ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ: ИЗМЕНЕНИЯ ЗАКОНОДАТЕЛЬСТВА И ТРЕБОВАНИЯ К МЕДИЦИНСКИМ ОРГАНИЗАЦИЯМ
С 1 июня 2025 года в силу вступают изменения в статью 13.11 КоАП РФ, которые предусматривают достаточно серьёзные штрафы за неуведомление Роскомнадзора о намерении осуществлять обработку персональных данных (ПДн).
Введение нового состава административного правонарушения раскрывает ранее неурегулированные и спорные вопросы круга операторов ПДн и их обязанностей.
Согласно Федеральному закону от 27 июля 2006 года № 152-ФЗ «О персональных данных», под персональными данными понимается любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту ПДн). Персональные данные подразделяются на следующие виды:
В современную цифровую эпоху под определение оператора ПДн потенциально может подпадать практически всё население России. Однако столь широкое толкование лишает законодательство здравого смысла и не соответствует действительной воле законодателя.
При установке мобильных приложений банков, информационных порталов и иных сервисов граждане передают информацию о своих контактах (записных книжках), которая включает персональные данные третьих лиц без их согласия. Эти данные впоследствии могут использоваться неограниченным кругом лиц, в том числе в коммерческих целях, что формирует значительный риск неправомерной обработки ПДн.
Обширность регулирования законодательства об обработке ПДн требует чётких критериев хотя бы на уровне подзаконных актов. В их отсутствии государство ужесточает ответственность в этой сфере. Основной причиной ужесточения стали меры по борьбе с телефонным и иными видами мошенничества, процветающими из-за массовых утечек ПДн.
Существует надежда, что правоприменительная практика будет учитывать цель — защиту прав граждан.
Возникает ряд вопросов:
Хотя сам статус оператора ПДн не является рисковым, но в ряде случаев возникает обязанность регистрации в реестре Роскомнадзора, что влечёт административные риски.
Согласно п. 8 ч. 1 ст. 22 Закона о ПДн, уведомление Роскомнадзора не требуется, если обработка ПДн осуществляется без использования средств автоматизации.
Согласно п. 4 ч. 1 ст. 3 Закона о ПДн, автоматизированной считается обработка с помощью средств вычислительной техники.
Закон определяет эти термины друг через друга, что усложняет правоприменение.
Конвенция Совета Европы от 28 января 1981 года (ратифицирована в РФ Федеральным законом от 19 декабря 2005 года № 160-ФЗ) определяет автоматизированную обработку как полностью или частично автоматизированную деятельность, включая логические и арифметические операции.
Форма уведомления Роскомнадзора подтверждает, что под автоматизированной обработкой понимается работа с интернет-ресурсами, CRM, хостингами, облачными сервисами и базами данных.
Постановлением Правительства РФ от 15 сентября 2008 года № 687 закреплено: обработка признаётся неавтоматизированной, если все действия совершаются вручную, а нахождение ПДн в информационной системе не является автоматизированной обработкой само по себе.
Девятый арбитражный апелляционный суд (Постановление от 19.11.2024 № 09АП-55619/2024 по делу № А40-12676/24) подтвердил: само нахождение ПДн на сайте не является автоматизированной обработкой.
В соответствии с п. 5 ч. 1 ст. 6 Закона о ПДн, обработка допускается, если она необходима для исполнения договора, стороной или выгодоприобретателем по которому является субъект ПДн.
Таким образом:
Если медицинская организация:
— требуется получение отдельного согласия.
Согласно ст. 5 Закона о ПДн, при обработке ПДн должна обеспечиваться их точность. Медицинская организация вправе полагаться на достоверность сведений, предоставленных пациентом, и не обязана их дополнительно проверять.
При проверках МО предоставляет Роскомнадзору реквизиты договоров, но не копии самих договоров, так как последние содержат врачебную тайну, к которой Роскомнадзор доступа не имеет.
Важно! В рамках работы сайта ООО СК «ТРИУМФ» осуществляется:
Данные технические данные могут квалифицироваться как персональные данные, если позволяют идентифицировать пользователя.
В связи с этим:
Уведомление о начале обработки ПДн носит разовый характер, подтверждающий принятие на себя обязанностей оператора.
Таким образом: