Как подготовить клинику к проверке Роскомнадзора

  • В больших компаниях, которые так или иначе производят обработку персональных данных имеются целые юридические отделы, которые сделят за полным соответствием документации, относящейся к ПДн. В клиниках, даже с большим штатом сотрудников, обычно таких специалистов нет, в связи с чем часто медицинские учреждения не могут пройти проверку и на них накладывается штраф. Размер штрафа зависит от количества нарушений. При этом, минимальный штраф составляет 10 000-75 000 рублей.

Ранее в блоге мы писали о том, как должен выглядеть сайт медицинского учреждения, чтобы соответствовать законодательству РФ

Сегодня мы расскажем о том, как самостоятельно подготовить клинику (а не только сайт) к проверке Роскомнадзора

Основной план подготовительных мероприятий выглядит так:

  • Убедитесь, что ранее вы подавали в Роскомнадзор уведомление об обработке персональных данных (клиника является оператором ПДн!!!). Подавать его нужно прежде, чем начинать деятельность, и опоздание уже становится поводом для штрафа. На практике Роскомнадзору почти всегда удается доказать, что каждый работодатель является оператором персональных данных. Какие бы факты он ни приводил в доказательство обратного.

Как понять, являетесь ли вы оператором персональных данных?

В Федеральном законе № 152-ФЗ дается определение трем ключевым понятиям, вокруг которых часто и возникают различные вопросы: персональные данные, оператор и обработка персональных данных.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данных – любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся физлицу, то к ПДн относятся:

  • ФИО (вместе и даже по отдельности)
  • дата рождения
  • адрес
  • телефон
  • email
  • фотография
  • ссылка на персональный сайт
  • ссылка на профиль в социальных сетях

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор ПДн, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

Федеральный закон № 152-ФЗ делит операторов на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.

  • Следущий шаг: Проверьте, соответствует ли ваша текущая деятельность указанному в едином реестре. Уточните содержание заявления, которое вы ранее подавали в Роскомнадзор и при необходимости внесите в него изменения. Необходимую для этого форму можно скачать на сайте Роскомнадзора. Именно несоответствие этих данных и фактической деятельности выступает самой распространенной причиной штрафа от Роскомнадзора. Например, даже назначение другого ответственного за обработку персональных данных сотрудника уже становится основанием для штрафа.
  • Назначьте ответственного за обработку персональных данных, вместе с ним приступайте к подготовке всех документов, сопровождающих путь персональных данных от сбора, до хранения и уничтожения.
  • Обязательно оформите «Политику компании в отношении обработки персональных данных». Вы можете дать документу другое название, но суть в том, что он станет основополагающим сводом правил и инструкций в интересующем Роскомнадзор вопросе.
  • Подготовьте к проверке всех сотрудников. Ознакомьте их с документами по работе с персональными данными. Установите четкие правила поведения с инспекторами, если ожидается выездная проверка. Очень часто у проверяющих возникают вопросы к простым работникам. Отработайте с ними тактику «глухой защиты» – ничего не говорить, ничего не подписывать без присутствия руководителя. Вы действительно имеете на это право.
  • Проверьте, как и где вы храните бумаги, особенно ксерокопии паспортов, кто имеет к ним доступ.
  • Проверьте материально-техническое оснащение офиса: замки на важных помещениях, наличие сейфов для документов.
  • Воспользуйтесь специальными онлайн-сервисами для подготовки документов. Они бывают совсем бесплатными или коммерческими, но в любом случае дешевле офлайн специалиста. Особенно если вы практически не знакомы с законодательством о персональных данных, сервисы дадут исключительно актуальные подсказки по подготовке.

Как проходит проверка Роскомнадзора

Начинается проверка с уведомления проверяемого. В нем указываются сроки и реквизиты инициирующего приказа. Прилагаются, кроме того, копия самого приказа, план контрольных мероприятий.

Сначала проверяют документы. На предприятие отправляется запрос, на который необходимо ответить в течение 10 дней. Предприниматель предоставляет копии документов, заверенные подписью и печатью. Свидетельство нотариуса не требуется. Если в документах содержится вся необходимая для разъяснения ситуации информация, то до выездной инспекции дело не дойдет.

Но если в бумагах будут обнаружены ошибки или у инспектора останутся вопросы, то тогда он лично навестит предпринимателя. Посетителей должно быть минимум двое, они обязаны предъявить удостоверения и копии приказа о проведении проверки.

Длится выездная проверка 20 рабочих дней, и еще на 20 дней она может быть продлена, если требуется провести дополнительные исследования.

Итогом проверки становится акт. Если были обнаружены нарушения – в акт включат предписания по их устранению и отведенные на исправление ошибок сроки.
Результат проверки можно обжаловать. Сделать это можно как письменно, так и устно (например, в ходе личного приема или по телефону – подробности можно найти на сайте территориального органа Роскомнадзора). Рассматривается жалоба в течение месяца.

Комментарий экспертного отдела ROIMED:
  • Вы имеете право ознакомиться с документами, относящимися к проверке, с положениями и регламентом;
  • Не экономьте на помощи профессионалов. Даже присутствие юриста придаст вам уверенности и поможет не упустить из виду важных мелочей в переговорах и оформлении документов;
  • Не паникуйте;
  • Тщательно проверяйте документы, прежде чем передать их инспектору. По возможности снимайте со всего копии;
  • Выездной осмотр может проводиться только в присутствии понятых. Если их нет, вы имеете право обжаловать результаты проверки через суд;
  • Инспекторы не имеют права изымать документы, не имеющие отношения к предмету проверки;
  • Не предоставляйте требуемые документы мгновенно. Вы имеете право на некоторое время для обработки запроса. Не торопитесь, проверьте все еще раз перед передачей инспектору.

Таблица штрафов за нарушение закона об обработке персональных данных

ОснованиеРазмер штрафа
ФизлицаДолжностные лицаЮрлицаИП
Обработка ПДн в случаях, не предусмотренных законодательством РФ; обработка ПДн, несовместимая с целями сбора ПДнпредупреждение или штраф — от 1000 до 3000 руб.предупреждение или штраф — от 5000 до
10 000 руб.
предупреждение или штраф — от 30 000 до 50 000 руб.
Обработка ПДн без письменного согласия на то их субъектаот 3000 до 5000 руб.от 10 000 до 20 000 руб.от 15 000 до 75 000 руб.
Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПДн, или сведениям по защите ПДнот 700 до 1500 руб.от 3000 до 6000 руб.от 15 000 до 30 000 руб.от 5000 до 10 000 руб.
Непредоставление субъекту ПДн информации по их обработкепредупреждение или штраф — от 1000 до 2000 руб.предупреждение или штраф — от 4000 до 6000 руб.предупреждение или штраф — от 20 000 до 40 000 руб.предупреждение или штраф — от 10 000 до 15 000 руб.
Невыполнение оператором требования субъекта ПДн или его представителя об уточнении, блокировке, уничтожении (если ПДн неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки)предупреждение или наложение штрафа в размере от 1000 до 2000 руб.предупреждение или штраф — от 4000 до
10 000 руб.
предупреждение или штраф — от 25 000 до 45 000 руб.предупреждение или штраф — от 10 000 до 20 000 руб.
Необеспечение оператором при обработке ПДн без средств автоматизации обязанности по сохранности ПДн, что привело к неправомерному или случайному доступу к ПДн и стало причиной их уничтожения, изменения, блокирования, копированияот 700 до 2000 руб.от 4000 до
10 000 руб.
от 25 000 до 50 000 руб.от 10 000 до 20 000 руб.
Невыполнение оператором (гос. или муниципальным органом) обязанности по обезличиванию ПДн; несоблюдение требований по обезличиванию ПДнпредупреждение или наложение административного штрафа — от 3000 до 6000 руб.

Случаи, когда уведомление Роскомнадзора не требуется

При обработке ПДн, если они:

  • относятся к субъектам, которых связывают с оператором трудовые отношения;
  • получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
  • являются общедоступными ПДн;
  • включают только ФИО субъектов ПДн;
  • нужны для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;
  • включены в федеральные автоматизированные информационные системы ПДн, государственные информационные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;
  • обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.

Читайте также: Продвижение медицинских центров в социальных сетях. 5 МЕТОДОВ

Читайте также: Обучение в клинике администраторов и персонала

Читайте также: 80% россиян ищут информацию о медицинских центрах и стоматологиях в Сети

13:35
601

9 комментариев

Марина Константиновна
18:43
Позвоните пожалуйста нам для аудита клиники.
Ирина
21:45
И нам. Заявку отправили. Заранее спасибо.
Ксения Владимировна
21:32
Нужна помощь в подготовке клиники к проверке Роскомнадзор. Отправили запрос.
Кирилл Александрович
08:45
У нас небольшая клиника. Подскажите, являемся ли мы операторами ПДн?
Эксперт РОИМЕД
08:46
Добрый день! Да, любая клиника является оператором Пдн, в связи с чем вы должны подать заявку в Роскомнадзор.
Надоужевчера
08:47
Кто подскажет: быть или не быть в реестре РКН?
Ситуация следующая… У платной стоматологической клиники (ООО), как у Оператора по обработке ПД (далее-персональных данных), имеется:
1. Положение об обработке и защите ПД работников и пациентов, с ним ознакомлены все работники ООО (имеются согласия от каждого работника на обработку ПД и обязательства о неразглашении от лиц, ответственных за обработку ПД).
2. С каждым пациентом заключается договор на оказание услуг (ГПД), одновременно оформляется добровольное согласие каждого пациента на обработку ПД в медицинской карте пациента.
3. ООО не использует автоматическую обработку базы данных пациентов (то есть не использует никакой информации о ПД субъектов для пополнения баз данных или клиентских баз). Используются только ПД пациентов (в рамках информации, содержащейся в ГПД с пациентами) в базе 1С главбуха.
4. Не осуществляет никакой рекламной, адресной и прочих рассылок, которые содержат ПД субъектов. Рекламу дает в СМИ (газеты, журналы), в которой не присутствуют ПД субъектов.
5. В трудовых договорах с работниками ООО написано: «заработная плата Работнику выплачивается путем выдачи наличных денежных средств в кассе Общества (путем перечисления на счет Работника в банке) каждые полмесяца в день, установленный локальными актами Общества.» При этом зарплатные проекты отсутствуют, но некоторым работникам по их заявлению (с письменным указанием своих ПД и реквизитов кредитной организации) перечисляется зарплата (на уже имеющиеся у работников карты).
6. ООО использует фото работников на своем сайте и данные об образовании, стаже (врачей-специалистов) на основании соблюдения п.7 ч.1 ст.79 Федерального закона от 21.11.2011 N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», по которому медицинская организация обязана информировать граждан в доступной форме, в том числе с использованием Интернета, об осуществляемой медицинской деятельности и о медицинских работниках, об уровне их образования и об их квалификации.С САЙТА ЗАПИСАТЬСЯ НА ПРИЕМ НЕЛЬЗЯ.
Вопрос: ООО считает, что по пункты 1-5 подпадают под ч. 2 ст. 22 Закона N 152-ФЗ, а пункт 6 под необходимость соблюдения норм Закона N 323-ФЗ, что не является основанием для подачи уведомления в Роскомнадзор. Верно ли это?
Не хотелось бы из-за соблюдения норм Закона N 323-ФЗ попадать в план проверок РКН)))
Эксперт РОИМЕД
09:14
Добрый день.
мы не нашли в п.2 ст. 22 152-ФЗ возможности не уведомлять Роскомнадзор в связи с размещением на сайте фотографий ваших сотрудников.
Надоужевчера
09:24
Добрый день. Вы правы. Получила консультацию по телефону в РКН. Сказали, что именно исполнение Федерального закона от 21.11.2011 N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» не подпадает по исключения ч. 2 ст. 22 Закона N 152-ФЗ. Это не трудовые отношения и не в рамках гражданско-правовых договоров. Уведомление нужно подать. Подала.
Прохожий
18:26
т.е. если размещаешь фото своих сотрудников — необходимо уведомить РКН?
Загрузка...
ЧЕКЛИСТ для проверки сайта на соответствие законодательству РФ

Заполните форму, чтобы защитить клинику от штрафа от 30 000 до 75 000 рублей. ЧЕКЛИСТ- соответствие сайта клиники требованиям законодательства.

На него придет чеклист для проверки сайта вашей клиники
БЕСПЛАТНО! После отправки e-mail вы получите ссылку на скачивание ЧЕКЛИСТА.
Защита от спама