Журнал "Российские аптеки" №10, 2018
Вопросам защиты персональных данных в последнее время уделяется повышенное внимание, требования к работе с ними постоянно конкретизируются и расширяются, а санкции за нарушения ужесточаются. Какие меры нужно предпринять аптечной организации, чтобы не вступить в конфликт с законодательством?
Сфера применения
Персональными данными в соответствии с законом «О персональных данных» № 152-ФЗ (далее – Закон) является любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу.
В примерный перечень наиболее часто используемых персональных данных входят:
- фамилия, имя, отчество
- возраст, дата, место рождения
- данные документа, удостоверяющего личность, других личных документов
- адрес места жительства, регистрации
- сведения о семейном положении
- номер контактного телефона, информация о других средствах связи
- фото гражданина и т.д.
В настоящее время перечень сведений, которые можно отнести к персональным данным, постоянно расширяется.
Посетители оставляют свои данные аптеке, делая заказы в Интернете, подписываясь на объявления об акциях, оформляя скидочные и бонусные карты, участвуя в опросах, анкетировании, конкурсах и т.д. Персональные данные также содержатся в рецептах, в том числе в тех, которые аптеки обязаны хранить после обслуживания.
Теперь вы оператор
Собирая, записывая, систематизируя, накапливая, храня, уточняя, используя, передавая персональные данные, аптека осуществляет их обработку и таким образом становится оператором персональных данных (п. 2 ст. 3 Закона). Их обработка должна проводиться в строгом соответствии с законодательством и только в том объеме и в такие сроки, какие необходимы для достижения заранее определенных целей. Объединение баз данных возможно только в случае, если они собирались для аналогичных целей. Также в обязанности оператора входит обеспечение точности и актуальности персональных данных. Однако главное требование, невыполнение которого чаще всего приводит к неблагоприятным последствиям в виде судебных исков, – это необходимость получения согласия гражданина (субъекта персональных данных). Такое согласие может быть дано в любой форме, позволяющей подтвердить факт его получения, если иное не установлено федеральным законом (п. 1 ст. 9 Закона). Например, для онлайн-магазина или сайта аптеки на настоящий момент вполне достаточно «галочки», свидетельствующей о согласии на обработку данных под формой для их сбора. Его также может дать законный представитель либо представитель клиента по доверенности.
Обратная связь
Если сведения получены не напрямую, а от других операторов, до начала их обработки необходимо предоставить субъектам персональных данных следующую информацию:
- наименование оператора, его адрес
- цель обработки персональных данных и ее законное основание
- предполагаемые пользователи данных (работники оператора, государственные органы, иное)
- права субъекта персональных данных (в соответствии с главой 3 Закона)
- источник их получения.
Форма и порядок такого уведомления не предусмотрены, однако информировать гражданина необходимо так, чтобы это можно было впоследствии подтвердить. Таким образом, наиболее надежным решением будет уведомление клиента под подпись либо отправка ему уведомления с письмом о вручении или с описью вложения.
Законодательством предусмотрены случаи, в которых обработка персональных данных может выполняться без согласия гражданина. Это можно делать:
- для достижения целей, предусмотренных законодательством
- для защиты жизни и здоровья гражданина, если получение его согласия невозможно
- для исполнения договора, стороной, выгодоприобретателем или поручителем по которому является клиент, и др.
Форма и правила направления отзыва согласия на обработку персональных данных также не оговариваются законом. В связи с этим рекомендуется реагировать на все поступающие сообщения такого рода.
Организация процесса
При подготовке к работе с персональными данными рекомендуется использовать следующий порядок действий:
- назначить приказом лицо, ответственное за организацию обработки персональных данных
- издать локальные акты, определяющие политику организации в данной сфере и ознакомить с ними работников
- разработать меры по обеспечению безопасности персональных данных (правовые, организационные, технические)
- направить уведомление о намерении осуществлять обработку персональных данных в Роскомнадзор
- провести учет машинных носителей персональных данных
- обеспечить регистрацию и учет действий, совершаемых с персональными данными.
Необходимо учесть, что согласно закону № 152-ФЗ (ч. 2 ст. 18. 1) оператор обязан предоставить клиентам неограниченный доступ к внутреннему документу о защите персональных данных. На практике такое положение обычно публикуется на сайте организации либо на ее стенде, доступном для покупателей. Если сбор данных осуществляется в Интернете, документ должен быть опубликован в открытом доступе именно в Сети.
В случае нарушений
Преступивший закон оператор персональных данных, в зависимости от обстоятельств, может быть привлечен к:
- гражданско-правовой (ст. 152 ГК РФ «Защита чести, достоинства и деловой репутации»)
- административной (ст. 13.11 КоАП РФ «Нарушение законодательства РФ в сфере персональных данных»)
- уголовной ответственности (ст. 137 УК РФ «Нарушение неприкосновенности частной жизни»).
NB! С 01.09.2015 оператор обязан обеспечить обработку персональных данных российских граждан в базах данных, находящихся на территории Российской Федерации. Таким образом, серверы с информацией о клиентах должны фактически находиться на территории нашей страны. В зависимости от специфики деятельности оператора стоит учитывать те или иные требования подзаконных нормативных актов. Так, постановление правительства РФ от 01.11.2012 № 1119 устанавливает требования к уровню защищенности персональных данных при обработке в информационной системе, если оператор обрабатывает биометрические или иные специальные категории персональных данных более чем 100 тыс. субъектов, не являющихся сотрудниками оператора. Базы данных клиентов аптеки представляют также коммерческую ценность. Работа с такой информацией регулируется федеральным законом «О коммерческой тайне» от 29.07.2004 № 98-ФЗ.
Возможные санкции – выплата компенсации морального вреда, штраф за нарушения правил обработки персональных данных в размере до 75 тыс. руб. Для уголовных правонарушений предусмотрены более суровые наказания – вплоть до тюремного заключения сроком до 5 лет.
Роскомнадзор на связи
Оператор персональных данных обязан проинформировать о своей деятельности территориальное управление Роскомнадзора. Порядок уведомления регулируется административным регламентом по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных» (утвержден приказом Минкомсвязи России от 21.12.2011 № 346 (далее – Регламент). Уведомление должно быть составлено по форме, приведенной в Приложении № 2 к Регламенту.Подача уведомления является бесплатной (п. 30 Регламента). Оно направляется на бумажном носителе или в электронной форме (ч. 3 ст. 22 Закона). Во втором случае документ должен быть заверен электронной цифровой подписью (п. 43 Регламента). На практике чаще всего сотрудники Роскомнадзора просят заполнить уведомление на официальном сайте по адресу: https://pd.rkn.gov.ru/operators-registry/notification/, распечатать его на бланке организации и направить почтой, поставив на нем подпись и печать оператора.
Возможные конфликтные ситуации
В ч. 2 ст. 22 закона «О персональных данных» перечислены случаи, когда уведомление в Роскомнадзор можно не направлять. Такой необходимости нет, когда персональные данные:
- получены в связи с заключением договора, не распространяются третьим лицам и используются исключительно для исполнения договора (имеется в виду обработка тех или иных данных клиентов при приеме заказов, онлайн-расчетах и т.д., если полученная информация никак в дальнейшем не используется)
- сделаны их субъектом общедоступными (справочники, адресные книги и т.д.)
- включают в себя только фамилии, имена и отчества субъектов данных
- обрабатываются без использования средств автоматизации (например, компьютеров).
Стоит иметь в виду, что должностные лица Роскомнадзора нередко предъявляют избыточные требования к операторам персональных данных, настаивая на необходимости уведомления вопреки требованиям законодательства. Известны случаи, когда компаниям удавалось отстоять свою правоту в суде (см., например, постановление Четвертого арбитражного апелляционного суда от 07.02.2018 № 04АП-127/2018 по делу № А19-17054/2017).
Юлия Жижерина
