г. Новосибирск, Кировский район, Зорге, 12а
По будням 09:00–20:00
Запись на приём

Обработка персональных данных

ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ: ИЗМЕНЕНИЯ ЗАКОНОДАТЕЛЬСТВА И ТРЕБОВАНИЯ К МЕДИЦИНСКИМ ОРГАНИЗАЦИЯМ

С 1 июня 2025 года в силу вступают изменения в статью 13.11 КоАП РФ, которые предусматривают достаточно серьёзные штрафы за неуведомление Роскомнадзора о намерении осуществлять обработку персональных данных (ПДн).

Введение нового состава административного правонарушения раскрывает ранее неурегулированные и спорные вопросы круга операторов ПДн и их обязанностей.


1. Понятие персональных данных

Согласно Федеральному закону от 27 июля 2006 года № 152-ФЗ «О персональных данных», под персональными данными понимается любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту ПДн). Персональные данные подразделяются на следующие виды:

  • Общие данные (например, паспортные данные);
  • Специальные данные (национальность, состояние здоровья и др.);
  • Биометрические данные;
  • Иные данные.

В современную цифровую эпоху под определение оператора ПДн потенциально может подпадать практически всё население России. Однако столь широкое толкование лишает законодательство здравого смысла и не соответствует действительной воле законодателя.


2. Практические примеры из повседневной жизни

При установке мобильных приложений банков, информационных порталов и иных сервисов граждане передают информацию о своих контактах (записных книжках), которая включает персональные данные третьих лиц без их согласия. Эти данные впоследствии могут использоваться неограниченным кругом лиц, в том числе в коммерческих целях, что формирует значительный риск неправомерной обработки ПДн.


3. Отсутствие чётких критериев

Обширность регулирования законодательства об обработке ПДн требует чётких критериев хотя бы на уровне подзаконных актов. В их отсутствии государство ужесточает ответственность в этой сфере. Основной причиной ужесточения стали меры по борьбе с телефонным и иными видами мошенничества, процветающими из-за массовых утечек ПДн.

Существует надежда, что правоприменительная практика будет учитывать цель — защиту прав граждан.


4. Возникающие риски для медицинских организаций

Возникает ряд вопросов:

  • Являются ли медицинские организации операторами ПДн?
  • Обязаны ли они получать отдельные согласия на обработку ПДн?
  • Обязаны ли уведомлять Роскомнадзор о начале обработки ПДн и регистрироваться в реестре операторов?

Хотя сам статус оператора ПДн не является рисковым, но в ряде случаев возникает обязанность регистрации в реестре Роскомнадзора, что влечёт административные риски.


5. Особенности автоматизированной и неавтоматизированной обработки ПДн

Согласно п. 8 ч. 1 ст. 22 Закона о ПДн, уведомление Роскомнадзора не требуется, если обработка ПДн осуществляется без использования средств автоматизации.

Согласно п. 4 ч. 1 ст. 3 Закона о ПДн, автоматизированной считается обработка с помощью средств вычислительной техники.

Закон определяет эти термины друг через друга, что усложняет правоприменение.


6. Практика толкования закона

Конвенция Совета Европы от 28 января 1981 года (ратифицирована в РФ Федеральным законом от 19 декабря 2005 года № 160-ФЗ) определяет автоматизированную обработку как полностью или частично автоматизированную деятельность, включая логические и арифметические операции.

Форма уведомления Роскомнадзора подтверждает, что под автоматизированной обработкой понимается работа с интернет-ресурсами, CRM, хостингами, облачными сервисами и базами данных.

Постановлением Правительства РФ от 15 сентября 2008 года № 687 закреплено: обработка признаётся неавтоматизированной, если все действия совершаются вручную, а нахождение ПДн в информационной системе не является автоматизированной обработкой само по себе.

Девятый арбитражный апелляционный суд (Постановление от 19.11.2024 № 09АП-55619/2024 по делу № А40-12676/24) подтвердил: само нахождение ПДн на сайте не является автоматизированной обработкой.


7. Особенности регулирования для медицинских организаций (МО)

  • Если медицинская организация использует автоматизированную обработку (например, CRM, формы обратной связи, личные кабинеты), уведомление в Роскомнадзор обязательно.
  • Использование программы 1С, Excel, облачных хранилищ при отсутствии автоматизированного поиска и обработки данных не подпадает под определение автоматизированной обработки, но обязанность по соблюдению закона о ПДн остаётся.

8. Основания обработки ПДн без согласия

В соответствии с п. 5 ч. 1 ст. 6 Закона о ПДн, обработка допускается, если она необходима для исполнения договора, стороной или выгодоприобретателем по которому является субъект ПДн.

Таким образом:

  • При оказании медицинской помощи (в том числе бесплатной) отдельного согласия не требуется.
  • Получение отдельного согласия может вводить пациента в заблуждение относительно права на отзыв согласия, что не соответствует законодательству.

9. Обработка ПДн в целях маркетинга

Если медицинская организация:

  • предоставляет услуги, выходящие за рамки медицинской помощи,
  • или использует ПДн в рекламных и маркетинговых целях,

— требуется получение отдельного согласия.


10. Обеспечение точности ПДн

Согласно ст. 5 Закона о ПДн, при обработке ПДн должна обеспечиваться их точность. Медицинская организация вправе полагаться на достоверность сведений, предоставленных пациентом, и не обязана их дополнительно проверять.


11. Ответы Роскомнадзору

При проверках МО предоставляет Роскомнадзору реквизиты договоров, но не копии самих договоров, так как последние содержат врачебную тайну, к которой Роскомнадзор доступа не имеет.


12. Использование сайта ООО СК “ТРИУМФ” (https://med-triumph.ru/)

Важно! В рамках работы сайта ООО СК «ТРИУМФ» осуществляется:

  • Сбор технических данных о посетителях сайта (IP-адреса, данные о браузере, времени посещения, истории действий на сайте).
  • Сбор данных с помощью файлов cookie и аналогичных технологий.

Данные технические данные могут квалифицироваться как персональные данные, если позволяют идентифицировать пользователя.

В связи с этим:

  • На сайте должна быть размещена Политика обработки персональных данных.
  • Необходимо оформить Политику использования файлов cookie.
  • Требуется получить согласие пользователя при первом посещении сайта (например, через всплывающее окно о согласии на использование cookie).
  • При передаче данных третьим лицам (хостинг, аналитика, реклама) должны быть заключены договоры поручения обработки ПДн.

13. Итоговые выводы

Уведомление о начале обработки ПДн носит разовый характер, подтверждающий принятие на себя обязанностей оператора.

Таким образом:

  • На сайте ООО СК «ТРИУМФ» не могут размещаться ФИО, телефоны, e-mail и иные персональные данные без правового основания и согласия.
  • Данные сотрудников и руководства размещаются в объёме, предусмотренном действующими законами и приказами МЗ РФ.
Записаться на консультацию