вам нужна еще одна глубокая проверка бизнеса, которая явно внесет сложности в бесперебойную работу организации и точно повлечет совсем не маленький совокупный штраф за все выявленные нарушения.
Второе заблуждение, с которым мы столкнулись в своей практике, – это самоуспокоение примерно с такой аргументацией: «Мы же обрабатываем персональные данные своих сотрудников в соответствии с трудовым законодательством, а данные пациентов обрабатываем в связи с заключением с ними договоров на оказание услуг, поэтому в соответствии с частью 2 статьи 22 Федерального закона «О персональных данных» мы имеем право не подавать уведомление в Роскомнадзор».
Согласитесь, что такая аргументация со ссылками на закон, явно приведенная юристом или после консультации с юристом, звучит довольно убедительно. Но это только на первый взгляд.
Если копнуть чуть глубже, то окажется, что подавляющее большинство медицинских организаций кроме персональных данных своих сотрудников, хранит и обрабатывает данные их родственников, а еще кандидатов на вакантные должности. А клиенты частных медицинских центров регулярно получают не только медицинские услуги, но и СМС – рассылки или сообщения в Whatsap, Viber, по электронной почте с предложениями об акциях и скидках. Также очень многие благополучно забывают о персональных данных пользователей, которые те оставляют в форме обратной связи на официальном сайте клиники.
Такое нарушение уже будет квалифицировано как обработка персональных данных без согласия в письменной форме субъекта персональных данных и повлечет штраф до 75 000 рублей.
Поэтому мы рекомендуем не заниматься подобным самоуспокоением, а подготовить и подать в Роскомнадзор уведомление. Это можно сделать в электронном виде на официальном портале персональных данных (https://pd.rkn.gov.ru/operators-registry/notification/form/)с последующей досылкой оригинала уведомления в адрес территориального органа Роскомнадзора в Вашем регионе.
В следующей статье мы разберем самые распространенные ошибки, которые допускают медицинские организации на своих официальных сайтах.
На нашей торговой площадке вы можете приобрести новые аппараты LightSheer DESIRE, Isolaz, VASER, Maximus, Fraxel, ZLipo Med, Z Wave, Thermage, AcuPulse, UltraPulse, M22, LightSheer Duet, Antera 3D, GeneO+, FotoFinder trichovision, FotoFinder aesthetics, FotoFinder dermoscope Vexia, FotoFinder ATBM bodystudio, Divine pro, Cryo 6, Clear+Brilliant, Handyscope, Optima IPL, INDIBA.