Ответ подготовлен
Службой правового консалтинга компании РУНА
Ответ:
Да, медцентр обязательно должен брать согласие на обработку персональных данных у сотрудников и пациентов с 01.07.2017. Федеральным законом от 07.02.2017 № 13-ФЗ ужесточена ответственность за нарушение законодательства о защите персональных данных. Максимальный размер штрафа для юридических лиц теперь составляет 75 тыс. рублей, ранее он составлял 10 тыс. рублей.
Согласие на обработку персональных данных физлица нужно получить:
- при поступлении запроса информации от сторонней организации;
- при направлении организацией запросов в другие организации;
- при обработке организацией персональных данных работников, пациентов либо их родственников.
Положение о персональных данных организации — это локальный нормативный акт (далее ЛНА), который каждая организация обязана разработать и утвердить в соответствии со ст. 87 ТК РФ. При отсутствии положения организацию могут привлечь к ответственности по ст. 5.27 КоАП РФ. Кроме того, Конституция РФ и Федеральный закон от 21.11.2011 № 323-ФЗ устанавливают требования по сохранению врачебной тайны в отношении пациентов медцентра. Поскольку медицинская организация помимо соблюдения требований Закона о защите персональных данных должна соблюдать также требования Закона о сохранении и неразглашении врачебной тайны, медцентр может объединить порядок и правила соблюдения этих требований в одном ЛНА – «Политике конфиденциальности».
«Политика конфиденциальности» является внутренним документом организации (ЛНА), поэтому ее действие на пациентов медцентра не распространяется. «Политика конфиденциальности» медицинской организации устанавливает порядок обработки и передачи персональных данных пациентов, правила по соблюдению конфиденциальности персональных медицинских данных для работников организации, а также порядок и правила работы с конфиденциальной информацией о пациенте, составляющей врачебную тайну. Поэтому с «Политикой конфиденциальности» нужно под подпись ознакомить работников организации, а пациентов знакомить не нужно.
Также организации нужно разработать и утвердить правила оказания медицинских услуг в медцентре. В правилах закрепить, что при первичном обращении в медцентр пациент заключает договор на оказание медицинских услуг и дает свое согласие на обработку персональных данных. В правилах указать, что разглашение сведений, составляющих врачебную тайну, другим гражданам допускается только с письменного согласия пациента или его законного представителя, за исключением случаев, предусмотренных законодательством РФ. В договоре на оказание медицинских услуг прописать, что неотъемлемой частью договора являются правила оказания медицинских услуг в медцентре (см. в СПС «КонсультантПлюс» образцы договора на оказание платных медицинских услуг и правил оказания медицинских услуг).
При проверке организация должна быть готова предъявить следующие документы:
- Положение о персональных данных/Политику конфиденциальности организации;
- приказы о назначении ответственных лиц за работу с персональными данными;
- приказ о назначении ответственных лиц за обеспечение безопасности персональных данных;
- согласие работников на обработку персональных данных;
- согласие пациентов на обработку персональных данных;
- обязательства о неразглашении персональных данных лиц, обрабатывающих и имеющих доступ к персональным данным;
- уведомления о получении персональных данных у третьей стороны (при запросе/получении в/от других организаций);
- перечень обрабатываемых данных сотрудников;
- перечень обрабатываемых данных пациентов;
- лист ознакомления с Положением о персональных данных/ Политикой конфиденциальности с подписями работников;
- журнал ознакомления с ЛНА с подписями работников;
- другие документы в зависимости от документооборота организации.