Персональные данные в здравоохранении: что изменилось с 1 июля? Часть 2

О каких же именно правонарушениях идет в них речь и насколько распространены сегодня подобные правонарушения в сфере здравоохранения?

Более серьезная административная ответственность за нарушение законодательства Российской Федерации о персональных данных предусмотрена частями пятой, шестой, а также первой и второй статьи 13.11 Кодекса Российской Федерации об административных правонарушениях. Но... о каких же именно правонарушениях идет в них речь и насколько распространены сегодня подобные правонарушения в сфере здравоохранения?

Персональные данные в здравоохранении: что изменилось с 1 июля? Часть 2 [1]


Невыполнение законного требования об уточнении, блокировании, уничтожении персональных данных


За невыполнение законного (см. ниже) требования об уточнении, блокировании или уничтожении персональных данных (далее – ПД) виновные в совершении правонарушения привлекаются к ответственности в виде предупреждения или административного штрафа, налагаемого в размере (часть пятая статьи 13.11 КоАП РФ):

  • на граждан – от одной тысячи до двух тысяч рублей;
  • на должностных лиц – от четырех тысяч до десяти тысяч рублей;
  • на индивидуальных предпринимателей – от десяти тысяч до двадцати тысяч рублей;
  • на юридических лиц – от двадцати пяти тысяч до сорока пяти тысяч рублей.

Здесь, конечно же, следует сразу же вспомнить о присущей деятельности в сфере охраны здоровья специфике, проявляющейся, например, в обязательности ведения в общегосударственном масштабе – но при непосредственном участии организаций, оказывающих те или иные медицинские услуги – персонифицированного учета1. Соответственно, требование об уточнении, блокировке или уничтожении ПД может исходить как от лица, оказывающего медуслугу, так и от лица, которому такая услуга предоставляется.

Привлечь медицинскую (фармацевтическую) организацию, индивидуальных предпринимателей, осуществляющих деятельность в сфере здравоохранения, их должностных лиц к административной ответственности за совершение данного правонарушения возможно, если:

  1. требование об уточнении, блокировании или уничтожении ПД (далее – требование) заявлено надлежащим лицом (см. ниже);
  2. требование заявлено в связи с неполнотой, устареванием, неточностью ПД, незаконностью их получения либо получения ПД в отсутствие необходимости для заявленной цели обработки соответствующих данных;
  3. требование заявлено в сроки, установленные законодательством Российской Федерации в области персональных данных и, добавим от себя, с соблюдением установленного порядка заявления такого требования.

Поясним, что заявить требование вправе (а соответствующее право закреплено в части первой статьи 14 Закона № 152), помимо субъекта ПД, его представитель либо уполномоченный орган по защите прав субъектов ПД в лице Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор))2. При «представительном» варианте устанавливается, кроме прочего, законность (полномочность) обращения соответствующего представителя.

Требование подлежит удовлетворению как в случае неполноты, устаревания, неточности ПД, наступивших по прошествии некоторого времени с момента их получения (предоставления), так и в случае, если соответствующие сведения (частично или полностью) были предоставлены (получены) в неполном, устаревшем или неточном состоянии, а также во всех тех случаях, когда из наличествующих обстоятельств усматривается незаконность получения ПД либо в их получении изначально отсутствовала необходимость. Это обстоятельство устанавливается на основе заявленной (оператором, уполномоченным им лицом) цели их обработки. При этом цели обработки рассматриваются во взаимосвязи с условиями их обработки (статья 6 Закона № 152). В сфере здравоохранение допустимым считается получение ПД и их последующая обработка для защиты жизни и (или) здоровья субъекта ПД, в том числе и в случаях, когда не представляется возможным получение соответствующего согласия субъекта ПД (там же, пункт 1 части шестой).

Требование должно быть заявлено в пределах срока, необходимого для обработки ПД, устанавливаемого в общем случае в согласии на обработку ПД или федеральным законом.

При соблюдении всех необходимых условий (см. выше) и предоставлении сведений, подтверждающих обоснованность требования, оно подлежит исполнению оператором ПД в течение не более семи дней с даты поступления соответствующего требования (часть третья статьи 20 Закона № 152), т.е. до истечения обозначенного срока указанные ПД должны быть дополнены, актуализированы, уточнены (исправлены) либо уничтожены (изъяты из обработки).


Невыполнение обязанности по обеспечению сохранности персональных данных (материальных носителей таких данных в процессе их хранения)


Если при обработке ПД без использования средств автоматизации не выполняются обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации сохранность персональных данных от несанкционированного доступа к ним, виновные в совершении правонарушения привлекаются к ответственности в виде административного штрафа, налагаемого в размере (часть шестая статьи 13.11 КоАП РФ):

  • на граждан – от семисот до двух тысяч рублей;
  • на должностных лиц – от четырех тысяч до десяти тысяч рублей;
  • на индивидуальных предпринимателей – от десяти тысяч до двадцати тысяч рублей;
  • на юридических лиц – от двадцати пяти тысяч до пятидесяти тысяч рублей.

Следует пояснить, что медицинская (фармацевтическая) организация, индивидуальные предприниматели, осуществляющие деятельность в сфере здравоохранения, их должностные лица подлежат привлечению к административной ответственности за совершение данного правонарушения лишь в том случае, если в результате невыполнения вышеназванной обязанности имел место неправомерный или случайный доступ к ПД, а равно их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении ПД.

Таким образом, само по себе ненадлежащее хранение материальных носителей с ПД не может служить основанием для привлечения к административной ответственности. Скажем, не убрал медицинский регистратор по окончании рабочего дня автономный жесткий диск с информацией о пациентах в предназначенное для хранения место, а его непосредственный начальник не проконтролировал выполнение подчиненным этих рутинных действий, но, по счастливому стечению обстоятельств, ни один злоумышленник не успел этим воспользоваться и роковая «утечка» - по крайней мере, на этот раз – не случилась. Что ж, административное дело в подобной ситуации заводить не за что, но для профилактики заведующий поликлиникой может выписать не в меру забывчивым работникам дисциплинарный «подзатыльник»...

С другой стороны, рассматриваемое правонарушение может являться следствием не отдельных ошибочных действий рядового работника больницы или аптеки, а закономерным итогом системного несоблюдения обязательных требований обращения с материальными носителями руководителями соответствующих организаций. Характерный пример в этом смысле – несоблюдение нормы об обязательном учете машинных носителей (пункт 5 части второй статьи 19 Закона № 152), включая, само собой, и те, что предназначены исключительно для хранения ПД. А в отсутствие налаженного учета – что, согласитесь, может наблюдаться в любой организации – ПД проявляют совершенно невероятную способность к «утеканию» во всех мыслимых и немыслимых направлениях... Хотя бы и ввиду угрозы административной ответственности.

Впрочем, при выявлении признаков уголовно наказуемого деяния виновные в нарушении законодательства Российской Федерации о персональных данных – в части хранения материальных носителей с ПД (но не только, см. далее) - подлежат привлечению не к административной, а к уголовной ответственности. Но вопросам уголовной ответственности за нарушение законодательства Российской Федерации о персональных данных будет посвящена одна из следующих частей нашего обзора.

(продолжение следует)
 
1 Статья 92 Федерального закона от 21 ноября 2011 г. № 323-ФЗ. Перечень персональных данных о лицах, участвующих в оказании медицинских услуг, и лицах, которым оказываются медицинские услуги, приведен в статьях 93 - 94 этого же Федерального закона.
2 См. Положение, утвержденное постановлением Правительства Российской Федерации от 16 марта 2009 г. № 228 (в ред. от 1 июля 2016 г.).

Автор: Ю.М. Михайлов


Источник: http://lekoboz.ru

menu
menu