Должны ли аптеки соблюдать ФЗ-152?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, аптеки обязаны соблюдать ФЗ-152, так как в своей работе они регулярно обрабатывают персональные данные клиентов и сотрудников. В ряде случаев такие данные могут относиться к специальной категории персональных данных, например, сведения о здоровье при отпуске рецептурных препаратов.

Примеры обработки ПДн в аптеках:

• данные сотрудников (ФИО, паспорт, ИНН, СНИЛС, трудовые документы);
• данные покупателей при оформлении дисконтных и бонусных карт (ФИО, телефон, e-mail, дата рождения);
• данные при доставке лекарств (ФИО, адрес, телефон);
• сведения о здоровье (например, при отпуске рецептурных препаратов или учёте льготных категорий граждан);
• данные при взаимодействии со страховыми компаниями и государственными системами здравоохранения.

Обоснование по законодательству

• Ст. 3 ФЗ-152 — персональные данные включают любую информацию о прямо или косвенно определяемом лице.
• Ст. 6 ФЗ-152 — обработка допускается на основании согласия субъекта или закона.
• Ст. 10 ФЗ-152 — сведения о здоровье относятся к специальной категории, для обработки требуется письменное согласие, за исключением случаев, предусмотренных законом.
• ФЗ-61 «Об обращении лекарственных средств» — регулирует порядок отпуска рецептурных препаратов, где также обрабатываются данные клиентов.

Практика и позиция Роскомнадзора

Роскомнадзор отмечает, что аптеки часто нарушают закон, когда собирают избыточные персональные данные или не обеспечивают должный уровень защиты клиентских баз.
Пример: аптека собирала полные паспортные данные клиентов для оформления дисконтных карт, хотя достаточно было имени и телефона. Проверка РКН признала это избыточной обработкой.
Другой случай: сеть аптек оформила письменные согласия покупателей на обработку данных для участия в бонусной программе, ввела парольную защиту базы. Нарушений не выявлено.

Что важно учитывать аптекам

• При продаже безрецептурных препаратов согласие на обработку ПДн не требуется.
• При отпуске рецептурных препаратов и оформлении бонусных программ согласие необходимо.
• Нельзя собирать избыточные данные (например, паспортные данные для обычной дисконтной карты).
• Все базы клиентов должны быть защищены от несанкционированного доступа.

Рекомендации и выводы

Да, аптеки обязаны соблюдать ФЗ-152. Для этого им нужно:

1. Получать согласие клиентов на обработку данных при участии в бонусных программах или доставке.
2. Обеспечить безопасное хранение клиентских баз.
3. Исключить сбор избыточных данных.
4. Включить порядок обработки персональных данных клиентов и сотрудников в комплект документов по ФЗ-152.

Компания ICTech поможет аптекам разработать формы согласий для клиентов, выстроить систему защиты данных и подготовить полный пакет документов по ФЗ-152, чтобы избежать претензий Роскомнадзора.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге