Как мы указывали ранее, работа с персональными данными – вопрос исключительно индивидуальный поскольку должен соблюсти баланс между достижением целей обработки персональных данных, полнотой собираемых и обрабатываемых данных и недопущением обработки избыточных персональных данных. Поэтому к организации данной работы стоит подойти с понимаем того что и зачем Вы собираете и обрабатываете, кому из сотрудников какие персональные данные нужны для выполнения функциональных обязанностей.
Персональные данные и сеть интернет – это достаточно комплексный вопрос и состоит из следующих блоков (применимо к медицинским организациям):
- Публикация персональных данных врачей.
- Публикация персональных данных пациентов.
- Прямой сбор и обработка персональных данных пациентов.
- Косвенный сбор персональных данных посетителей сайта.
Разберем более подробно каждый из них:
- Обязанность публикации персональных данных врачей на сайте не предусмотрена Постановлением 736 (Правила оказания платных медицинских услуг), эти данные должны быть предоставлены для ознакомления на информационном стенде. Вместе с этим приказ Минздрава №956н от 30.12.2014 возлагает на медицинские организации следующие обязанности:
На официальных сайтах медицинских организаций в информационно-телекоммуникационной сети “Интернет” (далее – сеть “Интернет”) размещается следующая информация:
….
о медицинских работниках медицинской организации, включая филиалы (при их наличии):
фамилия, имя, отчество (при наличии) медицинского работника, занимаемая должность;
сведения из документа об образовании (уровень образования, организация, выдавшая документ об образовании, год выдачи, специальность, квалификация);
сведения из сертификата специалиста (специальность, соответствующая занимаемой должности, срок действия);
график работы и часы приема медицинского работника;
А вот ФИО, сведения об образовании в данном случае как раз являются персональными данными. Поэтому от сотрудников необходимо получить согласие на распространение персональных данных (не забудьте также отобразить передачу данных в ФРМО/ФРМР).
2. Достаточно сложный вопрос касается соблюдения баланса между интересами организации в организации маркетинга и защитой персональных данных. Для продвижения услуг клиники крайне эффективно размещение фотографий было-стало. Вместе с этим фотографии пациента (даже без лица или без глаз, просто фотография отдельного участка кожи или зубов снятые крупным планом) являются персональными данными. И для их использования в создании рекламно-информационных материалов необходимо получать согласие пациента или его законного представителя. При этом мы даже не беремся сейчас рассматривать вопросы права пациента на получение TFP или Appearance fee. При размещении фотографий пациентов необходимо оформлять согласие на распространение персональных данных пациентов.
3. Прямой сбор персональных данных пациентов: к нему стоит отнести заполнение форм с контактами для записи, данные находящиеся в личном кабинете пациента (при его наличии). В данном случае распространение не происходит, поэтому достаточно оформления согласия на обработку персональных данных.
4. Косвенный сбор персональных данных – в данном случае речь ведется об обработке файлов cookie при анализе поведения посетителей сайта и автоматической авторизации в личном кабинете. Об использовании файлов cookie посетителей необходимо извещать и получать номинальное согласие путем нажатия кнопки «продолжить» (или «согласен»), а сведения о том, как вы их обрабатываете необходимо отобразить в политике обработки персональных данных.
Вне зависимости от того касаются Вашего сайт все четыре блока или только часть из них, на сайте необходимо разместить политику обработки персональных данных, в которой необходимо предусмотреть как цели обработки, так и объем обрабатываемых персональных данных, порядок отзыва согласия (имеем в виду что скоро закончится согласование порядка отзыва согласия на обработку персональных данных в той же форме, в которой оно было получено, поэтому стоит предусмотреть таковую техническую реализацию).
Доступ для ознакомления с политикой должен быть беспрепятственным, рекомендуем разместить ее в «футере» (подвале) сайта.
Да, это – далеко не все нюансы работы с персональными данными в сети Интернет (тут не описаны вопросы трансграничной передачи персональных данных, которая может быть весьма вероятной, не описан порядок работы в случае получения отзыва согласия на обработки или распространение персональных данных – эти вопросы сами по себе весьма объемные).
Настоятельно рекомендуем провести аудит Вашего сайта по вопросам работы с персональными данными пациентов и, при необходимости, внести необходимые дополнения. Не забывайте, что ответственность за нарушения в сфере работы с персональными данными весьма строгая и в критических случаях может достигать 18 000 000 рублей (а в случае применения оборотных штрафов – даже больше).
Мы можем помочь Вам осуществить качественный аудит сайта и документации по работе с персональными данными как лично, так и дистанционно.
Наши контакты: +7 978 137 56 29 (телефон, телеграмм, WhatApp), наш канал Telegram.
