Обработка персональных данных на сайте клиники

Когда пациент оставляет на сайте информацию о себе, он должен быть уверен, что вы не разместите без разрешения его данные в открытом доступе, не используете их для рассылки рекламы и не передадите третьим лицам. Если вы записываете на прием или консультируете онлайн, вам нужно заручиться согласием пользователей на обработку персональных данных и привести сайт клиники в соответствие с законом.

Поговорим о том, что считается персональными данными (ПД) пользователей на сайте клиники и как работать с персональными данными пациентов в интернете, чтобы избежать штрафа.

Обработка данных пользователей на сайте регулируется законом №152-ФЗ «О персональных данных». По этому закону ПД — это любая информация, по которой можно прямо или косвенно определить физическое лицо. Например:

• ФИО пользователя (и даже имя и фамилия по отдельности),
• паспортные данные,
• телефон,
• адрес электронной почты,
• дата и место рождения,
• ссылка на профиль в соцсетях или персональный сайт,
• национальность, рост и вес, и тому подобное,
• а также имя с метаданными с сайта — cookie, IP-адресом и местоположением.

Для обработки персональных данных медицинской организации не обязательно получать статус оператора. Достаточно просто собирать через сайт информацию о пользователях — например, для записи на прием, онлайн-консультации или обратного звонка.

Санкции за несоблюдение закона №152-ФЗ

За нарушение закона Роскомнадзор может оштрафовать клинику и заблокировать сайт, на котором незаконно собирают персональные данные.

Штрафы за незаконную обработку персональных данных медицинскими организациями с 1 июля 2017 года увеличились:

• если у пользователей нет доступа к политике конфиденциальности обработки ПД, должностное лицо оштрафуют на сумму от 3 000 до 6 000 рублей, юридическое — от 15 000 до 30 000 рублей, индивидуального предпринимателя — от 5 000 до 10 000 рублей,
• если клиника обрабатывает ПД пользователей сайта без их письменного согласия, штраф для должностных лиц составляет от 10 000 до 20 000 рублей, для юридических — от 15 000 до 75 000 рублей.

Как работать с персональными данными пациентов в интернете по закону? Для этого вам нужно:

• составить текст политики конфиденциальности персональных данных,
• составить текст согласия пользователя на обработку персональных данных,
• опубликовать политику конфиденциальности и согласие на обработку ПД на сайте,
• убедиться, что сайт размещен на российском сервере (если нет, перенести его на российский хостинг),
• уведомить Роскомнадзор о том, что владелец сайта клиники обрабатывает персональные данные.

Как составить политику конфиденциальности и согласие на обработку ПД

Политику конфиденциальности утверждает приказом директор клиники. В этом документе вам нужно указать все пункты, которые относятся ко сбору информации о пользователях сайта:

• какая информация собирается на сайте,
• зачем вы ее собираете и как планируете использовать,
• как и где информация хранится,
• с помощью каких технологий и какого провайдера вы обеспечиваете ее безопасность,
• делитесь ли вы информацией о пользователях с третьими сторонами (если да, то как и зачем они ее используют).

Постарайтесь сделать политику конфиденциальности понятной и как можно более подробной, чтобы у пользователей сайта не возникало вопросов. Единой формы этого документа для всех операторов ПД не существует, но вы можете найти примеры политики конфиденциальности в Google или Яндекс по запросам «типовая политика конфиденциальности для сайта», «шаблон политики конфиденциальности для сайта» или «образец политики конфиденциальности для сайта».

Согласие на обработку персональных данных медицинской организацией должно быть конкретным и детальным. Пользователь сайта должен знать, какие именно данные он дает и для чего. Образцы согласия вы также сможете найти в поисковой системе и на сайтах территориальных органов Роскомнадзора.

Как разместить документы для обработки ПД на сайте и какие технические нюансы учитывать

Политику конфиденциальности и согласие на обработку персональных данных можно разместить в виде файлов для скачивания или текстов на отдельных страницах. Ссылку на политику конфиденциальности мы советуем поставить на каждой странице сайта.

Под действие закона №152-ФЗ на сайте подпадают любые формы обратной связи, в которых пользователь может ввести свои персональные данные (запись на прием, заявка на консультацию, подписка на рассылку, скачивание брошюры, запрос обратного звонка и т.п.). Поэтому ко всем формам нужно добавить галочку «Я ознакомлен с политикой конфиденциальности клиники и даю свое согласие на обработку персональных данных». Поставьте из этого текста ссылки на страницу с политикой конфиденциальности и страницу с согласием на обработку персональных данных.

Убедитесь, что все данные отправляются через сайт только после того, как пользователь поставил галочку.

Как уведомить Роскомнадзор об обработке ПД на сайте клиники

По закону №152-ФЗ уведомить Роскомнадзор об обработке ПД нужно до того, как вы начали работать с персональными данными пациентов в интернете. Если вы не успели подать уведомление вовремя, в качестве даты начала обработки ПД указывайте дату государственной регистрации клиники.

Форму уведомления вы найдете на официальном сайте Роскомнадзора. Вам нужно отправить в РКН электронное уведомление, затем — распечатать его, подписать и в бумажном виде отправить в территориальный орган РКН по месту регистрации вашей клиники.

Несмотря на то, что требования закона ужесточились, бояться санкций Роскомнадзора не нужно: если правильно подготовить и опубликовать необходимые документы, штраф и блокировка сайта вашей клинике не угрожают. Соблюдая закон об обработке персональных данных, вы защищаете интересы и права пациентов и позиционируете свою клинику как организацию, которой можно доверять.