Добрый день. Я обещал рассказать о результатах сверки регистрации медицинских организаций Крыма и Севастополя (внесенных в ФРМО) в реестре операторов персональных данных.
Результаты не сильно воодушевляют: в ФРМО есть записи о 985 организациях (из выборки были исключены бюджетные организации, оставлены только ИП и ООО, зарегистрированные как медицинские организации, не фармацевтические ). Из них 502 не зарегистрированы как операторы персональных данных (50,96%).
Таким образом, несмотря на разъяснения о повышении ответственности за нарушение порядка работы с персональными данными, о необходимости наведения порядка, как в документах, так и в бизнес-процессах, проблема все также носит системный характер.
Сегодня я хотел бы рассказать о том, почему мораторий на проведение внеплановых проверок в данной сфере не всегда работает.
Речь будет идти о Приказе Министерства цифрового развития, связи и массовых коммуникаций (Минцифры) №720 от 17.08.2023 года. Данный приказ носит достаточно длинное название:
«О внесении изменений в перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных, утвержденных приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 15 ноября 2021 г. №1187».
Сам приказ, на удивление, лаконичен: по сути дополнительно вводится один критерий риска – установление контролирующим органом трех и более фактов несоответствия информации, указанной контролируемым лицом в уведомлениях, подлежащих направлению в контролирующий орган….сведениям, размещенным на принадлежащем такому контролируемому лицу сайте».
Почему это важно? Существует Положение о федеральном контроле за обработкой персональных данных, оно же регламентирует порядок проведения внеплановых проверок (на которые мораторий не распространяется). Основание для проведения внеплановой проверки – выявление фактора риска.
Почему это особенно критично для медицинских организаций? Потому что медицинские организации напрямую относятся к категории риска группы тяжести «А», поскольку осуществляют обработку специальной категории персональных данных (сведения о состоянии здоровья). При этом, даже если принять факт что организация ни разу не привлекалась к ответственности за нарушение работы с персональными данными (группа вероятности 4), общая категория риска будет «Средний риск». Проверить наши расчеты можно самостоятельно по Приложению к Положению о федеральном государственном контроле за обработкой персональных данных.
Возвращаясь к внесенным изменениям: теперь выявление трех и более расхождений между сведениями, указанными на сайте организации и сведениями, находящимися в реестре операторов персональных данных является основанием для проведения внеплановой проверки.
Что нужно делать? Последовательность простая, необходимо:
- Проанализировать, какие персональные данные Вы обрабатываете.
- Проанализировать, чьи персональные данные Вы обрабатываете.
- Сверить актуальность этих сведений с теми, которые размещены и упоминаются у Вас на сайте, а также теми, которые указаны в реестре операторов персональных данных.
- При необходимости направить уведомление об изменении сведений в реестре операторов персональных данных.
Не забывайте, что также существует перечень данных, подлежащих обязательному опубликованию на сайте медицинской организации, в соответствии Правилами оказания платных медицинских услуг. Данное опубликование, в некоторой части, является распространением персональных данных (например, сведения о профессиональной квалификации врачей, осуществляющих прием). Такие сведения также необходимо включить в уведомление, направляемое в реестр операторов персональных данных.
В очередной раз обращаем Ваше внимание: сейчас работа с персональными данными как пациентов, так и сотрудников – вопрос крайне острый, ему необходимо уделять внимание.
Мы можем помочь Вам в проведении аудита работы с персональными данными: наведем порядок как в процессах, так и в документации, подготовим уведомление для включения в реестр операторов персональных данных, либо об актуализации сведений в нем.
Наши контакты: +7 978 137 56 29 (телефон, телеграмм, WhatApp)
