Материал обновлен 29.10.2025. Использование электронной почты и иностранных мессенджеров для направления информации и обмена документами с пациентами

Материал обновлен 29.10.2025. Использование электронной почты и иностранных мессенджеров для направления информации и обмена документами с пациентами

Борисов Д.А. / 29 Октября 2025 / просмотров 6277

Обновление материала, перейти к содержанию

29.10.2025. Добавлен вопрос 5 об использовании иностранных мессенджеров для коммуникации с пациентами в системе ОМС и раздел 9 "Использование иностранных мессенджеров для коммуникации с пациентами в системе ОМС"

08.08.2025. Добавлен вопрос 4 о формулировках, включаемых в согласие пациента на передачу его медицинских документов на указанную им электронную почту

04.04.2025. Добавлен раздел 8. Получение согласия пациента на использование его электронной почты для направления ему информационных сообщений рекламного характера

27.03.2025. Добавлен раздел 7. Позиция органов власти по вопросу направления пациенту его медицинских документов на указанную им электронную почту или с использованием иностранных мессенджеров

25.02.2025. Добавлены вопросы 2 и 3 о направлении пациенту его медицинских документов на указанную им электронную почту и раздел 6. Согласие на передачу персональных данных третьим лицам

Вопрос 1. Мы используем сторонний сервис (серверы компании находятся на территории РФ) для рассылки автоматических сообщений через WhatsApp для получения обратной связи (оценка сервиса от 1 до 5 и отправка ссылки на отзыв на площадках Яндекс, Гугл и т. д.).

Подскажите, пожалуйста, на сколько корректна (с точки зрения закона о персональных данных) отправка сообщения нашему пациенту с обращением по имени отчеству, с учётом того, что само сообщение проходит через серверы WhatsApp, которые находятся не на территории России.

Из персональных данных в нашем случае: номер телефона, имя, отчество, сам факт обращения в клинику – больше, конечно, ничего не фигурирует.

Ответ на вопрос 1. См. разделы 1 - 5.

Вопрос 2. Возможно ли в одном документе объединить Согласие на обработку персональных данных пациента (СОПД) пациента на обработку и передачу (распространение) его персональных данных заранее известным третьим лицам?

Например, согласие на обработку персональных данных

Я пациент даю ООО _ согласие на обработку своих персональных данных ...

_ дата, подпись пациента

Я, пациент, даю согласие на передачу персональных данных следующим третьим лицам _

дата, подпись пациента

То есть, эти два согласия будут в одном документе или обязательно разделять на два разных документа: отдельный документ для обработки, другой документ для передачи?

Уточнение: имеется ввиду не распространение персональных данных неопределенному кругу лиц, а предоставление определенному кругу лиц.

Автор. Для более полного ответа прошу сообщить детали:

1) цель передачи (распространения) персональных данных заранее известным третьим лицам. Опишите ситуацию, срок обработки;

2) опишите примерно сколько лиц, физические или юридические лица.

Уточнение вопроса. Согласие от пациента дается именно на обработку и предоставление ПДн определенному кругу третьих лиц, но не для распространения неопределенному кругу, не для размещения на сайте клиники.

1) цели обработки: заполнение амбулаторной карты, ведение базы пациентов, запись пациентов к врачу, передача данных из клиники в клинику, передача данных в ЕГИСЗ;

2) 6 юридических лиц (клиники), входящие в сеть центров под одним брендом и ЕГИСЗ.

Ответ. В данном вопросе можно выделить два аспекта: 1) юридический, связанный с оформлением согласия; 2) технический, связанный с организацией сети передачи данных, который в свою очередь может породить дополнительные материальные и юридические последствия.

Ответ на вопрос 2. См. раздел 6.

Вопрос 3. Имеет ли право медицинская организация направлять самому пациенту или законному представителю документы с ПДн пациента по электронной почте? Например, копию амбулаторной карты или справку для налогового вычета?

Ответ. Формально использование электронной почты не запрещено, но есть несколько нюансов:

1) приказом Минздрава такой способ не предусмотрен;

2) Правилами предоставления платных услуг предусмотрено наличие в договоре условия о выдаче документов, то есть в договоре можно предусмотреть использование электронной почты. Возникают вопросы: не будет ли это противоречить приказу Минздрава, требуется ли включить это в согласие на обработку ПДн?

3) отдельный вопрос связан с использованием в процессе обмена программных средств, сервера которых находятся за рубежом, в части трансграничной передачи и хранения ПДн за рубежом.

Национальная Ассоциация медицинских организаций обратилась в Правительство РФ (19.02.2025 исх. N 01-п/25) по вопросу о направлении пациенту его медицинских документов на указанную им электронную почту. Далее приводится текст обращения.

Согласно подпункту 4 пункта 2 Порядка, утв. Приказом Минздрава России от 31.07.2020 N 789н "Об утверждении порядка и сроков предоставления медицинских документов (их копий) и выписок из них", пациент вправе указать в запросе в качестве способа получения электронных документов: направление в личный кабинет пациента на ЕПГУ с использованием ЕГИСЗ или посредством информационных систем, указанных в частях 1 и 5 статьи 91 Федерального закона от 21 ноября 2011 г. N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации". Таким образом, направление пациенту его медицинских документов на указанную им электронную почту данным Порядком не предусмотрено.

Вместе с тем, согласно подпункту "м" пункта 23 Правил предоставления медицинскими организациями платных медицинских услуг, увт. Постановлением Правительства РФ от 11.05.2023 N 736, договор должен содержать порядок и условия выдачи потребителю после исполнения договора исполнителем медицинских документов.

Прошу ответить на вопросы:

Вопрос 1. Правомерно ли направление медицинской организацией пациенту его медицинских документов на указанную им электронную почту в отечественном домене MAIL.RU или YANDEX.RU или зарубежном домене GMAIL.COM, если это предусмотрено договором?

Вопрос 2. Требуется ли указанные в вопросе 1 условия договора включить в согласие на обработку персональных данных?

Вопрос 3. Не будет ли являться трансграничной передачей персональных данных (ПДн) направление документов на электронную почту пациента в зарубежном домене GMAIL.COM?

Вопрос 4. Не подпадает ли направление документов на электронную почту пациента в зарубежном домене GMAIL.COM под действие ч. 8 ст. 13.11 КоАП (хранение ПДн за рубежом)?

Вопрос 5. Влияет ли на оценку правомерности действий оператора в ситуации, указанной в вопросе 1, применение в качестве технической меры по обеспечению безопасности ПДн направления документов в архиве (.ZIP или .RAR), защищенном паролем, с отправкой пароля в SMS сообщении на номер телефона, указанный пациентом в договоре?

Вопрос 6. Прошу ответить на вопросы 1 — 5 применительно к использованию иностранных мессенджеров WhatsUp или Telegram?

Ответ на вопрос 3, включая позицию органов власти по вопросу направления пациенту его медицинских документов на указанную им электронную почту или с использованием иностранных мессенджеров, см. раздел 7.

Выводы и комментарии автора по вопросу 3

1. Договор должен содержать порядок и условия выдачи потребителю после исполнения договора медицинских документов (копии медицинских документов, выписки из медицинских документов), отражающих состояние его здоровья, включая сведения о результатах обследования, диагнозе, методах лечения, об используемых при предоставлении платных медицинских услуг лекарственных препаратах и медицинских изделиях, без взимания дополнительной платы.

Обработка персональных данных может осуществляться без согласия субъекта в случае, если она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

Однако, применительно к данному случаю (отправка на электронную почту пациенту медицинской документации) обработка специальных категорий персональных данных, касающихся состояния здоровья, не допускается, за исключением случая, при котором субъект персональных данных дал согласие в письменной форме.

Порядок и сроки предоставления медицинских документов (их копий) и выписок из них устанавливают правила и условия выдачи медицинскими организациями пациенту, в том числе медицинской карты пациента, результатов лабораторных, инструментальных, патолого анатомических и иных видов диагностических исследований, иных медицинских документов, копий медицинских документов и выписок из медицинских документов, если иной порядок предоставления не предусмотрен законодательством, урегулированы приказом Минздрава России от 31.07.2020 N 789н "Об утверждении порядка и сроков предоставления медицинских документов (их копий) и выписок из них".

Законодательством предусмотрено право медицинской организации выдавать медицинские заключения, справки, рецепты на лекарственные препараты и медицинские изделия на бумажном носителе и (или) с согласия пациента или его законного представителя в форме электронных документов с использованием усиленной квалифицированной электронной подписи медицинского работника в порядке, установленном уполномоченным федеральным органом исполнительной власти. Указанный порядок утвержден приказом Минздрава России от 14.09.2020 N 972н "Об утверждении Порядка выдачи медицинскими организациями справок и медицинских заключений".

Для получения медицинских документов (их копий) или выписок из них пациент представляет запрос на бумажном носителе (при личном обращении или по почте) либо запрос, сформированный в форме электронного документа (1), подписанного с использованием усиленной квалифицированной электронной подписи (2) или простой электронной подписи (3) посредством применения федеральной государственной информационной системы (4), единой системы идентификации и аутентификации (5), федеральных государственных информационных систем (6), государственных информационных систем (7), медицинских информационных систем (8), иных информационных систем (9), который составляется в свободной форме и содержит, в частности адрес электронной почты (при наличии).

Включение медицинской организацией в договор на оказание платных медицинских услуг возможности предоставления медицинских документов по адресу электронной почты пациента в случае предоставления его письменного согласия на указанную обработку персональных данных не противоречит нормам указанных Порядков и законодательству Российской Федерации в области персональных данных.

2. Трансграничная передача персональных данных - это передача персональных данных на территорию иностранного государства органу власти (1) иностранного государства, иностранному физическому лицу (2) или иностранному юридическому лицу (3).

В вышеуказанном определении перечень лиц, которым может осуществляться трансграничная передача персональных данных, является закрытым и в нем отсутствует упоминание субъектов персональных данных, следовательно, предоставление медицинских документов по адресу электронной почты пациента, указанной в его письменном согласии на обработку персональных данных, не является трансграничной передачей персональных данных.

Направление документов на электронную почту пациента, находящуюся в том числе в зарубежном домене GMAIL.COM, не подпадает под действие части 8 статьи 13.11 КоАП в контексте использования баз данных, находящихся на территории РФ, для обработки персональных данных граждан РФ.

3. Оператор самостоятельно решает, каким способом обеспечить безопасность передачи персональных данных граждан, при условии, что такая передача соответствует требованиям, предъявленных к обеспечению информационной безопасности при обработке персональных данных граждан.

К основным направлениям деятельности органов ФСБ России относится обеспечение информационной безопасности. ФСТЭК России реализует в пределах своей компетенции государственную политику в области в том числе технической защиты информации.

В этой связи по вопросам обеспечения информационной безопасности при обработке персональных данных необходимо обращаться в ФСБ России и ФСТЭК России.

4. Использование мессенджеров WhatsApp или Telegram для передачи документов, содержащих персональные данные граждан Российской Федерации, запрещено.

Вопрос 4.  Ввиду ужесточения наказания за раскрытие персональных данных мы перестали отправлять информацию по пациенту на почту и WhatsApp. С юридической точки зрения, можем ли мы добавить в согласие на обработку ПДн следующий текст:

Я уведомлен / а, что электронная почта не является защищенным каналом связи. Полностью осознаю и беру на себя все риски связанные с тем, что отправленная медицинским учреждением персональная информация может стать доступной третьим лицам, получившим доступ к моей электронной почте. Я несу личную ответственность за сохранность переданных сведений.

Можем ли в данный текст добавить каналы связи WhatsApp и Telegram?

Ответ на вопрос 4. Обратите внимание на:

- вопрос 3 о направлении пациенту его медицинских документов на указанную им электронную почту, в частности на выводы и комментарии автора по вопросу 3;

- раздел 7 "Позиция органов власти по вопросу направления пациенту его медицинских документов на указанную им электронную почту или с использованием иностранных мессенджеров"

Предлагаю использовать следующий текст для включения в согласие:

Я уведомлен (а), что электронная почта не является защищенным каналом связи. Полностью осознаю и беру на себя все риски связанные с тем, что отправленные медицинской организацией на указанный мной адрес электронной почты мои персональные данные, сведения о состоянии моего здоровья, охраняемые врачебной тайной, могут стать доступными третьим лицам, получившим доступ к моей электронной почте. Я принимаю ответственность за сохранность переданных мне сведений.

Как следует из ответа Минцифры использование WhatsApp и Telegram запрещено для перечисленных в законе организаций.

Вопрос 5. НАМО обратилась (исх. N 17-c/25 от 03.10.2025) в Роскомнадзор за разъяснениями по вопросу использования иностранных мессенджеров для коммуникации с пациентами в системе ОМС. Далее приводится текст письма.

В целях правильного толкования законодательства Российской Федерации при осуществлении медицинской деятельности медицинскими организациями, просим разъяснить некоторые вопросы, связанные с возможностью направления медицинскими организациями, являющимися участниками системы обязательного медицинского страхования (далее – ОМС), информационных сообщений гражданам РФ (пациентам) с помощью иностранных мессенджеров ("Telegram", "WhatsApp").

01.06.2025 вступил в силу закон Федеральный закон от 01.04.2025 N 41-ФЗ "О создании государственной информационной системы противодействия правонарушениям, совершаемым с использованием информационных и коммуникационных технологий, и о внесении изменений в отдельные законодательные акты Российской Федерации" (далее – Закон N 41-ФЗ), положения которого устанавливают запрет любые на электронные коммуникации посредством "Telegram", "WhatsApp" и других иностранных мессенджеров с гражданами РФ для определенных категорий субъектов и в определенных случаях.

Закон N 41 - ФЗ прямо указывает, что запрет распространяется только на стратегически важные организации и инфраструктуры, чья деятельность критична для государства.

Согласно ч. 8 ст. 10 федерального закона от 27.07.2006 N 149-ФЗ (ред. от 24.06.2025) "Об информации, информационных технологиях и о защите информации" запрещается при предоставлении государственных и муниципальных услуг, выполнении государственного или муниципального задания, … использование принадлежащих иностранным юридическим лицам и (или) иностранным гражданам информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для обмена электронными сообщениями исключительно между пользователями этих информационных систем и (или) программ для электронных вычислительных машин, при котором отправитель электронного сообщения определяет получателя или получателей электронного сообщения и не предусматривается размещение пользователями сети "Интернет" общедоступной информации в сети "Интернет", для передачи платежных документов и (или) предоставления информации, содержащей персональные данные граждан Российской Федерации, данные о переводах денежных средств в рамках применяемых форм безналичных расчетов, сведения, необходимые для осуществления платежей и (или) сведения о счетах (вкладах) граждан Российской Федерации в банках.

Медицинские организации, обратившиеся за разъяснениями, являются частными медицинскими организациями, оказывающими медицинские услуги как на коммерческой основе, так и в рамках программы государственных гарантий бесплатного оказания медицинской помощи (по ОМС).

В рамках реализации базовой программы обязательного медицинского страхования и территориальной программы обязательного медицинского страхования на соответствующий год:

- в интересах пациентов между медицинскими организациями, территориальными фондами и страховыми медицинскими организациями заключены договоры на оказание и оплату медицинской помощи по обязательному медицинскому страхованию по типовой форме, утвержденной приказом Министерства здравоохранения РФ от 30 декабря 2020 г. N 1417н;

- в процессе исполнения договоров по результатам оказания медицинских услуг организации получают оплату от Территориального фонда обязательного медицинского страхования.

В практической деятельности для улучшения качества сервиса медицинскими организациями планируется направление уведомления пациентам (информирование) о предстоящей записи на прием к врачу следующего содержания:

"Добрый день! Напоминаем, что вы записаны к врачу-терапевту на 15.09.2025 в 15:00".

При этом сообщение будет содержать только информацию о факте записи на прием: дату, время, специальность врача, и не раскрывать личные данные пациента: ФИО, дата рождения и т.п., медицинский диагноз или характер оказываемой медицинской помощи.

Рассматривается возможность направления таких уведомлений по номеру телефона пациентов с использованием иностранных мессенджеров (WhatsApp, Telegram и др.).

Помимо изменений, внесенных в нормативно-правовые акты Законом N 41-ФЗ, с 01.07.2025 г. вступили в силу обновленные положения п. 5 ст. 18 Федерального закона N 152-ФЗ "О персональных данных" от 27.07.2006 г. (далее – Закон N 152-ФЗ) согласно которым по общему правилу при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся за пределами территории Российской Федерации, не допускаются.

Важно отметить, что несмотря на тот факт, что обмен информацией осуществляется через иностранный мессенджер и пациент, и медицинская организация находятся на территории РФ, их абонентские номера зарегистрированы на территории РФ.

Как пояснила Анна Кононенко (начальник отдела организации контрольной Министерства цифрового развития, связи и массовых коммуникаций РФ в июне 2025 г.), направление информации, содержащей персональные данные, посредством иностранных мессенджеров пользователям, находящимся на территории РФ, не будет являться трансграничной передачей.

С учетом вышеуказанных обстоятельств

ПРОШУ:

1) дать разъяснения по следующим вопросам:

Вопрос 1. Будет ли являться персональными данными информация о факте записи на прием: дату, время, специальность врача, не раскрывая личные данные пациента: ФИО, дата рождения, медицинский диагноз или характер оказываемой медицинской помощи и т. п., направленная на телефонный номер пациента посредством иностранного мессенджера?

Вопрос 2. Распространяется ли на частную медицинскую организацию, оказывающую медицинскую помощь населению по ОМС, запрет, установленный Законом N 41-ФЗ на использование иностранных мессенджеров для передачи персональных данных?

Вопрос 3. Считается ли деятельность по оказанию медицинской помощи в системе ОМС "исполнением государственного или муниципального задания / заказа" по смыслу Закона N 41-ФЗ?

Вопрос 4. Будет ли считаться отправка информации, содержащей персональные данные через иностранный мессенджер, обработкой персональных данных с использованием баз данных, находящихся за пределами территории Российской Федерации, в случае, если медицинская организация и пациенты находятся на территории РФ, их абонентские номера зарегистрированы на территории РФ?

Вопрос 5. Будет ли случай указанный в вопросе 4 являться трансграничной передачей данных?

Ответ Роскомнадзора на вопросы см. в разделе 9.

Содержание

1. Схема обработки и категории персональных данных, обрабатываемых при сборе обратной связи от пациентов с использованием иностранных мессенджеров

2. Необходимость получения согласия пациента на автоматический обмен сообщениями с использованием иностранных мессенджеров

3. Уведомления Роскомнадзора о намерении осуществлять обработку персональных данных и осуществлять трансграничную передачу персональных данных

4. Трансграничная передача персональных данных в процессе использования иностранных мессенджеров

5. Запрет на использование иностранных мессенджеров и необходимость локализации баз данных российских пользователей на территории России

6. Согласие на передачу персональных данных третьим лицам

7. Позиция органов власти по вопросу направления пациенту его медицинских документов на указанную им электронную почту или с использованием иностранных мессенджеров

8. Получение согласия пациента на использование его электронной почты для направления ему информационных сообщений рекламного характера

9. Использование иностранных мессенджеров для коммуникации с пациентами в системе ОМС

Перечень нормативных правовых актов

1. "Кодекс Российской Федерации об административных правонарушениях" от 30.12.2001 N 195-ФЗ

2. Федеральный закон от 01.04.2025 N 41-ФЗ "О создании государственной информационной системы противодействия правонарушениям, совершаемым с использованием информационных и коммуникационных технологий, и о внесении изменений в отдельные законодательные акты Российской Федерации"

3. Федеральный закон от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации"

4. Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных"

5. Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"

6. Федеральный закон от 03.04.1995 N 40-ФЗ "О федеральной службе безопасности"

7. Указ Президента РФ от 16.08.2004 N 1085 "Вопросы Федеральной службы по техническому и экспортному контролю"

8. Постановление Правительства РФ от 30.12.2024 N 1994 "Об утверждении правил оказания услуг телефонной связи и перечня организаций, имеющих право осуществлять подтверждение сведений об абоненте - физическом лице"

9. Постановление Правительства РФ от 11.05.2023 N 736 "Об утверждении Правил предоставления медицинскими организациями платных медицинских услуг, внесении изменений в некоторые акты Правительства Российской Федерации и признании утратившим силу постановления Правительства Российской Федерации от 4 октября 2012 г. N 1006"

10. Приказ Роскомнадзора от 21.02.2023 N 22 "Об утверждении Порядка формирования и размещения на официальном сайте Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций в информационно-телекоммуникационной сети "Интернет" перечня информационных систем и (или) программ для электронных вычислительных машин, указанных в части 8 статьи 10 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации"

11. Приказ Роскомнадзора от 05.08.2022 N 128 "Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных"

12. "Перечень информационных систем и (или) программы для электронных вычислительных машин, указанных в ч. 8 ст. 10 Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", утв. Роскомнадзором 05.05.2023

13. Приказ Минздрава России от 14.09.2020 N 972н "Об утверждении Порядка выдачи медицинскими организациями справок и медицинских заключений"

14. Приказ Минздрава России от 31.07.2020 N 789н "Об утверждении порядка и сроков предоставления медицинских документов (их копий) и выписок из них"

15. Приказ ФСБ России от 10.07.2014 N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности"

16. Приказ ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"

17. Приказ ФСТЭК России от 11.02.2013 N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах"

1. Схема обработки и категории персональных данных, обрабатываемых при сборе обратной связи от пациентов с использованием иностранных мессенджеров

Вначале рассмотрим схему обработки персональных данных и оценим категории персональных данных, обрабатываемых в данной схеме сбора обратной связи.

Клиника среди прочего собирает персональные данные пациентов, обратившихся в клинику, в объеме: номер телефона, имя, отчество.

Клиника передает эти данные сторонней организации, которая сохраняет их на своих серверах на территории РФ.

Сторонняя организация, используя указанные данные, осуществляет автоматическую рассылку сообщений с помощью программы WhatsApp, что может приводить к сохранению текста сообщения, идентифицируемого по номеру телефона пациента, на серверах корпорации Мета (США) (например, при настройке архивации данных чата), т. е. за пределами РФ.

Пациенты формируют ответное сообщение, которое включает оценку условий оказания медицинских услуг в клинике и возможно ссылки на отзывы в сети Интернет, размещенные пациентом, о посещении клиники, что может приводить к сохранению текста сообщения, идентифицируемого по номеру телефона пациента, включая ссылки на отзывы о посещении клиники, на серверах корпорации Мета (США) (например, при настройке архивации данных чата), т. е. за пределами РФ.

Рассмотрим решение Замоскворецкого районного суда по делу 12-2028/22. Суд рассмотрел апелляционную жалобу на постановление мирового судьи судебного участка № 101 по делу об административном правонарушении, предусмотренном ч.1 ст. 13.11 КоАП, в отношении ООО «Яндекс.Еда» (далее - Общество), ОГРН1187746035730, ИНН 9705114405, которым был назначен штраф 60 тыс. руб. за утечку персональных данных клиентов, заказывавших доставку еды.

Согласно указанному постановлению установлено, что Общество осуществляет свою деятельность с нарушением требований законодательства в сфере связи, информационных технологий и массовых коммуникаций, а именно, в ходе мониторинга электронных средств массовой информации Роскомнадзором на интернет-ресурсе https://itarmy.to установлен факт наличия персональных данных пользователей в объеме: имя, адрес заказа (адрес места жительства), номер телефона, сведения о заказе пользователя, сведения об абонентском устройстве пользователя, - сервиса, принадлежащего Обществу, что повлекло предоставление доступа неопределенному кругу лиц к персональным данным пользователей сервиса (снимки с экрана прилагаются), что является нарушением ч.1 ст. 6 Федерального закона от дата № 152-ФЗ «О персональных данных».

Роскомнадзором в адрес Общества направлен запрос о предоставлении информации по вопросу утечки персональных данных пользователей сервиса. По предоставленной Обществом информации, стало известно о размещении в сети «Интернет» базы данных пользователей сервиса в результате недобросовестных действий сотрудника Общества. Как следует из уведомления от 25.03.2022 № 32417 об инциденте безопасности персональных данных клиентов Общества в результате недобросовестных действий сотрудника Общества в сеть попала база заказов, содержащая данные о пользователях и заказах с июля по н.в.

Факт совершения административного правонарушения и виновность Общества подтверждены совокупностью доказательств, достоверность и допустимость которых сомнений не вызывают, а именно:

- протоколом № АП-77/08/1055 об административном правонарушении, отражающим сам факт и событие административного правонарушения наименование организации (л.д. 1-4);

- скриншотами с сайта (л.д.7-8);

- запросом № 08-11985 о предоставлении информации, согласно которому Обществу, необходимо предоставить информацию о мерах принятых по устранению доступа неопределенного круга лиц к персональным данным пользователей сервиса и недопущению распространения информации о персональных данных клиентов в будущем (л.д. 9-10);

- уведомлением от дата № 32417 об инциденте безопасности персональных данных клиентов Общества, в соответствии с которым в результате недобросовестных действий сотрудника Общества в сеть попала база заказов, содержащая данные о пользователях и заказах с дата по дата (л.д. 13-14).

Согласно статьи 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее — закон N 152-ФЗ):

персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (см. пункт 1);

обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных (см. пункт 9);

трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (см. пункт 11).

Таким образом, персональные данные в объеме: номер телефона, имя, отчество, факт обращения в клинику, - не являются обезличенными (1), на них в полном объеме (2) распространяются требования закона N 152-ФЗ.

Кроме того, в указанной схеме сбора обратной связи имеет место трансграничная передача данных.

2. Необходимость получения согласия пациента на автоматический обмен сообщениями с использованием иностранных мессенджеров

Согласно части 1 статьи 10 закона N 152-ФЗ персональные данные, касающиеся состояния здоровья, относятся к специальной категории персональных данных.

Согласно части 1 статьи 13 Федерального закона от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации" (далее — закон N 323-ФЗ) сведения о факте обращения гражданина за оказанием медицинской помощи (1), состоянии его здоровья (2) и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну.

Таким образом, можно сделать вывод о том, что согласно закону N 323-ФЗ сведения о факте обращения гражданина за оказанием медицинской помощи не являются сведениями о состоянии здоровья и, как следствие, не относятся к специальной категории персональных данных, предусмотренной части 1 статьи 10 закона N 152-ФЗ.

Вместе с тем, сбор обратной связи не подпадает под действие части 4 статьи 13 закона N 323-ФЗ, допускающей предоставление сведений, составляющих врачебную тайну, без согласия гражданина.

Таким образом, для использования указанной схемы сбора обратной связи необходимо согласие гражданина.

Согласно части 4 статьи 9 закона N 152-ФЗ согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

- цель обработки персональных данных (см. пункт 4, в данном случае - сбор обратной связи, оценка условий оказания медицинских услуг, получение ссылок на отзывы в сети Интернет);

- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных (см. пункт 5, в данном случае - номер телефона, имя, отчество, сведения о факте обращения гражданина за оказанием медицинской помощи);

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу (см. пункт 6, в данном случае — наименование организации, осуществляющей автоматический обмен сообщениями с использованием программы WhatsApp, установленной на устройстве связи пациента);

- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных (см. пункт 7, в данном случае — передача указанных персональных данных сторонней организации для осуществления автоматического обмена сообщениями с использованием программы WhatsApp, установленной на устройстве связи пациента, обработка с использованием средств автоматизации, трансграничная передача за пределы РФ указанных персональных данных).

Согласно части 2 статьи 13.11 "Кодекса Российской Федерации об административных правонарушениях" от 30.12.2001 N 195-ФЗ (далее — КоАП) обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, -

влечет наложение административного штрафа на юридических лиц - от тридцати тысяч до ста пятидесяти тысяч рублей.

Доступ ограничен

Доступ ограничен для неавторизованных пользователей

Для авторизации, выберите в верхнем меню пункт ВХОД, нажмите ссылку ВОЙТИ. Далее следуйте инструкциям

Подробнее см. процедуру авторизации