Наиболее внушительные административные штрафы грозят виновным в нарушениях, ответственность за совершение которых предусмотрена частями первой и второй статьи 13.11 КоАП РФ.

Незаконная (нецелевая) обработка персональных данных

За обработку персональных данных (далее — ПД) в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, а равно и за обработку ПД, несовместимую с целями их сбора (кроме случаев, предусмотренных частью второй статьи 13.11 КоАП РФ, см. ниже), виновные в совершении правонарушения привлекаются к ответственности в виде предупреждения или административного штрафа, налагаемого в размере (часть первая статьи 13.11 КоАП РФ):

• на граждан — от одной тысячи до трех тысяч рублей;
• на должностных лиц — от пяти тысяч до десяти тысяч рублей;
• на юридических лиц — от тридцати тысяч до пятидесяти тысяч рублей.

Поскольку мы рассматриваем обработку ПД применительно к сфере здравоохранения, то — на всякий случай — напомним, что ПД, касающиеся состояния здоровья, отнесены к числу специальных категорий ПД, обработка которых на общих основаниях не допускается (часть первая статьи 10 Закона № 152). Исключение образуют ситуации, когда обработка ПД, касающихся состояния здоровья, производится с письменного согласия субъекта ПД (там же, пункт 1 части второй статьи 10), а также в отсутствие такого согласия — в целях:

• защиты жизни и (или) здоровья субъекта ПД (там же, пункт 3 части второй статьи 10, см. также ниже);
• в медико-профилактических целях, в целях установления медицинского диагноза, оказания субъекту ПД медицинских и (или) медико-социальных услуг - при условии, что обработка ПД осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну (там же, пункт 4 части второй статьи 10; о врачебной тайне см. статью 13 Закона № 323);
• обработка ПД необходима для установления или осуществления прав субъекта ПД или третьих лиц, в том числе права на охрану здоровья (там же, пункт 6 части второй статьи 10);
  обработка ПД осуществляется в соответствии с законодательством (помимо законодательства о здравоохранении) (там же, пункты 2.1–2.3, 7–10 части второй статьи 10) либо указанные ПД в установленном порядке стали общедоступными (там же, пункт 2 части второй статьи 10).

Соответственно, обработку ПД в иных случаях правомерно рассматривать в качестве нарушения — незаконной (нецелевой, см. также ниже) обработки ПД со всеми вытекающими для виновных последствиями.

По-видимому, особым образом следует остановиться на нецелевой обработке ПД, т.е. обработке, не совместимой с целями сбора соответствующих данных (в общем случае — с целями их получения от субъекта ПД). Действующее законодательство не содержит сколь-либо конкретного перечня таких целей, требуя, впрочем, чтобы, во-первых, цели обработки изначально ограничивались (в общем случае — оператором, намеревающимся осуществлять обработку ПД), и, во-вторых, чтобы цели обработки определялись заранее и предельно ясно (часть вторая статьи 5 Закона № 152).

В некоторых случаях соответствующие "подсказки" можно отыскать в иных законодательных актах. Показательным в этом смысле является состав ПД, разрешенных к включению в листок временной нетрудоспособности (часть пятая статьи 59 Закона № 323), в том числе и при обращении, начиная с 1 июля текущего года, в форме электронного документа.

Следовательно, соблюсти данную норму представляется возможным только посредством тщательного, скрупулезного нормативного и организационного регулирования обработки ПД - в том числе на уровне отдельно взятой медицинской (фармацевтической) организации. Для этого соответствующими организациями либо организациями, по отношению к которым они занимают подчиненное положение (органами власти (управления), уполномоченными в соответствующих сферах деятельности) разрабатываются, утверждаются и применяются нормативные (в том числе локальные нормативные) акты, а также формы соответствующих документов и правила обращения с ними.

Такими актами должны предусматриваться в том числе меры, направленные на обеспечение соответствия объема и содержания ПД, подлежащих обработке, целям такой обработки (там же, часть пятая статьи 5). При этом состав обрабатываемых ПД не должен быть избыточным, но, в то же самое время — быть достаточным для достижения заявленных целей их обработки (там же, часть шестая статьи 5).
Например, для целей оказания высокотехнологичной медицинской помощи (далее — ВМП) и связанной с ее оказанием обработкой ПД в настоящее время следует руководствоваться приказом Минздрава России от 30 января 2015 г. № 29н (в ред. от 13 июля 2015 г.), в частности, формой заявления о согласии (несогласии) на обработку ПД для целей оказания ВМП (приложение к утвержденной названным приказом форме № 025/у-ВМП), в которой содержится исчерпывающий состав сведений, образующих ПД и требующихся для надлежащего оказания ВМП. Руководителями организаций заблаговременно определяется круг работников, допущенных к обработке ПД (с закреплением соответствующих полномочий — прав, обязанностей, ответственности — в должностных инструкциях, инструкциях по видам деятельности), и т.д.

Обработка персональных данных без согласия их обладателя

За обработку ПД без письменного согласия на то их обладателя (субъекта ПД) в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, а равно и за обработку ПД с нарушением обязательных требований к составу сведений, включаемых в письменное согласие, виновные в совершении правонарушения привлекаются к ответственности в виде административного штрафа, налагаемого в размере (часть вторая статьи 13.11 КоАП РФ):

• на граждан — от трех тысяч до пяти тысяч рублей;
• на должностных лиц — от десяти тысяч до двадцати тысяч рублей;
• на юридических лиц — от пятнадцати тысяч до семидесяти пяти тысяч рублей.

Здесь, конечно же, следует сослаться на статью 9 Закона № 152, которой, помимо наиболее универсальных норм (добровольность принятия решения о предоставлении согласия на обработку ПД, свобода отзыва такого согласия, равнозначность согласия, зафиксированного на бумажном и электронном носителях, и т.п.), закреплен и исчерпывающий перечень сведений, подлежащих включению в письменное согласие (см. часть четвертую данной статьи). Соответственно, нарушением считается как несоблюдение любой из универсальных норм, так и, например, отступление от состава сведений, подлежащих включению в письменное согласие. При получении согласия в электронной форме должны, кроме прочего, соблюдаться требования законодательства об электронной подписи (см. в этой связи, например, Федеральный закон от 6 апреля 2011 г. № 63-ФЗ (в ред. от 23 июня 2016 г.), принятые в его развитие нормативные правовые акты), и т.д.

Во всех необходимых случаях требование о получении письменного согласия на обработку ПД должно рассматриваться (и реализовываться) во взаимосвязи с иными требованиями законодательства - например, применительно к получению информированного добровольного письменного согласия на медицинское вмешательство (отказ от такого вмешательства, см. статью 20 Закона № 323). Следует также обратить внимание на то, что в отношении целого ряда ситуаций законодательством о здравоохранении предусмотрен особый обязательный порядок получения такого согласия (отказа) - к примеру, при оказании медицинской помощи в рамках клинической апробации (там же, часть шестая статьи 36), при донорстве или (и) трансплантации тканей и органов (там же, части четвертая и пятая статьи 47), принятии решения о суррогатном материнстве (там же, часть десятая статьи 55), о стерилизации (там же, статья 57), и пр.

[1] За совершение действий по незаконной (нецелевой) обработке ПД, обработке ПД без надлежащего письменного согласия их обладателя, содержащих признаки уголовно наказуемого деяния, виновные несут уголовную ответственность, см. далее.

____________
(продолжение следует)