Ответственность медицинских организаций за нарушения законодательства о персональных данных

Ответственность медицинских организаций за нарушения законодательства о персональных данных

Медицинская организация всегда является оператором персональных данных, так как обрабатывает значительное количество личных сведений о пациенте, включая и те из них, которые составляют врачебную тайну. Соблюдение правил обработки персональных данных пациентов является серьезной задачей для медицинских организаций, ведь любые нарушения в этой сфере грозят наступлением юридической ответственности. Учитывая число пациентов, чьи данные оказываются в распоряжении больниц и поликлиник, риск привлечения к разным видам ответственности достаточно высок. В нашей статье мы подробно останавливаемся на обязанностях медицинской организации при обработке персональных данных пациентов и на том, какую ответственность несут медицинские организации, их руководители, администраторы, врачи и медсестры в случае нарушения правил обработки.

Что понимается под обработкой персональных данных

В одной из наших предыдущих статей мы подробно осветили вопрос понятия персональных данных, а также их категорий. Остановимся более детально на том, что следует понимать под их обработкой. Всегда ли медицинская организация, получая доступ к таким личным данным пациента, автоматически становится оператором?

П. 3 ст. 3 закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – закон № 152-ФЗ) определяет обработку персональных данных как любые действия, производимые с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Обработка может производиться как с использованием средств автоматизации, так и без них, с непосредственным участием человека.

Очевидно, что медицинская организация практически всегда является оператором персональных данных. Поэтому она обязана под риском ответственности соблюдать требования, которые предъявляются к обработке персональных данных, в частности определить цель обработки, получать согласие на обработку от пациентов, уведомлять Роскомнадзор, принимать меры по защите персональных данных. Подробнее об этих обязанностях медорганизации, читайте далее.

Обязанность № 1 — обеспечить целевую обработку персональных данных

Обработка персональных данных не может быть произвольной. Она должна производиться исключительно в рамках достижения определенной цели (ч. 2 ст. 5 закона № 152-ФЗ). Такая цель должна быть:

  • Заранее определенной. Это означает, что еще до начала обработки данных пациентов медицинская организация должна четко сформулировать цель сбора информации и обязательно включить ее в текст согласия на обработку и донести до пациента. Оптимально будет также указать цели обработки в локальном нормативном акте об обработке персональных данных (положении, политике). Цель должна вытекать из специфики деятельности организации и не противоречить ей. Например, для медицинской организации цель обработки персональных данных может быть сформулирована следующим образом: установление медицинского диагноза и оказание медицинской помощи и медицинских услуг.
  • Конкретной. При формулировании цели следует использовать конкретные четкие формулировки, а не общие фразы.
  • Законной. Произвольная обработка, не совместимая с целями сбора персональных данных, не допускается и за это предусматривается административная ответственность, о которой мы расскажем ниже. Обратите внимание, что объем и содержание обрабатываемых данных должны четко соответствовать заявленным целям обработки и ни в коем случае не выходить за их пределы, не быть «лишними», избыточными (ч. 5 ст. 5 закона № 152-ФЗ). Например, медицинская организация не должна просить пациентов указать их образование, имущественное положение, так как это не имеет никакого значения для достижения цели ее деятельности – оказание полноценной и качественной медицинской помощи.

Если обработка осуществляется в разных целях, то необходимо вести раздельный учет таких данных (ч. 3 ст. 5 закона № 152-ФЗ).

При осуществлении обработки персональных данных необходимо следить за их актуальностью (ч. 6 ст. 5 закона № 152-ФЗ). Например, при повторном обращении пациента лучше заново проверить его данные, убедиться, что ничего не изменилось либо обновить их. Неточные, неактуальные данные должны своевременно удаляться. Если этого не делать, создаются предпосылки для нарушения закона.

Если цель обработки данных достигнута либо очевидно, что она не будет достигнута по каким-либо причинам, то после этого оператор обязан их уничтожить. Например, если медицинский кабинет стоматолога прекращает свою деятельность и закрывается, то все полученные за период деятельности персональные данные пациентов подлежат уничтожению (ч. 7 ст. 5 закона № 152-ФЗ).

Обязанность № 2 – получать согласие на обработку.

Принципиально важной и едва ли не ключевой обязанностью медицинской организации при обработке персональных данных является предварительное получение согласия пациента (п. 1 ч. 1 ст. 6 закона № 152-ФЗ).

Такое согласие должно быть:

  1. Выдано пациентом свободно, в своей воле и в своем интересе (ч. 1 ст. 9 закона № 152-ФЗ).
  2. Выдано лично пациентом или его законным представителем (родителем, опекуном, попечителем).
  3. Быть конкретным.
  4. Быть информированным; это означает, что пациенту предоставляется полная информация о предстоящей обработке данных: перечень данных, которые подвергнутся обработке, цели и сроки обработки, сведения об операторе.
  5. Быть сознательным, не вынужденным.

Форма согласия на обработку персональных данных, относящихся к категории простых (фамилия, имя, отчество, дата рождения и т.д.), не обязательно должна быть письменной (ч. 1 ст. 9 закона № 152-ФЗ). Однако медицинская организация должна располагать доказательствами того, что пациент действительно давал такое согласие (п. 3 ст. 9 закона № 152-ФЗ). Для обработки специальных и биометрических персональных данных обязательно именно письменное согласие (ч. 4 ст. 9, ч. 2 ст. 10, ч. 1 ст. 11 закона № 152-ФЗ). Оно может быть оформлено в традиционной бумажной форме с собственноручной подписью пациента или в электронной — с электронной подписью пациента. Электронная подпись может генерироваться онлайн с использованием различных кодов подтверждения по электронной почте, SMS-кодов и т.д. и приравнивается к бумажной. Рекомендуем всегда брать с пациентов согласие в письменной форме.

Какой-либо обязательной формы согласия пациента на обработку персональных данных закон не устанавливает, но выдвигает ряд требований к его содержанию (ч. 4 ст. 9 закона № 152-ФЗ). В частности оно должно включать в себя:

  1. фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  2. фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
  3. наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
  4. цель обработки персональных данных;
  5. перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  6. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
  7. перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
  8. срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом (может быть неопределенным, бессрочным);
  9. подпись субъекта персональных данных.

При разработке собственной формы согласия можно воспользоваться формой, утвержденной Приказом Департамента здравоохранения г. Москвы от 09.12.2019 № 1057. Она подойдет, в том числе, и частным медицинским организациям.

Обратите внимание, что согласие желательно всегда облекать в форму отдельного документа. Недостаточно просто включить пункт об обработке персональных данных в договор об оказании медицинских услуг, так как это не отвечает требованиям конкретности, информированности и сознательности. Этот вывод следует из судебной практики (см. Решение Арбитражного суда Республики Татарстан от 21.02.2018 № А65-33540/2017). На практике медицинские организации также нередко предлагают подписать информированное добровольное согласие на медицинское вмешательство и согласие на обработку персональных данных в виде одного документа. Не рекомендуем все же смешивать эти согласия, особенно учитывая тот факт, что согласие на вмешательство может подписываться лицом, достигшим 15-летнего возраста, а согласие на обработку персональных данных – только с 18 лет.

Согласно позиции, высказанной Минздравом России в письме от 11.09.2014 № 18-1/10/2-6945, при оказании медицинской помощи в медицинской организации, осуществляющей деятельность в системе ОМС, согласие пациента на обработку персональных данных не требуется. Однако суды высказывают и иное мнение: получение от пациента согласия на обработку персональных данных является необходимым условием предоставления ему медицинской помощи в системе ОМС (см., например, Апелляционное определение Московского городского суда от 24.05.2019 по делу № 33а-2079/2019).

Отзыв согласия.

Ч. 2 ст. 9 закона № 152-ФЗ предусматривает право пациента отозвать ранее выданное согласие на обработку персональных данных способом, указанным ранее в самом согласии (ч. 2, п. 8 ч. 4 ст. 9 закона № 152-ФЗ). Что делать в такой ситуации медицинской организации?

По общему правилу, в случае отзыва согласия оператор должен прекратить обработку и уничтожить или заблокировать данные (ч. 5, 6 ст. 21 закона № 152-ФЗ). Однако в ряде случаев он вправе ее продолжить без согласия субъекта, например, если обработка осуществляется в медико-профилактических целях, для защиты жизни и здоровья субъекта, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг, но при условии, что обработка осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным хранить врачебную тайну (п. 6 ч. 1 ст. 6, ч. 2 ст. 9, п. 4 ч. 2 ст. 10 закона № 152-ФЗ). Конституционный Суд РФ по этому поводу высказал позицию, согласно которой медицинская организация сохраняет в этом случае право хранить информацию о состоянии здоровья граждан исключительно в целях реализации их права на охрану здоровья и медицинскую помощь, при этом конфиденциальность персональных данных обеспечивается врачебной тайной (см. Определение КС РФ от 16.07.2013 № 1176-О).

Не следует забывать и о том, что медицинские организации имеют право создавать специальные информационные системы с данными о пациентах, медпомощи, им оказанной и т.д. с соблюдением требований, установленных законодательством РФ в области персональных данных, и соблюдением врачебной тайны. При этом изъятие и аннулирование сведений из баз данных медицинских организаций законодательством не предусмотрено (п. 5 ст. 78 закона от 21.11.2011 № 323-ФЗ; письмо Минздрава России от 11.09.2014 № 18-1/10/2-6945).

Обязанность № 3 – уведомлять Роскомнадзор об обработке персональных данных

До начала обработки персональных данных медицинская организация должна уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных (ч. 1 ст. 22 закона № 152-ФЗ). Подробно порядок направления такого уведомления содержится в Методических рекомендациях, утвержденных Приказом Роскомнадзора от 30.05.2017 № 94 (далее – Методические рекомендации).

Уведомление составляется по утвержденной форме (см. Приложение № 1 к Методическим рекомендациям). В нем должны содержаться следующие данные:

  • наименование медицинской организации, ее адрес;
  • цель обработки персональных данных;
  • категории персональных данных, которые будут обрабатываться;
  • правовое основание обработки персональных данных.

Уведомление нужно подписать у руководителя. Направить его можно как в бумажном виде, так и в электронной форме. Электронная форма уведомления и порядок ее заполнения размещены на портале персональных данных Роскомнадзора.

Получив уведомление, Роскомнадзор в течение 30 дней вносит сведения в специальный реестр операторов (ч. 4 ст. 22 закона № 152-ФЗ) и размещает информацию об этом на официальном сайте Роскомнадзора и на портале персональных данных (п. 3.5 Методических рекомендаций).

При изменении представленных сведений либо прекращении обработки персональных данных медицинской организации нужно также уведомить Роскомнадзор об этом в течение 10 дней (ч. 7 ст. 22 закона № 152-ФЗ).

Обязанность № 4 – опубликовать политику обработки персональных данных

Медицинская организация обязана разработать собственную политику обработки персональных данных (положение), опубликовать ее или другим способом обеспечить к ней неограниченный доступ (ч. 2 ст. 18.1 закона № 152-ФЗ). Довести до сведения широкого круга лиц такой документ можно на официальном сайте организации или на информационном стенде в больнице/поликлинике.

По запросу Роскомнадзора медицинская организация обязана представить документы, определяющие политику обработки персональных данных, и подтвердить, что приняты необходимые меры в рамках этой политики (ч. 4 ст. 18.1 закона № 152-ФЗ).

Обязанность № 5 – отвечать на запросы пациентов относительно обработки их персональных данных

Каждый пациент вправе получать информацию, касающуюся обработки его персональных данных в объеме, предусмотренном ч. 7 ст. 14 закона № 152-ФЗ:

  • подтверждение факта обработки персональных данных оператором;
  • правовые основания, цели и способы обработки персональных данных;
  • сведения об операторе и иных лицах, имеющих доступ к персональным данным, включая лиц, которым операторам поручена обработка;
  • обрабатываемые данные, источник из получения;
  • сроки обработки данных, в т ч сроки их хранения;
  • порядок осуществления пациентом прав, предусмотренных законом № 152-ФЗ, и т д.

В ответ на запрос медицинская организация обязана сообщить пациенту информацию о наличии персональных данных и предоставить возможность для ознакомления с ними в течение 30 дней с даты получения запроса.

В запросе пациент может также требовать уточнения, блокирования или уничтожения персональных данных в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. Если такая информация подтверждена, медицинская организация должна произвести уточнение, блокирование или уничтожение данных в течение 7 дней и уведомить об этом пациента в течение 30 дней с даты получения запроса.

Обязанность № 6 – принимать меры по защите персональных данных

Важнейшая обязанность медицинской организации как оператора персональных данных – это принятие всех возможных мер (правовых, организационных и технических) для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий с персональными данными (ч. 1 ст. 19 закона № 152-ФЗ).

Меры делятся на 3 вида:

  • правовые – разработка комплекта документов (политика обработки персональных данных, соглашение о конфиденциальности с медработниками и др.);
  • организационные – назначение и обучение ответственных сотрудников;
  • технические – подготовка техники, обеспечение шифрования, ограничение доступа к данным на бумажных носителях.

При этом необходимо руководствоваться:

  1. Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными Постановлением Правительства РФ от 01.11.2012 № 1119.
  2. Требованиями к материальным носителям биометрических персональных данных и технологиям хранения таких данных, утвержденными Постановлением Правительства РФ от 06.07.2008 № 512.
  3. Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным Постановлением Правительства РФ от 15.09.2008 № 687.

Конкретные меры по защите безопасности определяет сама медицинская организация, однако важно, чтобы эти меры были достаточными, чтобы неправомерный доступ к данным пациентов, их копирование, изменение, уничтожение были исключены.

Административная ответственность за нарушения при обработке персональных данных

При невыполнении хотя бы одной из вышеперечисленных обязанностей для медицинской организации возможно наступление ответственности. В большинстве случаев речь идет об административной ответственности по КоАП РФ. Все правонарушения в сфере обработки персональных данных можно разделить за 4 группы:

  1. Нарушение правил обработки персональных данных пациентов.
  2. Нарушение правил взаимодействия с пациентом при обработке персональных данных.
  3. Нарушение правил взаимодействия с Роскомнадзором.
  4. Нарушение правил по защите персональных данных.

Подробно возможные нарушения с соответствующими санкциями мы представили в таблице ниже.

Статья КоАПВ чем заключается правонарушениеАдминистративное наказание
Ч. 1 ст. 13.11Обработка персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо обработка персональных данных, несовместимая с целями их сбора, если эти действия не содержат признаков уголовно-наказуемого деяния
Административный штраф:
  • на граждан в размере от 2000 до 6000 рублей;
  • на должностных лиц – от 10 000 до 20 000 рублей;
  • на юридических лиц – от 60 000 до 100 000 рублей.
Ч. 1.1 ст. 13.11Те же действия, совершенные повторно
Административный штраф:
  • на граждан в размере от 4000 до 12 000 рублей;
  • на должностных лиц – от 20 000 до 50 000 рублей;
  • на ИП – от 50 000 до 100 000 рублей;
  • на юридических лиц – от 100 000 до 300 000 рублей.
Ч. 2 ст. 13.11Обработка персональных данных без согласия в письменной форме в случаях, когда оно должно быть получено в соответствии с законодательством РФ в области персональных данных (если эти действия не содержат уголовно наказуемого деяния), либо обработка персональных данных с нарушением установленных законодательством РФ в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме
Административный штраф:
  • на граждан в размере от 6000 до 10 000 рублей;
  • на должностных лиц – от 20 000 до 40 000 рублей;
  • на юридических лиц – от 30 000 до 150 000 рублей.
Ч. 2.1 ст. 13.11Те же действия, совершенные повторно
Административный штраф:
  • на граждан в размере от 10 000 до 20 000 рублей;
  • на должностных лиц – от 40 000 до 100 000 рублей;
  • на ИП – от 100 000 до 300 000 рублей;
  • на юридических лиц – от 300 000 до 500 000 рублей.
Ч. 3 ст. 13.11Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных
Административный штраф:
  • на граждан в размере от 1 500 до 3 000 рублей;
  • на должностных лиц – от 6 000 до 12 000 рублей;
  • на ИП – от 10 000 до 20 000 рублей;
  • на юридических лиц – от 30 000 до 60 000 р
Ч. 4 ст. 13.11Невыполнение предусмотренной законодательством РФ в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся их обработки
Административный штраф:
  • на граждан в размере от 2 000 до 4 000 рублей;
  • на должностных лиц – от 8 000 до 12 000 рублей;
  • на ИП – от 20 000 до 30 000 рублей;
  • на юридических лиц – от 40 000 до 80 000 рублей.
Ч. 5 ст. 13.11Несоблюдение сроков выполнения требований по защите прав субъектов персональных данных об их уточнении, блокировании или уничтожении, когда данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки,
Административный штраф:
  • на граждан в размере от 2 000 до 4 000 рублей;
  • на должностных лиц – от 8 000 до 20 000 рублей;
  • на ИП – от 20 000 до 40 000 рублей;
  • на юридических лиц – от 50 000 до 90 000 рублей.
Ч. 5.1 ст. 13.11Те же действия, совершенные повторно
Административный штраф:
  • на граждан в размере от 20 000 до 30 000 рублей;
  • на должностных лиц – от 30 000 до 50 000 рублей;
  • на ИП – от 50 000 до 100 000 рублей;
  • на юридических лиц – от 300 000 до 500 000 рублей
Ч. 6 ст. 13.11Невыполнение требований по сохранности персональных данных при их обработке без использования средств автоматизации, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении данных, при отсутствии признаков уголовно наказуемого деяния
Административный штраф:
  • на граждан в размере от 1 500 до 4 000 рублей;
  • на должностных лиц – от 8 000 до 20 000 рублей;
  • на ИП – от 20 000 до 40 000 рублей;
  • на юридических лиц – от 50 000 до 100 000 рублей.
Ч. 8 ст. 13.11Невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», предусмотренной законодательством РФ в области персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации
Административный штраф:
  • на граждан в размере от 30 000 до 50 000 рублей;
  • на должностных лиц — от 100 000 до 200 000 рублей;
  • на юридических лиц — от 1 000 000 до 6 000 000 рублей.
Ч. 9 ст. 13.11Те же действия, совершенные повторно
Административный штраф:
  • на граждан в размере от 50 000 до 100 000 рублей;
  • на должностных лиц — от 500 000 до 800 000 рублей;
  • на юридических лиц — от 6 000 000 до 18 000 000 рублей.
Ст. 13.14Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей
Административный штраф:
  • на граждан в размере от 5 000 до 10 000 рублей;
  • на должностных лиц — от 40 000 до 50 000 рублей или дисквалификацию на срок до 3 лет;
  • на юридических лиц — от 100 000 до 200 000 рублей
Ст. 19.7Непредставление или несвоевременное представление в Роскомнадзор уведомления об обработке персональных данных
Предупреждение или административный штраф:
  • на граждан в размере от 100 до 300 рублей;
  • на должностных лиц — от 300 до 500 рублей;
  • на юридических лиц — от 3 000 до 5 000 рублей.

Как видим, к административной ответственности за нарушения правил обработки персональных данных могут быть привлечены как сама медицинская организация, так и ее должностные лица, а также рядовые сотрудники, причем возможно их одновременное привлечение к ответственности, например, самой клиники (больницы) и ее руководителя, или клиники и врача и т.д. Основной мерой ответственности является наложение административного штрафа. За повторные нарушения предусматривается более строгая ответственность.

Уголовная ответственность

Уголовный кодекс РФ не содержит специальных норм об ответственности за нарушение правил обработки персональных данных. Однако в особо серьезных случаях действия лиц, нарушивших законодательство о персональных данных, могут подпадать под статью УК РФ (см. таблицу ниже).

Статья УК РФВ чем заключается преступлениеУголовное наказание
Ч. 2 ст. 137Незаконное собирание или распространение с использованием служебного положения сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИ
  • штраф в размере от 100 000 до 300 000 рублей;
  • лишение права занимать определенные должности на срок от двух до пяти лет;
  • принудительные работы на срок до четырех лет (с лишением права занимать определенные должности на срок до пяти лет или без такового);
  • арест на срок до шести месяцев;
  • лишение свободы на срок до четырех лет (с лишением права занимать определенные должности на срок до пяти лет).
Ч. 1 ст. 272Неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло ее уничтожение, блокирование, модификацию либо копирование
  • штраф до 200 000 рублей;
  • исправительные работы на срок до одного года;
  • ограничение свободы на срок до двух лет;
  • принудительные работы на срок до двух лет;
  • лишение свободы на тот же срок.

К уголовной ответственности может быть привлечен только гражданин, например, врач, медсестра, руководитель медицинской организации и любой другой работник. При этом, однако, не исключено и одновременное привлечение медицинской организации к административной ответственности (ч. 3 ст. 2.1 КоАП РФ).

Пример.

Больница приняла на работу техника-программиста, в трудовые обязанности которого входила работа по подготовке технических носителей информации, обеспечивающих автоматический ввод данных в вычислительную машину, накоплению и систематизации показателей нормативного и справочного фонда, разработке форм исходящих документов, внесению необходимых изменений и своевременному корректированию рабочих программ; участвовать в выполнении различных операций технологического процесса обработки информации. Таким образом, данный работник имел непосредственный прямой доступ к персональным данным пациентов. Через некоторое время его уволили. Считая свое увольнение незаконным и воспользовавшись имевшимися у него логином и паролем от системы учета персональных данных, программист заблокировал доступ медицинской организации к указанной системе, из-за чего она потеряла возможность обновлять систему, записывать пациентов на прием и т.д. Действия техника-программиста были квалифицированы по ст. 272 УК РФ.

Дисциплинарная ответственность работника

Обычно в любых нарушениях законодательства об обработке персональных данных виноват конкретный работник. Медицинская организация, отвечая за его действия по статье КоАП РФ, одновременно может привлечь его к дисциплинарной ответственности, если он виноват в неисполнении (ненадлежащем исполнении) своих трудовых обязанностей по обработке персональных данных (ч. 1 ст. 192 ТК РФ).

За совершение таких действий к работнику может быть применено любое дисциплинарное взыскание, предусмотренное ТК РФ: замечание, выговор и даже увольнение.

Как правило, персональные данные пациента в таких случаях одновременно составляют врачебную тайну. Разглашение охраняемой законом тайны является самостоятельным основанием для увольнения работника по инициативе работодателя (подп. «в» п. 6 ст. 81 ТК РФ). Так, врач-гинеколог одной из поликлиник направляла претензии и жалобы третьим лицам, содержащие персональные данные пациентки, сведения о ее обращении за медицинской помощью в поликлинику, сведения, полученные при приеме пациентки, без ее согласия. Приказом руководителя врач была уволена по подп. «в» п. 6 ст. 81 ТК РФ за разглашение врачебной тайны. Пациентка пыталась оспорить законность увольнения, однако суды поддержали руководство медицинской организации (см. Апелляционное определение Московского городского суда от 20.06.2018 по делу № 33-20287/2018).

В другом деле к медицинской сестре была применена мера дисциплинарной ответственности в виде выговора за нарушение правил обработки персональных данных пациентов и медицинской документации: медсестра брала домой медкарты пациентов. Суды также признали обоснованным объявление выговора (Апелляционное определение Московского городского суда от 20.12.2017 по делу № 33-50582/2017).

Гражданско-правовая ответственность

За нарушение законодательства о персональных данных медицинскую организацию также могут привлечь к гражданско-правовой ответственности за причинение пациенту убытков и морального вреда.

Для этого необходимо, чтобы пациент обратился в суд с иском о возмещении ущерба и морального вреда. В таком деле потребуется доказать сам факт наступления вреда, противоправность поведения и вину, а также причинно-следственную связь между ними. Вина медицинской организации предполагается, и доказывать ее отсутствие нужно самой организации, а не пациенту.

***

Обрабатывая персональные данные пациентов, медицинским организациям следует проявлять осмотрительность и осторожность: обязательно брать согласия на обработку данных, реагировать на запросы и отзывы согласий со стороны пациентов, вовремя уведомлять Роскомнадзор о намерении обрабатывать персональные данные. Персонал больницы следует тщательно проинструктировать на предмет сохранения и защиты доверенных персональных данных. Это позволит минимизировать риски привлечения к ответственности как самой медицинской организации, так и ее сотрудников.

ПОДПИСАТЬСЯ НА РАССЫЛКУ