Изменения в обработке персональных данных

1. Произошли масштабные изменения в законодательство о персональных данных

Основные изменения с 1 сентября 2022 года в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных), которые касаются работы медицинских организаций:

  • Необходимо изменить внутренние документы по обработке персональных данных.
    Согласно ч.1 ст. 18.1 Закона о персональных данных необходимо раскрыть относительно каждой цели обработки персональных данных: 1) категории и перечень персональных данных, 2) категории субъектов персональных данных, 3) способы обработки персональных данных, 4) сроки обработки и хранения персональных данных, 5) порядок уничтожения персональных данных.
  • Таким образом, необходимо ранее разрозненные категории сгруппировать относительно каждой цели.
    Сократился перечень исключений, когда не требуется подача уведомления об обработке персональных данных в Роскомнадзор. С 1 сентября 2022 года любые организации, которые обрабатывают в автоматизированной системе (например, 1С или Инфоклиника/Архимед) персональные данные – обязаны подать уведомление.
  • Требуют проверки договоры с пациентами на предмет нарушения Закона о персональных данных. С 1 сентября 2022 года заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных.
  • Политика обработки персональных данных должна быть размещена на каждой странице сайта, где осуществляется сбор персональных данных.
  • Сократились сроки ответа на обращения субъектов персональных данных – с 30 календарных дней до 10 рабочих.

Также возникли новые обязанности в сфере раскрытия утечек персональных данных, обработки биометрических данных, подключения к системе ГосСОПКа и уведомления о компьютерных инцидентах.

 

2. Изменения в части взаимодействия с потребителями

Установлен запрет на отказ от заключения договора с потребителем в случае отказа потребителя от дачи согласия на обработку персональных данных.

С 1 сентября 2022 года продавец (исполнитель, владелец агрегатора) не вправе отказывать потребителю в заключении, исполнении, изменении или расторжении договора с потребителем в связи с отказом потребителя предоставить персональные данные, за исключением случаев, если обязанность предоставления таких данных предусмотрена законодательством Российской Федерации или непосредственно связана с исполнением договора с потребителем.

Если в соответствии с федеральным законом предоставление персональных данных и (или) получение оператором согласия на обработку персональных данных являются обязательными, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку.

Потребитель также вправе запросить письменные разъяснения необходимости обработки персональных данных для исполнения договора. Продавец обязан предоставить такие разъяснения в течение 7 календарных дней.

Также появилась новая ч. 7 ст. 14.8 КоАП РФ, которая устанавливает ответственность за необоснованный отказ от заключения договора либо расторжение договора в связи с отказом дачи согласия на обработку персональных данных. Штраф по новой ч. 7 ст. 14.8 КоАП РФ на должностных лиц – от 5 до 10 тыс. руб., на юридических лиц – от 30 до 50 тыс. руб.

 

Закон о маркировке интернет-рекламы

3. С 1 сентября 2022 года вводится обязательная маркировка интернет-рекламы

С 01.09.2022 вся интернет-реклама (т.е. контекстная, баннерная, рекламная интеграция и т.д.) подлежит (а) обязательной маркировке перед ее размещением и (б) информация о реализации рекламной компании должна вноситься в специальный реестр через вновь создаваемых операторов рекламных данных.

Что это значит на практике для медицинских организаций:

  1. Все рекламная активность по продвижению услуг медицинских организаций через сторонние цифровые платформы (кроме самого сайта и соцсетей) подлежит обязательной предварительной маркировке, которая осуществляется рекламораспространителем (рекламным агентством или оператором рекламной площадки) путем получения токенов у оператора рекламных данных. В этой части необходимо проанализировать действующие договоры с рекламораспространителями, включить соответствующие требования и обязательства для рекламораспространителя.
  2. Рекламораспространитель должен будет сдавать информацию о рекламной активности через оператора рекламных данных. Как это процесс будет работать пока непонятно, т.к. инфраструктура, которую должен администрировать Роскомнадзор, еще не налажена. При этом штрафы за нарушение порядка сдачи такой информации пока тоже не предусмотрены (до марта 2023 года).

 

На текущий момент новые требования вступили в силу, но порядка соблюдения новых требований пока нет.

 

Изменения в законе о защите прав потребителей

4. Введены новые запреты на определенные условия в договоре с потребителем.

С 1 сентября 2022 года вступают в силу поправки в Закон о защите прав потребителей, которыми установлен открытый перечень из 15 недопустимых условий в договоре с потребителем.

В частности, запрещаются следующие условия:

  • ограничивающие право потребителя на свободный выбор территориальной подсудности споров, предусмотренный пунктом 2 статьи 17 Закона о защите прав потребителей;
  • устанавливающие обязательный досудебный порядок рассмотрения споров, если такой порядок не предусмотрен законом;
  • предусматривающие выполнение дополнительных работ (оказание дополнительных услуг) за плату без получения согласия потребителя;

И иные.