Ошибка на миллион
Инстаграм как опасность
Начну, пожалуй, со свежей новости: по поручению президента России Владимира Путина Правительство разработало изменения в закон «О защите прав потребителей», которые позволят защитить от незаконного сбора и использования персональных данных граждан при приобретении ими различных товаров и услуг.

Однако пока новой поправки в ФЗ «О персональных данных» не внесли, поговорим о предыдущей: с 1 марта 2021 в Федеральном законе есть новая статья: 10.1. Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения.

Мы прочитаем внимательно первые две части:

«1. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

2. В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, предусмотренного настоящей статьей, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку».

Итак, кроме согласия на обработку, необходимо еще отдельное согласие на распространение, в том числе и в сети Интернет

Ну прямо крылья режут нашим пиар-менеджерам, которые в последнее время, в основном, работают в Инстаграме, как негры на плантациях. Об опасностях расскажу чуть позже, а сейчас о том, что предстоит сделать всем клиникам эстетической медицины.

Если изображение пациента (фрагмент лица или тела также считается) предполагается разместить в социальных сетях, в рекламном буклете, на сайте организации, в журнале (глянцевом или научном) у него (пациента то есть) надо взять отдельное согласие на распространение персональных данных.

Изображение относим к биометрическим персональным данным, поскольку это «сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность».

Как должно выглядеть это согласие, подробно сказано в Приказе Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24 февраля 2021 г. N 18 "Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения".

Согласие должно содержать следующую информацию:

1) фамилия, имя, отчество (при наличии) субъекта персональных данных;

2) контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных);

3) сведения об операторе-организации - наименование, адрес, указанный в Едином государственном реестре юридических лиц, идентификационный номер налогоплательщика, основной государственный регистрационный номер (если он известен субъекту персональных данных);

сведения об операторе - физическом лице - фамилия, имя, отчество (при наличии), место жительства или место пребывания;

сведения об операторе-гражданине, являющимся индивидуальным предпринимателем, - фамилия, имя, отчество (при наличии), идентификационный номер налогоплательщика, основной государственный регистрационный номер (если он известен субъекту персональных данных);

4) сведения об информационных ресурсах оператора (адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имя файла веб-страницы), посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных;

5) цель (цели) обработки персональных данных;

6) категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных:

персональные данные (фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, образование, профессия, социальное положение, доходы, другая информация, относящаяся к субъекту персональных данных);

специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни, сведения о судимости);

биометрические персональные данные;

7) категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов 3 (заполняется по желанию субъекта персональных данных);

8) условия, при которых полученные персональные данные могут передаваться оператором, осуществляющим обработку персональных данных, только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных (заполняется по желанию субъекта персональных данных) 4;

9) срок действия согласия.

А теперь о том, что у нас сейчас происходит на практике:

Клиники эстетической медицины создают свои сайты (обязаны это делать на основании приказа Минздрава России от 30.12.2014 N 956н), на них есть фото сотрудников и фото пациентов (результаты ДО и ПОСЛЕ). Ни сотрудники, ни пациенты согласий на распространение не давали. А должны!

Далее, на сайтах клиник часто публикуются фотографии с результатами, которые предоставили в целях маркетинговой поддержки компании-поставщики косметологических препаратов и медицинского оборудования. Эти фото не защищены согласием на распространение, которые должны были дать пациенты. Даже если компания-поставщик запаслась таким согласием, то в нем указаны лишь ее домены, страницы и сайты, а никак не те, что принадлежат клиникам.

И главное: пиар-отделы клиник создают и поддерживают страницы специалистов (косметологов, пластических хирургов) в Инстаграме и других сетях. Здесь есть два подхода к работе:

- страница на самом деле является личной и принадлежит специалисту;

- страница создана компанией и принадлежит компании (в случае расставания со специалистом, в профессиональный имидж которого уже вложено много денег, страницу можно закрыть).

Вопрос, когда пациент дает согласие на распространение персональных данных, какие именно страницы перечисляются в этом документе, кому они принадлежат?

Рассмотрим ситуацию, когда фото ДО и ПОСЛЕ появляется на странице врача-косметолога. Пациент обнаруживает это и предъявляет претензию, требуя, чтобы не мелочиться, только компенсации морального ущерба один миллион рублей.

Если фотография размещена на странице, которая является собственностью организации, то можно сразу подсчитать размер штрафа по части 2 статьи 13.11 КоАП:

« Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено …влечет наложение административного штрафа на граждан в размере от шести тысяч до десяти тысяч рублей; на должностных лиц - от двадцати тысяч до сорока тысяч рублей; на юридических лиц - от тридцати тысяч до ста пятидесяти тысяч рублей».

А если фотография размещена на странице, принадлежащей врачу, следовательно, в клинике была утечка персональных данных, за сохранность которой отвечает юридическое лицо, поскольку согласие на обработку персональных данных пациент давал именно юридическому лицу, а не врачу лично.

Следовательно оператор нарушил свою прямую обязанность, которая сформулирована в ФЗ-152 так:

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

«1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных».

И далее смотрим статью 24. Ответственность за нарушение требований настоящего Федерального закона:

«1. Лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность.

2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных настоящим Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с настоящим Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков».

Свалить на врача вину за то, что он путем взлома похитил с компьютеров организации фото пациентов вряд ли получится. Придется признать утечку – со всеми вытекающими последствиями.

После того, как вступили в силу поправки в ФЗ-152, я написала согласие на распространение персональных данных, потом, в связи с положениями приказа Роскомнадзора №18 – переделала.

Получить форму согласия, а также весь пакет «Персональные данные» можно, связавшись со мной через мой сайт по ссылке: https://emoskvicheva.ru/docs