Все новости законодательства
у вас на почте

Подпишитесь на рассылки

Все новости законодательства в вашей электронной почте

Подпишитесь на наши рассылки

Должен ли медицинский центр брать согласие на обработку персональных данных у сотрудников и пациентов с 1 июля?

Вопрос:

Согласно новому Закону об ужесточении ответственности за нарушение Закона о персональных данных, вступающему в силу 1 июля 2017 года, должен ли медцентр предоставлять пациентам и собственным сотрудникам политику конфиденциальности и брать согласие на обработку персональных данных за подписью физлица?

Ответ подготовлен

Ответ:

Да, медцентр обязательно должен брать согласие на обработку персональных данных у сотрудников и пациентов с 01.07.2017. Федеральным законом от 07.02.2017 № 13-ФЗ ужесточена ответственность за нарушение законодательства о защите персональных данных. Максимальный размер штрафа для юридических лиц теперь составляет 75 тыс. рублей, ранее он составлял 10 тыс. рублей.

Согласие на обработку персональных данных физлица нужно получить:

  •  при поступлении запроса информации от сторонней организации;
  •  при направлении организацией запросов в другие организации;
  •  при обработке организацией персональных данных работников, пациентов либо их родственников.

Положение о персональных данных организации — это локальный нормативный акт (далее ЛНА), который каждая организация обязана разработать и утвердить в соответствии со ст. 87 ТК РФ. При отсутствии положения организацию могут привлечь к ответственности по ст. 5.27 КоАП РФ. Кроме того, Конституция РФ и Федеральный закон от 21.11.2011 № 323-ФЗ устанавливают требования по сохранению врачебной тайны в отношении пациентов медцентра. Поскольку медицинская организация помимо соблюдения требований Закона о защите персональных данных должна соблюдать также требования Закона о сохранении и неразглашении врачебной тайны, медцентр может объединить порядок и правила соблюдения этих требований в одном ЛНА – «Политике конфиденциальности».

«Политика конфиденциальности» является внутренним документом организации (ЛНА), поэтому ее действие на пациентов медцентра не распространяется. «Политика конфиденциальности» медицинской организации устанавливает порядок обработки и передачи персональных данных пациентов, правила по соблюдению конфиденциальности персональных медицинских данных для работников организации, а также порядок и правила работы с конфиденциальной информацией о пациенте, составляющей врачебную тайну. Поэтому с «Политикой конфиденциальности» нужно под подпись ознакомить работников организации, а пациентов знакомить не нужно.

Также организации нужно разработать и утвердить правила оказания медицинских услуг в медцентре. В правилах закрепить, что при первичном обращении в медцентр пациент заключает договор на оказание медицинских услуг и дает свое согласие на обработку персональных данных. В правилах указать, что разглашение сведений, составляющих врачебную тайну, другим гражданам допускается только с письменного согласия пациента или его законного представителя, за исключением случаев, предусмотренных законодательством РФ. В договоре на оказание медицинских услуг прописать, что неотъемлемой частью договора являются правила оказания медицинских услуг в медцентре (см. в СПС «КонсультантПлюс» образцы договора на оказание платных медицинских услуг и правил оказания медицинских услуг).

При проверке организация должна быть готова предъявить  следующие документы:

  •  Положение о персональных данных/Политику конфиденциальности организации;
  •  приказы о назначении ответственных лиц за работу с персональными данными;
  •  приказ о назначении ответственных лиц за обеспечение безопасности персональных данных;
  •  согласие работников на обработку персональных данных;
  •  согласие пациентов на обработку персональных данных;
  •  обязательства о неразглашении персональных данных лиц, обрабатывающих и имеющих доступ к персональным данным;
  •  уведомления о получении персональных данных у третьей стороны (при запросе/получении в/от других организаций);
  •  перечень обрабатываемых данных сотрудников;
  •  перечень обрабатываемых данных пациентов;
  •  лист ознакомления с Положением о персональных данных/ Политикой конфиденциальности с подписями работников;
  •  журнал ознакомления с ЛНА с подписями работников;
  •  другие документы в зависимости от документооборота организации.