Все это — онлайн, с заботой о вас и по отличным ценам.
CRM, Защита медицинских ПД согласно российскому и межденародному праву
1. Мы компания, работающая на территории России, и оказывающая медицинские услуги иностранным и российским гражданам. Если говорить о защите ПД, должны ли мы удовлетворять требованиям только Российского законодательства или так же и требованиям Европейского / Международного права?
2. Согласно российскому законодательству, каким именно требованиям должна удовлетворять информационная система (далее ИС) при учете того, что в ней ведется хранение/обратка медицинских ПД. Доступ к ИС обеспечивается через интернет.
3. Если нам нужно удовлетворять требованиям Европейского / Международного права, есть ли какие-то особенности по сравнению с Российским законодательством?
4. Каковы риски невыполнения норм Российского (Европейского) законодательства о защите ПД
Спасибо большое!
- Screen Shot 2018-03-13 at 14.37.55.png
Здравствуйте Сергей!
Отношения, связанные с обработкой персональных данных, осуществляемой государственными, муниципальными органами, юридическими и физическими лицами, регулируются в соответствии с положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Поскольку Ваша организация осуществляет деятельность на территории России и в ее правовом поле, то на Вас распространяется действие указанного федерального закона, и Вы должны выполнять требования, предъявляемые данным законом к лицам, осуществляющим обработку персональных данных физических лиц.
В пункте 1 статьи 4 Федерального закона № 152-ФЗ указано, что законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.
Действие данного Федерального закона № 152-ФЗ распространяется на всю территорию РФ и на всех ее граждан, государственных органов, общественных организаций, а также иностранцев, лиц без гражданства, находящихся на ее территории.
Согласно подпункту 4 пункта 2 статьи 10 Федерального закона № 152-ФЗ, если обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну, то допускается обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
Согласно положениям статьи 12 Федерального закона № 152-ФЗ, трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.
До начала осуществления трансграничной передачи персональных данных оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных (п. 3 ст.12 ФЗ-152).
Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:
1) наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;
2) предусмотренных международными договорами Российской Федерации;
3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;
4) исполнения договора, стороной которого является субъект персональных данных;
5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных (п. 4 ст.12 ФЗ-152).
Обязанности оператора персональных данных установлены положениями главы 4 Федерального закона № 152-ФЗ. В этой главе приведен довольно объемный перечень обязанностей, которые должны выполняться оператором:http://www.consultant.ru/cons/...
Относительно систематизации персональных данных в сети Интернет законом указано следующее: «при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети „Интернет“, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона» (п. 5 ст. 18 ФЗ-152). Иных специальных требований не установлено.
Относительно международного законодательства.
Государствами – членами Совета Европы утверждена Конвенция о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28 января 1981 года), целью которой является обеспечение на территории каждой Стороны для каждого физического лица, независимо от его гражданства или местожительства, уважения его прав и основных свобод, и в частности его права на неприкосновенность частной жизни, в отношении автоматизированной обработки касающихся его персональных данных («защита данных»).
Данная Конвенция ратифицирована Федеральным законом от 19.12.2005 № 160-ФЗ со следующими заявлениями:
1) в соответствии с подпунктом «а» пункта 2 статьи 3 Конвенции РФ не будет применять Конвенцию к персональным данным: а) обрабатываемым физическими лицами исключительно для личных и семейных нужд; б) отнесенным к государственной тайне в порядке, установленном законодательством Российской Федерации о государственной тайне;
2) в соответствии с подпунктом «с» пункта 2 статьи 3 Конвенции РФ будет применять Конвенцию к персональным данным, которые не подвергаются автоматизированной обработке, если применение Конвенции соответствует характеру действий, совершаемых с персональными данными без использования средств автоматизации;
3) в соответствии с подпунктом «а» пункта 2 статьи 9 Конвенции РФ оставляет за собой право устанавливать ограничения права субъекта персональных данных на доступ к персональным данным о себе в целях защиты безопасности государства и общественного порядка.
Данная Конвенция является основополагающим документом международного права в области защиты персональных данных. Федеральный закон № 152-ФЗ, как следует из его статьи 4, принят на основе международных договоров РФ, то есть, в том числе, и на основе данной Конвенции.
В то же время, статьей 4 Федерального закона № 152-ФЗ оговорено, что если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.
Поскольку Ваша организация осуществляет деятельность на территории РФ, на Вас распространяются в полной мере нормы национального законодательства. В то же время, соблюдая требования национального законодательства в области защиты персональных данных, Вы также соблюдаете и установленные международные нормы, поскольку национальное законодательство в этой сфере основано на международных принципах и правилах и в большей степени почерпнуло то, что уже давно было урегулировано Европейскими государствами. Оговорки национального законодательства в применении международного в этой сфере указаны в Федеральном законе № 160-ФЗ «О ратификации Конвенции».
Ответственность за нарушения в сфере защиты персональных данных
К лицам, нарушившим требования Федерального закона № 152-фз в зависимости от конкретных обстоятельств и степени тяжести совершенного деяния может быть применена административная, уголовная, гражданско-правовая и дисциплинарная ответственность.
Дабы не изобретать здесь лишнего, направляю Вам систематизированный перечень видов правонарушений в сфере защиты персональных данных и мер ответственности за их совершение, найденный на проверенных источниках в сети Интернет: http://www.garant.ru/actual/pe...
Дополнительно прилагаю Перечень стран, присоединившихся к Конвенции о защите физических лиц при автоматизированной обработке персональных данных: https://www.coe.int/en/web/con... Указаны страны, присоединившиеся и неприсоединившиеся. Данная информация необходима для соблюдения требований о трансграничной передаче персональных данных (пункты 3, 4 статьи 12 Федерального закона № 152-ФЗ).
Владимир, спасибо большое за ответ!
К сожалению первая ссылка — на Консультант, не рабочая.