У нас много клиентов – клиник эстетической медицины и они постоянно делятся с нами информацией.
Итак, в декабре 2023 г. несколько наших клиентов сбросили нам результаты проверок Роскомнадзора. Важно, что проверки эти были без взаимодействия. Косметологические клиники даже не знали, что в отношении них было проведено контрольное мероприятие, до момента получения его результатов.
На сайте … установлено наличие форм обратной связи («Записаться на прием», «Вопрос специалисту», «Подарочный сертификат», «Написать сообщение») предполагающих внесение персональных данных пользователей (имя, телефон, e-mail). Под всеми формами сбора пользователю необходимо поставить «галочку» в чек-боксе «Я прочитал политику конфиденциальности и согласен с условиями»).
Информация о согласии на обработку персональных данных или иное правовое основание обработки персональных данных отсутствует. Согласие на обработку персональных данных под всеми формами отсутствует.
Согласно ч.1. ст. 9 Федерального закона России от 27.07.20006г. №152-ФЗ «О персональных данных» согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным.
Соответственно, проставление «галочки» в чек-боксе об ознакомлении с политикой конфиденциальности не является подтверждением получения согласия.
Для избежания данного нарушения необходимо во всех формах обратной связи сделать два чек-бокса (в который посетитель сайта сам проставляет галочки):
Вот как это реализовано на нашем сайте:
На сайте установлено программное средство Яндекс.Метрика, использование функционала которого позволяет определить уникального посетителя сайта, формировать сведения о его предпочтениях и поведении на Сайте, что указывает на обработку его персональных данных.
В соответствии с п.18 Условий пользования сервиса Яндекс.Метрика и AppMetrica все данные, собираемые и хранимые Сервисом, Яндекс рассматривает как персональные данные и конфиденциальную информацию пользователя.
В соответствии со статьей 3 Федерального закона России от 27.07.20006г. №152-ФЗ «О персональных данных» персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). На основании изложенного, вышеуказанная информация будет относится к персональным данным пользователей сайта.
Политика конфиденциальности, размещенная на сайте https://... не содержит сведений о факте использования программного средства Яндекс.Метрика, а также перечень обрабатываемых персональных данных посредством программного средства Яндекс.Метрика.
Предупреждение об использовании метрической программы Яндекс.Метрика и согласие на её использование на сайте также отсутствует.
Сервис Яндекс.Метрика предоставляет Оператору бесплатную возможность получения данных о посещаемости сайта посредством размещения кода счетчика на сайте Пользователя.
Полная информация о сервисе Яндекс.Метрика субъекты персональных данных может узнать по ссылке.
Субъект персональных данных понимает и соглашается с тем, что счётчик, установленный на сайте Оператора, собирают данные о посещениях сайта Оператора / данные об устройстве конечного посетителя сайта Оператора и в автоматическом режиме передает их Яндексу для получения статистической информации, доступной для дальнейшего использования с помощью Сервиса как Оператору, так и Яндексу в его собственных целях.
Субъект персональных данных в соответствии с п. 18 Условий использования сервиса Яндекс.Метрика и AppMetrica настоящим уведомлен и соглашается с тем, что Яндекс не знает и не может знать, какая информация содержится в составе данных, записанных счётчиком на страницах сайта Оператора, а также какая информация записывается при записи Сессий посещений и сохраняется во временной записи таких Сессий посещений, и не может определить, содержатся ли в составе информации в таких записях переписка и иная ограниченная к получению, обработке и распространению информация третьих лиц (далее — Охраняемая информация), или нет. Сервис работает полностью в автоматическом режиме, не анализирует содержание и смысл информации, размещенной на страницах или вводимой посетителями в поля на страницах, а записывает её полностью независимо от содержания. Яндекс не проводит никаких модификаций данных, записанных счётчиком, в том числе записей Сессий посещений, и не осуществляет никаких целенаправленных действий по сбору, получению, обработке и распространению Охраняемой информации посетителей сайта Оператора, в результате использования Сервиса Оператором. С учетом вышесказанного, Субъект персональных данных понимает, что в результате использования Сервиса Оператор может получить доступ к Охраняемой информации, в связи с чем Оператор обязуется не предпринимать целенаправленных действий, направленных на получение такой Охраняемой информации, а также обязуется в максимальной степени соблюдать все требования действующего законодательства к сбору, обработке и защите персональных данных и иной Охраняемой информации, полученной при использовании Сервиса, и самостоятельно несет все риски, связанные с получением такой Охраняемой информации, и ответственность за несоблюдение требований законодательства.
Когда вы посещаете этот сайт, [наименование учреждения – собственника сайта] может использовать общеотраслевую технологию, называемую cookie. Файлы cookie представляют собой небольшие фрагменты данных, которые временно сохраняются на вашем компьютере или мобильном устройстве и обеспечивают более эффективную работу сайта.
Продолжая пользоваться этим сайтом, вы соглашаетесь на использование cookie и обработку данных в соответствии с Политикой конфиденциальности сайта в области обработки и защиты персональных данных.
Если вы не хотите использовать cookie, вы можете отключить их в настройках безопасности вашего браузера. Отключение cookie следует выполнить для каждого браузера и устройства, с помощью которого осуществляется вход на сайт.
Обратите внимание, что в случае, если использование сайтом cookie-файлов отключено, некоторые возможности и услуги сайта могут быть недоступны.
Нажимая на кнопки согласия, посетитель сайта выражает свое свободное, добровольное, информированное и в своем интересе согласие на автоматизированную обработку моих персональных данных в соответствии со следующим перечнем персональных данных:
Для целей сбора статистики о посетителях сайта Оператор вправе осуществлять обработку моих персональных данных следующими способами: сбор, систематизация, накопление, хранение, обновление, изменение, использование. Оператор может обрабатывать файлы cookie самостоятельно или с привлечением иных сервисов.
Важно знать, что:
Действующее законодательство не содержит специальных требований о размещении информации о файлах cookie. Владелец сайта должен обеспечить соблюдение требований законодательства о защите персональных данных, а именно разработать и разместить на сайте политику в отношении обработки персональных данных посетителей сайта, а также получить согласие на обработку персональных данных. Таким образом получить согласие на использование файлов cookie НЕОБХОДИМО.
Ответственность за отсутствие уведомления об использовании файлов cookie прямо законодательством не установлена, однако при нарушении требований Закона о персональных данных владелец сайта, на котором используются файлы cookie для сбора информации о посетителе сайта, может быть привлечен к ответственности по ст. 13.11 КоАП РФ за нарушение правил обработки персональных данных.
При повторном переходе на сайт система автоматически применяет согласие или прошлые настройки Cookie, которые выбрал посетитель.
Вот один из вариантов того, как должно выглядеть бесящее всех окно-уведомление о применении файлов cookie.
ВНИМАНИЕ! Просто значок "крестик" для закрытия окна не применим, поскольку не выражает согласие субъекта персональных данных.
Для сайтов, написанных на различных поисковых движках, таких как Wordpress, Joomla и т.д. вы можете использовать специальные плагины. Обратите внимание на то, как это реализовано на нашем сайте.
Ответственность за вышеописанные нарушения прописана в Статье 13.11. «Нарушение законодательства Российской Федерации в области персональных данных», которую вы можете прочитать по ссылке.
В ходе анализа Сайта https://... установлено, что на интернет-странице https://... Распространены персональные данные специалиста в объеме: фамилия, имя, отчество, должность, стаж работы, образование, фотоизображение.
Особенности персональных данных для распространения в сети Интернет, установлены ст.10.1 Федерального закона России от 27.07.20006г. №152-ФЗ «О персональных данных».
Так исключительным основанием обработки персональных данных, разрешенных субъектом персональных данных для распространения в сети интернет, является согласие субъекта персональных данных, которое оформляется отдельно от иных согласий.
Указанное согласие должно соответствовать Требованиям к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, установленных приказом Роскомнадзора от 24.02.2021г. №18.
Каких-либо указаний на наличие у Оператора согласия субъектов на распространение их персональных данных, а также сведений о наличии запретов и условий на обработку персональных данных неограниченным кругом лиц, разрешенных субъектом персональных данных для распространения, на сайте Оператора не выявлено.
Вместе с тем в ходе анализа Сайта подтверждения наличия вышеуказанных правовых оснований распространения персональных данных пользователей сайта не выявлено.
Какие виды персональных данных распространяет медицинская организация:
В ОТНОШЕНИИ РАБОТНИКОВ – обязательный объем в соответствии с законодательством
На сайте клиники эстетической медицины в соответствии с требованиями Закона РФ от 07.02.1992 N 2300-1 "О защите прав потребителей", Правилами предоставления медицинскими организациями платных медицинских услуг, утв. Постановлением Правительства России от 11.05.2023г. №736, Приказа Министерства здравоохранения Российской Федерации от 30 декабря 2014 г. № 956н "Об информации, необходимой для проведения независимой оценки качества оказания услуг медицинскими организациями, и требованиях к содержанию и форме предоставления информации о деятельности медицинских организаций, размещаемой на официальных сайтах Министерства здравоохранения Российской Федерации, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и медицинских организаций в информационно-телекоммуникационной сети "Интернет"
медицинская организация обязана публиковать сведения о медицинских работниках в определенном объеме:
ВНИМАНИЕ! Данные сведения публикуются не в виде скриншотов или фотографий документов, они публикуются в виде перечисления в определенном объеме.
В ОТНОШЕНИИ РАБОТНИКОВ – изображения
В ОТНОШЕНИИ ИНЫХ ГРАЖДАН – ИЗОБРАЖЕНИЯ «ДО» И «ПОСЛЕ» (к сожалению, этот блок информации требует отдельной самостоятельной статьи, поскольку есть особенности, связанные в том числе с соблюдением законодательства о рекламе). Эта тема заслуживает внимания в контексте привлечения к ответственности за нарушения законодательства о рекламе ФАС.
А) Разработать форму согласия на распространение изображений гражданина в соответствии требованиями Приказа Роскомнадзора от 24.02.2021 № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения. Любая фотосессия или съемки видеоконтента для сайта, социальных сетей, видеохостингов только при наличии письменного согласия работников на распространение.
Важно! Это согласие можно отозвать в любой момент. Безопаснее для медицинской организации – использовать позирование за плату в рамках ст. 152.1 ГК РФ. Для того важно также разработать договор. На практике сложности бывают, когда работодатель, потратив большое количество денег на фотосессии своих работников, после их увольнения и отзыва ими персональных данных, использовать данные материалы не имеет права.
Б) На страницах сайта, где публикуются изображения должна быть фраза:
«Публикация фотоизображений и видеоматериалов на сайте осуществляется с письменного согласия субъектов персональных данных; либо фотоизображения и видеоматериалы приобретены по лицензии Creative Commons; либо - приобретены в соответствии с договорами позирования граждан за плату; либо сгенерированы с использованием нейросетевых технологий. Указанные изображения в том числе могут подвержены изменениям при помощи графических редакторов и иных программных продуктов. Копирование, публичное воспроизведение, распространение запрещено»
В) Там, где указаны персональные данные работников в объеме фамилии, имени, отчества, должности, сведения из документов об образовании и т.д.(см. выше) должна быть также фраза:
«Публикация персональных данных (фамилия, имя, отчество (при наличии) медицинского работника, занимаемая должность; сведения из документа об образовании (уровень образования, организация, выдавшая документ об образовании, год выдачи, специальность, квалификация); сведения из сертификата специалиста (специальность, соответствующая занимаемой должности, срок действия); график работы и часы приема медицинского работника) осуществляются в .соответствии с требованиями Закона РФ от 07.02.1992 N 2300-1 "О защите прав потребителей", Правилами предоставления медицинскими организациями платных медицинских услуг, утв. Постановлением Правительства России от 11.05.2023г. №736, Приказа Министерства здравоохранения Российской Федерации от 30 декабря 2014 г. № 956н "Об информации, необходимой для проведения независимой оценки качества оказания услуг медицинскими организациями, и требованиях к содержанию и форме предоставления информации о деятельности медицинских организаций, размещаемой на официальных сайтах Министерства здравоохранения Российской Федерации, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и медицинских организаций в информационно-телекоммуникационной сети "Интернет", а также на основании письменных согласий субъектов персональных данных».
Г) Кроме того, указанную информацию необходимо добавить в Политику конфиденциальности и обработки персональных данных. ВАЖНО! вышеуказанная информация хоть и входит в рекомендуемый нами перечень, однако, её нельзя рассматривать изолированно от самого документа. Качество юридического содержимого документа чрезвычайно важно.
Согласно Политики конфиденциальности, размещенной на сайте, ООО «ААА» осуществляет трансграничную передачу персональных данных пользователей сайта, при этом в соответствии с ч.3 ст.12 Федерального закона России от 27.07.20006г. №152-ФЗ «О персональных данных» Оператор до начала осуществления деятельности по трансграничной передаче персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять трансграничную передачу персональных данных. Указанное уведомление отправляется отдельно от уведомления о намерении осуществлять обработку персональных данных, предусмотренного ст. 22 Федерального закона России от 27.07.20006г. №152-ФЗ «О персональных данных».
Во-первых, Трансграничной является передача персональных данных на территорию иностранного государства органу власти такого государства, иностранному физическому или юридическому лицу.
Постановлением Правительства РФ от 16.01.2023 № 24 утверждены Правила принятия Роскомнадзором решения о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан.
Во-вторых, Роскомнадзор считает, что обработка персональных данных, которые были собраны с использованием сервиса Google Analytics, является трансграничной передачей персональных данных. Таким образом, если у вас когда-то был установлен на сайт данный счетчик, то его надо либо удалить, либо уведомить Роскомнадзор.