Какие нарушения выявляет Роскомнадзор в ходе контрольных (надзорных) мероприятий за обработкой персональных данных?
Роскомнадзор регулярно наблюдает за официальными сайтами медицинских организаций. Данный вид контрольного (надзорного) мероприятия проводится без взаимодействия с проверяемой медицинской организацией на основании задания, утверждаемого руководителем территориального органа Роскомнадзора.
Ошибка № 1
На сайте не размещена политика в отношении обработки персональных данных. Этот документ может называться на сайте политикой конфиденциальности.
Решение
Разработать и разместить на сайте политику в отношении обработки персональных данных. Не забудьте разместить политику и информационном стенде в клинике.
Ошибка № 2.
На сайте и (или) информационном стенде размещена политика в отношении обработки персональных данных (этот документ может называться на сайте политикой конфиденциальности). Однако содержание не соответствует требованиям п. 2 с. 1 статьи 18.1. Федерального закона № 152-ФЗ.
Решение
Внести изменения в политику в отношении обработки персональных данных.
Ошибка № 3
К сайту подключены интернет-сервисы Google Analytics, «Яндекс.Метрика» и др. Однако пользователь не информируется о факте обработки персональных данных с использованием интернет-сервисов, обработка персональных данных пользователей сайта с использованием метрических систем осуществляется без получения согласия конечных пользователей или предоставить им возможность отказаться от применения функций метрических систем.
Решение
Разместить на сайте уведомление:
Мы используем файлы Cookie. Оставаясь на сайте, вы соглашаетесь с их обработкой в соответствии с политикой обработки персональных данных. Вы всегда можете отключить файлы cookie в настройках Вашего браузера. Согласен.
Ошибка № 4
На сайте на страницах записи на прием размещены формы сбора персональных данных, посредством которых могут собираться персональные данные пользователей в объеме: имя, номер контактного телефона, адрес электронной почты. Однако функционалом сайта не предусмотрено предоставление согласия пользователей на обработку персональных данных.
Решение
На страницах записи на прием на сайте создать чек-бокс для оформления согласия на обработку персональных данных следующей формулировки:
«Я даю согласие ООО «наименование оператора» (адрес оператора) на обработку указанных мной персональных данных на условиях, предусмотренных политикой обработки персональных данных, для оформления записи на прием посредством сайта оператора и получение обратного звонка по телефону, сообщения по телефону и электронной почте.
Согласие может быть отозвано в порядке, установленном Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
Ошибка № 5
На сайте на страницах записи на прием размещен чек-бокс «Согласен на обработку персональных данных». При этом в политике конфиденциальности установлено следующее: «Заполняя соответствующие формы и/или отправляя свои персональные данные оператору, пользователь выражает свое согласие с политикой конфиденциальности (политикой обработки персональных данных).»
Согласие с политикой конфиденциальности не может расцениваться как согласие на обработку персональных данных.
Решение
Под формой обратного звонка (заявки на звонок), встроенной в сайт на странице, реализовать функционал получения согласия на обработку персональных данных.
Ошибка № 6
К сайту подключены интернет-сервисы Google Analytics, «Яндекс.Метрика» и др.
При этом в политике отсутствуют положения о факте сбора персональных данных с использованием Google Analytics, «Яндекс.Метрика» и др., включая цели сбора персональных данных, перечень обрабатываемых персональных данных собираемых с использованием интернет-сервиса, а также цели обработки и перечень персональных данных собираемых посредством интернет- сервисов Google Analytics, «Яндекс.Метрика», осуществление трансграничной передачи персональных данных, обрабатываемых с использованием Google Analytics.
Решение
Внести в политику цель сбора персональных данных, перечень обрабатываемых персональных данных собираемых с использованием интернет-сервиса «Яндекс.Метрика» и др. интернет-систем. Для данной цели определить категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований.
Если сайт медицинской организации подключен к метрической системе Google Analytics, то она обязана уведомить Роскомнадзор об использовании данного сервиса и создать на сайте функционал, позволяющий получить согласие пользователя на обработку персданных, которые собирают с использованием Google Analytics.
Или отказаться от использования Google Analytics.
Ошибка № 7
На сайте размещены сведения (фамилия, имя, отчество, должность, сведения об образовании, сведения о повышении квалификации, стаж работы) и фото врачей. Однако с согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
Решение
Оформить с каждым врачом или иным работником, чьи сведения и фото размещены на сайт, согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
Ошибка № 8
При анализе сведений, содержащихся в реестре операторов, осуществляющих обработку персональных данных, политике обработки персональных данных и информации, размещенной на страницах сайта, можно сделать вывод, что оператором не представлена информация об изменении сведений в Роскомнадзор.
Решение
Направить в Роскомнадзор о уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных по форме, утв. приказом Росздравнадзора от 28.10.2022 г. № 180.
Если уведомление не подано, уведомить Роскомнадзор об обработке персональных данных.
Хотите получить готовые документы по обработке персональных данных? Оставьте заявку на сайте или позвоните по номеру телефона, указанному на сайте.
Любовь Кривова
Подписывайтесь на Телеграм-канал: Медицинский юрист Любовь Кривова
Вступайте в группу ВКОНТАКТЕ Медицинский юрист Любовь Кривова
Политика обработки персональных данных или политика конфиденциальности