Персональные данные в здравоохранении: что изменилось с 1 июля?

Со второй половины текущего года существенно ужесточается административная ответственность за нарушение федерального законодательства в области персональных данных. Какими неприятностями могут обернуться предстоящие нововведения для субъектов медицинской и фармацевтической деятельности и как от этих неприятностей уберечься?

Суть изменений

Итак, в соответствии с обновленной версией статьи 13.111 Кодекса об административных правонарушениях Российской Федерации (далее – КоАП РФ), во-первых, кратно (!) увеличивается число оснований для привлечения к административной2 ответственности за совершение данного вида правонарушения и, во-вторых, едва ли не на порядок (!) возрастают размеры «причитающихся» за его совершение административных штрафов. На всякий случай поясним, что до 1 июля нынешнего года вышеупомянутая статья предусматривала административную ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) – без выделения подвидов правонарушения.

Новая редакция статьи 13.11 КоАП РФ состоит уже не из одной части, а уже из семи частей, каждая из которых определяет и состав обособленного административного нарушения, и соответствующую ему санкцию. Одновременно расширился и круг лиц, несущих ответственность за совершение любого из предусмотренных этой статьей правонарушений: помимо граждан – физических лиц, юридических лиц и должностных лиц (от главврача и заведующего аптекой до помощника регистратора) к такой ответственности отныне могут быть привлечены и граждане, в установленном порядке осуществляющие предпринимательскую деятельность (т.е. индивидуальные предприниматели), в том числе в сфере медицины и фармацевтики.

Поменялось, кстати, и название статьи 13.11 КоАП РФ («Нарушение законодательства Российской Федерации в области персональных данных»). Формально это связано с тем, что отношения в сфере персональных данных регулируются не только специальным федеральным законом – «О персональных данных»3 - но и целым рядом иных федеральных законов, в том числе Трудовым кодексом Российской Федерации4, Основами охраны здоровья граждан5, Федеральным законом «Об обращении лекарственных средств»6, а также принятыми в развитие перечисленных законов нормативными правовыми актами7.

А вот вид административного наказания остался прежним: штраф. При этом, как замечено, размеры налагаемых на виновных в совершении рассматриваемого вида правонарушения административных штрафов возросли, и весьма существенно (виды правонарушений рассматриваются ниже в порядке возрастания суммы штрафа, налагаемого на виновных юридических лиц (о размерах административных штрафов за правонарушение, предусмотренное соответствующими частями статьи 13.11 КоАП РФ для индивидуальных предпринимателей, должностных лиц и граждан, не осуществляющих предпринимательскую деятельность, см. там же)).

Невыполнение обязанности по обеспечению доступа к документу, определяющему корпоративную политику в отношении обработки персональных данных

За невыполнение обязанности по опубликованию документа (обеспечению неограниченного доступа к такому документу иным образом), определяющего политику оператора8 в отношении обработки персональных данных, или сведениям о реализуемых требованиях к их защите, виновные в совершении правонарушения привлекаются к ответственности в виде предупреждения или административного штрафа, налагаемого в размере (часть третья статьи 13.11 КоАП РФ):

• на граждан – от семисот до одной тысячи пятисот рублей;
• на должностных лиц – от трех тысяч до шести тысяч рублей;
• на индивидуальных предпринимателей – от пяти тысяч до десяти тысяч рублей;
• на юридических лиц – от пятнадцати тысяч до тридцати тысяч рублей.

Уточним, что обязанность по изданию такого документа возложена на оператора (из числа юридических лиц) в соответствии с пунктом 2 части первой статьи 18.1 Закона № 152, а обязанность по его опубликованию – частью второй той же статьи. При этом, однако, Закон № 152 не конкретизирует ни название документа, ни требования к его изданию, но, исходя из сложившейся практики, медицинским и фармацевтическим организациям следует (если это до сих пор не было сделано) разработать, утвердить и опубликовать (в том числе, например, посредством размещения образа документа на официальном сайте организации) политику, концепцию, положение или иной аналогичный документ (см. выше) либо документ, содержащий сведения о реализуемых организацией (его обособленным структурным подразделением) требованиях к защите ПД (к примеру, перечень соответствующих требований). Название документа, требования к его изданию (содержанию, структуре и пр.) определяются оператором на основании действующих у него правил документирования (делопроизводства, документационного обеспечения деятельности), установленных соответствующими локальными актами или (и) приказами (распоряжениями) уполномоченных должностных лиц.

Особым образом подчеркнем, что в необходимых случаях таким документом (а равно и иными действующими в медицинской (фармацевтической) организации локальными актами, устанавливающими обязательные требования к обращению с ПД) должны регулироваться особенности обращения с ПД не только работников данной организации9, но также с ПД пациентов, ПД посетителей, а равно и иных категорий лиц, чьи ПД поступают в обращение (обработку) соответствующей организации. Это в полной мере касается, к примеру, ПД, сообщаемых пользователями (посетителями) официального интернет-сайта медицинской (фармацевтической) организации в составе сведений, обязательность заполнения (предоставления) которых предусмотрена правилами функционирования соответствующих интерактивных сервисов (запись на прием, получение теле-консультации специалиста, и т.п.).

Невыполнение обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных

За невыполнение обязанности по предоставлению субъекту ПД информации, касающейся обработки его ПД, виновные в совершении правонарушения привлекаются к ответственности в виде предупреждения или административного штрафа, налагаемого в размере (часть четвертая статьи 13.11 КоАП РФ):

• на граждан – от одной тысячи до двух тысяч рублей;
• на должностных лиц – от четырех тысяч до шести тысяч рублей;
• на индивидуальных предпринимателей – от десяти тысяч до пятнадцати тысяч рублей;
• на юридических лиц – от двадцати тысяч до сорока тысяч рублей.

Право субъекта ПД на получение от оператора информации, касающейся обработки его ПД, закреплено в части седьмой статьи 14 (там же приводится состав такой информации), а обязанность оператора по ее предоставлению – в части первой статьи 18 Закона № 152. При этом необходимо обратить внимание на то, что возникновение данной обязанности возникает у оператора только в случае получения соответствующей просьбы субъекта ПД.

На практике это означает, что медицинская (фармацевтическая) организация не подлежит привлечению к административной ответственности за хотя бы и имевшее место непредоставление субъекту ПД информации, касающейся обработки ПД последнего, если такой организацией предварительно не получена от субъекта ПД соответствующая просьба – например, в форме письменного заявления. Не усматривается оснований и для привлечения организации (а равно и, к примеру, индивидуального предпринимателя, в установленном порядке осуществляющего обработку ПД данного субъекта по поручению организации-оператора ПД) к административной ответственности за непредоставление информации, касающейся обработки ПД, в той ее части (см. выше), за предоставлением которой субъект ПД не обращался.

(продолжение следует)

Автор: Ю.М. Михайлов

Источник:  http://lekoboz.ru/