Персональные данные работников: как работодателю не нарушить закон

Образец жалобы на незаконное использование персональных данных

В Федеральную службу по надзору в сфере защиты прав потребителей и благополучия человека

В Центральный банк Российской Федерации

От П.

Жалоба на использование персональных данных

   Между мной, П., и ОАО «Уралвнешторгбанк» был заключен кредитный договор который был исполнен путем фактического исполнения в 2006 году. 2 месяца назад в мой адрес постоянно начали поступать звонки от лиц, представляющихся сотрудниками организации «Первое коллекторское бюро» с требованием оплатить задолженность по указанному выше кредиту 2 700 рублей. Однако кредит мной давно погашен, задолженности, в том числе пени я не имею, об указанных обстоятельствах я неоднократно сообщал звонившим мне работникам коллекторского агентства, однако никакого результата не последовало.

   В настоящее время ОАО «Уралвнешторгбанк» не существует, поэтому обратиться в банк для урегулирования данного вопроса не представляется возможным.

   В результате неправомерных действий сотрудников НАО «Первое коллекторское бюро» нарушается покой и благополучие моей семьи.

   Кроме того, звонки поступают мне на работу, сотрудники коллекторского агентства в ходе этих телефонных разговоров вводят в заблуждение моих коллег и начальство, передавая им информацию, не соответствующую действительности, таким образом дискредитируя меня.

   Звонки поступают со следующих номеров телефонов: …

   Таким образом, необходимо сделать вывод что ПАО «Бинбанк», являющееся правопреемником ОАО «Уралвнешторгбанк» нарушило закон о банковской тайне и сообщило мои конфиденциальные данные третьим лицам.

   В связи с давностью получения и выплаты кредита у меня не сохранилось никаких документов, ни кредитного договора, ни графика платежей, ни документов подтверждающих погашение кредита. В связи с вышеизложенным, считаю необходимым запросить ПАО «Бинбанк», сведения об отсутствии у меня задолженности по кредиту.

   Ст. 26 Федерального закона о банках и банковской деятельности гласит, Кредитная организация, Банк России, организация, осуществляющая функции по обязательному страхованию вкладов, гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов. Все служащие кредитной организации обязаны хранить тайну об операциях, о счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону.

   За разглашение банковской тайны Банк России, руководители (должностные лица) федеральных государственных органов, перечень которых определяется Президентом Российской Федерации, высшие должностные лица субъектов Российской Федерации (руководители высших исполнительных органов государственной власти субъектов Российской Федерации), организация, осуществляющая функции по обязательному страхованию вкладов, кредитные, аудиторские и иные организации, уполномоченный орган, осуществляющий функции по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, орган валютного контроля, уполномоченный Правительством Российской Федерации, и агенты валютного контроля, а также должностные лица и работники указанных органов и организаций несут ответственность, включая возмещение нанесенного ущерба, в порядке, установленном федеральным законом.

   Операторы платежных систем не вправе раскрывать третьим лицам информацию об операциях и о счетах участников платежных систем и их клиентов, за исключением случаев, предусмотренных федеральными законами.

   Исходя из вышеизложенного, мои конфиденциальные данные, которыми являются сведения о моем кредите, не должны были попасть к третьим лицам, т.е. к ООО «Первое коллекторское  бюро», таким образом необходимо сделать вывод о существенном нарушении моих право ПАО «Бинбанк».

   На основании изложенного и руководствуясь нормами действующего законодательства,

ПРОШУ:

  • провести проверку в отношении ПАО «Бинбанк» по факту разглашения конфиденциальных данных  третьим лицам;
  • привлечь лиц ответственных за разглашение к предусмотренной законом ответственности.

Дата, подпись

Автор статьи:

адвокат, управляющий партнер АБ «Кацайлиди и партнеры»

Санкции

Кроме административных штрафов, уже названных по ходу статьи, возможно привлечение к гражданской и уголовной ответственности.

Уголовная ответственность предусмотрена ст. 137 УК РФ (Нарушение неприкосновенности частной жизни). Если данное преступление совершено медицинским работником в ходе профессиональной деятельности, то деяние будет квалифицировано по ч. 2 ст. 137 УК РФ, предусматривающей, помимо иных мер наказания, штраф до 300 тысяч рублей или лишение свободы на срок до 4 лет.

Но ключевая опасность кроется не столько в существенном увеличении штрафов и появлении новых составов административных нарушений в области обработки персональных данных, а в том, что изменился субъект, имеющий право применять административные санкции за такие нарушения.

Если до 1 июля 2017 года возбуждать дела по административным делам, связанным с персональными данными, по статье 13.11 КоАП РФ мог только и без того загруженный делами прокурор, то с указанной даты дела по статье 13.11 КоАП будут вправе возбуждать должностные лица Роскомнадзора. Следовательно, процедура привлечения к ответственности по делам о персональных данных станет проще, а с точки зрения пополнения бюджета – эффективнее. Сумма собранных штрафов однозначно вырастет. Также следует помнить о том, что штрафы по разным частям ст. 13.11 КоАП РФ могут суммироваться.

Помимо всех перечисленных выше мер ответственности, стоит помнить о праве Роскомнадзора заблокировать сайт нарушителя законодательства в области персональных данных, которым он (Роскомнадзор) регулярно пользуется в порядке ст. 15.5 Федерального закона от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и защите информации», пополняя тем самым «Реестр нарушителей прав субъектов персональных данных».

Интересный факт. 20 февраля 2017 года, практически сразу после опубликования закона об усилении ответственности за нарушение в области персональных данных, на официальном сайте Роскомнадзора сообщалось о фальшивой рассылке сообщений о проверках от имени должностных лиц Роскомнадзора. Есть основания полагать, что подобные мошеннические действия могут иметь место и после вступления в силу новой редакции ст. 13.11 КоАП РФ, в связи с чем призываем Вас быть бдительными и при получении писем о грядущих (вне)плановых проверках руководствоваться законом и информацией, полученной из официальных источников.

Общий порядок действий с документами содержащими ПД

ПД хранятся не дольше, чем этого требуют цели их обработки, и подлежат уничтожению. Для этого существует следующий порядок действий:

  1. Носители, в которых содержится персональная информация, подлежат уничтожению, согласно утверждённому приказу руководителя организации. Занимается уничтожением специальная комиссия.
  2. Распространители, содержащие ПД, удаляются в срок, который не превышает 30 дней с момента достижения цели обработки личных данных или утраты необходимости в их достижении.
  3. Комиссия выполняет отбор машинопечатных и бумажных носителей ПД, которые подлежат удалению.
  4. На отобранные к уничтожению распространители составляется акт. В акте исправления не допускаются.
  5. Комиссия выполняет проверку всех носителей, занесенных в акт.
  6. По окончании сверки в акт подписывают всех членом комиссии, а затем его утверждает руководитель организации.
  7. Распространители ПД, подлежащие удалению и включённые акт, после сверки комиссией складывают в нужное место и опечатывают.
  8. Персональные данные могут быть уничтожены любым способом, который не позволит провести их дальнейшую обработку.

Оформление сопровождения процедуры

Удаление носителей, содержащих личные данные, происходит под контролем специальной Комиссии. Она создаётся приказом руководителя организации. Во время манипуляции составляется акт об уничтожении ПД. После составления акта в течение 3-х дней направляются на утверждение руководителю организации.

Внимание! После его утверждения хранится акт в сейфе у руководителя соответствующего подразделения. Факт удаления носителя с персональными данными заносится в «Журнал регистрации носителей информации, содержащих ПД и иную конфиденциальную информацию», где в графе «Дата и номер акта уничтожения» вносятся соответствующие данные

Этот журнал является конфиденциальной документацией и вместе с актами уничтожения его хранят в сейфе

Факт удаления носителя с персональными данными заносится в «Журнал регистрации носителей информации, содержащих ПД и иную конфиденциальную информацию», где в графе «Дата и номер акта уничтожения» вносятся соответствующие данные. Этот журнал является конфиденциальной документацией и вместе с актами уничтожения его хранят в сейфе

Могут ли отказать в предоставлении товаров, оказании услуг или выполнении работ, если я не хочу давать согласие на обработку ПД?

На практике отказывают довольно часто. Насколько это законно? Рассмотрим конкретные ситуации.

  • Госорганы не могут отказывать вам в предоставлении услуг, поскольку у них есть право на обработку ПД без вашего согласия.
  • Коммерческие организации, с которыми вы заключили договор оказания услуг (выполнения работ и т.д.), не должны вам отказывать, поскольку имеют право обрабатывать ваши ПД в целях исполнения договора без вашего согласия.

С другой стороны, если договор еще не подписан, то обязать коммерческую организацию заключить его с вами получится только в том случае, если она продает свои товары, работы или услуги по публичной оферте (это предложение продавца заключить договор купли-продажи с каждым, кто примет условия его предложения).Например: продавец реализует товар через интернет и готов продать его на условиях, изложенных в опубликованной на сайте публичной оферте. Он обязан заключить договор купли-продажи с каждым, кто пожелает купить этот товар.

Вас могут не пустить в здание, особенно если это режимный объект. Если на территории организации установлен особый пропускной режим, то отказ в пропуске может считаться законным, в том числе если вы не желаете дать согласие на обработку ПД.

Вместе с тем операторы, устанавливающие такой пропускной режим, обычно не берут согласий, поскольку:

  • считают, что формально вы даете согласие на обработку ПД в момент предоставления своих паспортных данных; данный вывод они делают на основе указания закона о том, что согласие может быть дано не только в письменной форме;
  • считают, что могут не брать у вас согласие, так как обработка осуществляется в целях безопасности лиц, находящихся в здании.

Как составить акт уничтожения персональных данных

Форма такого акта законодательно не установлена. Тем не менее она должна подчиняться правилам деловой корреспонденции. Документ не должен содержать орфографических ошибок. Составлять его можно как от руки, так и на компьютере. На простом листе бумаги или на фирменном бланке.

Шапка документа должна содержать:

  • название организации – оператора персональных данных;
  • надпись «УТВЕРЖДЕНО», дата подписания, должность подписанта и сама подпись с расшифровкой;
  • название документа;
  • дату и место его составления.

Основная часть акта содержит:

  • должности и Ф.И.О. председателя и членов комиссии;
  • номер приказа, которым была назначена комиссия;
  • упоминание о законе № 152 ФЗ от 27.07.2006 г.
  • дату элиминации и тип уничтоженных носителей;
  • перечень утилизированных документов. Чаще всего представляет собой таблицу с порядковым номером, наименованием и номером носителя и графой «Примечания»;
  • выбранный вариант элиминации;
  • на основании чего была проведена процедура;
  • подписи председателя и членов комиссии.

Окончательно оформленный акт должен подписать руководитель предприятия.

В заключение, приведем пример подобного документа.

Квалифицирующие признаки

В статье 137 УК РФ содержится 2 квалифицирующих признака, которые свидетельствуют об отягчающих преступление обстоятельствах.

В части 2 дается указание на ответственность специального субъекта преступления – должностного лица. Чтобы человек понес наказание, ему необходимо завладеть персональными данными и распространить их с использованием служебного положения или занимаемой должности. Например, адвокат или медицинский сотрудник является прямым носителем тайны и в силу закона не могут нарушать взятую на себя обязанность неразглашения персональных данных и прочих связанных с ними сведений.

Часть 3, наоборот, посвящена особой категории потерпевших – несовершеннолетним. Самая незащищенной группой граждан являются те, кто не достигли 16 лет. Охраной тайны сведений о них занимаются родители или прочие законные представители. Но в рамках судебного заседания может быть установлено, что причиненный распространением информации вред сказался и на близких родственниках ребенка (через сведения о ребёнке).

Для наступления ответственности должен быть соблюден специфический способ совершения преступления. Только публичное обнародование будет уголовно наказываться. С развитием информационно-телекоммуникационных сетей и распространения таких механизмов обмена информацией, как форумы и социальные сети, понятие публичности расширилось. Теперь не только СМИ или публичное выступление могут быть расценены как преступление (если в них содержалась персональная информация о каком-либо лице), но и сайты в интернете, доступ к которым имеет множество людей, не ограничивая при этом общение в рамках государственных границ (например, Одноклассники имеют единое интернет-пространство на территории России, Беларуси и Казахстана. Ранее доступ был и у жителей Украины).

Третий квалифицирующий признак части 3 указывает на необходимость наличия негативных последствий, которые могут выражаться:

  • в физическом вреде;
  • в моральных страданиях;
  • иных последствий, которые также являются тяжкими (здесь уместно говорить о последствиях, которые проявились на родителях ребенка).

Для чего мошенникам номер СНИЛС

Страховой номер в системе пенсионного страхования довольно специфичен. Он выдается гражданам один раз и на всю жизнь. При этом следует понимать, что только лишь один этот номер не позволит мошенникам проводить крупные теневые операции.

В большинстве случаев такого рода персональные данные собираются в целях подписания фиктивных договоров и незаконного распоряжения средствами, размещенными на пенсионных счетах. К примеру, для перевода их из одного негосударственного фонда в другой без волеизъявления гражданина.

Кроме этого, СНИЛС может быть использован в качестве регистрационных данных на различных сервисах, в том числе и для открытия фиктивных электронных кошельков.

Номер страхового пенсионного счета не может быть применим в целях хищения денежных средств с банковских счетов гражданина, а также для оформления на него кредитов в финансовых учреждениях.

Внимание! Единственное, что мошенники действительно могут сделать, зная номер СНИЛС — это оформить микрозайм онлайн, если у них кроме страхового свидетельства есть паспортные данные пострадавшего

Каким образом мошенники собирают номера

Недобросовестные граждане используют различные хитрости и уловки для того, чтобы получить сведения о СНИЛС. Следует отметить, что по большей части их действия не могут быть квалифицированы как уголовное преступление, поскольку используемые ими методы предполагают добровольное согласие субъектов персональных данных на передачу им необходимых сведений.

Разберем наиболее распространенные способы получения страховых номеров.

Сбор данных от имени пенсионного фонда

Довольно часто мошенники производят обход квартир и домов граждан, где, представляясь сотрудниками государственного пенсионного фонда, заявляют о необходимости подачи тех или иных заявлений с обязательным указанием СНИЛС.

Как правило, граждане довольно лояльно относятся к таким визитам и охотно подписывают предлагаемые им бумаги. Связано это с тем, что пенсионная система в России постоянно реформируются, в ней часто происходят различного рода изменения, поэтому многие попросту не имеют достаточных знаний в сфере пенсионного законодательства.

Участие в подложных соцопросах

Зачастую мошенники представляются сотрудниками различных агентств, проводящих социологические опросы. При этом они просят заполнить некие анкеты, где, кроме прочего, указывается и СНИЛС.

Важно! Большинство методик настоящих соцопросов предполагает анонимность респондентов, без указания страхового пенсионного номера, ИНН и прочих личных данных. Несомненно, перечень методов сбора СНИЛС намного шире, поскольку год от года мошенники придумывают новые схемы обмана

Однако упомянутые выше являются наиболее распространенными и универсальными

Несомненно, перечень методов сбора СНИЛС намного шире, поскольку год от года мошенники придумывают новые схемы обмана. Однако упомянутые выше являются наиболее распространенными и универсальными.

Общие сведения

Персональные данные — это любая информация, относящаяся к физическому лицу (клиенту или сотруднику предприятия). К персональным данным относятся ФИО, место и дата рождения, семейное положение, сведения об имуществе и т.д.

Любое учреждение, юридическое лицо или ИП, производящее обработку персональных данных, называется оператором персональных данных.

Уничтожение персональных данных — это действия, итогом которых будет невозможность восстановления сведений о физических лицах — уничтожение материальных носителей информации. Такие процедуры проводят, когда данные теряют актуальность (сотрудник уволился, работа с клиентом закончена) либо субъект отозвал согласие на обработку персональных данных и т.д.

Способы уничтожения

Способы, которыми проводится уничтожения носителей персональных данных, зависят от вида самого носителя. Но все они должны отвечать одному правилу – невозможности восстановления содержащихся на них данных.

Для бумажных носителей можно применять:

  • измельчение (ножницами или шредером);
  • сжигание;
  • гидрообработку (смешивание).

Машиночитаемые носители могут быть:

  • физически повреждены (согнуты, сломаны, сильно поцарапаны);
  • сожжены;
  • размагничены (подвергнуты химическому воздействию в агрессивных средах);
  • отформатированы.

Файлы, содержащиеся на жестком диске компьютера, удаляют методами операционной системы.

За эффективность процесса уничтожения несут ответственность члены комиссии.

Документальное оформление

Исходя из вышеизложенных схем уничтожения персональных сведений, на разных основаниях в процессе удаления информации принимает участие юрист и администратор. Неуказанный в схемах участник – администратор безопасности. Это лицо, которое производит надзор над проводимыми действиями, следит за правильностью оформления процедуры.

После проведения процедуры составляется соответствующий акт. В нем должны содержаться такие данные:

  • наименование организации;
  • печать;
  • дата составления акта;
  • название документа;
  • перечень фактов, которые подлежат удалению;
  • вид носителя;
  • способ уничтожения.

Акт подписывается администратором – одним лицом или всеми членам комиссии, как прописано в локальных актах. Документ должен быть проверен юристом и администратором безопасности.

По результатам проверки также составляется уведомление об уничтожении персональных ведомостей для субъекта.

Порядок утилизации персональных данных

Для того, чтобы минимизировать риски наступления административных или даже уголовных последствий, уничтожение персональных данных должно проходить строго по определенной законодательством процедуре.

На первом этапе приказом руководителя создается специальная комиссия. В ее задачи входит нахождение устаревших и неактуальных персональных данных, создание списка документов и носителей, в которых они содержатся, сам процесс элиминации и составление соответствующего акта. В состав комиссии входят руководитель и не менее двух сотрудников. Обычно для этой цели привлекают бухгалтеров, сотрудников отдела кадров или делопроизводителей.

При этом необходимо иметь в виду, что для некоторой информации, которая может быть отнесена к персональным данным, законодательно установлены более длительные сроки хранения. После увольнения сотрудника, работодатель должен уничтожить даже копии документов, содержащих его паспортные данные, номера СНИЛС и ИНН и т.д. Однако, согласно ст. 17 и 22.1 Федерального закона от 22 октября 2004 г. № 125-ФЗ “Об архивном деле в Российской Федерации”, работодатель обязан хранить документы, подтверждающие факт работы, документы о заработной плате, об отчислениях в ПФР и т.п. в течение 75 лет. Следовательно, они не подлежат уничтожению, даже если сотрудник уже не работает в компании.

После проведения процедуры элиминации персональных данных, в задачи комиссии входит не только составление акта с указанием уничтоженных носителей, но и отслеживание того, чтобы они были списаны в соответствующих журналах и книгах учета.

Когда требуется отзыв данных

Как правило, необходимость отменить согласие на использование личных сведений возникает, когда речь идет о передаче их третьим лицам. Например, сотрудник по каким-либо причинам больше не желает, чтобы информация о нем размещалась на сайте компании или употреблялась в рекламных материалах. В другом случае соискатель на вакантную должность может передумать участвовать в конкурсе и запретить передачу данных в службу безопасности. Нередко клиент какой-либо организации хочет отказаться от получения рассылки смс или электронных писем. Наиболее злободневной ситуацией является предоставление коллекторам личных сведений о заемщике банка. Один из способов, которым можно попытаться себя обезопасить, — отозвать разрешение на обработку персональных данных.

Что относится к персональным данным?

Ключевым актом, регулирующим вопросы обработки и использования персональных данных (далее – ПД) является Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» (далее – ФЗ-152), который и закрепил определение персональных данных. Согласно п.1 ст.3 указанного федерального закона под персональными данными понимается «любая информация, относящаяся к прямо или косвенно определяемому физическому лицу (субъекту персональных данных)».

Из указанного определения следует, что персональными данными являются не только ФИО гражданина и его паспортные и контактные данные (номер телефона, адрес электронной почты), что очевидно, но и дата и место рождения, национальность, рост и вес, вероисповедание и так далее. Перечень персональных данных не может быть исчерпывающим; он включает в себя любую информацию, позволяющую тем или иным образом (прямо или косвенно) идентифицировать лицо.

Статья 9 закона № 152 о согласии субъекта персональных данных на обработку ПД

Субъект должен предоставить персональные данные по собственной воле. Предоставление согласия должно быть максимально понятным и подробным. Предоставить согласие субъект в праве через своего представителя в любой форме, если иное не предусмотрено законом. При предоставлении ПД представителем субъекта, необходимо осуществить проверку полномочий представителя. Проверку выполняет оператор.

Субъект ПД имеет право отозвать согласие на обработку персональных данных. Оператор имеет право продолжить обработку персональных данных без получения одобрения, если на то имеются основания, соответствующие статьям упомянутого Федерального закона, а именно статье 6, статье 10, статье 11.

Подтверждение согласия от субъекта персональных данных или получение доказательств оснований на продолжение обработки без него остается заботой оператора.

Если обработка касается случая, предусмотренного Федеральным законом, субъект должен предоставить согласие на обработку персональных данных в письменной форме. Документ может быть предоставлен как в электронной форме, так и на бумажном носителе. Оба документа заверяются подписью. На документе, полученном в цифровом видео, субъект оставляет электронную подпись.

Информация о согласии на обработку персональных данных должна включать следующие пункты:

1.

ФИО субъекта персональных данных, его адрес, сведения о документе, удостоверяющем личность.

2.

Для случая предоставления информации представителем уполномоченное лицо также должно указать свои ФИО, адрес, сведения о документе, подтверждающем личность, сведения о документе, способном удостоверить факт получения полномочий, в том числе реквизиты.

3.

Полная информация об операторе, который получил согласие (разрешение) на обработку персональных данных.

4.

В обязательном порядке указывается цель обработки персональных данных.

5.

Приводится вся информация, которую субъект готов предоставить оператору.

6.

При необходимости передачи полномочий на обработку персональных данных другому лицу оператор обязан предоставить подробную информацию, в том числе наименование и адрес.

7.

Документ должен содержать список операций для обработки персональных данных, одобренных со стороны субъекта. Каждое действие (операция) должно иметь общее описание.

8.

Для согласия устанавливается конкретный срок и описывается способ его отзыва.

9.

Подпись субъекта, удостоверяющая заверение документа.

Когда требуется прибегнуть к услугам государственного или муниципального учреждения (организации), согласие на обработку данных можно получить в порядке, который установлен правительством РФ. Согласие за недееспособного субъекта может дать его представитель. В случае смерти субъекта дать разрешение на обработку персональных данных могут его наследники.

Оператор может получить персональные данные от лица, которое не является субъектом, если им будут предоставлены основания, указанные в статье 6, статье 10 и статье 11 Федерального закона № 152 РФ.

Порядок утилизации персональных данных

Для того, чтобы минимизировать риски наступления административных или даже уголовных последствий, уничтожение персональных данных должно проходить строго по определенной законодательством процедуре.

На первом этапе приказом руководителя создается специальная комиссия. В ее задачи входит нахождение устаревших и неактуальных персональных данных, создание списка документов и носителей, в которых они содержатся, сам процесс элиминации и составление соответствующего акта. В состав комиссии входят руководитель и не менее двух сотрудников. Обычно для этой цели привлекают бухгалтеров, сотрудников отдела кадров или делопроизводителей.

При этом необходимо иметь в виду, что для некоторой информации, которая может быть отнесена к персональным данным, законодательно установлены более длительные сроки хранения. После увольнения сотрудника, работодатель должен уничтожить даже копии документов, содержащих его паспортные данные, номера СНИЛС и ИНН и т.д. Однако, согласно ст. 17 и 22.1 Федерального закона от 22 октября 2004 г. № 125-ФЗ “Об архивном деле в Российской Федерации”, работодатель обязан хранить документы, подтверждающие факт работы, документы о заработной плате, об отчислениях в ПФР и т.п. в течение 75 лет. Следовательно, они не подлежат уничтожению, даже если сотрудник уже не работает в компании.

После проведения процедуры элиминации персональных данных, в задачи комиссии входит не только составление акта с указанием уничтоженных носителей, но и отслеживание того, чтобы они были списаны в соответствующих журналах и книгах учета.

Медицинские карты. Врачебная тайна.

Информация о состоянии здоровья пациента носит особый характер.

В соответствии со ст.13 Федерального закона от 21.11.2011 №323-ФЗ «Об основах охраны здоровья граждан в РФ» (далее – ФЗ-323) сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну. Без согласия гражданина такая информация может быть предоставлена исключительно в случаях, перечисленных в названной статье.

Как указано в п.4 ст. 92 ФЗ-323 сведения о лицах, которые участвуют в оказании медицинских услуг, и о лицах, которым оказываются медицинские услуги, относятся к информации ограниченного доступа и подлежат защите в соответствии с законодательством Российской Федерации.

Из этого следует вывод, что информация, которую врач указывает в медицинской карте пациента, составляет врачебную тайну, которая в свою очередь является информацией ограниченного доступа, разглашение которой влечет последствия, отличные от последствий ординарного разглашения персональных данных.

Субъектом такого правонарушения, как разглашение информации с ограниченным доступом, предусмотренного ст. 13.14 КоАП РФ, не может являться организация (клиника в целом), но исключительно граждане и должностные лица; штраф для последних составляет от 4 до 5 тысяч рублей.

Однако, стоит помнить о возможности привлечения к уголовной ответственности по ч.2 ст. 137 УК РФ, о чем будет сказано далее.

Приказ Минздрава РФ от 15.12.2014 №834н, к сожалению, с точки зрения информации о способах хранения медицинских карт, абсолютно не информативен. С точки зрения обеспечения безопасности персональных данных, содержащихся в медицинских картах, медицинская организация должна предпринять общие меры, перечисленные ниже, направленные на исключение возможности разглашения персональных данных, доступа третьих лиц и т.д.

Предоставление персональных пациента данных третьим лицам

Законодательство запрещает предоставлять третьим лицам и распространять персональные данные без согласия пациента (ст. 7 Закона № 152-ФЗ).

Под предоставлением в данном случае понимаются действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц, а под распространением — действия, направленные на раскрытие персональных данных неопределенному кругу лиц (ст. 2 Закона № 152-ФЗ).

Вместе с тем, Закон № 323-ФЗ допускает разглашение сведений, составляющих врачебную тайну, с письменного согласия пациента или его законного представителя другим гражданам, в том числе должностным лицам, в целях медицинского обследования и лечения пациента, проведения научных исследований, их опубликования в научных изданиях, использования в учебном процессе и в иных целях (п. 2 ст. 13 Закона № 323-ФЗ).

Кроме того, предоставление сведений, составляющих врачебную тайну, без согласия пациента или его законного представителя возможно (п. 3 ст. 13 Закона № 323-ФЗ):– в целях проведения медицинского обследования и лечения пациента, который в результате своего состояния не способен выразить свою волю;– при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;– по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органов прокуратуры в связи с осуществлением прокурорского надзора, по запросу органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля;– в целях осуществления уполномоченными федеральными органами исполнительной власти контроля за исполнением лицами, признанными больными наркоманией либо потребляющими наркотические средства или психотропные вещества без назначения врача либо новые потенциально опасные психоактивные вещества, возложенной на них при назначении административного наказания судом обязанности пройти лечение от наркомании, диагностику, профилактические мероприятия и (или) медицинскую реабилитацию;– в случае оказания медицинской помощи несовершеннолетнему для информирования одного из его родителей или иного законного представителя;– в целях информирования органов внутренних дел о поступлении пациента, в отношении которого имеются достаточные основания полагать, что вред его здоровью причинен в результате противоправных действий;– в целях проведения военно-врачебной экспертизы по запросам военных комиссариатов, кадровых служб и военно-врачебных (врачебно-летных) комиссий;– при обмене информацией между медицинскими организациями, в том числе размещенной в медицинских информационных системах, в целях оказания медицинской помощи с учетом требований законодательства РФ о персональных данных;– в целях осуществления учета и контроля в системе обязательного социального страхования.

Способы уничтожения

Способы, которыми проводится уничтожения носителей персональных данных, зависят от вида самого носителя. Но все они должны отвечать одному правилу – невозможности восстановления содержащихся на них данных.

Для бумажных носителей можно применять:

  • измельчение (ножницами или шредером);
  • сжигание;
  • гидрообработку (смешивание).

Машиночитаемые носители могут быть:

  • физически повреждены (согнуты, сломаны, сильно поцарапаны);
  • сожжены;
  • размагничены (подвергнуты химическому воздействию в агрессивных средах);
  • отформатированы.

Файлы, содержащиеся на жестком диске компьютера, удаляют методами операционной системы.

За эффективность процесса уничтожения несут ответственность члены комиссии.

Что является разглашением персональных данных

Понятийный аппарат законодательства о персональных данных содержит определение сведений, которые могут идентифицировать гражданина. Само физическое лицо вправе самостоятельно установить какая информация относится к персональным данным, поскольку перечень не является исчерпывающим и подлежит расширенному толкованию

Важно понимать, что именно отличительные черты одного человека от другого охраняются государством на уровне гарантий права на частную жизнь

В контексте уголовного законодательства статьи, гласящей об ответственности за разглашение личных данных, не существует. Но подобные действия обобщены в статье 137, в которой говорится о наказании за все факты нарушения неприкосновенности частной жизни

Это довольно обширная группа и если брать во внимание узконаправленную категорию персональных данных, то можно выделить следующие сведения:

  • реквизиты основного документа гражданина (паспорта);
  • о месте нахождения или регистрации человека;
  • статус человека в обществе, семье, на работе и пр.;
  • где и когда была рождена личность;
  • профессиональные навыки и занимаемая должность (наравне с величиной доходов);
  • номер телефона (стационарного или сотового).

Некоторые категории получения персональных данных могут стать известными в ходе профессиональной деятельности, выполнение которой требует сохранения различного рода тайн (врачебной или адвокатской, например). Если обнародование будет произведено по этому «каналу» хранения информации, то преступник может быть наказан по совокупности за два преступления. Запрет на использование секретной информации дает работник своему работодателю, но при этом подписывает согласие на обработку персональных данных.

Рейтинг
( Пока оценок нет )
Editor
Editor/ автор статьи

Давно интересуюсь темой. Мне нравится писать о том, в чём разбираюсь.

Понравилась статья? Поделиться с друзьями:
Путеводитель по услугам
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: