Ссылка на оригинал: https://kormed.ru/novosti/personalnye-dannye-shtrafy-za-narusheniya-vyrastut/
Медицинские организации в силу специфики своей деятельности обрабатывают большой массив персональных данных пациентов. Важный аспект при этом – охрана сведений, составляющих врачебную тайну. Для профилактики возможных утечек конфиденциальной информации законодатель планирует ужесточить ответственность за нарушение порядка обработки и хранения персональных данных.
Сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну согласно ст. 13 Федерального закона от 21.11.2011 №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без них: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Предлагается внести изменения в Кодекс Российской Федерации об административных правонарушениях. Соответствующий законопроект Государственная Дума приняла в первом чтении 23 января. Актуальность нововведений объясняется участившимися утечками данных, а также тем, что на фоне цифровизации и появления новых попыток контроля качества и безопасности медицинских услуг проблема защиты сведений о здоровье требует решения. Недавно мы писали об этом в материале об аудиозаписи амбулаторных приемов в Москве.
Персональные данные, согласно закону, это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Штраф – до 15 миллионов
Согласно законопроекту штраф за обработку персональных данных пациента без его разрешения и законных оснований составит до 300 тыс. руб. для юридических лиц, а в случае повторного совершения правонарушения – до 500 тыс. руб. (ч. 1, 1.1 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях).
Также добавлены новые составы правонарушения:
- за неуведомление о намерении обрабатывать персональные данные штраф составит до 300 тыс. руб.;
- за неуведомление об установлении факта неправомерной передачи («утечки») данных – до 3 млн руб.;
- за действия или бездействия, повлекшие неправомерную передачу («утечку» данных), – до 5 млн руб., если произойдет утечка данных более 10 тыс. субъектов – до 10 млн руб., более 100 тыс. субъектов – 15 млн руб.
И зачем?
Законодатель обосновал введение новых мер ответственности несоразмерностью существующих штрафов (до 100 тыс. руб. при первом совершении правонарушения, до 300 тыс. руб. – при повторном) возможным последствиям. Ведь попав в руки злоумышленников, персональные данные могут стать инструментом для спам-звонков и рассылок, шантажа, мошенничества и иных противоправных деяний.
Законодатель надеется, что новые меры простимулируют операторов обработки персональных данных инвестировать в структуру информационной защиты. К сожалению, других мер воздействия нет. Наказывать будут за уже состоявшуюся утечку.
