За сайтами медицинских организаций следит на только Роскомнадзор. Значит, клиники рискуют попасть не только под его штрафы. Требования к работе с ПД жёсткие, но выполнимые. Просто нужно учесть несколько правовых особенностей ведения сайта. Наглядно объясняю, что составить, где разместить, на что, когда и как брать согласия.
Какие документы нужно разместить на сайте клиники
Политика конфиденциальности. В подвале сайта разместите политику конфиденциальности, другими словами — политику обработки персональных данных.Она должна содержать информацию о каждой категории субъектов, чьи данные вы обрабатываете: пользователей сайта, пациентов, клиентов.
Что прописать в политике конфиденциальности
-
Цели обработки персональных данных для каждой категории субъектов персональных данных.
-
Перечень персональных данных, которые обрабатываете.
-
Способы, сроки обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований.
Фрагмент политики конфиденциальности
|
Категории субъектов |
Цель обработки данных Основание обработки данных |
Категории и перечень обрабатываемых данных |
Способы обработки данных |
Сроки хранения и порядок уничтожения данных |
|
лица, давшие согласие на получение рекламной рассылки |
Цель: отправление рекламных сообщений: информирование о продуктах, услугах, новостях, акциях и предложениях.
Основание: согласие на обработку персональных данных
|
персональные данные: имя, адрес электронной почты |
смешанная обработка (автоматизированная и неавтоматизированная): сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение. |
до отзыва согласия на рекламную рассылку или на обработку персональных данных; до утраты цели обработки персональных данных.
Уничтожение персональных данных производится в течение 30 дней с момента отзыва согласий в соответствии с Приказом Роскомнадзора от 28 октября 2022 г. N 179 и подтверждается актом. |
|
лица, оставившие заявку на запись на прием |
Цель: запись на прием
Основание: согласие на обработку персональных данных
|
имя, номер телефона |
смешанная обработка (автоматизированная и неавтоматизированная): сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, блокирование, удаление, уничтожение. |
до отзыва согласия на обработку персональных данных; до достижения цели обработки данных.
Уничтожение персональных данных производится в соответствии с Приказом Роскомнадзора от 28 октября 2022 г. N 179 и подтверждается актом. |
Пользовательское соглашение. Такое соглашение о порядке использования сервисов и материалов также разместите в подвале сайта, чтобы пользователи и представители контролирующих органов могли быстро его найти.
Условия, которые прописаны в пользовательском соглашении, в некоторых случаях могут быть основаниями для обработки персональных данных.
Так, пользовательское соглашение может быть основанием для обработки данных метрическими программами, если включить в него соответствующие условия.
Согласие на обработку персональных данных. Возле каждой формы сбора персональных данных разместите ссылку на текст согласия на обработку персональных данных. Согласие должно быть конкретным, предметным, информированным, сознательным и однозначным.
Для каждой цели сбора данных вы должны получать отдельное согласие пользователя. В каждом таком согласии нужно указывать только те персональные данные, которые собираете в конкретной форме для их сбора.
Если вы передаете персональные данные третьим лицам, например, маркетинговому агентству для направления рекламной рассылки, то в тексте согласия обязательно необходимо указать наименование и адрес лица, которому будут переданы персональные данные, цель передачи данных. В противном случае основания для передачи данных третьим лицам отсутствуют.
Что необходимо указать в согласии на обработку персональных данных
-
Объем обработки персональных данных.
-
Цель обработки персональных данных.
-
Период, в течение которого будут обрабатывать персональные данные.
-
Способы отзыва согласия на обработку персональных данных.
-
Третьих лиц, которым будут переданы данные.
Важно. Размещать вместо текста согласия на обработку данных ссылку на политику конфиденциальности нельзя — она не является основанием для обработки персональных данных
Согласие на обработку персональных данных метрическими программами. Это отдельный документ, который не связан с согласием на обработку персональных данных. Метрические программы – это автоматизированные инструменты для сбора и анализа данных о поведении пользователей на сайте.
Например, вы можете разместить всплывающее уведомление с текстом: «На сайте используются метрические программы, нажимая кнопку “соглашаюсь”, вы даете согласие на обработку ваших данных метрическими программами». Здесь же обязательно нужно оставить ссылку на текст согласия на обработку данных метрическими программами. В нем перечислите метрические программы, которые используете на сайте и укажите, какие конкретно данные о пользователях они собирают.
Информация о пользователях, которую вы собираете на сайте, должна храниться на территории Российской Федерации — сервер, на котором расположен сайт, должен находиться на территории РФ.
Важно. Собирать избыточные персональные данные нельзя. В случае проверки Роскомнадзор обязательно потребует объяснить, зачем вашей клинике те или иные сведения о пользователях. Если посетитель сайта хочет записаться на прием в медучреждение, то в большинстве случае достаточно запросить у него только номер телефона
К сведению. Персональные данные пользователей нужно обрабатывать российскими метрическими программами. Если вам необходимо использовать иностранные сервисы, то подайте уведомление в Роскомнадзор о трансграничной передаче данных. Например, в случае использования иностранной метрической программы (Google Analytics и т.д.).
Какие требования соблюдать медорганизациям
Не собирайте данные о здоровье через сайт. Информацию о состоянии здоровья относят к специальной категории персональных данных, поэтому ее можно обрабатывать только с письменного согласия пациента или в строго определенных законом случаях. Первый случай, когда получения письменного согласия не требуют – обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо других лиц и получение согласия субъекта персональных данных невозможно. Второй случай, когда обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну.
Разместите информацию о врачах. На сайте медорганизации необходимо опубликовать ряд обязательных сведений о медицинских работниках: Ф.И.О, должность врача и данные об образовании. Также медучреждению разрешают разместить другую информацию, которая не предусмотрена приказом Минздрава от 30.12.2014 № 956н. Например, опыт работы. Однако на публикацию таких данных необходимо получать письменное согласие медработников.
Какую информацию о медработниках нужно разместить на сайте клиники
-
Фамилия, имя и отчество (при наличии).
-
Занимаемая должность.
-
Сведения из документа об образовании.
-
Сведения из сертификата специалиста
-
График работы и часы приема.
ссылка на оригинал статьи https://habr.com/ru/articles/934378/
Добавить комментарий