В сентябре вступили в силу новые требования по обработке персональных данных. Изменились такие аспекты работы, как уведомление Роскомнадзора, согласие на обработку данных, локальные акты оператора, утечка данных. Разбираемся, что необходимо сделать медицинским организациям по персональным данным ввиду нововведений.
Подать уведомление в Роскомнадзор
Теперь медицинским организациям, как и любому другому оператору персональных данных (далее – ПД), придется подать уведомление об обработке ПД в Роскомнадзор. Ранее уведомление подавали не все. Причины: был большой перечень ПД, которые можно было обрабатывать без уведомления. Такие исключения были указаны в ст. 22 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее – федеральный закон о ПД). Например, для клиник актуальными исключениями были обработка ПД своих работников и пациентов. В новой редакции этот перечень исключений сократили втрое. В итоге количество случаев, когда не надо уведомлять Роскомнадзор, сведено к трем:
- обработка ПД в государственных информационных системах, созданных в целях защиты безопасности государства и общественного порядка;
- обработка ПД без использования средств автоматизации;
- обработка ПД в соответствии с законом о транспортной безопасности.
Таким образом, если ранее клиникой не подавалось уведомление об обработке ПД в Роскомнадзор, то такое уведомление необходимо подать. Направить уведомление в Роскомнадзор можно на бумаге либо в электронном виде с использованием усиленной квалифицированной электронной подписи (УКЭП) или средств аутентификации ЕСИА. Форму уведомления пока можно взять из приказа Роскомнадзора от 30.05.2017 №94. Электронная форма уведомления и порядок заполнения размещены на портале Роскомнадзора. Однако ведомство планирует принять новые формы уведомлений. Поэтому на момент подачи уведомления проверьте, не опубликован ли приказ с новыми формами. Если будете заполнять «старую» форму, обратите внимание, что в федеральном законе №152 поменял...
