Персональные данные в стоматологической клинике - новые штрафы с 1 июля 2017 года

3 мая 2017, 6:32 03.05.2017 0

Авторы:

Аносов Владислав Александрович

Руководитель «Центра защиты врачей», консультант по правовым, лицензионным и конфликтным вопросам стоматологии РФ. Практикующий врач стоматолог ортопед. Владелец частного стоматологического Центра «ДокторСтом» (Краснодар).


Поскольку каждая клиника по закону обязана иметь сайт, и зачастую на сайте клиники есть форма обратной связи с посетителем, а также мы собираем и обрабатываем персональные данные пациентов и сотрудников, эта информация будет для Вас очень важной и актуальной.

Персональные данные в стоматологической клинике - новые штрафы с 1 июля 2017 года

В феврале 2017 года законодателем внесены поправки в статью 13.11 КоАП по поводу нарушений закона о персональных данных.

Поправки вступят в силу с 1 июля 2017 года и коснутся всех, кто собирает, обрабатывает и хранит любые персональные данные. Частные клиники в первую очередь.

Штрафы поделили на группы нарушений и увеличили во много раз по сравнению с прошлой редакцией. К примеру, если на сайте не разместить политику конфиденциальности, ИП оштрафуют на 10 тысяч рублей, а юр. лицо на 30 тысяч. А если собирать и обрабатывать персональные данные без согласия клиента (подписчика на информационный курс или рассылку), то штраф для юр. лица составит до 75 тысяч рублей. Должностному лицу компании или ИП дополнительно выпишут штраф до 20 тысяч.

Все выявленные нарушения суммируются, а потому, если найдут сразу несколько нарушений, то и штрафов выпишут несколько.

Еще одно важное отличие состоит в том, что с 1 июля 2017 года штраф может налагать Роскомнадзор (до этого могла только прокуратура). Именно поэтому нарушения выявлялись вяло и в небольшом количестве – ведь прокуратура не является профильным ведомством по контролю за персональными данными. А Роскомнадзор имеет это своим основным видом деятельности.

Поэтому с высокой долей вероятности он очень бодро возьмется за выявление и наказание нарушителей – благо, огромные суммы штрафов будут этому рвению только способствовать.

Осложняет дело тот факт, что, в отличие от обычной внеплановой проверки, для проверки сайта на соответствие закону о ПД Роскомнадзору не нужно никакого разрешения или предписания – сотрудник просто заходит на сайт, проверяет его на соответствие закону, и при выявлении нарушений штрафа уже не избежать.

Любая клиника по своей сфере деятельности практически всегда является оператором персональных данных. По закону операторы персональных данных должны уведомить Роскомнадзор. Причем сделать это нужно до начала обработки данных или как можно скорее. Роскомнадзор внесет информацию об операторе в общий реестр и будет выдавать по запросу.

Уведомление можно не подавать, если:

  • обрабатываются только данные сотрудников;
  • персональные данные получены только для исполнения конкретного договора с конкретным человеком и больше никак не будут использоваться и тем более — распространяться;
  • человек сам опубликовал эти данные в общем доступе;
  • у вас есть только ФИО клиента и больше ничего.

Если вы сейчас обрабатываете персональные данные и не разместили на сайте политику их обработки и не зарегистрировались в качестве оператора, то вы уже нарушаете закон и вас уже сейчас могут оштрафовать. А с момента вступления изменений в силу размер штрафа только возрастет.

Итак, ваши действия для соответствия законодательству должны быть следующие:

  1. Подготовьте документы по политике обработки персональных данных и разместите их на своем сайте и в клинике.
  2. Реализуйте программное решение для сайта, которое позволит проверяющим точно установить, что человек перед отправкой своих ПД согласился на их обработку в соответствии с размещенной Вами политикой конфиденциальности. Идеально в этом случае работает галочка в форме регистрации и ссылка в этом же окошке на политику обработки ПД, ознакомление с которой посетитель сайта подтверждает, отмечая поле в форме.
  3. Подготовьте внутренние документы компании о хранении персональных данных и ответственности сотрудников, которые с ними работают. Приказы, регламенты и должностные инструкции, правила доступа, согласия и ограничения, внутренняя политика обработки ПД в компании и т.д. Внутренние документы не нужно выкладывать в общий доступ на сайт, но они обязательно должны быть в клинике. Их отсутствие – также повод для наложения больших штрафов.
  4. Если в клинике используется видеонаблюдение, убедитесь в согласованности использования на рабочих местах с сотрудниками клиники и наличии отдельного пакета документов по видеонаблюдению.
  5. Отправьте уведомление в Роскомнадзор о том, что ваша компания является оператором ПД.

Времени до вступления в силу поправок в КоАП и увеличения штрафов более чем достаточно, чтобы привести все документы по данному вопросу в полный порядок и чувствовать себя спокойно.

При соблюдении этих несложных советов вы будете полностью застрахованы от неприятностей при проверках Роскомнадзора и гарантированно избежите штрафных санкций.

0 комментариев