Я уже писала, что до 01.07.2017 года штрафы за отсутствие такого согласия смешные — 3-5 т.р., с июля месяца штрафы существенно возрастают — до 50 т.р. (ст. 13.11 КоАП РФ)
Тезис мой главный таков — клинике НЕ нужно брать согласие на обработку ПД. Это не значит, что сейчас надо всем перестать это делать. Как брали раньше — так и берите, НО не бойтесь, если забыли это сделать администраторы или пациент встал «в позу» и отказался подписывать.
АРГУМЕНТАЦИЯ:
*****************
1. У нас есть условно три группы персональных данных, которые клиника обрабатывает, являясь оператором ПД:
— общие ПД (ФИО, эл.почта, адрес, телефоны, паспортные данные пациента);
— данные о здоровье (все, что в медкарте содержится);
— биометрические данные (физиологические и биологические особенности человека, по которым можно идентифицировать его личность).
2. Оператор ВПРАВЕ обрабатывать общие персональные данные клиента БЕЗ его отдельного письменного согласия, если эти данные используются только в целях заключения и исполнения договора (пп. 5. ч.1 ст. 6 ФЗ № 152 «О персональных данных»).
КЛИНИКА ИСПОЛЬЗУЕТ ОБЩИЕ ПД ПАЦИЕНТА ТОЛЬКО ДЛЯ ИСПОЛНЕНИЯ ДОГОВОРА об оказании медицинских услуг (собственно, зачем вам еще его адрес места жительства???)
3. Персональные данные пациента о здоровье МОГУТ обрабатываться БЕЗ отдельного согласия пациента на это, если данные о здоровье обрабатываются в медико-профилактических целях, установления диагноза, оказания медицинских услуг, ОМС (пп. 4,8 ч. 2 ст. 10 ФЗ № 152).
И это ЛОГИЧНО — если человек приходит к врачу и он, простите, «в своем уме» — он должен понимать, что медицинская организация будет обрабатывать его данные.
Если хотите использовать данные о здоровье пациента в рекламных целях — нужно письменное согласие с указанием конкретных целей.
4. Биометрические данные в медицине (снимки, слепки, фотографии) — являются биометрическими ТОЛЬКО тогда, когда они используются оператором ДЛЯ ИДЕНТИФИКАЦИИ ЛИЧНОСТИ — и тогда да — на это нужно согласие субъекта персональных данных. (ч. 1 ст. 11 ФЗ № 152)
КЛИНИКА НЕ использует СНИМКИ и пр. ДЛЯ ИДЕНТИФИКАЦИИ личности пациентов! Поэтому снимки, слепки и пр. нельзя в данном случае признать биометрическими данными и не надо, соответственно, брать на их обработку согласие. Это ЧАСТЬ данных о здоровье, о которых уже сказали выше.
Классическим примером биометрических данных являются криминалистические системы МВД (фотоснимки, отпечатки папиллярных узоров на пальцах) — там они действительно и собираются и используются для идентификации личности.
ВЫВОД: строго говоря, медицинскую организация нельзя оштрафовать за отсутствие согласия на обработку ПД с пациентом, потому что все данные она обрабатывает в рамках разрешенных законом № 152 «О персональных данных» процедур.