Нововведения по персональным данным: что поменять клиникам в работе

В сентябре вступили в силу новые требования по обработке персональных данных. Изменились такие аспекты работы, как уведомление Роскомнадзора, согласие на обработку данных, локальные акты оператора, утечка данных. Разбираемся, что необходимо сделать медицинским организациям по персональным данным ввиду нововведений.

Подать уведомление в Роскомнадзор

Теперь медицинским организациям, как и любому другому оператору персональных данных (далее – ПД), придется подать уведомление об обработке ПД в Роскомнадзор. Ранее уведомление подавали не все. Причины: был большой перечень ПД, которые можно было обрабатывать без уведомления. Такие исключения были указаны в ст. 22 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее – федеральный закон о ПД). Например, для клиник актуальными исключениями были обработка ПД своих работников и пациентов. В новой редакции этот перечень исключений сократили втрое. В итоге количество случаев, когда не надо уведомлять Роскомнадзор, сведено к трем:

• обработка ПД в государственных информационных системах, созданных в целях защиты безопасности государства и общественного порядка;
• обработка ПД без использования средств автоматизации;
• обработка ПД в соответствии с законом о транспортной безопасности.

Таким образом, если ранее клиникой не подавалось уведомление об обработке ПД в Роскомнадзор, то такое уведомление необходимо подать. Направить уведомление в Роскомнадзор можно на бумаге либо в электронном виде с использованием усиленной квалифицированной электронной подписи (УКЭП) или средств аутентификации ЕСИА. Форму уведомления пока можно взять из приказа Роскомнадзора от 30.05.2017 №94. Электронная форма уведомления и порядок заполнения размещены на портале Роскомнадзора. Однако ведомство планирует принять новые формы уведомлений. Поэтому на момент подачи уведомления проверьте, не опубликован ли приказ с новыми формами. Если будете заполнять «старую» форму, обратите внимание, что в федеральном законе №152 поменялись требования к содержанию уведомления.

Предельный срок уведомления Роскомнадзора об обработке ПД не определен. Несмотря на то что поправки начали действовать с 1 сентября 2022 года, эта дата не рассматривается как крайний срок для подачи уведомлений. Но это не значит, что стоит откладывать подачу уведомления до последнего. Подайте уведомление сейчас.

Не отказывать в заключении договора, если пациент не дает данные

Пациенту нельзя отказать в заключении, исполнении, изменении или расторжении договора в связи с его отказом предоставить ПД. Исключение – случаи, когда предоставление ПД предусмотрено законом или необходимо для исполнения договора. Кстати, это изменения не в федеральный закон №152, а в закон о защите прав потребителей.

Возникает закономерный вопрос: и что же теперь делать медорганизациям, все равно заключать договор даже без ПД пациента? Отвечаем: нет. Такая информация о пациенте, как его ф. и. о., адрес места жительства, телефон, дата рождения, возраст, пол, вес, рост, попадают под исключения, и клиника вправе их требовать. Такие данные необходимы для того, чтобы удостовериться в дее- и сделкоспособности пациента, заключить договор, заполнить информированное добровольное согласие и медицинскую карту. Добавим, что ф. и. о., адрес места жительства и телефон прямо указаны как необходимые составляющие договора платных медицинских услуг в п. 17 Правил предоставления медицинскими организациями платных медицинских услуг, утвержденных постановлением Правительства РФ от 04.10.2012 №1006.

Таким образом, при определенных видах ПД «хочу» или «не хочу» пациента не играют никакой роли. Он обязан предоставить данные, так как без них клиника не сможет исполнить свои обязательства по договору. При этом пациент имеет право затребовать в письменном или устном виде правовое обоснование необходимости предоставить ПД. Ответ клиника должна дать в течение 7 дней – если запрос письменный, или незамедлительно – если запрос устный.

При отказе пациента в предоставлении вышеупомянутых ПД клиника вправе, например, отказать в заключении договора. Однако не стоит злоупотреблять этим правом, потому что не все виды ПД попадают под исключение. Например, место работы, размер зарплаты, политические взгляды пациента не являются обязательными. Это будет «лишняя» информация, никак не связанная с исполнением договора. В противном случае клинике грозит штраф в размере от 30 до 50 тыс. рублей согласно изменениям, которые параллельно введены в Кодекс Российской Федерации об административных правонарушениях и тоже действуют с 1 сентября 2022 года.

Отдельным «особняком» в вопросе ПД пациента стоит анонимная медпомощь. Клиники могут принять пациента анонимно либо под вымышленным именем (не запрашивать ПД) при оказании платных медицинских услуг. При этом регулятор обозначил, что тестирование на ВИЧ и лечение алкогольной, наркотической и токсикологической зависимости должны быть анонимны. То есть в этих случаях клиника не вправе требовать от пациента данные под угрозой незаключения договора. Ведь иначе в пользу пациента сработает тот факт, что в законодательстве нет прямого запрета на осуществление анонимной медпомощи.

Подробнее об анонимной медпомощи, в частности о том, почему можно и нужно запрашивать паспортные данные пациента, «Факультет медицинского права» говорил здесь.

Сделать согласие на обработку ПД предметным и однозначным

Если раньше от согласия на обработку ПД требовалось быть конкретным, информированным и сознательным, то теперь оно должно быть еще предметным и однозначным. На самом деле от таких новых требований в согласии глобально ничего не изменилось. Предметный и однозначный – это дань практики, которая давно сложилась в подходе к созданию ПД. Если у вас «грамотное» согласие, то оно уже соответствует новым формальным требованиям. В случае если два новых требования к согласию вызывают вопросы, поясняем:

• предметность – форма согласия на обработку ПД не должна запрашивать у субъекта лишнюю информацию, которая не соответствует целям обработки. Например, если цель – направление смс-рассылки, то не надо запрашивать в согласии место работы и должность пациента;
• однозначность – из содержания согласия должна четко следовать воля пациента на обработку его ПД. Например, цель «получение информации» является общей и может предполагать как получение информации о результатах оказания медпомощи, так и о скидках в клинике. Избегайте таких общих формулировок. Также однозначность означает, что субъект должен выразить согласие конкретным действием: подписать согласие или поставить галочку-согласие в боксе на сайте.

Таким образом, клиникам необходимо проверить используемые формы согласий на соответствие их новым требованиям предметности и однозначности. При этом не нужно переподписывать согласия, которые оформили до 1 сентября 2022 года, если они полностью соответствуют новым требованиям.

Дополнить политику по обработке ПД и проверить ее размещение на сайте

Расширены требования к локальному акту оператора – политике по обработке ПД. Теперь в политике должны четко выделяться отдельные цели для обработки ПД. Для каждой цели должны прописываться:

• категории и перечень обрабатываемых ПД;
• категории субъектов, данные которых обрабатываются;
• способы обработки ПД;
• сроки обработки и хранения ПД;
• порядок уничтожения ПД.

Таким образом, если принятая в клинике политика носит общий характер и не содержит таких уточнений, то ее необходимо скорректировать. Также необходимо убрать все положения, ограничивающие права субъектов ПД и возлагающие на клинику незаконные полномочия и обязанности. Например, в политике нельзя указывать безусловную обязанность пациента дать клинике согласие на обработку ПД.

Кроме того, изменился подход к размещению политики по обработке ПД на сайте организации. Если клиника осуществляет сбор ПД через сайт (форма обратной связи, запись на прием и т. д.), то политика должна быть размещена на каждой странице, где осуществляется сбор ПД. Разместить политику внизу на главной странице или в разделе с документами, как часто это делается, теперь недостаточно.

Отвечать на запросы пациентов и Роскомнадзора вовремя

Внесены изменения, касающиеся сроков ответа клиниками на запросы по ПД. Если раньше срок ответа на запрос пациента о его ПД не устанавливался, то теперь он составляет 10 рабочих дней с момента получения запроса. Данный срок может быть продлен – но не более чем на 5 рабочих дней. О продлении с указанием мотивированного обоснования продления обязательно уведомляется пациент. Ответ предоставляется в той форме, в которой направлен запрос, если иное не указано в самом запросе. Отказ в предоставлении информации направляется субъекту в таком же порядке.

В случае обращения пациента с требованием о прекращении обработки ПД клиника обязана в срок, не превышающий 10 рабочих дней с даты получения требования, прекратить обработку ПД. Такой срок может быть продлен, но не более чем на 5 рабочих дней в случае направления пациенту мотивированного уведомления с указанием причин продления срока. Продолжать обрабатывать данные можно, если они относятся к специальной категории ПД (куда относится информация о состоянии здоровья) либо обрабатываются не на основании согласия, а на ином законном основании.

Сокращен в новой редакции также срок предоставления информации по запросу Роскомнадзора Если раньше он составлял 30 дней с даты получения запроса, то теперь – 10 рабочих дней. Такой срок может быть продлен еще на 10 дней по уважительным причинам и при уведомлении Роскомнадзора.

Сообщить об утечке ПД

На всех операторов, в том числе медорганизаций, возложена обязанность уведомлять Роскомнадзор о случаях так называемых утечек ПД – т. е. фактах неправомерной или случайной передачи ПД (предоставления, распространения, доступа). В течение 24 часов с момента выявления инцидента нужно сообщить в Роскомнадзор о предполагаемых причинах, вреде и мерах по устранению последствий утечки. В течение 72 часов требуется провести внутреннее расследование, о результатах которого также сообщить в Роскомнадзор.

Поручать обработку ПД по новым требованиям

Федеральный закон №152 предоставляет клинике право поручить обработку ПД третьим лицам с согласия субъекта. Новая редакция ужесточает требования к содержанию такого поручения. Если раньше было достаточно цели и способов обработки, то теперь в поручении должны быть: перечень ПД; обязанность того, кому поручили обработку, предоставить по запросу документальные доказательства соблюдения им требований федерального закона №152; обязанность уведомлять клинику об утечках данных и т. д. Полный перечень новых требований закреплен в ч. 3 ст. 6 федерального закона №152.

В случае если в медорганизации имеется договор об обработке ПД третьими лицами, его содержание лучше пересмотреть на предмет соответствия новым требованиям, заключив дополнительное соглашение.

Подводим итоги

Перечислим шаги, которые необходимо предпринять медорганизации, чтобы привести работу с ПД в соответствие с новыми требованиями:

1. Подать уведомление об обработке ПД в Роскомнадзор, если оно ранее не подавалось. Если подавалось – проверьте, возможно, необходимо уточниться.
2. Не требовать от пациентов лишних ПД под угрозой незаключения договора об оказании медуслуг. Пересмотреть форму договора на предмет наличия излишних требований по ПД.
3. Разработать или купить у нас новую форму согласия на обработку ПД, если старая не соответствует требованиям предметности и однозначности.
4. Дополнить политику об обработке ПД новыми положениями и проверить ее размещение на сайте на всех страницах, где осуществляется сбор ПД.
5. Внести в локальные акты (если приняты) новые сроки и порядок ответов на запросы субъектов ПД и Роскомнадзора, положения в части утечки ПД и прочие нововведения. Сотрудников, которые назначены ответственными в клинике за обработку ПД, под подпись уведомить об изменениях и новых обязанностях.
6. Пересмотреть положения договоров с третьими лицами, которым поручена обработка ПД. При необходимости заключить дополнительное соглашение, которым дополнить договор новыми обязательными требованиями.
7. Не забывать следить за изменениями. Как минимум должны появиться новые приказы Роскомнадзора и ФСБ по персональным данным.