Что нужно сделать ещеНужно подавать данные об этом в роскомнадзор?

Здравствуйте!

— С 1 сентября 2022 года работодатели уведомляют Роскомнадзор об обработке персональных данных сотрудников.
— До 1 сентября уведомление сдают организации и ИП, которые уже обрабатывают персданные работников.
— Форма уведомления утверждена Приказом Роскомнадзора от 30.05.2017 г. № 94.
— Работодатели подключаются к ГосСОПК для защиты информации от утечки.
— За нарушение правил ИП и должностных лиц штрафуют на 300 ₽ – 500 ₽, организации — от 3 000 ₽ до 5 000 ₽.

Памятка для медицинских учреждений по актуальным проблемам обработки персональных данных
ПАМЯТКА

ДЛЯ МЕДИЦИНСКИХ УЧРЕЖДЕНИЙ

ПО АКТУАЛЬНЫМ ПРОБЛЕМАМ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Что такое персональные данные пациента?

Понятие персональных данных содержится в пункте 1 статьи 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее − Федеральный закон о персональных данных). Ими признается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Заполняя медицинскую карту амбулаторного больного или заключая договор оказания медицинских услуг, медицинская организация получает персональные данные пациента такие как: фамилия, имя, отчество; дата рождения; адрес по месту проживания; пол; вес; рост; сведения о состоянии здоровья; сведения о результатах анализов, при этом обязана соблюдать определенные требования.

Нормативные правовые акты в области здравоохранения не устанавливают обязанность медицинских учреждений требовать от пациента документы, удостоверяющие личность, а также не предусматривают возможность отказа в оказании медицинской помощи гражданину, который отказывается или не может предъявить личные документы.

Медицинская организация в процессе своей деятельности должна соблюдать требования по защите персональных данных и сохранению врачебной тайны.

Правила обработки персональных данных пациента

Согласно пункту 3 статьи 3 Федерального закона о персональных данных обработка персональных данных − любое действие (операция) или совокупность действий (операций), совершаемых с персональными данными с использованием средств автоматизации или без использования таковых, включая сбор, запись, систематизацию персональных данных, их накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу персональных данных (их распространение, предоставление, доступ к ним), обезличивание, блокирование, удаление, уничтожение персональных данных.

Обработка персональных данных допускается с согласия субъекта персональных данных либо при наличии иных оснований, предусмотренных пунктами 2-11 части 1 статьи 6 Федерального закона о персональных данных.

Так согласно пункту 6 части 1 статьи 6 Федерального закона обработка персональных данных, необходимая для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.

Обработка специальных категорий персональных данных без получения согласия пациента для медицинской организации возможна в следующих случаях:

— обработка персональных данных для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;

— обработка персональных данных в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну (пункт 4 части 2 статьи 10 Федерального закона о персональных данных).

Предоставление персональных данных пациенту

Согласно части 3 статьи 14 Федерального закона о персональных данных сведения о персональных данных предоставляются субъекту персональных данных или его представителю оператором при обращении либо получении запроса субъекта персональных данных или его представителя.

Запрос должен содержать:

— номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;

— сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дату его заключения, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя.

Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

Обеспечение неограниченного доступа к документам, определяющим политику медицинской организации в отношении обработки персональных данных

Согласно статье 18.1 Федерального закона о персональных данных оператор (медицинская организация) обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

Опубликование сведений о медицинской деятельности и о медицинских работниках

Согласно пункту 7 части 1 статьи 79 Федерального закона от 21.11.2011
№ 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» медицинская организация обязана информировать граждан в доступной форме, в том числе с использованием сети «Интернет», об осуществляемой медицинской деятельности и о медицинских работниках медицинских организаций, об уровне их образования и об их квалификации, а также предоставлять иную необходимую для проведения независимой оценки качества оказания услуг медицинскими организациями информацию.

Во исключение данной правовой нормы приказом Минздрава России от 30.12.2014 № 956н утверждены требования к содержанию и форме предоставления информации о деятельности медицинских организаций, размещаемой на официальных сайтах Министерства здравоохранения Российской Федерации, органов государственной власти субъектов Российской федерации, органов местного самоуправления и медицинских организаций в информационно-телекоммуникационной сети «Интернет». Обработка персональных данных лиц, не предусмотренных данным правовым актом, а также обработка категорий персональных данных в объеме, превышающем объем определенный приказом, возможен только с согласия субъекта персональных данных.

Здравствуйте, Виктория!

Изменения внесены Федеральным  законом   от 14.07.2022 N 266-ФЗ по ссылке https://www.consultant.ru/document/cons_doc_LAW_421898/3d0cac60971a511280cbba229d9b6329c07731f7/

. что несет нового закон об обработке перс данных от 01.09.22 для работы частной клиники?

Проверьте текст  согласие на обработку данных, которое дает пациент. Теперь оно должно быть 

Согласие на обработку персональных данных должно быть конкретным,предметным, информированным, сознательным и однозначным.

ст.9 ФЗ-152

Проверьте  локальные акты по вопросам обработки персональных   данных, с 1 сенября

— в них должны определяться для каждой цели обработки    категории и перечень обрабатываемых  данных, категории субъектов, способы, сроки их обработки и хранения, порядок уничтожения данных   при достижении целей их обработки;

— запрещено включать в них положения, ограничивающие права субъектов персональных  данных, а также возлагающие на операторов не предусмотренные законодательством РФ полномочия и обязанности ( ст. 18.1 ФЗ-152).

Сокращен  срок  с 30 дней до 10 дней  ответа оператора на   запросы  Роскомнадзора   и граждан по вопросам, связанным с незаконной обработкой персональных данных. (ст.20 ФЗ-152).

Появилась обязанность информировать Росконадзор   об инцидентах с принадлежащими операторам  базами персональных данных. (ст.21 ФЗ-152). 

Нужно подавать данные об этом в роскомнадзор?

Да, нужно. Операторы должны уведомлять его  о начале или осуществлении любой обработки персональных данных.

О форме уведомления и порядке его направления более подробно на сайте Роспотребнадзора   по ссылке https://rkn.gov.ru/news/rsoc/news74488.htm?utm_source=yandex.ru&utm_medium=organic&utm_campaign=yandex.ru&utm_referrer=yandex.ru

Здравствуйте

Изменений на самом деле довольно много, но  основном они просто усиливают прошлые положения. В 1 очередь все это вокруг согласия на обработку данных и положения об их защите.

Очень сильно изменили ст 22 фз 152 о персональных данных в части необходимости уведомление роскомнадзора по обработке этих данных (оператор встает в их реестр).

Имеется справка

Из Закона о персональных данных исключили большинство случаев, когда компаниям не нужно было уведомлять Роскомнадзор о намерении начать обрабатывать персональные данные.
Таким образом, следует проинформировать ведомство, если компания собирается обрабатывать, в частности, персональные данные (ссылки ведут на утратившие силу нормы о случаях, когда уведомление не требовалось):
— своих работников;
— клиентов (когда данные о них нужны исключительно для заключения и исполнения договоров);
— физлиц, которые разрешили их распространять;
— физлиц — только в части Ф.И.О.;
— физлиц — для однократного пропуска на территорию или в аналогичных целях.

Обзор: «Персональные данные: какие изменения учесть компаниям с 1 сентября 2022 года»
(КонсультантПлюс, 2022)

То есть теперь для вас это вопрос и по работникам и по клиентам.

Изменена ст. 18.1 — идет усиление по локальным актам. Положения об обработке данных и раньше должны их были защищать и юридически и технически, но теперь требуется указывать в локальных актах:
1) категории и перечни обрабатываемых данных;
2) категории субъектов данных;
3) способы и сроки обработки, хранения данных;
4) порядок их уничтожения.
Положения нужно установить для каждой цели обработки данных.
Если собираете данные граждан через сайт — уточнить- где именно на сайте опубликован документ о политике обработки данных и сведения о реализуемых компанией требованиях к их защите.
Такая информация должна быть опубликована в том числе на страницах сайта, где непосредственно идет сбор персональных данных.

То есть человек где заполняет эти формы дает свои согласия- должен видеть эти документы по обработке, ссылки на них и т.д.

Немного изменили статью 9 на счет согласия об обработке перс. данных, оно и раньше должно было быть конкретным, но теперь звучит так

Статья 9. Согласие субъекта персональных данных на обработку его персональных данных
1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.

добавилось информативным, предметным и конкретным. Скорее всего на будущее придется менять эти формы и расписывать эти вещи.