вторник, 8 октября 2019 г.

Продолжаем "ликбез" по отзыву согласия на обработку ПДн у медицинского учреждения

Этот год выдался весьма "урожайным" на отзывы гражданами согласий на обработку персональных данных (далее - ПДн) медицинскими учреждениями.

В двух случаях имело место быть продолжние:

  • В первом случае, это были жалобы в Роскомнадзор России о Прокуратуру РФ. На соответствующие запросы данных органов власти били направлены соответствующие ответы.
  • Во втором случае,Заявитель постарался учесть рекомендации из ответа на первое обращение, и направил повторный запрос.

Сегодня рассмотрим второй случай.
С разбором первого обращения можно ознакомиться здесь: "Очередной отзыв согласия, и вариант ответа на него"

Во втором обращении изменилось содержание только первого листа.
Заявитель учел замечания в части подтверждения своих полномочий представлять интересы несовершеннолетних.
Поскольку, условий для оценки заявления в качестве запроса, соответствующего ч. 3 ст. 14 Федерального закона «О персональных данных», были подготовлены ответы, содержащие сведения согласно ч. 7 ст. ст. 14 Федерального закона «О персональных данных».
В ходе подготовки разработано 2 (две) формы типовых ответов.

А вот в части отзыва согласия, Заявитель не учел замечания и рекомендации из первого ответа, поэтому был подготовлен второй ответ, менее объемный, но с более четкими рекомендациями:

В части отзыва Вами согласия на обработку медицинским учреждением  Ваших ПДн, и ПДн всех членов Вашей семьи (далее – отзыв согласия), сообщаем следующее.
Согласно ч. 1 ст. 182 Гражданского Кодекса РФ сделка (прим. автора: в том числе дача или отзыв согласия на обработку ПДн как нематериальных благ субъекта ПДн), совершенная одним лицом (представителем) от имени другого лица (представляемого) может совершаться только в силу полномочия, основанного на доверенности, указании закона либо акте уполномоченного на то государственного органа или органа местного самоуправления.
Согласно ч. 2 ст. 182 Гражданского Кодекса РФ не являются представителями лица, действующие хотя и в чужих интересах, но от собственного имени.
Согласно ч. 3 ст. 182 Гражданского Кодекса РФ представитель не может совершать сделки от имени представляемого в отношении себя лично, а также в отношении другого лица, представителем которого он одновременно является. 
Таким образом, исходя из положений ч. 1 - 3 ст. 182 Гражданского Кодекса РФ для отзыва согласия на обработку ПДн Вы, как представитель, должны:
1) направить отдельные отзывы согласия: от себя лично и от имени каждого члена своей семьи отдельно;
2) подтвердить свои полномочия представлять интересы субъектов ПДн, от лица которых Вы отзываете согласие на обработку ПДн, заверенными в установленном законодательством порядке документами.

Согласно части 3 статьи 14 Федерального закона «О персональных данных» Вы имеете право направить отзыв согласия в форме электронного документа, подписанного электронной подписью в соответствии с законодательством Российской Федерации.
Согласно части 1 статьи 6 Федерального закона «Об электронной подписи» информация в электронной форме, подписанная квалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, и может применяться в любых правоотношениях в соответствии с законодательством Российской Федерации, кроме случая, если федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами установлено требование о необходимости составления документа исключительно на бумажном носителе. 
Дополнительно сообщаем, что медицинское учреждение обрабатывает ПДн пациентов и их законных представителей исключительно с целью исполнения возложенных на медицинское учреждение полномочий и обязанностей законодательством в сфере охраны здоровья граждан в Российской Федерации, законодательством об обязательных видах страхования, со страховым законодательством, и иными федеральными законами и нормативно-правовыми актами.
Обязанность создания и ведения информационных систем в сфере здравоохранения, обеспечивающих в том числе персонифицированный учет при осуществлении медицинской деятельности, установлена, в частности пунктом 5 части 2 статьи 87, частями 1 и 2 статьи 91 Федерального закона «Об основах охраны здоровья граждан в Российской Федерации».
Обязанность предоставления сведений в единую государственную информационную систему в сфере здравоохранения установлена пунктом 6 части 6 статьи 91.1. Федерального закона «Об основах охраны здоровья граждан в Российской Федерации».
Согласно части 2 статьи 9 Федерального закона «О персональных данных», в случае отзыва субъектом ПДн согласия на обработку ПДн  оператор вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в части 2 статьи 10. К таким основаниям, в частности, относятся случаи когда:
1) обработка ПДн осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
2) обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.
Согласно части 4 статьи 13 Федерального закона «Об основах охраны здоровья граждан в Российской Федерации» допускается предоставление сведений, составляющих врачебную тайну, без согласия пациента (субъекта ПДн) или его законного представителя, в частности:
1) при обмене информацией медицинскими организациями, в том числе размещенной в медицинских информационных системах, в целях оказания медицинской помощи с учетом требований законодательства Российской Федерации о персональных данных;
2) в целях осуществления учета и контроля в системе обязательного социального страхования;
3) в целях осуществления контроля качества и безопасности медицинской деятельности в соответствии с Федеральным законом «Об основах охраны здоровья граждан в Российской Федерации».
Исходя из вышеизложенного обработка ПДн пациентов (субъектов ПДн), в том числе хранение и передача, может быть продолжена медицинским учреждением после отзыва субъектом ПДн согласия на обработку, в случаях и порядке установленных законодательством Российской Федерации.


четверг, 15 августа 2019 г.

Графическая подпись в согласии на обработку ПДн, составленном в форме электронного документа

В группе "Доступно о защите персональных данных" в соцсети Facebook был задан следующий вопрос:
Возник такой вопрос: насколько будет соответствовать 152 закону согласие на обработку персональных данных, подписанное самоличной подписью на графическом планшете? Известно, что многие крупные компании активно используют данную методу при сборе персональных данных, ссылаясь на отсутствие прямого требования закона к форме получения согласия на обработку. 
Давайте разбираться.

Часть 4 статьи 9 ФЗ "О персональных данных" гласит:
"В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.
Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.
Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.".
Согласно абзацу 1 части 4 статьи 9 ФЗ "О персональных данных", согласие должно быть оформлено в письменной форме.

Согласно ч. 1 ст. 160 ГК РФ:
Сделка в письменной форме должна быть совершена путем составления документа, выражающего ее содержание и подписанного лицом или лицами, совершающими сделку, или должным образом уполномоченными ими лицами.
Таким образом, согласие на обработку ПДн должно представлять из себя документ, выражающего содержание согласия и подпись лица, совершающего сделку.

Требования к содержанию согласия установлены абзацем 3 части 4 статьи 9 ФЗ "О персональных данных".

Теперь рассмотрим положения 2 абзаца части 4 статьи 9 ФЗ "О персональных данных", а именно:
Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.
Из приведенной цитаты представляется возможным четко выделить два важных момента:

  1. Согласие может быть либо в форме документа на бумажном носителе либо в форме электронного документа.
  2. Согласие в форме электронного документа, должно быть подписано в соответствии с федеральным законом об электронной подписи. 

Согласно п. 11.1 ст. 2 Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"дает следующее определение термину "электронный документ":
электронный документ - документированная информация, представленная в электронной форме, то есть в виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям или обработки в информационных системах
Согласно указанному определению согласие, оформляемое с помощью планшета, является электронным документом.

Таким образом ссылка на "отсутствие прямого требования закона к форме получения согласия на обработку" представляется необоснованной.

Область применения электронной подписи регулируется Федеральным законом  от 06.04.2011 № 63-ФЗ "Об электронной подписи"

Ст. 2 ФЗ "Об электронной подписи" устанавливает следующее определение термина "электронная подпись":
электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию
Ч. 1 ст. 5 ФЗ "Об электронной подписи" определяются следующие виды электронной подписи:
Видами электронных подписей, отношения в области использования которых регулируются настоящим Федеральным законом, являются простая электронная подпись и усиленная электронная подпись. Различаются усиленная неквалифицированная электронная подпись (далее - неквалифицированная электронная подпись) и усиленная квалифицированная электронная подпись (далее - квалифицированная электронная подпись) 
Ч. 2 ст. 5 ФЗ "Об электронной подписи" установлено следующее определение простой электронной подписи:
Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.
По формальным признакам графическое изображение подписи субъекта, сформированное с помощью планшета, может быть отнесено к простой электронной подписи.

Ст. 4 ФЗ "Об электронной подписи" установлены следующие принципы использования электронной подписи:
Принципами использования электронной подписи являются:
1) право участников электронного взаимодействия использовать электронную подпись любого вида по своему усмотрению, если требование об использовании конкретного вида электронной подписи в соответствии с целями ее использования не предусмотрено федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами либо соглашением между участниками электронного взаимодействия;
2) возможность использования участниками электронного взаимодействия по своему усмотрению любой информационной технологии и (или) технических средств, позволяющих выполнить требования настоящего Федерального закона применительно к использованию конкретных видов электронных подписей;
3) недопустимость признания электронной подписи и (или) подписанного ею электронного документа не имеющими юридической силы только на основании того, что такая электронная подпись создана не собственноручно, а с использованием средств электронной подписи для автоматического создания и (или) автоматической проверки электронных подписей в информационной системе.
 ФЗ "О персональных данных" не установлены требования по применению конкретного вида электронной подписи при оформлении согласия субъекта ПДн.

Таким образом по формальным признакам, графическое изображение подписи субъекта, сформированное с помощью планшета, может использоваться в качестве электронной подписи, заверяющей согласие субъекта ПДн, оформленное в форме электронного документа.

P.S. Автор считает необходимым отметить следующее.
Использование простой электронной подписи при оформлении согласия субъекта ПДн несет в себе, по мнению автора, существенные риски для оператора ПДн.
Риски связаны с положениями ч. 3 ст. 9 "О персональных данных":
Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона, возлагается на оператора.
Фактически, данное положение определяет принцип "виновности оператора ПДн" по умолчанию. И доказать обратное - это его обязанность и интерес. Т.е. именно оператор ПДн должен доказать подлинность графического изображения подписи субъекта, сформированного с помощью планшета.

Вторым риском является отсутствие у графического изображения подписи субъекта, сформированного с помощью планшета, такого свойства как "неотрекаемость от подписи". Т.е. субъект ПДн может заявить, что не подписывал согласие, а подпись была скопирована или подделана, например методом оцифровки.

В случае использования графического изображения подписи субъекта, сформированного с помощью планшета, доказать факт заверения субъектом согласия в форме электронного документа очень затруднительно.
Графическое изображение подписи легко копируется и добавляется к любому содержанию любого электронного документа. А вот доказать подлинность такой подписи с помощью единственного доступного и принимаемого судами метода, а именно графологической (подчерковедческой) экспертизы, крайне сложно, т.к. в ходе экспертизы проверяется не только само начертание, но и характеристики и вектор приложения силы нажатия рукой, при подписании. При использовании обычного (бытового) электронного планшета зафиксировать данные о силе нажатия невозможно. Даже если электронный планшет оснащен резистивным экраном, и программное обеспечение позволяет фиксировать характеристики и вектор приложения силы при нажатии, применить их при графологической экспертизе крайне затруднительно, т.к. сам метод ориентирован на работу с бумажными документами.

P.S.P.S. Судебная практика или комментарии регуляторов по данному вопросу автору не известны. Если такая информация у Вас имеется, прошу оставлять ссылки в комментариях.
_________________________________________________________________________________
Disclamer (отказ от ответственности).
Содержание настоящей публикации является результатом частного рассмотрения положений Федеральных законов и иных нормативно-правовых актов, и содержит частные выводы и комментарии, которые ни в коем случае не следует воспринимать как официальное трактование или разъяснение положений указанных Федеральных законов и иных нормативно-правовых актов.

Мнение автора может не совпадать с официальным трактованием или разъяснением положений указанных Федеральных законов и иных нормативно-правовых актов. В таком случае следует руководствоваться текстом официальных разъяснений.

В случае необходимости получения официального трактования или разъяснения положений указанных Федеральных законов и иных нормативно-правовых актов следует обращаться в государственные органы власти, уполномоченные предоставлять такие разъяснения.

понедельник, 5 августа 2019 г.

Запрос в Минкомсвязь.Толкование термина "субъект персональных данных"

Содержательная часть запроса:

Согласно п.1 ст. 3 Федерального закона «О персональных данных» под персональными данными понимается: любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
Из определения следует, что основным признаком персональных данных является их отношение к определенному или определяемому физическому лицу.
Однако, содержание терминов «определенное физическое лицо», «определение физического лица» и «определяемое физическое лицо», в нормативных и правовых актах не установлено.
Исходя из вышеизложенного прошу разъяснить (раскрыть) содержание следующих терминов:
1) Определение физического лица.
2) Определенное физическое лицо.
3) Определяемое физическое лицо.

Ответ



воскресенье, 28 июля 2019 г.

Запрос в Минкомсвязь. Что такое база данных? Кто есть оператор ИСПДн?

В очередном запросе в Минкомсвязь России были заданы следующие вопросы:
Согласно п. 10 ст. 3 Федерального закона «О персональных данных» информационная система персональных данных (далее – ИСПДн) — это совокупность содержащихся в базах данных персональных данных (далее – ПДн) и обеспечивающих их обработку информационных технологий и технических средств.
Согласно ч. 2.1 ГОСТ 34.321-96 «Информационная технология. Система стандартов по базам данных. Эталонная модель управления данными» база данных — это совокупность взаимосвязанных данных, организованных в соответствии со схемой базы данных таким образом, чтобы с ними мог работать пользователь.
Согласно ч. 2.53 ГОСТ 34.321-96 «Информационная технология. Система стандартов по базам данных. Эталонная модель управления данными» схема базы данных (database schema) — формальное описание данных в соответствии с конкретной схемой данных.
Согласно ч. 2.54 ГОСТ 34.321-96 «Информационная технология. Система стандартов по базам данных. Эталонная модель управления данными» схема данных (data schema) — логическое представление организации данных.
Согласно п. 12 ст. 2 Федерального закона «Об информации, информационных технологиях и о защите информации» оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.

Исходя из вышеизложенного прошу разъяснить следующее:
1) Следует ли относить к базам данных совокупность электронных файлов (в том числе текстовых), содержащих ПДн, организованных системой каталогов файловой системы, а информационные системы, в состав которых входит указанная совокупность данных, к ИСПДн.
2) Следует ли относить к базам данных совокупность логических записей данных, содержащих ПДн, обрабатываемых в виде электронного файла с применением программного обеспечения типа «редактор таблиц» (например: MS Excel, LidreOffice Calc и т.п.), а информационные системы, в состав которых входит указанный электронный файл, к ИСПДн.
3) В случае обработки ПДн с применением информационной системы, организованной в виде «облачного сервиса» (далее – ОИС), (например: «Сбербанк-ОнЛайн», Медицинская информационная система (МИС) «MEDODS» и т.п.) следует ли относить, обрабатываемую такой ОИС совокупность данных, содержащую ПДн, владельцем которых является оператор ПДн, к базе данных, оператором которой является оператор ПДн.
4) Следует ли относить к ИСПДн ОИС, в условиях когда: оператор ПДн использует такую систему для обработки ПДн, а оператор и(или) владелец информационной системы не относит ее к ИСПДн. Кого следует считать оператором ИСПДн в таком случае.
5) Следует ли рассматривать автоматизированное рабочее место, применяемое для подключения к ОСИ с целью ввода, передачи, и отображения ПДн, как:
а) отдельную ИСПДн, оператором которой является оператор ПДн;
б) часть ИСПДн, организованной в виде ОИС, оператором которой является оператор ОИС, и следует ли относить оператора ПДн к операторам такой ИСПДн.
6) Следует ли относить оператора ОИС, в которой обрабатываются ПДн, к лицам, привлеченным оператором ПДн к обработке ПДн согласно ч. 3 ст. 6 Федерального закона «О персональных данных».
Ответ (с небольшими комментариями от автора):
Комментарий автора.
Как видно из ответа, в части определения содержания термина "база данных" Минкомсвязь России ориентируется на ГК РФ. Если рассмотреть термин "база данных", утвержденный ГК РФ, то, по мнению автора, к базам данных будут, в том числе относится документы в электронной форме, хранящиеся в директориях файловой системы. Таким образом, компьютер в файловой системе которого в виде фалов (документы Word, таблицы Excel  и т.п.) хранятся(как минимум) документы, содержащие ПДн, может быть отнесен к ИСПДн.





Комментарий автора.
Исходя из ответа, по мнению автора:
1) оператором ИСПДн является оператор ПДн, который:
а) является собственником информационной системы;
б) владеет информационной системой на праве аренды, безвозмезного пользования и т.п. (например: заключен договор аренды сервера).
2) оператором ИСПДн является собственник информационной системы, оказывающий услуги по обработке информации, в том числе в форме облачных вычислений (SaaS  и т.п.), но при условии, что оператор ПДн поручил такому владельцу информационной системы обработку ПДн в форме документа (договор-поручения, доп.соглашение к договору и т.п.).

вторник, 23 июля 2019 г.

ЖКХ. В каких случаях управляющая организация (компания) может не получать согласие на обработку ПДн.

Управляющая организация (компания) может не получать согласие на обработку ПДн в следующих случаях:
1. В случае обработки ПДн, необходимых для исполнения договора с нанимателем жилых помещений государственного и муниципального жилищных фондов и собственников жилых помещений на оказание коммунальных услуг.
Основание:
Согласно части 2 статьи 161 Жилищного Кодекса РФ (далее - ЖК РФ) собственники помещений в многоквартирном доме обязаны выбрать один из способов управления многоквартирным домом:
1) непосредственное управление собственниками помещений в многоквартирном доме, количество квартир в котором составляет не более чем тридцать;
(в ред. Федеральных законов от 21.07.2014 N 255-ФЗ, от 29.06.2015 N 176-ФЗ)
(см. текст в предыдущей редакции)
2) управление товариществом собственников жилья либо жилищным кооперативом или иным специализированным потребительским кооперативом;
3) управление управляющей организацией.
Согласно части 3 статьи 161 ЖК РФ способ управления многоквартирным домом выбирается на общем собрании собственников помещений в многоквартирном доме и может быть выбран и изменен в любое время на основании его решения. Решение общего собрания о выборе способа управления является обязательным для всех собственников помещений в многоквартирном доме.
Отношения между собственниками помещений и УО оформляются согласно ГК РФ и Постановления Правительства РФ от 06.05.2011 N 354 "О предоставлении коммунальных услуг собственникам и пользователям помещений в многоквартирных домах и жилых домов" (вместе с "Правилами предоставления коммунальных услуг...") в форме договора.
Таким образом, инициатором заключения договора с УО являются собственники помещений, а обработка ПДн собственников помещений УО подпадает под п. 5 ст. 6 ФЗ "О персональных данных", который определяет следующее разрешающее условие: "обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем".

2. Согласно части 11 статьи 161 ЖК РФ УО, в частности, обязана предоставлять ресурсоснабжающим организациям, региональному оператору по обращению с твердыми коммунальными отходами информацию, необходимую для начисления платы за коммунальные услуги.
Таким образом, передача ПДн собственников помещений УО ресурсоснабжающим организациям, региональному оператору по обращению с твердыми коммунальными отходами подпадает под п. 2 ст. 6 ФЗ "О персональных данных", который определяет следующее разрешающее условие: "обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей".

3. Согласно части 15 статьи 155 ЖК РФ управляющая организация, которым в соответствии с ЖК РФ вносится плата за жилое помещение и коммунальные услуги, а также ее представитель вправе осуществлять расчеты с нанимателями жилых помещений государственного и муниципального жилищных фондов и собственниками жилых помещений и взимать плату за жилое помещение и коммунальные услуги при участии платежных агентов, осуществляющих деятельность по приему платежей физических лиц, а также банковских платежных агентов, осуществляющих деятельность в соответствии с законодательством о банках и банковской деятельности.
Согласно части 16 статьи 155 ЖК РФ  при привлечении управляющей компанией, представителей (платежных агентов, ком. автора) для осуществления расчетов с нанимателями жилых помещений государственного и муниципального жилищных фондов, собственниками жилых помещений и взимания платы за жилое помещение и коммунальные услуги согласие субъектов персональных данных на передачу персональных данных таким представителям не требуется.

4. Согласно части 18 статьи 7 ФЗ "О государственной информационной системе жилищно-коммунального хозяйства" УО, как лицо, осуществляющее деятельность по оказанию услуг по управлению многоквартирными домами, по договорам оказания услуг по содержанию и (или) выполнению работ по ремонту общего имущества в многоквартирных домах, по предоставлению коммунальных услуг, размещает в государственной информационной системе жилищно-коммунального хозяйства (далее - ГИС ЖКХ) информацию о состоянии расчетов потребителей с лицами, осуществляющими деятельность по управлению многоквартирными домами, с лицами, осуществляющими предоставление коммунальных услуг, с лицами, осуществляющими поставки ресурсов, необходимых для предоставления коммунальных услуг, в многоквартирные дома, жилые дома.
Таким образом, передача ПДн собственников помещений УО в ГИС ЖКХ подпадает под п. 2 ст. 6 ФЗ "О персональных данных", который определяет следующее разрешающее условие: "обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей".

вторник, 16 июля 2019 г.

Запрос в Минкомсвязи РФ по вопросу формы отзыва согласия на обработку ПДн и ответ на него

Поскольку в работе приходится часто сталкиваться с вопросом отзыва согласия на обработку ПДн, решил уточнить позицию регулятора.

Текст обращения (выдержка по существу вопроса):

Согласно части 1 Положения о Министерстве цифрового развития, связи и массовых коммуникаций Российской Федерации, утвержденного Постановлением Правительства Российской Федерации от 2 июня 2008 г. № 418, (далее – Положение) Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (Минкомсвязь России) является федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию, в частности, в сфере информационных технологий, обработки персональных данных.
Согласно части 6.6. Положения Минкомсвязь уполномочено давать государственным органам, органам местного самоуправления, юридическим и физическим лицам разъяснения по вопросам, отнесенным к сфере ведения Министерства.

Согласно положениям части 2 статьи 9 Федерального закона "О персональных данных" в частности установлено, что согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
Прошу разъяснить, означают ли  положения указанной статьи Федерального закона "О персональных данных" следующее:
  1. Отзыв согласия представителем субъекта не предусмотрен.
  2. Поскольку не установлена форма запроса и процедура на отзыв согласия его направления, то значит ли это, что:
  • оператор ПДн имеет право самостоятельно определять форму отзыва согласия и порядок ее подачи;
  • субъект ПДн может отозвать согласие только очно.
Текст ответа (выдержка по существу вопроса):
Особа важная, на взгляд автора, информация выделена подчеркивание.

Вывод автора следующий )может не совпадать с мнением иных лиц и(или) организаций:

При разработке формы согласия на обработку ПДн оператор должен разработать и утвердить порядок отзыва согласия и форму запроса на отзыв согласия, и включить их в состав согласия.


Очередной отзыв согласия, и вариант ответа на него

Продолжаем рассматривать тему "типовых" обращений граждан по вопросам отзыва согласия на обработку их ПДн медицинским учреждением.
Вероятно граждане находят такие формы в сети Интернет.

Рассмотрение первой, попавшейся автору такой формы, представлены здесь:
ФЗ “О персональных данных” и все, все, все... Отзыв согласия. Часть 1.
ФЗ “О персональных данных” и все, все, все... Отзыв согласия. Часть 2.

В данной форме обращения те же ошибки, что и в предыдущей, поэтому просто опубликую вариант ответа на такое обращение.

Собственно форма согласия.



Вариант ответа на такой запрос (мнение автора может не совпадать с мнениями иных лиц и(или) организаций):

Ваш запрос о подтверждении или опровержении факта автоматизированной обработки персональных данных (далее – ПДн) Ваших ПДн, а также ПДн иных(всех) членов Вашей семьи рассмотрен.

В части подтверждения или опровержении факта автоматизированной обработки Ваших ПДн сообщаем следующее.

Согласно части 1 статьи 14 Федерального закона «О персональных данных» субъект персональных данных имеет право на получение сведений, указанных в части 7 указанной статьи, за исключением случаев, предусмотренных частью 8 указанной статьи. Субъект персональных данных (далее – ПДн) вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Согласно части 3 статьи 14 Федерального закона «О персональных данных» сведения, касающиеся обработки ПДн субъекта персональных данных (далее – субъект ПДн), перечисленные в части 7 указанной статьи, в том числе, содержащие подтверждение факта обработки персональных данных оператором персональных данных (далее – оператор ПДн), предоставляются субъекту ПДн или его законному представителю на основании запроса, который должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн оператором ПДн, подпись субъекта ПДн или его представителя.
В направленном Вами в адрес медицинского учреждения «……» (далее – МУ «…..»  ) запросе отсутствуют следующие, обязательные для включения в запрос, сведения: номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе.
Предлагаем Вам направить повторный запрос, удовлетворяющий требованиям, установленным частью 3 статьи 14 Федерального закона «О персональных данных».
Согласно части 3 статьи 14 Федерального закона «О персональных данных» Вы имеете право направить запрос в форме электронного документа, подписанного электронной подписью в соответствии с законодательством Российской Федерации.
Согласно части 1 статьи 6 Федерального закона «Об электронной подписи» информация в электронной форме, подписанная квалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, и может применяться в любых правоотношениях в соответствии с законодательством Российской Федерации, кроме случая, если федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами установлено требование о необходимости составления документа исключительно на бумажном носителе.

В части отзыва Вами согласия на обработку «….» Ваших ПДн, сообщаем следующее.

  МУ «…..»  обрабатывает ПДн пациентов и их законных представителей исключительно с целью исполнения возложенных на МУ «…..»  полномочий и обязанностей законодательством в сфере охраны здоровья граждан в Российской Федерации, законодательством об обязательных видах страхования, со страховым законодательством.
Обязанность создания и ведения информационных систем в сфере здравоохранения, обеспечивающих в том числе персонифицированный учет при осуществлении медицинской деятельности, установлена, в частности пунктом 5 части 2 статьи 87, частями 1 и 2 статьи 91 Федерального закона «Об основах охраны здоровья граждан в Российской Федерации».
Требования к составу ПДн пациентов (субъектов ПДн) обрабатываемых при осуществлении персонифицированного учета установлены статьей 94 Федерального закона «Об основах охраны здоровья граждан в Российской Федерации», а также нормативными правовыми актами, определяющими обязательный состав и сроки обработки ПДн, содержащихся в типовых формах медицинской документации. В частности, согласно положениям Приказа № 834н ряд медицинской документации формируется в форме электронного документа, подписанного с использованием усиленной квалифицированной электронной подписи врача… и (или) на бумажном носителе, подписываемом врачом. При этом отдельных сроков хранения такой медицинской документации в форме электронного документа не установлено, а правила ведения медицинской документации в форме электронных документов приравниваются к правилам ведения медицинской документации на бумажных носителях. Таким образом, срок обработки ряда ПДн пациентов (субъектов ПДн), в форме электронного документа, входящего в состав медицинской документации, устанавливается равным сроку хранения медицинской документации в виде бумажных документов.
Обязанность предоставления сведений в единую государственную информационную систему в сфере здравоохранения установлена пунктом 6 части 6 статьи 91.1. Федерального закона «Об основах охраны здоровья граждан в Российской Федерации».
Согласно части 2 статьи 9 Федерального закона «О персональных данных», в случае отзыва субъектом ПДн согласия на обработку ПДн  оператор вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в части 2 статьи 10. К таким основаниям, в частности, относятся случаи когда:
1)           обработка ПДн осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
2)           обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.
Согласно части 4 статьи 13 Федерального закона «Об основах охраны здоровья граждан в Российской Федерации» допускается предоставление сведений, составляющих врачебную тайну, без согласия пациента (субъекта ПДн) или его законного представителя, в частности:
1)           при обмене информацией медицинскими организациями, в том числе размещенной в медицинских информационных системах, в целях оказания медицинской помощи с учетом требований законодательства Российской Федерации о персональных данных;
2)           в целях осуществления учета и контроля в системе обязательного социального страхования;
3)           в целях осуществления контроля качества и безопасности медицинской деятельности в соответствии с Федеральным законом «Об основах охраны здоровья граждан в Российской Федерации».
Исходя из вышеизложенного обработка ПДн пациентов (субъектов ПДн), в том числе хранение и передача, будут продолжены МУ «…..»  в случаях и порядке установленных законодательством Российской Федерации.

В части подтверждения или опровержении факта автоматизированной обработки ПДн всех членов Вашей семьи и отзыва Вами согласия на обработку МУ «…..» ПДн всех членов Вашей семьи, сообщаем следующее.

В функции, полномочия и обязанности МУ «…..»  не входит ведение реестров состава семей пациентов, в связи с чем определить полный состав Вашей семьи (всех ее членов) не представляется возможным.
Согласно положениям Федерального закона «О персональных данных» и Гражданского Кодекса Российской Федерации представлять интересы субъекта ПДн (гражданина) может его законный представитель.
Согласно положениям части 1 статьи 182 Гражданского Кодекса Российской Федерации одно физическое лицо может представлять интересы другого физического лица в силу полномочия, основанного на доверенности, указании закона либо акте уполномоченного на то государственного органа или органа местного самоуправления.
В случае представления интересов дееспособного физического лица должна быть представлена нотариально заверенная доверенность, если иное не установлено федеральным законом.
Согласно части 1 статьи 64 Семейного кодекса РФ родители являются законными представителями своих детей и выступают в защиту их прав и интересов в отношениях с любыми физическими и юридическими лицами, в том числе в судах, без специальных полномочий.
Согласно статье 47 Семейного кодекса РФ права и обязанности родителей и детей основываются на происхождении детей, удостоверенном в установленном законом порядке.
Согласно положениям Федерального закона от 15.11.1997 № 143-ФЗ «Об актах гражданского состояния» документом, удостоверяющем происхождение детей, является свидетельство о рождении.
Таким образом, для подтверждения законного права представлять интересы несовершеннолетнего(их) необходимо предоставить свидетельство о рождении несовершеннолетнего(их) или заверенную(ые) в установленном законом порядке копию(ии) свидетельства о рождении.
В случае усыновления несовершеннолетнего или опекунства над несовершеннолетним, документами, подтверждающими право представлять интересы несовершеннолетнего, могут служить документы, выданные в установленном законом порядке, органами опеки и попечительства.
Исходя из вышеизложенного при направлении отзыва согласия на обработку ПДн от имени другого субъекта ПДн Вы должны подтвердить свои полномочия путем приложения к отзыву согласия документов, подтверждающих Ваши полномочия и заверенных в установленном законодательством РФ порядке. При отсутствии указанных документов МУ «…..» не имеет право осуществлять действия в отношении ПДн иных субъектов ПДн.
Согласно положениям части 3 статьи 182 Гражданского Кодекса Российской Федерации представитель не может совершать сделки от имени представляемого в отношении себя лично, а также в отношении другого лица, представителем которого он одновременно является, за исключением случаев, предусмотренных законом. Таким образом, при направлении в МУ «…..» отзыва согласия на обработку ПДн, отзыв должен направляться отдельно в отношении Ваших ПДн, и отдельно в отношении ПДн представляемых Вами лиц.