Использование фотографий клиентов: как не оказаться вне закона

Вопрос персональных данных пациентов до последнего времени не сильно беспокоил клиники косметологии. В основном все сводилось к тому, что при отправке рассылок мог прилететь штраф. Но сейчас государство стало активнее за этим следить.

Участились случаи утечки фотографий в сеть (в открытый доступ), и пациенты тщательнее относятся к защите своих данных. Поэтому фотографированию и фотодокументированию пациентов в клинике стоит уделить особое внимание.

Медицинские организации, согласно закону «О защите персональных данных», являются операторами персональных данных пациентов. Они собирают, систематизируют, накапливают, хранят, уточняют, обновляют, изменяют, распространяют и уничтожают такие данные.

Фотографии и персональные данные: как различить

Персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Фотография пациента может являться либо объектом персональных данных, либо объектом гражданского права. При этом обезличенные фото (отдельно, без указания других сведений о пациенте) не являются персональными данными, и требования Федерального закона «О персональных данных» на них не распространяются. Однако такие фото – объект гражданского права, и поэтому они тоже подлежат защите.

Когда можно и нельзя использовать изображения

В соответствии со ст. 152.1 Гражданского кодекса Российской Федерации, обнародование и дальнейшее использование изображения гражданина (то есть его фотографии, видеозаписи или произведения изобразительного искусства с его изображением) допускается только с согласия этого гражданина. После смерти гражданина его изображение может использоваться только с согласия его законных представителей (супруги, детей, родителей).

Согласие на обнародование и использование изображения гражданина – это «сделка». Она может быть заключена в письменной или устной форме. Поэтому согласие может содержать ряд условий, определяющих порядок и пределы обнародования и использования его изображения.

Стоит отметить, что клиникам лучше брать согласие гражданина в письменной форме. Это связано с распределением бремени ответственности, при котором факт обнародования и использования изображения определенным лицом подлежит доказыванию лицом, запечатленным на таком изображении, а факт правомерности обнародования и использования изображения гражданина возлагается на лицо, его осуществившем.

Случаи, когда согласие не требуется (см. ст. 152.1 ГК РФ):

1. Изображение гражданина получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и подобных мероприятиях), за исключением случаев, когда такое изображение является основным объектом использования.
2. Гражданин позирует за плату.

Обнародовать изображение гражданина (по аналогии с положениями статьи 1268 ГК РФ) значит впервые сделать изображение доступным для всеобщего сведения (опубликование, публичный показ, размещение в интернете или любой другой способ). Однако обнародование изображения (в том числе размещение его самим гражданином в интернете) и его общедоступность не дают иным лицам права его свободно использовать без получения согласия изображенного лица.

Исключение: случаи, предусмотренные подпунктами 1–3 пункта 1 статьи 152.1 ГК РФ. Но следует учитывать обстоятельства размещения гражданином своего изображения в интернете. Так, например, человек размещает фото на сайте, где в условиях пользования описано, что он дает свое согласие на дальнейшее использование своего изображения.

Биометрические данные

Биометрические персональные данные тоже относятся к виду персональных данных. В соответствии с ч. 1 ст. 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», к биометрическим персональным данным относятся сведения, которые характеризуют физиологические (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и другие) и биологические особенности человека, в том числе его изображение (фотография и видеозапись). Эти данные используются оператором (например, клиникой), и на их основании устанавливается личность субъекта персональных данных.

Не являются биометрическим персональными данными рентгеновские или флюорографические снимки, характеризующие физиологические и биологические особенности человека и находящиеся в истории болезни (медицинской карте) пациента (не имеет значения, бумажной или электронной), поскольку они не используются оператором (медицинским учреждением) для установления личности пациента. Но в случае их передачи по запросу субъектов оперативно-розыскной деятельности, органов следствия и дознания в рамках проводимых ими мероприятий указанные сведения становятся биометрическими персональными данными, поскольку используются операторами – органами следствия и дознания – в целях установления личности конкретного лица.

Соответственно, в контексте Федерального закона «О персональных данных» отнесение сведений персонального характера к биометрическим персональным данным и их последующая обработка должны рассматриваться в рамках проводимых оператором мероприятий, направленных на установление личности конкретного лица.

Согласно ст. 3 Закона № 152-ФЗ, под обработкой следует понимать любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации (сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение). Обработка биометрических персональных данных может осуществляться только при наличии согласия в письменной форме субъекта персональных данных. При этом существует согласие как на обработку персональных данных, так и на обработку с распространением, которое должно быть оформлено отдельно. (п. 1 ст. 7 ФЗ № 152).

Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения (п. 8 ст. 10.1 ФЗ 152).

Также оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных. Но если клиника получила согласие на распространение неограниченному кругу лиц, то такое уведомление не требуется.

Какие сведения включать при оформлении согласия

При оформлении документации на обработку персональных данных клинике следует включить в документ следующие реквизиты (п. 4 ст. 9 Закона № 152-ФЗ):

• ФИО, адрес пациента, номер документа, удостоверяющего его личность, сведения о дате выдачи этого документа и выдавшем его органе;
• ФИО, адрес представителя пациента, номер документа, удостоверяющего его личность, сведения о дате выдачи этого документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя пациента (при получении согласия от него);
• наименование медицинской организации;
• цель обработки персональных данных;
• перечень персональных данных, на обработку которых пациент дает согласие;
• наименование или ФИО и адрес лица, осуществляющего обработку персональных данных по поручению медицинской организации, если обработка будет поручена такому лицу;
• перечень действий с персональными данными, на совершение которых дается согласие, и общее описание используемых способов обработки персональных данных;
• срок, в течение которого действует согласие пациента, а также способ отзыва такого согласия, если иное не установлено законодательством;
• подпись пациента.

Ответственность, санкции и штрафы

Законом предусмотрено три вида ответственности: административная, уголовная и гражданско-правовая.

Административная ответственность (штрафы, предупреждения).

Регулируется статьей 13.11 КоАП РФ.

• Обработка персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо обработка персональных данных, несовместимая с целями их сбора влечет предупреждение или наложение штрафа на юридических лиц – от 30 000 до 50 000 рублей.
• Обработка персональных данных без согласия в письменной форме в случаях, когда оно должно быть получено в соответствии с законодательством РФ в области персональных данных (если эти действия не содержат уголовно наказуемого деяния), либо обработка персональных данных с нарушением установленных законодательством РФ в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме влечет штраф на юридических лиц – от 15 000 до 75 000 рублей.

Кейс 1. Клиника получила согласие в простой письменной форме, без учета требований к составу сведений, включаемых в согласие, предусмотренные п. 4 ст. 19 ФЗ 152.

• Невыполнение предусмотренной законодательством РФ в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся их обработки, влечет предупреждение или наложение штрафа на юридических лиц от 20 000 до 40 000 рублей.
• Несоблюдение сроков выполнения требований по защите прав субъектов персональных данных об их уточнении, блокировании или уничтожении, когда данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, влечет предупреждение или наложение административного штрафа на юридических лиц от 25 000 до 45 000 рублей.
• Невыполнение требований по сохранности персональных данных при их обработке без использования средств автоматизации, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении данных, при отсутствии признаков уголовно наказуемого деяния влечет наложение штрафа на юридических лиц от 25 000 до 50 000 рублей.

Кейс 2. Клиника хранила персональные данные, включая биометрические, на серверах, расположенных за пределами Российской Федерации (что не соответствует требованиям действующего законодательства). Серверы не могли надлежащим образом обеспечить защиту персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. В результате произошло распространение без волеизъявления на то владельцев данных.

• Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных для этого требований или методов влечет предупреждение или наложение штрафа на должностных лиц в размере от 3000 до 6000 рублей.
• Невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации влечет наложение административного штрафа на юридических лиц от 1 миллиона до 6 миллионов рублей. При этом повторное совершение административного правонарушения, предусмотренного данной частью настоящей статьи, влечет наложение административного штрафа на юридических лиц от 6 миллионов до 18 миллионов рублей.

Освобождение от ответственности

Юридическое лицо может быть освобождено от ответственности, если оно докажет, что им были приняты все зависящие от него меры по соблюдение правил. В судебной практике мы не нашли примеров споров, связанных с утечкой персональных данных. Однако из практического толкования данной нормы можно сделать вывод, что если юридическое лицо соблюдало все требования и правила, в том числе к хранению персональных и биометрических данных, но утечка данных произошла по обстоятельствам, не зависящим от юридического лица (взлом систем, хакерская атака), то юридическое лицо ответственности нести не будет. 

Уголовная ответственность

Регулируется статьей 137 УК РФ.

Субъектом уголовной ответственности являются только физические лица.

Субъективная сторона преступления характеризуется виной в виде прямого умысла. Виновный осознает, что незаконно без согласия соответствующего лица собирает или распространяет сведения, составляющие его личную или семейную тайну, или распространяет эти сведения в публичном выступлении, публично демонстрирующимся произведении или средствах массовой информации и желает выполнить такие действия.

Санкции

• штраф от 100 000 до 300 000 рублей;
• лишение права занимать определенные должности от двух до пяти лет;
• принудительные работы до четырех лет (с лишением права занимать определенные должности до пяти лет или без такового);
• арест до шести месяцев;
• лишение свободы до четырех лет (с лишением права занимать определенные должности до пяти лет).

Кейс 3. Если врач разгласил врачебную тайну в СМИ (за исключением разглашения с получением на то согласия или обстоятельств, предусмотренных ст. 13 ФЗ «Об основах охраны здоровья граждан»), то такие действия подпадают под 2 ст. 137 УК РФ. Под СМИ следует понимать не только радио/телевидение/печатные издания/журналы, но и социальные сети, а если толковать расширительно, то и любые площадки в интернете.

Под врачебной тайной, не подлежащей к разглашению, понимается:

• Факт обращения гражданина в медицинское учреждение за лечебно-профилактической помощью;
• Результаты проведенных анализов и обследований, поставленный диагноз;
• Результаты обследования граждан, планирующих вступление в брак;
• Факт обращения гражданина в конкретное учреждение здравоохранение и прохождение лечения в нем;
• Информация о психическом состоянии гражданина, наличие психических расстройств и сведения о прохождении лечения в соответствующем медучреждении.

Гражданско-правовая ответственность

Медицинскую организацию могут привлечь к гражданско-правовой ответственности за причинение пациенту морального вреда (нравственных страданий) вследствие нарушения правил обработки персональных данных, а также охраны изображения (ст. 24 Закона № 152-ФЗ; ст. 151 ГК РФ, 152.1 ГК РФ).

Права пациентов

Пациент вправе требовать возмещения вреда/возмещения убытков/компенсацию морального вреда (независимо от возмещения имущественного вреда и понесенных субъектом убытков), а также удаления изображения, пресечения или запрещения дальнейшего его распространения, если изображение было получено или использовалось с нарушением пункта 1 ст. 152. 1, и распространялось в интернете.

Права клиники

Клиника вправе в порядке регресса требовать возмещения убытков с врача, который нарушил и допустил утечку в виде размещения изображения, а также наложить дисциплинарное взыскание в соответствии с нормами трудового законодательства. Но для этого медицинскому учреждению необходимо доказать факт ознакомления персонала с правилами информационной безопасности, в том числе запрета на самовольное распространение информации, охраняемой законом. Такой запрет (запрет персоналу и врачам обрабатывать информацию и фото в качестве частного лица и использовать личные средства фото- и видеофиксации и другое оборудование) должен быть установлен распорядительными документами клиники и доводиться до персонала под роспись. В случае возможности обработки фото врачом как частным лицом, он должен указать данный факт в согласии или устно озвучить при получении согласия пациента на обработку его фото. В данном случае врач, как частное лицо, несет все риски, связанные с распространением фото.

Кейс 4. Врач как сотрудник клиники ведет аккаунт в социальной сети Instagram, куда выкладывает фотографии пациентов. Предварительно он либо получает устное согласие, либо не получает, либо вообще не знает о требованиях действующего законодательства относительно биометрических данных и охраны изображения человека. При этом в соцсеть выкладываются только обезличенные фотографии (без ФИО). В этом случае недовольный пациент вправе обратиться с исковым заявлением как к клинике, сотрудником которой является врач, так и непосредственно к врачу.

При обращении к клинике суду надлежит установить факт того, кем была распространена информация, какое отношении к клинике имеет данная страница, от чьего имени ведется и т. д. Если суд установит, что аккаунт является личным и ведется врачом с целью собственной «презентации», а не клиники, то непосредственную ответственность будет нести врач.

Но если аккаунт принадлежит клинике, и выкладываются фотографии пациентов, сделанных врачом, то при распространении изображения пациента от имени клиники надлежащим ответчиком будет сама клиника, а не врач/персонал, осуществивший фотосъемку.

Материал подготовлен Райлян Екатериной, 1nep.ru