Вопросы по обработке персональных данных для психолога

Обработка персональных данных в деятельности частного психолога

Анализ вашей ситуации

Как частный психолог, вы являетесь оператором персональных данных, поскольку осуществляете обработку информации о ваших клиентах, включая записи сессий, которые содержат сведения о состоянии их здоровья.

Применимые правовые нормы

1. Необходимость подачи уведомления в Роскомнадзор

"Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, статья 22, часть 1)

"Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных: ... 8) в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, статья 22, часть 2, пункт 8)

Вывод: Если вы ведете записи сессий исключительно в бумажном виде (без использования компьютера, электронных баз данных и т.д.), то уведомление в Роскомнадзор не требуется. Если же вы используете средства автоматизации (компьютер, специализированные программы, облачные сервисы), то уведомление подавать необходимо.

2. Необходимость получения согласия клиентов

"Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частями 2 и 2.1 настоящей статьи." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, статья 10, часть 1)

"Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если: 1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, статья 10, часть 2, пункт 1)

Вывод: Поскольку психологическая помощь связана с обработкой данных о состоянии здоровья (специальная категория данных), вы обязаны получать письменное согласие клиентов на обработку их персональных данных.

3. Требования к содержанию согласия

"Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

1. фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
   ...
2. цель обработки персональных данных;
3. перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
   ...
4. перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
5. срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, статья 9, часть 4)

4. Меры по обеспечению законности обработки

"Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, статья 19, часть 1)

"Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, статья 18.1, часть 2)

Рекомендации

1. Обязательно получайте письменное согласие каждого клиента на обработку персональных данных с указанием:

   • Цели обработки (оказание психологических услуг)
   • Перечня обрабатываемых данных
   • Способов обработки
   • Срока действия согласия

2. Разработайте и опубликуйте политику обработки персональных данных, которая должна быть доступна клиентам.

3. Обеспечьте защиту данных: используйте шифрование электронных записей, ограничьте доступ к бумажным носителям, храните данные в надежном месте.

4. Подайте уведомление в Роскомнадзор, если используете средства автоматизации для обработки данных (компьютеры, специализированное ПО).

5. Соблюдайте конфиденциальность: не раскрывайте персональные данные третьим лицам без согласия клиента, за исключением случаев, предусмотренных законом.

6. Уничтожайте данные после достижения целей обработки или по истечении срока хранения, установленного законодательством.

Учитывая специфику психологической деятельности и работу со специальными категориями персональных данных, рекомендую обратиться к адвокату, специализирующемуся на защите персональных данных, для разработки полного комплекта документов и консультации по организационным мерам.