Биометрия: как медицинским и фарм компаниям не попасть на штрафы до 20 млн рублей.
Сумма внушительная и с 30 мая 2025 года она может стать реальностью. Потому что именно такие штрафы будут за неправомерную передачу биометрических данных. За ту же неправомерную передачу специальных категорий персональных данных штрафы будут лишь чуть меньше, до 15 млн рублей. И это уже за первый факт! При повторном нарушении уже пойдут те самые пресловутые оборотные штрафы.
Почему именно фарм и мед компании?
Именно у таких операторов персональных данных большое количество информации о здоровье граждан. Тут и клиенты, и добровольцы, участвующие в испытаниях препаратов. Все эти данные требуют особого подхода, усиленных мер по их защите. И это не только с точки зрения ИТ, но и в отношении организационных мер.
Основания для сбора и обработки, факты и случаи доступа, способы фиксации нарушений, особенности передачи – факторов масса. Все это необходимо изучить, организовать все процессы в соответствии с требованиями закона, зафиксировать в документах.
И при этом в таких компаниях очень много нарушений. Самое распространенное – это согласия на обработку персональных данных по ДМС, где явно избыточные объемы данных и зачастую непрозрачная передача третьим лицам. И в ушедшем году был кейс, где суд признал такое согласие неправомерным. И если продолжать действовать, как раньше, то за это теперь можно получить штраф. И пусть не 20 млн, но до 300 000 за избыточную обработку точно можно. А то и оба сразу.
Кто виноват?
Как показывает практика, чаще всего в утечках и незаконных передачах данных виноваты работники на местах, а вовсе не злобные хакеры. И, как правило, не со зла, а потому что привыкли работать определенным образом, не задумываются о безопасности данных. Автор этого текста сама в очень неплохой клинике столкнулась с ситуацией, когда врач распечатывала результаты посещения пациента и распечатки складывала на столе информацией кверху рядом с тем местом, где сидел уже следующий пациент.
Вот вам и неправомерная передача. Да, вот за такую почти бытовую ситуацию как раз и можно получить 15 млн штрафа, если тот пациент, чьи данные увидел следующий, пожалуется.
Именно в этом секторе, чаще в фарме, используют и биометрию. Например, для допуска в цеха, лаборатории и т.д. И не все задумываются, что обработка такого вида данных требует и дополнительной технической защиты, и определенных организационных мер.
Фарма же чаще всего участвует и в процедурах передачи данных: из клиник, где на местах происходят испытания препаратов, в саму компанию и обратно. И тут необходимо учесть массу нюансов, иначе даже правомерный в целом процесс может подвести под штрафы.
А то и под статью. Уголовную. И кстати, дополнительная уголовная ответственность за нарушения в сфере персональных данных уже вступила в силу с 11 декабря 2024 года. Да, этот вариант грозит не компании, а конкретному работнику, но тот факт, что сотрудник «слил» данные, скажется на репутации компании.
Что делать?
Для ситуаций с утечками персональных данных есть смягчающие обстоятельства. В случаях, когда оператор докажет, что добросовестно соблюдал требования законодательства, внедрял технологические и организационные меры защиты данных, проводил обучения работников, штрафы могут быть снижены.
Так что, для компаний, обрабатывающих большое количество медицинских данных и использующих биометрию сейчас точно есть необходимость провести аудит процессов, связанных с персональными данными и привести все в соответствие с требованиями закона.