Обоснование по законодательству
- Ст. 10 ФЗ-152: сведения о состоянии здоровья относятся к специальной категории ПДн, их обработка возможна только при согласии субъекта или в случаях, установленных законом.
- Ст. 22 ФЗ-152: уведомление подают все операторы ПДн, включая индивидуальных предпринимателей и физлиц, если они обрабатывают данные пациентов.
- Ст. 3 ФЗ-152: оператором признаётся лицо, организующее обработку ПДн (в данном случае косметолог).
Пример заполнения уведомления для косметолога
Цели обработки: «подготовка, заключение и исполнение гражданско-правового договора», «ведение медицинской документации» (можно указать через пункт «иная»).
Категории субъектов: пациенты.
Перечень данных: ФИО, телефон, e-mail, паспортные данные (при договоре), сведения о здоровье (анамнез, противопоказания, результаты процедур).
Правовое основание: согласие субъекта ПДн, а также обязательные требования законодательства (ФЗ «Об основах охраны здоровья граждан»).
Место хранения: локальные компьютеры, медицинские карты, при использовании облачных сервисов — сервера провайдера (с учётом трансграничной передачи).
Рекомендации и выводы
Косметолог, даже работающий как самозанятый или ИП, обязан подать уведомление в Роскомнадзор, если собирает данные пациентов. Обработка медицинских данных требует отдельного письменного согласия. Для защиты себя и клиентов косметологу также важно оформить пакет документов по 152-ФЗ: политику обработки ПДн, согласия на обработку, приказы и журнал учёта.
