Блок №5 Обработка персональных данных внутри клиники
Показать все категории

Блок №5 Обработка персональных данных внутри клиники

5738
Наличие:
Есть в наличии

  • Артикул:
    1882
5 900
руб.

Вы получите документ в течение 10 минут на свой e-mail в формате .doc (MS Word) сразу после оплаты.
Документ актуален и соответствует всем требованиям РФ на 05  августа 2020 г.

Содержание блока №5

  • Приказ о допуске к медицинской тайне и персональным данным пациентов
  • Политика конфиденциальности обработки персональных данных  для сайта клиники
  • Политика обработки персональных данных в клинике
  • Журнал обращений для получения доступа к персональным данным
  • Лист ознакомлений работников с Положением об обработке и защите персональных данных
  • Положение об обработке и защите ПД работников
  • Положение об обработке и защите персональных данных пациентов
  • ПОСТАНОВЛЕНИЕ №781, Постановление №687, ФЗ №152-ФЗ «О персональных данных»
  • Приказ об обработке ПД работников и пациентов
  • Согласие на обработку ПД сотрудника и пациента
  • Уведомление работника организации о неразглашении ПД
  • Уведомление об обработке ПД, Образец заполнения формы уведомления (с сайта РКН)
  • Порядок и Рекомендации заполнения уведомления формы Роскомнадзора
  • Разъяснения по вопросам уведомления об обработке персональных данных
  • Фото и биометрия как персональные данные
  • Сроки хранения персональных данных в клинике
  • Модель угроз типовой медицинской информационной системы медицинской организации
  • Методические рекомендации по составлению Частной модели угроз безопасности персональных данных
  • Журнал учета мероприятий по контролю за соблюдением режима защиты персональных данных
  • Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных
  • Положение об антивирусной защите
  • Должностная инструкция администратора безопасности информационных систем персональных данных
  • Приказ об утверждении перечня мест хранения материальных носителей ПД в клинике
  • Перечень помещений, предназначенных для обработки персональных данных
  • Приказ о создании комиссии по уничтожению персональных данных в медицинской организации
  • Положение о разграничении прав доступа к обрабатываемым ПД
  • Регламент обработки запросов субъекта ПД в клинике с формами запросов и ответов
  • Журнал проведения инструктажа по информационной безопасности
 
По многочисленным просьбам коллег мы составили подробный разбор требований закона "О персональных данных" с детальными комментариями по штрафам ст. 31.11 и главное - с ПОЛНЫМ СПИСКОМ ДОКУМЕНТОВ, необходимым для соблюдения закона.

Любая мед.организация при своей работе обязательно сталкивается с вопросом обработки персональных данных пациентов и сотрудников, подчиняется Закону «О персональных данных» и всем его требованиям.

Поскольку каждая клиника по закону обязана иметь сайт, и зачастую на сайте клиники есть форма обратной связи с посетителем, а также мы собираем и обрабатываем персональные данные пациентов и сотрудников на бумажных и электронных носителях, эта информация является очень важной и актуальной.

В феврале 2017 года законодателем внесены поправки в статью 13.11 КоАП по поводу нарушений закона о персональных данных и штрафах за данные нарушения. Поправки вступили в силу с 1 июля 2017 года и касаются всех, кто собирает, обрабатывает и хранит любые персональные данные. Частные клиники в первую очередь.

Штрафы поделили на группы нарушений и увеличили во много раз! Обратите внимание на суммы штрафов для юр.лиц:

Сейчас Статья 13.11. КоАП "Нарушение законодательства Российской Федерации в области персональных данных" выглядит так:

1. Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния, -

влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до трех тысяч рублей; на должностных лиц - от пяти тысяч до десяти тысяч рублей; на юридических лиц - от тридцати тысяч до пятидесяти тысяч рублей.

Комментарии ЦЗВ: эта статья штрафует за то, что оператор собирает ПД не для заявленных целей. Например, целями обработки ПД заявлено оказание мед.помощи, а оператор в анкете собирает данные электронной почты, что никак не связано с целями сбора ПД. Нужно очень точно прописывать в документах цели обработки ПД и собирать данные в соответствии с целями.

2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, -

влечет наложение административного штрафа на граждан в размере от трех тысяч до пяти тысяч рублей; на должностных лиц - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от пятнадцати тысяч до семидесяти пяти тысяч рублей.

Комментарий ЦЗВ: если клиника не получила от пациента ПИСЬМЕННОЕ согласие на обработку ПД, ее оштрафуют по этой части статьи. Также если клиника не получила от СОТРУДНИКА письменное согласие на его ПД, сбор которых не предусмотрен требованиями закона (чаще всего это размещение фотографии сотрудника на сайте), то будет штраф. Перечень собираемых ПД должен быть четко прописан в документе-согласии.

3. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных -

влечет предупреждение или наложение административного штрафа на граждан в размере от семисот до одной тысячи пятисот рублей; на должностных лиц - от трех тысяч до шести тысяч рублей; на индивидуальных предпринимателей - от пяти тысяч до десяти тысяч рублей; на юридических лиц - от пятнадцати тысяч до тридцати тысяч рублей.

Комментарий ЦЗВ: если клиника не разместила на своем сайте политику обработки ПД, будет штраф. Текст "политики" должен точно соответствовать требованию закона о ПД.

4. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, -

влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц - от четырех тысяч до шести тысяч рублей; на индивидуальных предпринимателей - от десяти тысяч до пятнадцати тысяч рублей; на юридических лиц - от двадцати тысяч до сорока тысяч рублей.

Комментарий ЦЗВ: если клиника не имеет специальных форм запросов ПД сотрудниками и пациентами, журналов регистрации таких запросов, ответственных сотрудников за обработку этих запросов - будет штраф по этой части статьи.

5. Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, -

влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц - от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от двадцати пяти тысяч до сорока пяти тысяч рублей.

Комментарий ЦЗВ: то же, что и ч.4, только иная работа с ПД. Если клиника не имеет специальных форм запросов по уточнению, блокированию и уничтожению ПД сотрудников и пациентов, журналов регистрации таких запросов, ответственных сотрудников за обработку этих запросов - будет штраф по этой части статьи.

6. Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния -

влечет наложение административного штрафа на граждан в размере от семисот до двух тысяч рублей; на должностных лиц - от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от двадцати пяти тысяч до пятидесяти тысяч рублей.

Комментарий ЦЗВ: если в клинике нет специально разработанной документации по защите и сохранности ПД, а также сотрудника - администратора ПД, то будет штраф по этой статье. Сюда же относится положение об антивирусной защите, частная модель угроз, инструкции по информационной безопасности для сотрудников и т.д.

Если вы обрабатываете персональные данные через формы запроса (сбор почты, телефонов, ФИО, формы обратной связи) и не разместили на сайте политику их обработки, или не зарегистрировались в качестве оператора ПД, то вы уже нарушаете закон и вас уже сейчас могут оштрафовать.

Помните, что, в отличие от обычной внеплановой проверки, для проверки сайта клиники на соответствие закону о ПД Роскомнадзору не нужно никакого разрешения или предписания – сотрудник просто заходит на сайт, проверяет его на соответствие закону, и при выявлении нарушений штрафа уже не избежать. Сайт у клиники должен быть в обязательном порядке, об этом все уже давно знают.

Любая клиника по своей сфере деятельности практически всегда является оператором персональных данных. По закону операторы персональных данных должны уведомить Роскомнадзор, написав соответствующее заявление по установленной форме. Причем сделать это нужно до начала обработки данных или как можно скорее. Роскомнадзор внесет информацию об операторе в общий реестр и будет выдавать по запросу.

Внимание – это ВАЖНО!

Все выявленные нарушения СУММИРУЮТСЯ, а потому, если найдут сразу несколько нарушений, то и штрафов выпишут несколько - за каждую часть статьи отдельно. И суммы будут исчисляться сотнями тысяч рублей!

Простая математика:
В сумме штрафы по ст. 13.11 частей 1-6 КоАП РФ для для юр. лица + должностных лиц ) составляет 50.000 + 75.000 + 30.000 + 40.000 + 45.000 + 50.000 = 290.000 рублей (штраф на юр.лицо)
+ штрафы на должностное лицо по всем частям данной 13.11 статьи: 10.000 + 20.000 + 6.000 + 6.000 + 10.000 + 10.000 = 62.000 рублей (должностное лицо).
МАКСИМАЛЬНО ВОЗМОЖНАЯ сумма штрафа за нарушения в области обработки персональных данных сотрудников и пациентов в совокупности составляет ИТОГО: 290.000 + 62.000 = 352.000 рублей.

 

Итак, ваши действия для соответствия законодательству по обработке ПД должны быть следующие:

1) Подготовьте документы по политике обработки персональных данных, политике конфиденциальности и разместите их на своем сайте.

2) Реализуйте программное решение для сайта, которое позволит проверяющим точно установить, что человек перед отправкой своих ПД согласился на их обработку в соответствии с размещенной Вами политикой конфиденциальности. Идеально в этом случае работает галочка в форме регистрации и ссылка в этом же окошке на политику обработки ПД, ознакомление с которой посетитель сайта подтверждает, отмечая поле в форме.

3) Подготовьте внутренние документы компании о хранении персональных данных и ответственности сотрудников, которые с ними работают. Приказы, регламенты и должностные инструкции, правила доступа, согласия и ограничения, внутренняя политика обработки ПД в компании и т.д. Внутренние документы не нужно выкладывать в общий доступ на сайт, но они обязательно должны быть в клинике.
Их отсутствие – также повод для наложения самых больших штрафов и основной предмет проверки!

4) Если в клинике используется видеонаблюдение, убедитесь в согласованности использования на рабочих местах с сотрудниками клиники и наличии отдельного пакета документов по видеонаблюдению.
Документация об использовании в клинике видеонаблюдения также должна быть приведена в полное соответствие с законодательством. С сотрудников должны быть получены все согласования и уведомления.
Должны быть оформлены документальные отношения с ответственным за обработку ПД в организации и права допуска к информации на видеосервере.

5) Отправьте уведомление по установленной форме в Роскомнадзор о том, что ваша компания является оператором ПД.

Мы предлагаем Вам полностью сформированный и готовый к применению в клинике пакет документов для соблюдения требований закона по обращению ПЕРСОНАЛЬНЫМИ ДАННЫМИ в клинике.

Подходит абсолютно для любой клиники - для стоматологии, косметологии, многопрофильной клиники, частной и государственной)

 
Материалы подготовлены экспертом:
Доктор Владислав Аносов
основатель "Центра Защиты Врачей" автор уникальных семинаров по медицинскому праву и экспертной защите врачей и клиник "Линия защиты". Семинары посетили уже более 2.000 человек по всей стране.
  • Ведущий врач-эксперт РФ в области медицинского права и защиты клиник
  • Автор уникально цикла обучающих семинаров "Линия защиты - стоматология в безопасности"
  • Основатель «Центра защиты врачей», с 2007 года занимается вопросами правовой поддержки и защиты интересов врачей и клиник
  • Консультант по правовым, лицензионным и конфликтным вопросам медицинской деятельности в РФ
  • Эксперт и постоянный докладчик «Клуба эффективных менеджеров в стоматологии и эстетической медицине» г.Москва
  • Член правления Российского стоматологического общества
  • Владелец центра современной конусно-лучевой компьютерной диагностики «3Д-СКАН»
  • Владелец многопрофильного частного медицинского центра «ДокторСтом»
  • Практикующий врач стоматолог с 15-летним стажем управления собственной частной медицинской клиникой и 10-летним опытом правового консалтинга. Специализации: стоматология общей практики, ортопедическая стоматология, хирургическая стоматология, организация здравоохранения, экспертиза качества медицинской помощи.
Перейти на мобильную версию сайта
Да, перейти Остаться на основной версии