За сайтами медицинских организаций следит на только Роскомнадзор. Значит, клиники рискуют попасть не только под его штрафы. Требования к работе с персональными данными (ПД) жёсткие, но выполнимые. Просто нужно учесть несколько правовых особенностей ведения сайта. Наглядно объясняю, что составить, где разместить, на что, когда и как брать согласия.
Какие документы нужно разместить на сайте клиники
Политика конфиденциальности. В подвале сайта разместите политику конфиденциальности, другими словами — политику обработки персональных данных.Она должна содержать информацию о каждой категории субъектов, чьи данные вы обрабатываете: пользователей сайта, пациентов, клиентов.
Что прописать в политике конфиденциальности
Цели обработки персональных данных для каждой категории субъектов персональных данных.
Перечень персональных данных, которые обрабатываете.
Способы, сроки обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований.
Фрагмент политики конфиденциальности
Категории субъектов |
Цель обработки данных Основание обработки данных |
Категории и перечень обрабатываемых данных |
Способы обработки данных |
Сроки хранения и порядок уничтожения данных |
лица, давшие согласие на получение рекламной рассылки |
Цель: отправление рекламных сообщений: информирование о продуктах, услугах, новостях, акциях и предложениях.
Основание: согласие на обработку персональных данных
|
персональные данные: имя, адрес электронной почты |
смешанная обработка (автоматизированная и неавтоматизированная): сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение. |
до отзыва согласия на рекламную рассылку или на обработку персональных данных; до утраты цели обработки персональных данных.
Уничтожение персональных данных производится в течение 30 дней с момента отзыва согласий в соответствии с Приказом Роскомнадзора от 28 октября 2022 г. N 179 и подтверждается актом. |
лица, оставившие заявку на запись на прием |
Цель: запись на прием
Основание: согласие на обработку персональных данных
|
имя, номер телефона |
смешанная обработка (автоматизированная и неавтоматизированная): сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, блокирование, удаление, уничтожение. |
до отзыва согласия на обработку персональных данных; до достижения цели обработки данных.
Уничтожение персональных данных производится в соответствии с Приказом Роскомнадзора от 28 октября 2022 г. N 179 и подтверждается актом. |
Пользовательское соглашение. Такое соглашение о порядке использования сервисов и материалов также разместите в подвале сайта, чтобы пользователи и представители контролирующих органов могли быстро его найти.
Условия, которые прописаны в пользовательском соглашении, в некоторых случаях могут быть основаниями для обработки персональных данных.
Так, пользовательское соглашение может быть основанием для обработки данных метрическими программами, если включить в него соответствующие условия.
Согласие на обработку персональных данных. Возле каждой формы сбора персональных данных разместите ссылку на текст согласия на обработку персональных данных. Согласие должно быть конкретным, предметным, информированным, сознательным и однозначным.
Для каждой цели сбора данных вы должны получать отдельное согласие пользователя. В каждом таком согласии нужно указывать только те персональные данные, которые собираете в конкретной форме для их сбора.
Если вы передаете персональные данные третьим лицам, например, маркетинговому агентству для направления рекламной рассылки, то в тексте согласия обязательно необходимо указать наименование и адрес лица, которому будут переданы персональные данные, цель передачи данных. В противном случае основания для передачи данных третьим лицам отсутствуют.
Что необходимо указать в согласии на обработку персональных данных
Объем обработки персональных данных.
Цель обработки персональных данных.
Период, в течение которого будут обрабатывать персональные данные.
Способы отзыва согласия на обработку персональных данных.
Третьих лиц, которым будут переданы данные.
Важно. Размещать вместо текста согласия на обработку данных ссылку на политику конфиденциальности нельзя - она не является основанием для обработки персональных данных
Согласие на обработку персональных данных метрическими программами. Это отдельный документ, который не связан с согласием на обработку персональных данных. Метрические программы – это автоматизированные инструменты для сбора и анализа данных о поведении пользователей на сайте.
Например, вы можете разместить всплывающее уведомление с текстом: «На сайте используются метрические программы, нажимая кнопку “соглашаюсь”, вы даете согласие на обработку ваших данных метрическими программами». Здесь же обязательно нужно оставить ссылку на текст согласия на обработку данных метрическими программами. В нем перечислите метрические программы, которые используете на сайте и укажите, какие конкретно данные о пользователях они собирают.
Информация о пользователях, которую вы собираете на сайте, должна храниться на территории Российской Федерации - сервер, на котором расположен сайт, должен находиться на территории РФ.
Важно. Собирать избыточные персональные данные нельзя. В случае проверки Роскомнадзор обязательно потребует объяснить, зачем вашей клинике те или иные сведения о пользователях. Если посетитель сайта хочет записаться на прием в медучреждение, то в большинстве случае достаточно запросить у него только номер телефона
К сведению. Персональные данные пользователей нужно обрабатывать российскими метрическими программами. Если вам необходимо использовать иностранные сервисы, то подайте уведомление в Роскомнадзор о трансграничной передаче данных. Например, в случае использования иностранной метрической программы (Google Analytics и т.д.).
Какие требования соблюдать медорганизациям
Не собирайте данные о здоровье через сайт. Информацию о состоянии здоровья относят к специальной категории персональных данных, поэтому ее можно обрабатывать только с письменного согласия пациента или в строго определенных законом случаях. Первый случай, когда получения письменного согласия не требуют – обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо других лиц и получение согласия субъекта персональных данных невозможно. Второй случай, когда обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну.
Разместите информацию о врачах. На сайте медорганизации необходимо опубликовать ряд обязательных сведений о медицинских работниках: Ф.И.О, должность врача и данные об образовании. Также медучреждению разрешают разместить другую информацию, которая не предусмотрена приказом Минздрава от 30.12.2014 № 956н. Например, опыт работы. Однако на публикацию таких данных необходимо получать письменное согласие медработников.
Какую информацию о медработниках нужно разместить на сайте клиники
Фамилия, имя и отчество (при наличии).
Занимаемая должность.
Сведения из документа об образовании.
Сведения из сертификата специалиста
График работы и часы приема.
Комментарии (2)
CKPbITEHb
12.08.2025 01:16Думал в статье будет информация о шифровании и защите данных. О МИС и пр. системах
serp2002
"Как настроить работу с ПД на сайте клиники" что бы понять что такое ПД пришлось в статью зайти. Беда с заголовком.