Введение
На протяжении более 1,5 лет в вяло текущем режиме мы получаем запросы от наших клиентов с просьбой перевести с языка Роскомнадзора на «человеческий», что конкретно они хотят от сайта медицинской организации.
Итак, руководитель получает запрос-требование от Управления Роскомнадзора по такой-то области.
Вот приблизительно такого содержания (с некоторыми вариантами):
Сначала перечисляем выявленные в ходе проверки без взаимодействия нарушения (у разных клиник он, в целом, свой, однако есть крайне общие черты):
- ОТСУТСТВИЕ РЕГИСТРАЦИИ В КАЧЕСТВЕ ОПЕРАТОРА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В РОСКОМНАДЗОРЕ – это и есть законное основание обработки персональных данных, которое требует Роскомнадзор;
- ОТСУТСТВИЕ НЕПОСРЕДСТВЕННО ТЕКСТА СОГЛАСИЯ на обработку персональных данных посетителей сайта (кстати не надо путать посетителей сайта и пациентов/заказчиков – не надо выкладывать согласие на обработку персональных данных пациентов, ведь посетитель сайта не пациент);
- НА САЙТЕ УСТАНОВЛЕНА Яндекс.Метрика, которая также собирает персональных данные посетителей. У некоторых уникумов до сих пор установлен Гугл.аналитикс (а это недружественная компания и трансграничная передача персональных данных, которая требует отдельной регистрации в качестве оператора в Роскомнадзоре). Как вы понимаете нет упоминания и нет согласия, а сбор идет.
- COOKIE собираете? А как уведомление-согласие выглядит? И где оно вообще? Тут СТОЛЬКО ошибок, потому что делают это программисты, а не юристы.
- НЕТ Политики обработки персональных данных (этот документ часто называют Политикой конфиденциальности сайта) или она НЕ ОТРАЖАЕТ критически важных моментов. Как она вообще обычно появляется на сайте? Просто, разработчик сайта копирует какую-то хрень, что у него есть и всё. У вас вроде есть Политика, а по факту её нет.
- НА САЙТЕ НАХОДЯТСЯ ФОТОГРАФИИ ПАЦИЕНТОВ / РАБОТНИКОВ / ИНЫХ ЛИЦ, а основания их обработки не указаны (а где, кстати, и как, и что именно указывать – вы не понимаете, а мы вот знаем), по мнению Роскомнадзора.
- ЕСЛИ ВЫ ПУБЛИКУЕТЕ НА САЙТЕ РАБОТЫ ДО / ПОСЛЕ, то тут также можно усмотреть нарушение обработки изображений, а также законодательства о рекламе, а это уже ФАС. Одно нарушение по цене двух.
Вот это ТОП-нарушений по мнению Роскомнадзора в 2025г.
| Вид нарушения / норма КоАП | Штрафы для физических лиц | Штрафы для должностных лиц / ИП | Штрафы для организаций (Клиник) |
|---|---|---|---|
| Обработка персональных данных в незаконных случаях / ч. 1 ст. 13.11 КоАП, ч. 1.1 ст. 13.11 | От 2 до 6 тыс. руб. Повторное нарушение – от 4 до 12 тыс. руб. | От 10 до 20 тыс. руб. Повторное нарушение – от 20 до 50 тыс. руб. / От 50 до 100 тыс. руб.) | От 60 до 100 тыс. руб. Повторное нарушение – от 100 до 300 тыс. руб. |
| Обработка персональных данных без письменного согласия / ч. 2 ст. 13.11 КоАП, ч. 2.1 ст. 13.11 | От 10 до 15 тыс. руб. Повторное нарушение – от 15 до 30 тыс. руб. | От 100 до 300 тыс. руб. Повторное нарушение – от 300 до 500 тыс. руб. / От 500 тыс. до 1 млн руб. | От 300 до 700 тыс. руб. Повторное нарушение – от 1 млн до 1,5 млн руб. |
| Не опубликована политика обработки персональных данных / ч. 3 ст. 13.11 | От 1,5 до 3 тыс. руб. | От 6 до 12 тыс. руб. / От 10 до 20 тыс. руб. | От 30 до 60 тыс. руб. |
| Не предоставлена информация субъекту персональных данных по его запросу / ч. 4 ст. 13.11 | От 2 до 4 тыс. руб. | От 8 до 12 тыс. руб. / От 20 до 30 тыс. руб. | От 40 до 80 тыс. руб. |
| Невыполнение в срок требований об уточнении, блокировании или уничтожении персональных данных / ч. 5 ст. 13.11, ч. 5.1 ст. 13.11 | От 2 до 4 тыс. руб. Повторное нарушение – от 20 до 30 тыс. руб. | От 8 до 20 тыс. руб. Повторное нарушение – от 30 до 50 тыс. руб. / От 20 до 40 тыс. руб. Повторное нарушение – от 50 до 100 тыс. руб. | От 50 до 90 тыс. руб. Повторное нарушение – от 300 до 500 тыс. руб. |
| Необеспечение сохранности персональных данных при обработке без средств автоматизации и хранении на материальных носителях / ч. 6 ст. 13.11 | От 1,5 до 4 тыс. руб. | От 8 до 20 тыс. руб. / От 20 до 40 тыс. руб. | От 50 до 100 тыс. руб. |
| Невыполнение обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения или извлечения персональных данных, которые собрали через интернет / ч. 8 ст. 13.11, ч. 9 ст. 13.11 | От 30 до 50 тыс. руб. Повторное нарушение – от 50 до 100 тыс. руб. | От 100 до 200 тыс. руб. Повторное нарушение – от 500 до 800 тыс. руб. / От 1 млн до 6 млн. Повторное нарушение – От 6 млн до 18 млн | От 1 млн до 6 млн. Повторное нарушение – От 6 млн до 18 млн |
| Нарушение требований в области размещения биометрических персональных данных / ст. 13.11.3 | - | От 100 до 300 тыс. руб. | От 500 тыс. руб. до 1 млн руб. |
| Непредставление информации по требованию Роскомнадзора / ст. 19.7 | От 100 до 300 руб. или предупреждение | От 300 до 500 руб. | От 3 до 5 тыс. руб. |
| Препятствие проверке Роскомнадзора или уклонение от нее / ч. 1 ст. 19.4.1 | От 500 руб. до 1 тыс. руб. | От 2 до 4 тыс. руб. | От 5 до 10 тыс. руб. |
| Препятствие Роскомнадзору завершить проверку / ч. 2, 3 ст. 19.4.1 | - | От 5 до 10 тыс. руб. Повторное нарушение – от 10 до 20 тыс. руб. или дисквалификация от 6 месяцев до 1 года | От 20 до 50 тыс. руб. Повторное нарушение – 50 до 100 тыс. руб. |
| Невыполнение в срок предписание Роскомнадзора об устранении нарушений / ч. 1 ст. 19.5 | От 300 до 500 руб. | От 1 до 2 тыс. руб. или дисквалификация до 3 лет | От 10 до 20 тыс. руб. |
РЕГИСТРАЦИЯ В КАЧЕСТВЕ ОПЕРАТОРА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Организация должна быть зарегистрирована в качестве Оператора обработки персональных данных с помощью соответствующей формы.
УВАЖАЕМЫЕ КОЛЛЕГИ, НЕ ОБИЖАЙТЕСЬ!
У БОЛЬШИНСТВА ПРИ САМОСТОЯТЕЛЬНОЙ ПОПЫТКЕ ЗАРЕГИСТРИРОВАТЬСЯ ПРИХОДИТ ОТКАЗ ОТ РОСКОМНАДЗОРА.
Это связано с не правильным заполнением уведомления.
ОТВЕТСТВЕННОСТЬ
Это ст. 13.11 КоАП России Нарушение законодательства Российской Федерации в области персональных данных
Актуальную редакцию КоАП можно посмотреть здесь…
ВАЖНО! с 30.05.2025г. суммы штрафов по ней увеличились кратно!
В качестве санкции фигурируют заоблачные миллионы рублей для юридических лиц, а это уже серьезно.
ЧТО КОНКРЕТНО ДЕЛАТЬ?
Нет, муравья искать не нужно. А вот озадачиться своим сайтом и в целом организацией обработки персональных данных имеет смысл.
Про персональные данные в целом ЗДЕСЬ…
В принципе, все просто, надо устранить выявленные нарушения.
Это можно сделать самостоятельно, а можно заказать у нас.
Ну что сложного, скажите вы, нет согласия, сейчас скачаем у конкурентов и у себя разместим.
Тут важно сознавать, а вы уверены, что у них правильно? Может их просто еще не проверял Роскомнадзор? И так в отношении каждого документа, что у вас просят.
Вот пишет вам Роскомнадзор, мол, у вас на сайте изображения размещены, но нет указаний на основании чего. Шальная мысль: это что сканы согласий надо разместить? НЕТ! Нужны определенные формулировки на странице, где размещены изображения и в Политике конфиденциальности клиники.
Или вот про Яндекс.Метрику часто тоже не понимаете, ЧТО КОНКРЕТНО НАДО И ГДЕ НАПИСАТЬ?
А тут отдельная информация в Согласии на обработку персональных данных и в Политике конфиденциальности.
ВАЖНО! Если установлен ГуглАналитикс, то это трансграничная передача персональных данных. Либо удалить, либо зарегистрироваться на сайте Роскомнадзора, в Политике конфиденциальности и тексте Согласия также нужно указать.
Мы эти фразы уже наизусть выучили, но, когда писали первый раз – было сложно.
COOKIE на сайте клиники
При использовании файлов Cookie необходимо установить следующий текст всплывающего окна:
ООО «ААА» (АДМИНИСТРАТОР Сайта https://www.sdfgh;.ru/) использует файлы COOKIE. Во время посещения сайта вы соглашаетесь с тем, мы обрабатываем ваши персональные данные с использованием метрических программ – файлов COOKIE. Подробнее о файлах COOKIE указано в Политике конфиденциальности сайта (ссылка). Уведомляем вас, что COOKIE можно отключить в настройках браузера или покинуть данный сайт.
ВНИМАНИЕ!
Просто значок «крестик» для закрытия окна не применим, поскольку не выражает волеизъявления субъекта персональных данных.
ЧТО ДЕЛАТЬ С ИЗОБРАЖЕНИЯМИ НА САЙТЕ?
Брать согласия по особой форме. Её надо либо разработать самостоятельно, либо приобрести.
Также основанием может являться договор позирования за плату. Важная особенность, что «просто» согласие можно отозвать, а вот расторгнуть просто так договор не получится.
Представьте себе ситуацию: вы заказали дорогостоящую фото и видеосессии для сайта и социальных сетей, отдали много денег, а врач или любой другой работник уволился, отозвал свое согласие и всё! Будьте любезны удалить и перемонтировать видео.
Разместить особые уведомления на страницах с изображениями. Мы их предоставляем. Отразить особенности обработки данных категорий ПД в Политике конфиденциальности.
Чтобы этого всего не было просто закажите бесплатную первичную консультацию и демонстрацию пакета документов.
