Защита персональных данных и обязательное медицинское страхование
Защита персональных данных и обязательное медицинское страхование
Один хороший знакомый поведал о том, что в середине июля различные организации стали получать от страховой компании, предоставляющей услуги обязательного и добровольного медицинского страхования, письма следующего содержания:
Озадаченные специалисты кадровых служб организаций-работодателей, обязанных страховать своих сотрудников в соответствии с Федеральным законом "О медицинском страховании граждан в Российской Федерации" от 28 июня 1991 года 1499-1, при посещении этой страховой компании, получали на руки заполненный и готовый для подписания пакет документов, состоящий из собственно договора:
и приложения к нему:
Поскольку коллеги просят высказать комментарии по этому вопросу, ниже я изложу свои, а вам, уважаемые читатели, предлагаю присоединиться. По поводу письма. В терминологии Федерального Закона "О персональных данных" 152-ФЗ оператором персональных данных своих сотрудников, подлежащих обязательному медицинскому страхованию, является организация-работодатель (в договоре - Страхователь), он же и обязан получать согласие обработку персональных данных и передачу их третьей стороне, каковой в данном случае является страховая компания (Страховщик). В соответствии с п. 1 ч. 2 ст. 6 152-ФЗ, на необходимость выполнения требований которого ссылается Страховщик, обработка им персональных данных сотрудников Страхователя в случае с ОМС может в принципе вестись БЕЗ получения какого-либо согласия, поскольку она осуществляется в соответствии с указанным выше Федеральным Законом [О медицинском страховании граждан РФk.
Некоторые особо "дотошные" юристы справедливо отмечают, что в текущей редакции закона "О медицинском страховании" нет того, что требует 152-ФЗ: законом в явном виде не установлена цель обработки, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также не определены полномочия оператора (хотя если попытаться, то все это можно обнаружить "между строк"). В ответ на это можно привести следующие аргументы. Как справедливо заметил уважаемый toparenko , по всей обработке ПДн в рамках ОМС есть только один оператор ПДн - Фонд ОМС. Все остальные по сути являются обработчиками, так как не определяют цели обработки и состав обрабатываемых ПДн. Поэтому в проходящем общественные слушания законопроекте " Об обязательном медицинском страховании граждан ", устраняются имеющиеся пробелы и противоречия, связанные с обработкой ПДн. Поэтому для медицинского страхования по программе ОМС согласия работодателю брать не нужно - это мнение разделяют и представители Роскомнадзора, неоднократно отвечавшие на такой вопрос на различных конференциях и приводя такие же точно аргументы.
Что же касается добровольного медицинского страхования, то тут имеет место другая ситуация, прежде всего потому, что добровольное страхование является, как правило, элементом системы мотивации, и под эту программу в организациях попадают далеко не все сотрудники. Для этой цели в согласии, получаемой Страхователем от своих сотрудников, должен быть предусмотрен пункт о передаче ПДн третьей стороне (Страховщику) в объеме, достаточном для оформления полисов ДМС. Таким образом, в случае, если Страхователь передает ПДн сотрудников Страховщику в рамках процесса оформления страховых полисов, обязанность получения согласия на передачу этих ПДн и вытекающая ответственность за передачу ПДн третьим лицам без согласия субъектов ПДн лежит именно на Страхователе.
Для того, чтобы выполнить оставшиеся требования, в соответствии с ч. 4 ст. 6 152-ФЗ, необходимо дополнить договор между Страхователем и Страховщиком обязанностью обеспечения последним (на мой взгяд, взаимность этих обязательств, указанная в документе, излишняя) конфиденциальности персональных данных и безопасности персональных данных при их обработке. Что лично меня смущает в договоре - так это формулировка "обеспечивающих их защиту (неразглашение)". Я предложил бы использовать формулировку 152-ФЗ: " и соблюдать меры обеспечения конфиденциальности ПДн и безопасности ПДн при их обработке."
В целом же весь комплект документов, поскольку он касается исключительно обязательного медицинского страхования, считаю излишними перестраховочными мерами со стороны страховой компании, которые, к тому же, будут дополнительно "нагружать" сотрудников кадровых служб организаций-работодателей, которые вынуждены будут "подсунуть", помимо собственного, еще одно согласие принимаемому на работу сотруднику, разъяснить зачем оно нужно, убедить гражданина заполнить его, и каким-то образом доставить документ в страховую компанию. Помимо этих неудобств, в представленном наборе документов нет ничего страшного.
Озадаченные специалисты кадровых служб организаций-работодателей, обязанных страховать своих сотрудников в соответствии с Федеральным законом "О медицинском страховании граждан в Российской Федерации" от 28 июня 1991 года 1499-1, при посещении этой страховой компании, получали на руки заполненный и готовый для подписания пакет документов, состоящий из собственно договора:
и приложения к нему:
Поскольку коллеги просят высказать комментарии по этому вопросу, ниже я изложу свои, а вам, уважаемые читатели, предлагаю присоединиться. По поводу письма. В терминологии Федерального Закона "О персональных данных" 152-ФЗ оператором персональных данных своих сотрудников, подлежащих обязательному медицинскому страхованию, является организация-работодатель (в договоре - Страхователь), он же и обязан получать согласие обработку персональных данных и передачу их третьей стороне, каковой в данном случае является страховая компания (Страховщик). В соответствии с п. 1 ч. 2 ст. 6 152-ФЗ, на необходимость выполнения требований которого ссылается Страховщик, обработка им персональных данных сотрудников Страхователя в случае с ОМС может в принципе вестись БЕЗ получения какого-либо согласия, поскольку она осуществляется в соответствии с указанным выше Федеральным Законом [О медицинском страховании граждан РФk.
Некоторые особо "дотошные" юристы справедливо отмечают, что в текущей редакции закона "О медицинском страховании" нет того, что требует 152-ФЗ: законом в явном виде не установлена цель обработки, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также не определены полномочия оператора (хотя если попытаться, то все это можно обнаружить "между строк"). В ответ на это можно привести следующие аргументы. Как справедливо заметил уважаемый toparenko , по всей обработке ПДн в рамках ОМС есть только один оператор ПДн - Фонд ОМС. Все остальные по сути являются обработчиками, так как не определяют цели обработки и состав обрабатываемых ПДн. Поэтому в проходящем общественные слушания законопроекте " Об обязательном медицинском страховании граждан ", устраняются имеющиеся пробелы и противоречия, связанные с обработкой ПДн. Поэтому для медицинского страхования по программе ОМС согласия работодателю брать не нужно - это мнение разделяют и представители Роскомнадзора, неоднократно отвечавшие на такой вопрос на различных конференциях и приводя такие же точно аргументы.
Что же касается добровольного медицинского страхования, то тут имеет место другая ситуация, прежде всего потому, что добровольное страхование является, как правило, элементом системы мотивации, и под эту программу в организациях попадают далеко не все сотрудники. Для этой цели в согласии, получаемой Страхователем от своих сотрудников, должен быть предусмотрен пункт о передаче ПДн третьей стороне (Страховщику) в объеме, достаточном для оформления полисов ДМС. Таким образом, в случае, если Страхователь передает ПДн сотрудников Страховщику в рамках процесса оформления страховых полисов, обязанность получения согласия на передачу этих ПДн и вытекающая ответственность за передачу ПДн третьим лицам без согласия субъектов ПДн лежит именно на Страхователе.
Для того, чтобы выполнить оставшиеся требования, в соответствии с ч. 4 ст. 6 152-ФЗ, необходимо дополнить договор между Страхователем и Страховщиком обязанностью обеспечения последним (на мой взгяд, взаимность этих обязательств, указанная в документе, излишняя) конфиденциальности персональных данных и безопасности персональных данных при их обработке. Что лично меня смущает в договоре - так это формулировка "обеспечивающих их защиту (неразглашение)". Я предложил бы использовать формулировку 152-ФЗ: " и соблюдать меры обеспечения конфиденциальности ПДн и безопасности ПДн при их обработке."
В целом же весь комплект документов, поскольку он касается исключительно обязательного медицинского страхования, считаю излишними перестраховочными мерами со стороны страховой компании, которые, к тому же, будут дополнительно "нагружать" сотрудников кадровых служб организаций-работодателей, которые вынуждены будут "подсунуть", помимо собственного, еще одно согласие принимаемому на работу сотруднику, разъяснить зачем оно нужно, убедить гражданина заполнить его, и каким-то образом доставить документ в страховую компанию. Помимо этих неудобств, в представленном наборе документов нет ничего страшного.
