Вопрос: В аптеках предоставлены услуги по подбору ортопедических изделий, запись на данные услугу производится по телефону с указанием Ф.И.О. и других персональных данных клиента. Каким документом можно закрепить за нами право обработки вышеизложенных данных? (Консультация эксперта, 2016)

Вопрос: В аптеках предоставлены услуги по подбору ортопедических изделий, запись на данные услугу производится по телефону с указанием Ф.И.О. и других персональных данных клиента. Каким документом можно закрепить за нами право обработки вышеизложенных данных?

Ответ: Статьей 18.1 Федерального закона РФ от 27.07.2006 N 152-ФЗ «О персональных данных» (в ред. от 21.07.2014) (далее — Закон N 152-ФЗ) определены меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных этим федеральным законом. Так, организация, осуществляющая обработку персональных данных (оператор) обязана принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных данным Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень таких мер. К таким мерам относятся назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных; издание документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. Таким образом, для выполнения вышеуказанных норм законодательства возможно издание руководителем аптеки приказа, которым назначается ответственный сотрудник за осуществление мероприятий, по защите персональных данных. Специальных требований к такому сотруднику закон не предъявляет. Назначенный сотрудник обязан постоянно контролировать обеспечение безопасности персональных данных, предусмотренной в частью 2 статьи 19 Закона, — например, выявлять факты несанкционированного доступа к такой информации и принимать соответствующие меры. В аптеке необходимо оформить Приказ об установлении списка лиц, имеющих право доступа к персональным данным клиентов, в котором целесообразно указать, что полученные персональные сведения клиентов могут быть использованы лишь для тех целей, для которых они сообщались. Также в аптеке можно оформить «Положение об обработке персональных данных». Отметим, что согласие физического лица на предоставление и обработку персональных данных является обязательным (статья 9 Закона N 152-ФЗ) Причем оно может быть получено только в письменной форме. Форма письменного согласия законодательством не оговаривается, поэтому аптека может использовать собственную, однако в части 4 статьи 9 Закона N 152-ФЗ предусмотрены сведения, которые должны быть отражены в нем. В соответствии со статьей 22 Закона N 152-ФЗ оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением следующих случаев: 1) обрабатываемых в соответствии с трудовым законодательством; 2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных. Таким образом, при получении персональных данных от физических лиц, необходимых для исполнения услуг по договору уведомлять уполномоченный орган не требуется.

Аудитор юридической
компании «Юнико-94»
И.Л.ТИТОВА
04.04.2016