Статья
Борисов Дмитрий Александрович, кандидат экономических наук, эксперт Федеральной антимонопольной службы России по развитию конкуренции в здравоохранении и образовании
Наличие обязательных сведений о медицинской организации, доступность сайта для инвалидов по зрению, наличие на сайте функционала получения согласия пользователей на обработку персональных данных
15 Февраля 202684 209 зн.42 A46 000 руб.# 1308 Выделить главное вкл выкл 4419
Обновление материала, перейти к содержанию
15.02.2026. Добавлены:
- раздел 10 "Автоматизированная система мониторинга прав субъектов персональных данных в сети Интернет"
- раздел 10.1 "Технические особенности функционирования автоматизированной системы мониторинга"
- раздел 10.2 "Сайты, проверяемые автоматизированной системой в приоритетном порядке"
- раздел 11 "Анализ жалоб пользователей в Роскомнадзор"
- раздел 12 "Примеры судебной практики, связанной с незаконным распространением персональных данных"
- раздел 13 "Реформирование механизмов получения и обработки персональных данных"14.04.2025. Добавлен раздел 9 "Сравнительный анализ Приказов Минздрава России от 30.12.2014 N 956н и от 13.03.2025 N 118н об информации о деятельности медицинских организаций, размещаемой на официальных сайтах в сети интернет"
14.03.2025. Добавлен раздел 8 "Доступность сайта медицинской организации для инвалидов по зрению"
31.01.2024. Добавлены вопрос 2 и разделы:
3. Требование Роскомнадзора о представлении сведений и устранении нарушения законодательства в области персональных данных на сайте
4. Наличие на сайте в сети Интернет Политики, Положения, согласия на обработку персональных данных и Политики использования файлов Cookies
5. Наличие на сайте в сети Интернет функционала получения согласия пользователей на обработку персональных данных
6. Приведение деятельности Оператора по обработке персональных данных в соответствие с требованиями законодательства
7. Политика обработки и защиты персональных данных и иной конфиденциальной информации
Вопрос 1. В настоящее время у нас проходит проверка Роскомнадзора. Просим Вас помочь нам в разъяснении вопроса о правомерности размещения сканов дипломов врачей на нашем сайте.
В соответствии с подпунктом 7 пункта 1 статьи 79 Федерального закона от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации" и подпунктом е) пункта 11 главы III Правил предоставления медицинскими организациями платных медицинских услуг, утвержденных Постановлением Правительства от 04.10.2012 N 1006, медицинская организация обязана информировать граждан в доступной форме, в том числе с использованием сети "Интернет", о медицинских работниках, уровне их образования и квалификации (Постановление Правительства от 04.10.2012 N 1006 не действует, аналогичная норма предусмотрена Постановление Правительства РФ от 11.05.2023 N 736 "Об утверждении Правил предоставления медицинскими организациями платных медицинских услуг, внесении изменений в некоторые акты Правительства Российской Федерации и признании утратившим силу постановления Правительства Российской Федерации от 4 октября 2012 г. N 1006", см. подпункт "д" пункта 17, примечание авт.).
Имеет ли право частная клиника в рамках информирования об уровне образования и квалификации медработников размещать на своем официальном сайте электронные образы копий документов (скан-копии дипломов, удостоверений, сертификатов, свидетельств и проч.)?
Имеет ли право клиника размещать фото врачей на совем сайте?
Ответ на вопрос 1 см. в разделах 1 и 2.
Вопрос 2. Получили письмо Роскомнадзора. Пристально исследовали свой сайт, при записи на прием пациент не указывает свою фамилию и электронную почту, есть ссылка о согласии с условиями конфиденциальности. Как нам правильно отреагировать на письмо?
Текст письма Роскомнадзора см. в разделе 3.
Ответ на вопрос 2 см. в разделах 3 - 7.
Содержание
2. Размещение медицинской организацией на своем официальном сайте фотографий медицинских работников
7. Политика обработки и защиты персональных данных и иной конфиденциальной информации
7.1 Положение об обработке и защите персональных данных
7.2 Согласие клиента на обработку персональных данных
7.3 Политика использования файлов Cookies
8. Доступность сайта медицинской организации для инвалидов по зрению
10. Автоматизированная система мониторинга прав субъектов персональных данных в сети Интернет
10.1. Технические особенности функционирования автоматизированной системы мониторинга
10.2. Сайты, проверяемые автоматизированной системой в приоритетном порядке
11. Анализ жалоб пользователей в Роскомнадзор
12. Примеры судебной практики, связанной с незаконным распространением персональных данных
13. Реформирование механизмов получения и обработки персональных данных
Нормативные правовые и судебные акты
1. Федеральный закон от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации"
2. Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных"
3. Закон Российской Федерации от 07.02.1992 N 2300-1 "О защите прав потребителей"
4. Постановление Правительства РФ от 11.05.2023 N 736 "Об утверждении Правил предоставления медицинскими организациями платных медицинских услуг, внесении изменений в некоторые акты Правительства Российской Федерации и признании утратившим силу постановления Правительства Российской Федерации от 4 октября 2012 г. N 1006"
5. Приказ Минцифры России от 07.11.2023 N 953 "Об утверждении Порядка обеспечения условий доступности для инвалидов по зрению официальных сайтов государственных органов, органов местного самоуправления и подведомственных организаций в информационно-телекоммуникационной сети "Интернет"
6. Приказ Минздрава России от 13.03.2025 N 118н "Об информации, необходимой для проведения независимой оценки качества условий оказания услуг медицинскими организациями, и требованиях к содержанию и форме предоставления информации о деятельности медицинских организаций, размещаемой на официальных сайтах Министерства здравоохранения Российской Федерации, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и медицинских организаций в информационно-телекоммуникационной сети "Интернет"
7. Приказ Минздрава России от 30.12.2014 N 956н "Об информации, необходимой для проведения независимой оценки качества оказания услуг медицинскими организациями, и требованиях к содержанию и форме предоставления информации о деятельности медицинских организаций, размещаемой на официальных сайтах Министерства здравоохранения Российской Федерации, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и медицинских организаций в информационно-телекоммуникационной сети "Интернет"
8. Постановление Арбитражного суда Северо-Западного округа от 21.11.2017 N Ф07-11732/2017 по делу N А42-342/2017
1. Размещение медицинской организацией на своем официальном сайте электронных образов копий документов об образовании медицинских работников
Согласно пункта 1 статьи 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее — закон N 152-ФЗ) персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Согласно пункту 5 указанной статьи распространение персональных данных - это действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Согласно подпункта 11 пункта 1 статьи 6 допускается обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом, без согласия субъекта персональных данных.
Согласно подпункта 7 пункта 1 статьи 79 Федерального закона от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации" (далее - закон N 323-ФЗ) медицинская организация обязана информировать граждан в доступной форме, в том числе с использованием сети "Интернет", о медицинских работниках медицинских организаций, об уровне их образования и об их квалификации, а также предоставлять иную определяемую уполномоченным федеральным органом исполнительной власти необходимую для проведения независимой оценки качества условий оказания услуг медицинскими организациями информацию.
Согласно пункту 7 статьи закона N 323-ФЗ порядок и условия предоставления медицинскими организациями платных медицинских услуг пациентам устанавливаются Правительством Российской Федерации.
Согласно пункту 8 указанной статьи к отношениям, связанным с оказанием платных медицинских услуг, применяются положения Закона Российской Федерации от 07.02.1992 N 2300-1 "О защите прав потребителей" (далее - закон N 2300-1).
Согласно статьи 39.1 закона N 2300-1 правила оказания отдельных видов услуг, выполнения отдельных видов работ потребителям устанавливаются Правительством Российской Федерации.
Согласно подпункту "е" пункта 11 Правил предоставления медицинскими организациями платных медицинских услуг, утвержденных Постановление Правительства РФ от 04.10.2012 N 1006, исполнитель обязан предоставить посредством размещения на сайте медицинской организации в информационно-телекоммуникационной сети "Интернет" информацию, содержащую сведения о медицинских работниках, участвующих в предоставлении платных медицинских услуг, об уровне их профессионального образования и квалификации. Постановление Правительства от 04.10.2012 N 1006 не действует, аналогичная норма предусмотрена Постановление Правительства РФ от 11.05.2023 N 736 "Об утверждении Правил предоставления медицинскими организациями платных медицинских услуг, внесении изменений в некоторые акты Правительства Российской Федерации и признании утратившим силу постановления Правительства Российской Федерации от 4 октября 2012 г. N 1006", см. подпункт "д" пункта 17.
Согласно пункту 6 Приложения N 1 к приказу Министерства здравоохранения Российской Федерации от 30.12.2014 N 956н «Об информации, необходимой для проведения независимой оценки качества оказания услуг медицинскими организациями, и требованиях к содержанию и форме предоставления информации о деятельности медицинских организаций, размещаемой на официальных сайтах Министерства здравоохранения Российской Федерации, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и медицинских организаций в информационно-телекоммуникационной сети "Интернет"» (далее — приказ N 956н) на официальных сайтах медицинских организаций в информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет") размещается информация, необходимая для проведения независимой оценки качества оказания услуг медицинскими организациями, о медицинских работниках медицинской организации, включая филиалы (при их наличии):
- фамилия, имя, отчество (при наличии) медицинского работника, занимаемая должность;
- сведения из документа об образовании (уровень образования, организация, выдавшая документ об образовании, год выдачи, специальность, квалификация);
- сведения из сертификата специалиста (специальность, соответствующая занимаемой должности, срок действия);
- график работы и часы приема медицинского работника.
Согласно пункту 6 Приложения N 2 к приказу N 956н информация размещается на официальных сайтах в текстовой и (или) табличной формах, в форме электронного образа копий документов, а также может содержать схемы, графики, разъяснения.
Таким образом, медицинская организация вправе самостоятельно определять форму размещения информации на сайте (текст, таблица или электронный образ копии документа).
Согласно пункту 7 статьи 60 Федерального закона от 29.12.2012 N 273-ФЗ "Об образовании в Российской Федерации" (далее — закон N 273-ФЗ) документом о высшем образовании и о квалификации является диплом. Согласно пункту 10 статьи 60 закона N 273-ФЗ документом о квалификации является удостоверение о повышении квалификации или диплом о профессиональной переподготовке.
Таким образом, медицинская организация вправе размещать на сайте электронные образы копий документов об образовании (диплом, удостоверение) и сертификатов медицинских работников организации.
2. Размещение медицинской организацией на своем официальном сайте фотографий медицинских работников
Рассмотрим Постановление Арбитражного суда Северо-Западного округа от 21.11.2017 N Ф07-11732/2017 по делу N А42-342/2017
Государственное областное унитарное предприятие "Учебно-спортивный центр" Комитета по физической культуре и спорту Мурманской области (далее - Предприятие), обратилось в Арбитражный суд Мурманской области с заявлением о признании недействительным предписания Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Мурманской области (далее — Управление).
Решением суда первой инстанции от 03.04.2017 заявленные требования удовлетворены (предписание Роскомнадзора признано недействительным — прим. авт.).
Постановлением апелляционного суда от 27.07.2017 решение суда первой инстанции отменено в части признания недействительным предписания по эпизоду, связанному с нарушением обработки биометрических персональных данных (фотографии) без письменного согласия субъекта персональных данных; в удовлетворении заявления в указанной части отказано.
Как следует из материалов дела, Управлением на основании приказа от 23.09.2016 N 129-нд во исполнение плана деятельности Управления на 2016 год, утвержденного руководителем Управления от 14.12.2015, размещенного на сайте сети "Интернет" http://51.rkn.gov.ru, в период с 03.10.2016 по 28.10.2016 в целях контроля соответствия обработки персональных данных требованиям законодательства проведена плановая выездная проверка в отношении Предприятия (оператора).
В ходе проверки выявлены нарушения Предприятием требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ), выразившиеся в отсутствии в согласиях на обработку персональных данных указания на срок их действия (часть 4 статьи 9), и в обработке биометрических персональных данных (фотографий) без письменного согласия субъектов персональных данных (часть 1 статьи 11).
Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 статьи 11 Закона N 152-ФЗ. (пункт 1 статьи 11 Закона N 152-ФЗ).
В соответствии со статьей 9 Закона N 152-ФЗ согласие субъекта на обработку его персональных данных должно быть конкретным, информированным и сознательным (часть 1).
Обязанность доказать наличие такого согласия или обстоятельств, в силу которых такое согласие не требуется, возлагается на оператора (часть 3).
Согласие должно содержать перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных (пункт 7 части 4).
Истолковав приведенные нормы права, регулирующие спорные правоотношения применительно к обстоятельствам данного дела, суды двух инстанций пришли к выводу о том, что фотографические изображения, содержащиеся на документе "Пропуск" являются биометрическими персональными данными, поскольку характеризуют физиологические и биологические особенности человека, на основе которых можно установить его личность путем сравнения фото и содержащихся на документе фамилии, имени и отчества с лицом предъявителя пропуска. В этой связи суды сделали правомерный вывод о том, что обработка указанных данных должна осуществляться с соблюдением требований пункта 1 статьи 11 Закона N 152-ФЗ, а именно, при наличии согласия субъекта персональных данных.
Суд апелляционной инстанции установил, что в соответствии с Положением о порядке посещения плавательного бассейна для различных категорий населения в рамках Государственной программы Мурманской области "Развитие физической культуры и спорта" на 2014 - 2020 годы, утвержденного председателем Комитета по физической культуре и спорту Мурманской области 26.04.2016, посетителями предоставлялись Предприятию фотографии, которые размещались заявителем на документе "Пропуск" для последующего использования в целях установления их личности.
Указанные действия Предприятия (сбор, оформление (размещение), использование фотографий) подпадают под понятие обработки персональных данных с позиции части 3 статьи 3 Закона N 152-ФЗ. Между тем, согласия указанных лиц на обработку их биометрических персональных данных (фотографий) в нарушении требования части 1 статьи 11 Закона N 152-ФЗ Предприятием не получено.
При таком положении суд апелляционной инстанции правомерно признал оспариваемое предписание по эпизоду, связанному с нарушением Предприятием обработки биометрических персональных данных без письменного согласия их субъектов, соответствующим закону и не нарушающим права и законные интересы Предприятия в экономической сфере.
Таким образом, можно сделать вывод о том, что медицинская организация враве размещать на своем официальном сайте фотографии медицинских работников при условии получения их письменного согласия
3. Требование Роскомнадзора о представлении сведений и устранении нарушения законодательства в области персональных данных на сайте
Далее приводится текст письма Роскомнадзора от 07.12.2023 № 6883-04/33 О представлении сведений и устранении нарушения законодательства в области персональных данных.
В соответствии со ст. 56, 57 Федерального закона от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации», разделом VII Положения о федеральном государственном контроле (надзоре) за обработкой персональных данных, Утвержденного постановлением Правительства от 29.06.2021 № 1046, поручением руководителя Роскомнадзора № 6982-дз/1 от 27.07.2022. и заданием руководителя Управления Роскомнадзора по ... области (далее — Управление) от 26.09.2023 № 81-нд в отношении Общества с ограниченной ответственностью «...» (далее - ООО, Оператор) проведено мероприятие по контролю без взаимодействия с контролируемым лицом на предмет соблюдения требований законодательства Российской Федерации в области персональных данных.
В ходе проведения мероприятия по контролю без взаимодействия с контролируемым лицом на сайте Оператора в информационно-телекоммуникационной сети «Интернет» _ выявлены признаки нарушения законодательства Российской Федерации в области персональных данных:
- ч. 1 ст. 6 Федерального закона Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных»;
- ч. 2 ст. 18.1 Федерального закона Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных».
В соответствии со ст. 5 Федерального закона № 152-ФЗ, обработка персональных данных должна осуществляться на законной основе.
Согласно ст. 6 Федерального закона № 152-ФЗ, обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Условия, допускающие обработку персональных данных, определены ч. 1 ст. 6 Федерального закона № 152-ФЗ.
На сайте Оператора _ на главной странице по ссылке «Записаться на прием», «Записаться»; при выборе конкретной услуги; при выборе конкретного врача, «Записаться на прием», «Оставить отзыв»); внешнего виджета «Напишите нам, мы онлайн» (на главной станице); в разделе «Цены» (при выборе конкретной услуги); в разделе «Пациенту» («Анкета качества предоставления медицинских услуг») предусмотрена возможность заполнения форм с указанием персональных данных (имя, номер телефона, адрес электронной почты).
Таким образом, Оператором производится сбор персональных данных граждан с использованием информационно-телекоммуникационной сети «Интернет».
В соответствии с ч. 2 ст. 18.1 Федерального законам 152-ФЗ, оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах (1) принадлежащего оператору сайта в информационно-телекоммуникационной сети «Интернет», с использованием которых осуществляется сбор (2) персональных данных, документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
Документ, определяющий политику оператора в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных (далее - Политика) на сайте отсутствует.
Ссылка «Нажимая кнопку «Записаться», вы соглашаетесь с условиями политики конфиденциальности» в вышеуказанных формах для сбора персональных данных не функционирует.
В связи с вышеизложенным, усматриваются признаки нарушения Оператором требований ч. 2 ст. 18.1 Федерального закона № 152-ФЗ в части непринятия оператором мер по опубликованию и обеспечению неограниченного доступа на официальном сайте оператора (в т.ч. на страницах, использованием которых осуществляется сбор персональных данных) к документу, определяющему политику в отношении обработки персональных данных и сведениям о реализуемых требованиях к защите персональных данных.
Вышеуказанные формы сбора персональных данных также не содержат отметку о согласии пользователей на обработку персональных данных.
Согласно ч. 1 ст. 9 Федерального закона № 152-ФЗ согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным, т.е. содержать в себе:
- наименование, контактную информацию оператора;
- цель обработки персональных данных; категории и перечень обрабатываемых персональных данных;
- способы обработки и перечень действий с персональными данными;
- срок действия согласия;
- способы связи с оператором для реализации прав субъектов персональных данных (адрес электронной почты, почтовый адрес и т.д.), в том числе для отзыва согласия на обработку персональных данных;
- иные сведения необходимые для выполнения обязанностей оператора и соблюдения прав субъектов персональных данных.
В ходе осмотра разделов сайта Оператора, соглашения (договора), в т.ч. пользовательского соглашения (условий использования сайта), не обнаружено.
Таким образом, на сайте ООО отсутствует реализация функционала получения согласия субъекта персональных данных (посетителя сайта) на обработку его персональных данных, что является признаком нарушения ч. 1 ст. 6 Федерального закона № 152-ФЗ.
При анализе исходного кода главной страницы сайта выявлено использование функционала интернет-сервиса Яндекс-Метрика (метрические программы), позволяющего определить уникального посетителя сайта, формировать сведения о его предпочтениях и поведении на сайте, что указывает на обработку его персональных данных.
Так, например, в соответствии с п. 19 Условий использования сервиса «Яндекс.Метрика» (далее - Условия) все данные, собираемые и хранимые Сервисом, Яндекс рассматривает как персональные данные и конфиденциальную информацию (https://yandex.ru/legal/metrica_termsofuse).
Согласно п. 19.1 Условий Пользователь обязуется получить предусмотренные применимым законодательством согласия посетителей сайта. Пользователя на обработку персональных данных Яндексом в указанном объеме и в целях, указанных в настоящем Соглашении.
Вместе с тем, на сайте Оператора отсутствует реализация функционала получения согласия субъекта персональных данных (посетителя сайта) на обработку его персональных данных (метаданных) с использованием интернет-сервиса Яндекс-Метрика (метрические программы), что является признаком нарушения ч. 1 ст. 6 Федерального закона № 152-ФЗ.
В соответствии с ч. 1 ст 23 Федерального закона № 152-ФЗ, Уполномоченным органом по защите прав субъектов персональных данных является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи, на который возложено осуществление функций по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных. В соответствии с Положением «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций», утвержденным постановлением Правительства Российской Федерации от 16.03.2009 № 228, на территории _области таким органом является Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по _области.
На основании ст. 23 Федерального закона № 152-ФЗ требуем принять меры по приведению деятельности Оператора ООО по обработке персональных данных в соответствие с требованиями законодательства в области обработки персональных данных, а также:
- представить сведения о правовых основаниях обработки персональных данных посредством интернет-сервиса «Яндекс.Метрика»;
- в случае отсутствия согласий субъектов персональных данных или иных правовых оснований сбора персональных данных, предусмотренных ст. 6 Федерального закона № 152-ФЗ, в соответствии с ч. З ст. 21 Федерального закона № 152-ФЗ, просим принять меры к удалению информации, содержащей персональные данные субъектов, в десятидневный срок.
Представить мотивированные пояснения по существу выявленных признаков нарушения требований и проинформировать Управление о принятых мерах Оператор обязан в сроки, установленные ч. 4 ст. 20 Федерального закона № 152-ФЗ (в течение десяти рабочих дней с даты получения данного запроса).
Одновременно сообщаем, что Вы можете быть привлечены к административной ответственности в случае неповиновения законному требованию должностного лица органа, осуществляющего государственный контроль (надзор) по ст. 19.4 КоАП РФ; за непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений, представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности по ст. 19.7 КоАП РФ.
Доступ ограничен
Доступ предоставляется авторизованным пользователям
См. процедуру заказа и стоимость доступа к материалу
Для авторизации, нажмите в верхнем меню ссылку Войти. Далее следуйте инструкциям
См. подробную инструкцию по авторизации