Как клиникам работать с перс. данными, чтобы избежать штрафов». Часть 3

Официальный сайт в Интернете для любой медицинской организации не  только маркетинговый инструмент для привлечения пациентов, но и законодательно установленная необходимость. Закон предписывает медицинским организациям в доступной форме информировать граждан о своей медицинской деятельности и о медицинском персонале (пункт 7 часть 1 ст.79 Федерального закона от 21.11.2011 № 323-ФЗ). А Приказ Минздрава России от 30.12.2014г. №956н содержит перечень обязательных требований к контенту сайта медицинской организации. 

Рассмотрим, какие ошибки допускаются клиниками при обработке персональных данных с использованием сайта и как их исправить.

1. Отсутствие на сайте политики оператора по обработке персональных данных либо опубликование готового текста чужого документа (шаблона), взятого из Интернета.

Законодательство о персональных данных предписывает операторам предоставлять неограниченный доступ к документу, в котором подробно описывается политика оператора (в нашем случае – клиники) по обработке персональных данных, в том числе с использованием средств информационно-телекоммуникационной сети.

За нарушение грозит штраф до 30 000 руб. (ч. 3 ст. 13.11 КоАП РФ).

Другими словами на сайте клиники должен быть опубликован документ, который называется «Политика ООО «КЛИНИКА» по обработке персональных данных». По содержанию этот документ должен предусматривать какие именно персональные данные клиника вправе собирать и обрабатывать, кому и с какой целью их может передавать, какими организационными, техническими и юридическими мерами обеспечивает конфиденциальность и безопасность такой обработки.

Важно описать в документе особенности процессов, связанных с обработкой или защитой персональных данных именно в Вашей организации. Не дублируйте чужие ошибки.  Разработайте политику или актуализируйте ту, что у вас есть, согласно Рекомендациям Роскомнадзора от 27.07.2017г.

2. Отсутствие формы принятия условий согласия на обработку персданных или текста самого согласия.

За такое нарушение установлена административная ответственность по части 2 статьи 13.11 КоАП РФ в виде штрафа до 75 000 рублей.

Важно понимать, что сайт клиники, на котором имеется форма обратной связи или личный кабинет пользователя – это информационная система персональных данных, а сама клиника, которой сайт принадлежит, является оператором персональных данных. Предоставление и обработка практически любых персональных данных с использованием сайта должна осуществляться исключительно с согласия самого субъекта персональных данных. При отсутствии таких согласий Вы не сможете законно отправить этим пользователям какие-либо персональные предложения или информацию о скидках на услуги Вашей клиники и уж тем более передать контакты специализированному агентству для рекламной рассылки с помощью СМС, e-mail или мессенджеров.

Каким образом обеспечить согласие на обработку персональных данных пользователей? Самый распространенный и доступный способ – это разместить текст согласия (можно в виде геперссылки на отдельную страницу сайта или прикрепить файл в формате PDF) и реализовать техническую возможность проставления «галочки», нажимая которую пользователь подтверждает принятие формы согласия на обработку персональных данных.  

3. ОПУБЛИКОВАНИЕ ФОТОГРАФИЙ ВРАЧЕЙ БЕЗ ПИСЬМЕННОГО СОГЛАСИЯ

Практически все частные медицинские клиники публикуют на своих сайтах фотографии медицинского персонала. Почему же у сотрудников необходимо подписывать согласие на опубликование фото, несмотря на то, что закон обязывает медицинские организации публиковать на сайте сведения о медицинских работниках?

Дело в том, что Приказ Минздрава РФ от 30.12.2014г. №956н в пункте 6 содержит исчерпывающий перечень информации о мед. работниках, подлежащей размещению на сайте:

• фамилия, имя, отчество (при наличии) медицинского работника, занимаемая должность;
• сведения из документа об образовании (уровень образования, организация, выдавшая документ об образовании, год выдачи, специальность, квалификация);
• сведения из сертификата специалиста (специальность, соответствующая занимаемой должности, срок действия);
• график работы и часы приема медицинского работника.

Из приведенного перечня видно, что фото медработника в него не входит. Соответственно, любая обработка категорий персональных данных, не входящих в это перечень (в данном случае фото), возможна только с согласия самого субъекта.   

Кроме того, еще важно учесть, что изображение гражданина защищается не только законом о персональных данных, но и нормами гражданского законодательства. Из статьи 152.1 Гражданского кодекса следует, что  использование изображения гражданина допускаются только с согласия этого гражданина. Подробнее о том, как правильно опубликовать фотографии медицинского персонала можно почитать в статье.

Полный комплект документов для защиты персональных данных медицинской организации Вы можете найти тут.

В компании Premium Aesthetics можно приобрести косметологическое оборудование слудующих видов:

Мы предлагаем самые современные аппараты для эстетической косметологии: