Закон о разглашении третьим лицам персональных данных

Персональные данные: что грозит за нарушение закона

Закон о разглашении третьим лицам персональных данных

Работодатель, принимая сотрудника на работу, запрашивает у него определенные сведения. В статье расскажем, что считается персональными данными, какие обязанности по их защите установлены для работодателей и какая ответственность за их несоблюдение ждет нарушителей.

Персональные данные — это любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

К персональным данным могут быть отнесены:

  • фамилия, имя, отчество;
  • пол, возраст;
  • образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
  • место жительства;
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);

Кстати, сведения о заработной плате относятся к персональным данным.

Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».

Можно ли номер телефона отнести к персональным данным?

Абонентский номер (номер телефона) это выделяемый абоненту номер, (совокупность цифровых знаков) при заключении с абонентом договора об оказании услуг телефонной связи. Данный номер служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств.

Из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца.

Поэтому номер телефона сам по себе не относится к персональным данным.

А вот фотография относится к биометрическим персональным данным.

Так как это изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (См.

Разъяснения Роскомнадзора «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»).

Персональные данные, набор которых не позволяет идентифицировать субъект, являются обезличенными. К защите обезличенных персональных данных требования законодательства минимальны.

Ответственность работодателя за нарушение норм, регулирующих защиту персональных данных

С 1 июля 2017 года органом, осуществляющим контроль и надзор за соответствием обработки персональных данных требованиям Закона о персональных данных и нормативных правовых актов, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (ст.

23 Закона о персональных данных). Есть плановые проверки, которые Роскомнадзор совершает раз в три года, а есть внеплановые ревизии, и о них не стоит забывать. Они могут быть проведены, к примеру, с целью выяснить, устранила ли компания нарушения, допущенные и выявленные ранее.

Кроме того, проверку также стоит ждать, если компания претендует на выполнение госзаказа.

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Федерального закона от 27.07.2006 № 152-ФЗ). Разберем каждый вид ответственности.

Дисциплинарная ответственность

Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, является основанием для привлечения этого лица к дисциплинарной ответственности (ст. 90 ТК РФ). Трудовой договор с работником может быть, расторгнут по причине разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ).

Материальная ответственность

Eсли вред работнику был причинен по вине лица, которое было ответственно за неразглашение персональных данных, то работодатель может привлечь последнего к материальной ответственности за ущерб, который был нанесен работнику такими действиями. В соответствии с пунктом 7 части 1 статьи 243 ТК РФ материальная ответственность в полном размере причиненного ущерба возлагается на работника в случае разглашения сведений, составляющих охраняемую законом тайну.

Административная ответственность

С 1 июля статья 13.11 КоАП РФ претерпела значительные изменения и теперь применяется в новой редакции.

Был детализирован перечень нарушений в области персональных данных и увеличен размер административной ответственности за них. Теперь новая формулировка статьи 13.

11 содержит семь составов правонарушений (вместо одного). Проверяющ ие могут составить отдельный протокол за каждое нарушение и назначить отдельный штраф.

То есть, если до 1 июля 2017 года максимальный штраф по статье 13.11 КоАП РФ составлял 10 тыс. руб. и состав нарушения был одним, то на данный момент размер штрафа увеличен до 75 тыс. руб., и составов преступлений стало семь. Соответственно, за разные нарушения на одну компанию могут наложить несколько разных штрафов.

Кроме того, должностных лиц могут оштрафовать на сумму от 3 000 до 20 000 руб., индивидуальных предпринимателей — на сумму от 5 000 до 20 000 руб., организации — на сумму от 15 000 до 75 000 руб.

Практическая ситуация

В коллективном договоре закреплено, что одним из видов поощрения работников является размещение фотографии работника на Доске почета. Работник обратился к работодателю с требованием не размещать его фотографию для всеобщего обозрения. Какие риски несет работодатель, если разместит фотографию без согласия работника?

Согласно Закону о персональных данных фотографию работника можно отнести к персональным данным. Доска почета, размещенная публично, является общедоступным источником персональных данных.

Статья 8 Закона о персональных данных устанавливает, что в общедоступные источники персональных данных сведения о персональных данных могут включаться только с письменного согласия субъекта персональных данных.

То есть работодатель должен перед размещением фотографии на доске почета запросить письменное разрешение работника. Если фотография работника размещена без его согласия, работодатель может быть привлечен к административной ответственности с наложением штрафа до 75 тыс. руб., при этом работник может также потребовать компенсации морального вреда за нарушение его прав.

Если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных других работников, то его могут привлечь к административной ответственности в виде штрафа (ст. 13.14 КоАП РФ) (за исключением случаев, если такое разглашение влечет уголовную ответственность):

  • на граждан — от 500 до 1 000 руб.;
  • на должностных лиц — от 4 000 до 5 000 руб.

С работником, допущенным к обработке персональных данных, подписывается обязательство о неразглашении персональных данных.

Можно ли условие о неразглашении персональных данных включать в трудовой договор с работником? Только в отношении тех работников, которые непосредственно работают с персональными данными: кадровиков, бухгалтеров, секретарей и т.п. (ст. 57 ТК РФ). В этом случае при приеме на работу ознакомьте работника с Положением о работе с персональными данными.

Уголовная ответственность

Если работник, ответственный за хранение, обработку и использование персональных данных других работников, злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, он может быть привлечен и к уголовной ответственности. Наказывается такое деяние (ст. 137 УК РФ):

  • штрафом в сумме до 200 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период до 18 месяцев;
  • либо обязательными работами на срок от 120 до 180 часов;
  • либо исправительными работами на срок до одного года;
  • либо арестом на срок до четырех месяцев.

Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются (ч. 2 ст. 137 УК РФ):

  • штрафом в сумме от 100 тыс. до 300 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период от одного года до двух лет;
  • либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
  • либо арестом на срок от четырех до шести месяцев.

Подведем итоги

Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:

  • от всех ли работников получено согласие на обработку персональных данных;
  • ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
  • должным ли образом осуществляется хранение и защита персональных данных;
  • соответствует ли документация об их обработке требованиям законодательства и т.д.

Источник: https://school.kontur.ru/publications/1624

Пользовательское соглашение | Официальный сайт тура Басты

Закон о разглашении третьим лицам персональных данных

Настоящая Политика проводится ООО «Небо Рекордс» (далее – «Организация») в отношении обработки и обеспечения защиты персональных данных физических лиц (субъектов персональных данных) на основании статьи 24 Конституции РФ, Федерального закона от 27.07.2006 N 152-ФЗ (в редакции, действующей на дату принятия настоящей Политики) «О персональных данных», других нормативных актов РФ.

Политика применяется в отношении всех персональных данных (субъектов), которые могут быть получены Организацией в процессе деятельности.

Цель Политики заключается в доведении до лиц, предоставляющих свои персональные данные необходимой информации, позволяющей оценить, какие персональные данные и с какими целями обрабатываются Организацией, какие методы обеспечения их безопасности реализуются.

Политика обеспечивает защиту прав и свобод субъектов при обработке их персональных данных с использованием средств автоматизации или без использования таких средств, а также устанавливает ответственность лиц, имеющих доступ к персональным данным, за невыполнение требований, регулирующих обработку и защиту персональных данных.

Клиенты, используя сервисы, услуги Организации, сообщив Организации свои персональные данные, в том числе при посредничестве третьих лиц, признают своё согласие на обработку персональных данных в соответствии с настоящей Политикой.

Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

В случае отзыва субъектом персональных данных согласия на обработку персональных данных Организация, либо третье лицо, получившее от Организации соответствующие персональные данные, вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных действующим законодательством.

Настоящая Политика может быть изменена при изменении действующего законодательства РФ.

Организация представляет действующую редакцию Политики на сайте Организации. Субъект персональных данных принимает на себя обязательство самостоятельно знакомиться с изменениями, вносимыми в настоящую Политику.

2. Понятие и состав персональных данных

В целях настоящей Политики под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)

В зависимости от субъекта персональных данных, Организация для осуществления своей деятельности и для выполнения своих обязательств может обрабатывать персональные данные следующих категорий субъектов:

  • персональные данные Клиента – информация, необходимая Организации для выполнения своих обязательств в рамках отношений с Клиентом и для выполнения требований законодательства РФ.
  • Персональные данные Клиента, предоставленные при заполнении анкет, опросников, регистрационных карт, осуществления «подписки» (выдачи согласия) на получение информационных и рекламных материалов от Организации и т.д. Клиент предоставляет в том числе следующие персональные данные: Фамилия, Имя, Отчество, адрес электронной почты, адрес места проживания, телефон, предпочтения по приобретаемым/ желательным к приобретению товарам/услугам т.д.

Организация использует информацию для выполнения своих обязательств перед Клиентом.

3. Основания и цели обработки персональных данных

Организация обрабатывает персональные данные для осуществления деятельности, реализации своих законных интересов и требований. Цели обработки персональных данных диктуются необходимостью:

  • Осуществлять возложенные на Организацию законодательством Российской Федерации функции в соответствии с ФЗ «О Персональных данных», ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» и иными законами и нормативными правовыми актами РФ, а также;
  • Организация собирает, хранит и обрабатывает персональные данные Клиента, необходимые для оказания услуг, исполнения соглашений и договоров, исполнения обязательств перед Клиентом.

Организация может использовать персональные данные Клиента в следующих целях:

  • связь с Клиентом для направления предложений, уведомлений, информации и запросов, а также обработка заявлений, запросов и заявок Клиента;
  • улучшение качества услуг, оказываемых Организацией Клиентам.

4. Сроки обработки персональных данных

Сроки обработки персональных данных определяются исходя из целей обработки в информационных системах Организации, в соответствии со сроком действия договора, соглашения с субъектом персональных данных, с Перечнем типовых управленческих документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения (утв. Минкультуры РФ, Приказ № 558 от 25.08.2010 г.), сроком исковой давности, а также иными требованиями законодательства и нормативными документами Организации.

5. Круг лиц, допущенных к обработке персональных данных

Для достижения целей статьи 3 настоящей Политики к обработке персональных данных допущены сотрудники, партнеры и контрагенты Организации, на которых возложена такая обязанность в соответствии с их служебными (трудовыми) и/или договорными обязанностями. Доступ иных лиц может быть предоставлен только в предусмотренных законом случаях. Организация требует от лиц, допускаемых к обработке персональных данных соблюдения конфиденциальности и обеспечения безопасности персональных данных, при их обработке.

Организация вправе передать персональные данные третьим лицам в следующих случаях:

  • Субъект персональных данных выразил свое согласие на такие действия;
  • Передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры.

6. Методы обработки персональных данных

В процессе оказания услуг Клиентам Организация использует автоматизированную, с применением средств вычислительной техники, так и неавтоматизированную, с применением бумажного документооборота, обработку персональных данных.

Принятие решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки персональных данных Организацией не производится.

Организация хранит персональную информацию Клиентов в соответствии с внутренним регламентом.

В отношении персональной информации Клиентов сохраняется конфиденциальность, кроме случаев добровольного предоставления Клиентом информации о себе для общего доступа неограниченному кругу лиц.

В данном случае Клиент соглашается с тем, что определенная часть его персональной информации становится общедоступной.

Организация гарантирует организационные и технические меры для защиты персональной информации Клиента от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.

7. Реализация защиты персональных данных

Деятельность Организации по обработке персональных данных в информационных системах неразрывно связана с защитой Организацией конфиденциальности полученной информации.

Все лица, привлекаемые Организацией к обработке персональных данных, обязаны обеспечивать конфиденциальность персональных данных, а также об иных сведениях, установленных Организацией, если это не противоречит действующему законодательству РФ.

Безопасность персональных данных при их обработке в информационных системах Организации обеспечивается с помощью системы защиты информации, включающей в себя: организационные меры с применением ограничения физического доступа в помещения, применение программно-технических мер защиты (в том числе шифровальных (криптографических) средств, средства предотвращения несанкционированного доступа, и программно-технического воздействия на технические средства обработки персональных данных.

Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защищенным техническими средства защиты информации.

При обработке персональных данных в информационных системах Организации обеспечиваются:

  • проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передача их лицам, не имеющим права доступа к такой информации;
  • своевременное обнаружение фактов несанкционированного доступа к персональным данным;
  • недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
  • возможность незамедлительного восстановления персональных данных, модифицированных и уничтоженных вследствие несанкционированного доступа к ним;
  • постоянный контроль уровня защищенности персональных данных.

В целях обеспечения соответствия уровня защиты персональных данных требованиям Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» и Федерального закона от 27.07.

2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации» Организация не раскрывает информацию о конкретных применяемых средствах и методах обеспечения информационной безопасности персональных данных. Организация обязуется не разглашать полученную от Клиента информацию.

Не считается нарушением предоставление Организацией информации агентам и третьим лицам, действующим на основании договора с Организацией, для исполнения обязательств перед Клиентом. Не считается нарушением обязательств разглашение информации в соответствии с обоснованными и применимыми требованиями закона.

Организация не несет ответственности за сведения, предоставленные Клиентом на Сайте в общедоступной форме, в т.ч. в виде отзывов, комментариев и в иных формах.

8. Рассылки на электронную почту:

Являясь пользователем данного Сайта, Клиент может получать периодические рассылки (информационные, праздничные и другие) на зарегистрированный адрес электронной почты, а также сервисные уведомления.
Рассылки на электронную почту проводятся с определенной периодичностью, устанавливаемой Организатором.

Клиент вправе отказаться от получения вышеуказанной рассылки.

9. Обратная связь:

Все предложения, вопросы и уведомления по поводу настоящей Политики следует

сообщать на info@neborecords.ru

Реквизиты Организации:

ООО «Небо Рекордс», ИНН 7720827220, ОГРН 5147746171733, Адрес 111394, г. Москва, проспект Зеленый, дом 34, помещ. 1, комн. 1

Источник: https://bastatour.ru/terms-of-use/

Персональные данные пациентов в медицинских организациях: требования к обработке и ответственность

Закон о разглашении третьим лицам персональных данных

→ Статьи → Персональные данные пациентов в медицинских организациях: требования к обработке и ответственность

Медицинские организации в силу законодательства являются операторами персональных данных своих пациентов.

Они принимают непосредственное участие в сборе, систематизации, накоплении, хранении, уточнении, обновлении, изменении, распространении и уничтожении такой информации.

Разберемся, какие требования предъявляет законодательство к медицинской организации в качестве оператора персональных данных и какие виды ответственности предусмотрены за их нарушение.

Персональные данные представляют собой любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ)).

Медицинская организация, получая персональные данные от пациента (субъекта персональных данных), например, при его первоначальном поступлении или заключении договора на оказание медицинских услуг, а также в процессе лечения, приобретает статус оператора. У нее возникают определенные обязанности в части работы с полученными персональными данными.

Данные обязанности регулируются следующими нормативными актами:
– Конституция РФ;
– КоАП РФ, УК РФ, ГПК РФ;
– упомянутый выше Закон № 152-ФЗ;
– Федеральный закон от 27.07.

2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
– Федеральный закон от 21.11.

2011 № 323-ФЗ «Об основах охраны здоровья граждан в РФ» (далее — Закон № 323-ФЗ);
– другие положения и нормативно-правовые акты.

Важно!
Оператор персональных данных — это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (ст. 3 Закона № 152-ФЗ).

Персональные данные пациента и врачебная тайна

Сразу отметим, что информация о состоянии здоровья пациента относится к специальным категориям персональных данных, обработка которых не допускается, за исключением случаев, когда (ст.

10 Закона № 152-ФЗ):
– пациент дал согласие в письменной форме на обработку своих персональных данных;
– пациент сам сделал персональные данные общедоступными;
– обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов пациента либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия пациента невозможно;
– обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну.

Информация, являющаяся врачебной тайной, — это отдельный подвид персональных данных.

Она представляет собой сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья, диагнозе и иные сведения, полученные при его медицинском обследовании и лечении (п. 1 ст.

13 Закона № 323-ФЗ). Ее разглашение не допускается (п. 2 ст. 13 Закона № 323-ФЗ), за исключением отдельных случаев, о которых мы расскажем ниже.

Обработка персональных данных

Обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение (ст. 3 Закона № 152-ФЗ).

Как было сказано выше, перед получением от пациента информации медицинская организация должна запросить у него согласие на обработку персональных данных (ст. 6, ст. 10 Закона № 152-ФЗ).

Пациент вправе полностью или частично отказаться от предоставления согласия на обработку персональных данных. Поэтому медицинской организации следует правильно подходить к виду и объему запрашиваемой информации. В обработку нужно запрашивать только те сведения, которые отвечают ее целям. Сведения не должны быть избыточными (ст. 5 Закона № 152-ФЗ).

При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе следующую информацию:
– подтверждение факта обработки персональных данных;
– правовые основания и цели обработки;
– цели и применяемые способы обработки;
– наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании положений законодательства;
– обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен положениями законодательства;
– сроки обработки персональных данных, в том числе сроки их хранения;
– порядок осуществления субъектом персональных данных прав, предусмотренных Законом № 152-ФЗ;
– информацию об осуществленной или о предполагаемой трансграничной передаче персональных данных;
– наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
– иные сведения, предусмотренные Законом № 152-ФЗ или другими федеральными законами.

Согласие на обработку персональных данных может быть получено в электронной либо в письменной форме.

При этом согласие на обработку биометрических данных необходимо получить от пациента именно в письменной форме (ст. 11 Закона № 152-ФЗ), так как они представляют собой сведения, которые характеризуют физиологические и биологические особенности на основании которых можно установить личность.

Бумажный документ должен содержать следующие реквизиты (п. 4 ст. 9 Закона № 152-ФЗ):
– фамилию, имя, отчество, адрес пациента, номер основного документа, удостоверяющего его личность, сведения о дате выдачи этого документа и выдавшем его органе;
– Ф.И.О.

, адрес представителя пациента, номер основного документа, удостоверяющего его личность, сведения о дате выдачи этого документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя пациента (при получении согласия от него);
– наименование медицинской организации;
– цель обработки персональных данных;
– перечень персональных данных, на обработку которых пациент дает согласие;
– наименование или Ф.И.О. и адрес лица, осуществляющего обработку персональных данных по поручению медицинской организации, если обработка будет поручена такому лицу;
– перечень действий с персональными данными, на совершение которых дается согласие, и общее описание используемых способов обработки персональных данных;
– срок, в течение которого действует согласие пациента, а также способ отзыва такого согласия, если иное не установлено законодательством;
– подпись пациента.

Также обратите внимание, что при заключении договора с пациентом медицинская организация обязана предоставить ему информацию о номере своей лицензии, сроке ее действия и выдавшем ее органе. Такую информацию можно включить непосредственно в договор либо прописать в нем ссылку на источник откуда можно получить информацию.

При заключении договора на сложные и дорогостоящие услуги пациенту следует предложить под роспись ознакомиться с описанием этих услуг, способами их оказания, возможными последствиями и т. д.

От пациента обязательно потребуется получить информированное добровольное согласие на медицинское вмешательство (на анестезиологическое обеспечение медицинского вмешательства, на оперативное вмешательство, в том числе переливание крови и ее компонентов, и т. д.).

Его следует оформить в письменном виде – записью в истории болезни, заверенной подписью самого пациента (его законного представителя) либо его отдельной распиской или заявлением.

С 1 января 2018 года согласие также можно оформить в виде электронного документа, подписанного усиленной квалифицированной или простой электронной подписью пациента (его законного представителя) и электронной подписью медицинского работника.

Если состояние пациента не позволяет ему выразить свою волю, а медицинское вмешательство неотложно, вопрос о его проведении решают консилиум или лечащий врач.

Медицинское вмешательство без информированного добровольного согласия также возможно в отношении пациентов:
– страдающих заболеваниями, представляющими опасность для окружающих;
– страдающих тяжелыми психическими расстройствами;
– совершивших общественно опасные деяния (преступления);
– направленных на судебно-медицинскую и (или) судебно-психиатрическую экспертизы.

Предоставление персональных пациента данных третьим лицам

Законодательство запрещает предоставлять третьим лицам и распространять персональные данные без согласия пациента (ст. 7 Закона № 152-ФЗ).

Под предоставлением в данном случае понимаются действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц, а под распространением — действия, направленные на раскрытие персональных данных неопределенному кругу лиц (ст. 2 Закона № 152-ФЗ).

Вместе с тем, Закон № 323-ФЗ допускает разглашение сведений, составляющих врачебную тайну, с письменного согласия пациента или его законного представителя другим гражданам, в том числе должностным лицам, в целях медицинского обследования и лечения пациента, проведения научных исследований, их опубликования в научных изданиях, использования в учебном процессе и в иных целях (п. 2 ст. 13 Закона № 323-ФЗ).

Кроме того, предоставление сведений, составляющих врачебную тайну, без согласия пациента или его законного представителя возможно (п. 3 ст.

13 Закона № 323-ФЗ):
– в целях проведения медицинского обследования и лечения пациента, который в результате своего состояния не способен выразить свою волю;
– при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;
– по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органов прокуратуры в связи с осуществлением прокурорского надзора, по запросу органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля;
– в целях осуществления уполномоченными федеральными органами исполнительной власти контроля за исполнением лицами, признанными больными наркоманией либо потребляющими наркотические средства или психотропные вещества без назначения врача либо новые потенциально опасные психоактивные вещества, возложенной на них при назначении административного наказания судом обязанности пройти лечение от наркомании, диагностику, профилактические мероприятия и (или) медицинскую реабилитацию;
– в случае оказания медицинской помощи несовершеннолетнему для информирования одного из его родителей или иного законного представителя;
– в целях информирования органов внутренних дел о поступлении пациента, в отношении которого имеются достаточные основания полагать, что вред его здоровью причинен в результате противоправных действий;
– в целях проведения военно-врачебной экспертизы по запросам военных комиссариатов, кадровых служб и военно-врачебных (врачебно-летных) комиссий;
– при обмене информацией между медицинскими организациями, в том числе размещенной в медицинских информационных системах, в целях оказания медицинской помощи с учетом требований законодательства РФ о персональных данных;
– в целях осуществления учета и контроля в системе обязательного социального страхования.

Предоставление персональных данных пациенту или его законному представителю

Источник: https://www.garantexpress.ru/statji/personalnie-dannie-patsientov-v-meditsinskih-organizatsijah-trebovania-k-obrabotke-i-otvetstvennost/

Ответственность за нарушение закона о персональных данных

Закон о разглашении третьим лицам персональных данных

Екатерина Добрикова

Лицам, нарушившим требования закона о персональных данных, в зависимости от конкретных обстоятельств и серьезности деяния может грозить не только административная и уголовная ответственность, но также гражданско-правовая и даже дисциплинарная (таблица 1). При этом административная ответственность с 1 июля 2017 года ужесточилась – вместо одного состава правонарушения ст. 13.11 КоАП РФ теперь предусматривает семь, а максимальный штраф составляет 75 тыс. руб.

Таблица 1. “Виды ответственности за нарушение закона о персональных данных”

Вид ответственности

Нарушение

Санкция

Норма

Административная

Неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено законом, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации

Административный штраф на должностных лиц в размере от 5 тыс. до 10 тыс. руб.

Статья 5.39 КоАП РФ

Обработка персональных данных в случаях, не предусмотренных законом, либо обработка, несовместимая с целями сбора персональных данных

Предупреждение или административный штраф:

  • на граждан – от 1 тыс. до 3 тыс. руб.;
  • на должностных лиц – от 5 тыс. до 10 тыс. руб.;
  • на юридических лиц – от 30 тыс. до 50 тыс. руб.

Часть 1 ст. 13.11 КоАП РФ

Обработка персональных данных без письменного согласия субъекта, когда это необходимо, либо обработка данных с нарушением требований к составу сведений, включаемых в такое согласие

Административный штраф:

  • на граждан – от 3 тыс. до 5 тыс. руб.;
  • на должностных лиц – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 15 тыс. до 75 тыс. руб.

Часть 2 ст. 13.11 КоАП РФ

Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к политике обработки персональных данных

Предупреждение или административный штраф:

  • на граждан – от 700 до 1 тыс. руб.;
  • на должностных лиц – от 3 тыс. до 6 тыс. руб.;
  • на индивидуальных предпринимателей – от 5 тыс. до 10 тыс. руб.;
  • на юридических лиц – от 15 тыс. до 30 тыс. руб.

Часть 3 ст. 13.11 КоАП РФ

Невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных

Предупреждение или административный штраф:

  • на граждан – от 1 тыс. до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 6 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 15 тыс. руб.;
  • на юридических лиц – от 20 тыс. до 40 тыс. руб.

Часть 4 ст. 13.11 КоАП РФ

Невыполнение оператором в установленные сроки требования субъекта персональных данных или его представителя либо Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении (если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки)

Предупреждение или административный штраф:

  • на граждан – от 1 тыс. до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 10 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 25 тыс. до 45 тыс. руб.

Часть 5 ст. 13.11 КоАП РФ

Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении них

Административный штраф:

  • на граждан – от 700 до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 10 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 25 тыс. до 50 тыс. руб.

Часть 6 ст. 13.11 КоАП РФ

Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных для этого требований или методов

Предупреждение или наложение административного штрафа на должностных лиц в размере от 3 тыс. до 6 тыс. руб.

Часть 7 ст. 13.11 КоАП РФ

Непредставление или несвоевременное представление в государственный или иной уполномоченный орган сведений, представление которых предусмотрено законом либо предоставление таких сведений в неполном объеме или в искаженном виде

Административный штраф:

  • на граждан – от 100 до 300 руб.;
  • на должностных лиц – от 300 до 500 руб.;
  • на юридических лиц – от 3 тыс. до 5 тыс. руб.

Статья 19.7 КоАП РФ

Уголовная

Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИ

Штраф до 200 тыс. руб.

, либо обязательные работы на срок до 360 часов, либо исправительные работы на срок до одного года, либо принудительные работы на срок до двух лет (с лишением права занимать определенные должности на срок до трех лет или без такового), либо арест на срок до четырех месяцев, либо лишение свободы на срок до двух лет (с лишением права занимать определенные должности на срок до трех лет)

Статья 137 Уголовного кодекса

То же деяние, совершенное с использованием служебного положения

Штраф от 100 тыс. до 300 тыс. руб.

, либо лишение права занимать определенные должности на срок от двух до пяти лет, либо принудительные работы на срок до четырех лет (с лишением права занимать определенные должности на срок до пяти лет или без такового), либо арест на срок до шести месяцев, либо лишение свободы на срок до четырех лет (с лишением права занимать определенные должности на срок до пяти лет)

Незаконное публичное распространение информации, указывающей на личность лица, не достигшего 16 лет, по уголовному делу, либо информации, содержащей описание полученных им в связи с преступлением физических или нравственных страданий

Штраф от 100 тыс. до 300 тыс. руб.

, либо лишение права занимать определенные должности на срок от трех до пяти лет, либо принудительные работы на срок до пяти лет (с лишением права занимать определенные должности на срок до шести лет или без такового), либо арест на срок до шести месяцев, либо лишение свободы на срок до пяти лет (с лишением права занимать определенные должности на срок до шести лет)

Неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление ему неполной или заведомо ложной информации, если это причинило вред правам и законным интересам граждан

Штраф до 200 тыс. руб.

, либо лишение права занимать определенные должности на срок от двух до пяти лет

Статья 140 УК РФ

Неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло ее уничтожение, блокирование, модификацию либо копирование

Штраф до 200 тыс. руб.

, либо исправительные работы на срок до одного года, либо ограничение свободы на срок до двух лет, либо принудительные работы на срок до двух лет, либо лишение свободы на тот же срок

Статья 272 УК РФ

Гражданско-правовая

Причинение лицу убытков в результате нарушения правил обработки его персональных данных.

Под убытками при этом понимаются:

  • расходы, которые лицо произвело или должно будет произвести для восстановления нарушенного права;
  • утрата или повреждение его имущества;
  • неполученные доходы, которые лицо получило бы, не будь его право нарушено.

Возмещение убытков

Статья 15 Гражданского кодекса

Причинение гражданину морального вреда (нравственных страданий) вследствие нарушения правил обработки персональных данных

Компенсация морального вреда (независимо от возмещения имущественного вреда и понесенных субъектом убытков)

Статья 24 закона о персональных данных, ст. 151 ГК РФ

Дисциплинарная

Разглашение одним работником персональных данных другого, если они стали известны ему в связи с исполнением трудовых обязанностей

Увольнение

Подпункт “в” п. 6 ч. 1 ст. 81 Трудового кодекса

Иные нарушения в области персональных данных при их обработке

Замечание или выговор

Статья 90, ст. 192 ТК РФ

Источник: http://www.garant.ru/actual/persona/otvetstvennost/

Арсенал Права
Добавить комментарий