Как работать с персональными данными клиентов в ветеринарной клинике


Вам встречались клиенты, которые готовы искать недостатки, предъявлять претензии или жаловаться в надзорные органы по поводу и без? Даже один такой клиент может не только “вымотать все нервы” сотрудникам и владельцу, но и принести суды, штрафы, перерыв в деятельности.

Недавно в обсуждениях руководителей клиник всплыла ситуация: клиент ветклиники хотел записаться на приём, но не понимал зачем регистратор требует ФИО, телефон и адрес проживания. Клиент был уверен, что это нарушает закон «О персональных данных» и требовал, чтобы ему объяснили на каком основании требуют эти данные и как клиника их будет защищать… А если ветклиника не даст ответ — он будет жаловаться в Роскомнадзор.

Для того чтобы такого не случилось — надо знать законы, соответствовать их требованиям и организовать правовую безопасность своей деятельности. Как показывает практика: намного легче и дешевле не допускать возникновение проблем, а не решать их последствия. Последнее время у ветеринарных клиник стали возникать вопросы от клиентов об обработке персональных данных, поэтому сегодня мы поговорим о юридической стороне вопроса работы с клиентами в части персональных данных.

Мы попросили прокомментировать эту ситуацию и написать пост по этой теме юриста Никиту Журлова, который часто консультирует нас по юридическим вопросам.

Давайте для начала определимся, какие основные законы регулируют правоотношения между вашей ветеринарной клиникой и клиентом:

  • Гражданский кодекс Российской Федерации
  • Постановление Правительства Российской Федерации от 06 августа 1998 г. № 898 «Об утверждении Правил оказания платных ветеринарных услуг»
  • Закон Российской Федерации от 07 февраля 1992 г. № 2300-I «О защите прав потребителей»
  • Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»

Что такое персональные данные?

Пункт 1 статьи 3 ФЗ РФ № 152-ФЗ “О персональных данных” даёт определение, что это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Может показаться, что это очень общее определение, поэтому объясняем: персональные данные — это некая совокупность данных о человеке, которая позволяет определить, о ком именно идёт речь. То есть, к примеру, только ФИО или номер телефона клиента — это не персональные данные, а вот ФИО + номер телефона — персональные данные.

По общей картине, в процессе своей деятельности вы обрабатываете персональные данные следующих категорий лиц:
— кандидатов на замещение вакантных должностей;
— работников;
— привлеченных лиц, с которыми заключены гражданско-правовые договоры;
— клиентов;
— представителей контрагентов.

Так как сегодня в статье мы говорим именно про клиентов ветеринарной клиники, то вы получаете персональные данные клиентов, когда они:

1. Обращаются в ветеринарную клинику;
2. Записываются на приём по телефону;
3. Оформляют заявку на сайте.

Обработка персональных данных может осуществляться только с согласия субъекта персональных данных — вашего клиента, но пункт 5 части 1 статьи 6 ФЗ РФ № 152-ФЗ “О персональных данных” определяет, что согласие на обработку персональных данных не требуется, если она осуществляется для заключения и исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

Таким образом, если вы получаете персональные данные для заключения договора с клиентом — вам не требуется получения дополнительного согласия на обработку персональных данных, вы их получили для одной единственной цели — заключить и исполнить договор.

Указанное основание обработки персональных данных применимо исключительно в вышеуказанных случаях: когда субъект персональных данных либо выступает стороной договора, либо является выгодоприобретателем или поручителем по договору. Если данные будут использоваться для передачи третьим лицам, в рекламных или маркетинговых целях, то уже требуется получать отдельное согласие на обработку персональных данных, где будет чётко определена эта цель (часть 1 статьи 15 ФЗ РФ № 152-ФЗ “О персональных данных”).

Хотим обратить внимание, что если у вас на веб-сайте есть какие-либо формы, где клиенты могут оставить свои персональные данные, то рекомендовано под каждой формой поставить обязательный чекбокс без предустановленной отметки с текстом «Даю согласие на обработку своих персональных данных» и ссылку на опубликованную политику по обработке персональных данных. Установка клиентом отметки в таком чекбоксе — будет являться выражением согласия на обработку персональных данных и основанием для их обработки.

Какой договор является основанием обработки персональных данных?

Когда к вам обращается клиент за приобретением ветеринарных услуг — между вами заключается договор возмездного оказания ветеринарных услуг.

В соответствии с частью 1 статьи 779 Гражданского кодекса Российской Федерации по договору возмездного оказания услуг исполнитель обязуется по заданию заказчика оказать услуги (совершить определенные действия или осуществить определенную деятельность), а заказчик обязуется оплатить эти услуги. В силу части 2 этой же статьи, правила главы «Возмездное оказание услуг» применяются в том числе к договорам оказания ветеринарных услуг.

В нашем случае, договор оказания ветеринарных услуг является публичным, то есть договор, заключенный и устанавливающий обязанности по продаже товаров, выполнению работ или оказанию услуг, которые такая организация по характеру своей деятельности должна осуществлять в отношении каждого, кто к ней обратится (статья 426 Гражданского кодекса Российской Федерации).

Пунктом 10 Правил оказания платных ветеринарных услуг (утвержденных Постановлением Правительства Российской Федерации от 06 августа 1998 г. № 898) предусмотрено, что платные ветеринарные услуги оказываются исполнителем как на основе заключения договора, так и оформления абонементного обслуживания или выдачи жетона, талона, кассового чека, квитанции или других документов установленного образца.
Таким образом, когда к вам в ветклинику обратился клиент, вы с ним заключаете такой публичный договор на оказание ветеринарных услуг, а в подтверждение исполнения сторонами заключенного договора — выдаёте кассовый чек, квитанцию или иной документ.

Именно для заключения и исполнения данного договора вы получаете от клиента персональные данные, в связи с чем вам не требуется для обработки этих данных отдельного согласия.

В отношении персональных данных — вы являетесь оператором.

Периодически клиенты, которые читали и слышали что-то про персональные данные и когда от них просят предоставить ФИО — уточняют содержатся ли сведения о ветклинике в Реестре операторов, осуществляющих обработку персональных данных.

Да, верно, ветеринарная клиника является оператором обработки персональных данных, но только уведомлять Роскомнадзор об обработке и вступать в указанный Реестр — нет необходимости, если ветклиника получает персональные данные исключительно для заключения и исполнения договоров.

Статья 22 ФЗ РФ № 152-ФЗ “О персональных данных” в части 2 устанавливает:

“2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных”.

Таким образом, у вас не возникает необходимость уведомлять Роскомнадзор об обработке персональных данных, когда вы собираете и обрабатываете персональные данные для заключения и исполнения договора.

Политика по обработке персональных данных

Несмотря на то, что при заключении и исполнении договора вам не требуется получение согласия клиента и уведомление Роскомнадзора об обработке персональных данных — у вас должна быть утвержденная политика по обработке персональных данных.

Часть 2 статьи 18.1. ФЗ РФ № 152-ФЗ “О персональных данных” обязывает оператора опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.

Примером варианта обеспечения неограниченного доступа к указанным сведениям является соответствующий информационный стенд. Кроме того, если у вас есть сайт ветеринарной клиники, то вы обязаны опубликовать на странице сайта текст политики в отношении обработки персональных данных, а также учесть в ней файлы Cookies, которые использует веб-сайт.

Таким образом, на информационном стенде, кроме прейскуранта с ценами и услугами, реквизитами, правилами и лицензиями, иными документами, установленными законодательством Российской Федерации, вам необходимо разместить политику по обработке персональных данных.

Дополнительно можем посоветовать вам также на информационном стенде и сайте разместить договор оказания ветеринарных услуг, чтобы именно в нём учесть порядок и правила оказания вами услуг клиентам.

Ответственность за правонарушения

Напомним, что с 27 марта 2021 года увеличиваются штрафы за нарушения в сфере обработки персональных данных, определенные статьей 13.11 Кодекса Российской Федерации об административных правонарушениях. Отменена мера ответственности как предупреждение, теперь только штрафы:

1. Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации, либо обработка персональных данных, несовместимая с целями сбора персональных данных:
— правонарушение первый раз:

  • на граждан в размере от 2 000 до 6 000 ₽;
  • на должностных лиц – от 10 000 до 20 000 ₽;
  • на юрлиц – от 60 000 до 100 000 ₽

— повторное правонарушение:

  • на граждан в размере от 4 000 до 12 000 ₽;
  • на должностных лиц – от 20 000 до 50 000 ₽;
  • на ИП – от 50 000 до 100 000 ₽;
  • на юрлиц – от 100 000 до 300 000 руб.

2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации, либо обработка персональных данных с нарушением требований к составу сведений, включаемых в такое согласие:

— правонарушение первый раз:

  • на граждан в размере от 6 000 до 10 000 ₽;
  • на должностных лиц – от 20 000 до 40 000 ₽;
  • на юрлиц – от 30 000 до 150 000 ₽;

— повторное правонарушение:

  • на граждан в размере от 10 000 до 20 000 ₽;
  • на должностных лиц – от 40 000 до 100 000 ₽;
  • на ИП – от 100 000 до 300 000 ₽;
  • на юрлиц – от 300 000 до 500 000 ₽.

3. Невыполнение оператором предусмотренной законодательством Российской Федерации обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных:

  • на граждан в размере от 1 500 до 3 000 ₽;
  • на должностных лиц – от 6 000 до 12 000 ₽;
  • на ИП – от 10 000 до 20 000 ₽;
  • на юрлиц – от 30 000 до 60 000 ₽.

4. Невыполнение оператором предусмотренной законодательством Российской Федерации обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных:

  • на граждан в размере от 2 000 до 4 000 ₽;
  • на должностных лиц – от 8 000 до 12 000 ₽;
  • на ИП – от 20 000 до 30 000 ₽;
  • на юрлиц – от 40 000 до 80 000 ₽.

5. Невыполнение оператором в сроки, установленные законодательством Российской Федерации, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки:

— правонарушение в первый раз:

  • на граждан – от 2 000 до 4 000 ₽;
  • на должностных лиц – от 8 000 до 20 000 ₽;
  • на ИП – от 20 000 до 40 000 ₽;
  • на юрлиц – от 50 000 до 90 000 ₽;

— повторное правонарушение:

  • на граждан – от 20 000 до 30 000 ₽;
  • на должностных лиц – от 30 000 до 50 000 ₽;
  • на ИП – от 50 000 до 100 000 ₽;
  • на юрлиц – от 300 000 до 500 000 ₽.

6. Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных:

  • на граждан – от 1 500 до 4 000 ₽;
  • на должностных лиц – от 8 000 до 20 000 ₽;
  • на ИП – от 20 000 до 40 000 ₽;
  • на юрлиц – от 50 000 до 100 000 ₽.

7. Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных:

  • штраф на должностных лиц в размере от 6 000 до 12 000 ₽.

Чтобы ваш бизнес развивался в безопасности, Ветменеджер подготовил для вас комплект документов с типовой политикой по обработке персональных данных, которая подходит для ветеринарных клиник и аптек, зоомагазинов, она доступна для скачивания по этой ссылке.

Что вам необходимо с ней сделать:

1. Изучить текст;
2. Заполнить таблицу;
3. Распечатать;
4. Подписать приказ об утверждении политики;
5. Разместить политику по обработке персональных данных на информационном стенде;
6. Опубликовать политику по обработке персональных данных на сайте.

Обратите внимание:

предложенная нами политика по обработке персональных данных не описывает особенности ведения бизнеса именно вами, то, какие вы используете технологии и Cookies на сайте, какие цели ставите при обработке персональных данных, кроме заключения договоров. Поэтому, пожалуйста, прочтите её перед утверждением и если хотите — дополните.

Если у вам требуется консультация по персональным данным или разработка отдельной политики по обработке персональных данных, то вы всегда можете обратиться по электронной почте: [email protected]