Обзвоны и рассылки: чем рискует клиника

О том, что купить базу и сделать по ней рекламную рассылку, плохая идея, знают многие. Но есть и другие маркетинговые инструменты, которые кажутся легальными, но их использование связано с рисками. Как клинике правильно работать с обзвонами и рассылками, чтобы не возникло проблем с законом, рассказывает юрист Мария Коробенкова.

В основе — два федеральных закона

Использование обзвонов и рассылок независимо от их цели должно подчиняться требованиям Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Если же они применяются в рекламных целях, также надо соблюдать Федеральный закон от 13.03.2006 № 38-ФЗ «О рекламе».

Защита персональных данных регламентирована Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». Он обязывает клинику принимать необходимые и достаточные меры для обеспечения сохранности данных пациентов. При использовании обзвонов и рассылок, разумеется, используются персональные данные — имя, телефон, адрес электронной почты.

Согласно ст. 6 Федерального закона «О персональных данных» их обработка допускается с согласия субъекта персональных данных, а также для заключения и исполнения договора. Поэтому само по себе наличие у клиники указанных данных пациента, получающего медицинские услуги, законно.

Вопрос же использования этих данных для рассылок и обзвонов не так прост. Рассмотрим несколько практических ситуаций.

Ситуация 1

Пациентка записалась на прием врача-косметолога. Накануне клиника направила ей смс с напоминанием о предстоящем визите: «Уважаемая Мария Леонидовна! Напоминаем, что Вы записаны на прием 20 февраля в 10:30 в BestClinic, ул. Красная, д. 1, тел. 323-23-23».

С одной стороны, клиника действует из лучших побуждений: такая рассылка напомнит пациентке о ее визите, чтобы она не пропустила прием. С другой стороны, мы прекрасно понимаем, что само по себе напоминание о приеме на исполнение договора не влияет, договор вполне может быть исполнен и без него.

Кроме того, текст сообщения содержит имя пациентки, что при попадании информации к третьим лицам может расцениваться как разглашение врачебной тайны — факта обращения пациентки в конкретную клинику.

Рекомендации

1. В применяемую форму согласия на обработку персональных данных включить в число целей обработки информирование и подтверждение записи на прием, в том числе, направление уведомлений и иной информации, касающихся оказания заказанных услуг.
2. Желательно предоставить пациенту право выбора удобного канала связи: телефон, СМС, e-mail. Осознанный выбор снизит риск получения в последующем претензий.
3. С целью сохранения конфиденциальности текст подтверждения следует формулировать максимально обезличено, без указания имени пациента.

Ситуация 2

Клиника закупила систему автообзвона. Ее работу обеспечивает специальное программное обеспечение (ПО), сопровождаемое разработчиком. Система используется для автоматического подтверждения записи: робот звонит пациенту, напоминает о запланированном визите, получает голосовое подтверждение или отказ и в зависимости от результата корректирует расписание приемов.

В этом случае необходимо детально разобраться, к каким данным может получить доступ разработчик ПО в рамках его обслуживания. Если поддержка ПО осуществляется автономно, без доступа к МИС и содержащейся в ней информации о пациентах, то дополнительных согласий от пациентов не требуется, так как их данные не раскрываются. Если же ПО интегрировано с МИС и разработчик получает доступ хотя бы к части информации, речь идет о передаче персональных данных. Такая передача может быть оформлена как обработка по поручению в соответствии с ч. 3 ст. 6 Федерального закона «О персональных данных».

Для этого в договор с разработчиком должен быть включен раздел о поручении обработки персональных данных, содержащий:

• их перечень;
• перечень совершаемых действий (операций);
• цели обработки;
• обязанность разработчика соблюдать конфиденциальность персональных данных и требования, предусмотренные ч. 5 ст. 18 и ст. 18.1 Федерального закона «О персональных данных»;
• обязанность предоставлять клинике по ее запросу документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения требований;
• обязанность обеспечивать безопасность персональных данных при их обработке;
• требования к защите обрабатываемых персональных данных в соответствии со ст. 19 Федерального закона «О персональных данных».

Лица, обрабатывающие персональные данные по поручению, не обязаны сами получать согласие на обработку, эта обязанность остается за оператором (клиникой). Поэтому клинике нужно получить согласие пациентов на поручение обработки их персональных данных разработчику.

Рекомендации

1. В форму согласия на обработку персональных данных включить в число целей обработки информирование и подтверждение записи на прием с использованием системы автоматического обзвона.
2. Если разработчик ПО получит доступ к информации о пациентах:
   • регламентировать работу разработчика с персональными данными — включить в договор соответствующий раздел;
   • в согласие на обработку персональных данных включить согласие на поручение обработки персональных данных разработчику;
   • текст согласия также можно дополнить оговоркой о разрешении передавать разработчику сведения, составляющие врачебную тайну, в части факта обращения в медицинскую организацию; сведения о состоянии здоровья, диагнозах и иные сведения, полученные при медицинском обследовании и лечении, передаче не подлежат.

Ситуация 3

Клиника ввела новую услугу и разослала пациентам электронные письма с рекламой по имеющейся базе.

Согласно ст. 18 Федерального закона «О рекламе» распространение рекламы по сетям электросвязи, в том числе посредством использования телефонной, факсимильной, подвижной радиотелефонной связи, допускается только при условии предварительного согласия абонента или адресата на получение рекламы.

Требования к форме согласия закон не устанавливает, однако при возникновении спора клинике обязано доказать, что адресат дал согласие на получение рекламы.

Следует также помнить об особых требованиях к рекламе медицинских услуг, установленных ст. 24 Федерального закона «О рекламе».

Рекомендации

1. Базу контактов для рекламных рассылок формировать отдельно.
2. Письменно фиксировать разрешение пациента на использование его контактных данных в рекламных целях.
3. В рассылке оставлять активную ссылку для отписки от получения рассылки.

Риски

При выявлении нарушений требований к обработке персональных данных клиника может быть привлечена к административной ответственности по ст. 13.11 КоАП РФ. Например, штраф за обработку персональных данных без согласия для юрлица составит до 300 тыс. руб.

Не забывайте, что с 30.05.2025 в ст. 13.11 КоАП РФ появится новый состав — действия (бездействие), повлекшие неправомерную передачу информации, содержащей персональные данные. Штраф по ней весьма высоки: для общих персональных данных они доходят до 5 млн руб.

Нарушения в сфере обработки персональных данных выявляет и фиксирует Роскомнадзор.

Нарушения законодательства о рекламе выявляет Федеральная антимонопольная служба. Ответственность за них предусмотрена ст. 14.3 КоАП РФ.

Штраф за нарушение требований к рекламе, распространяемой по сетям электросвязи, для юрлица может составить до 1 млн руб. А нарушение требований к рекламе медицинских услуг грозит штрафом до 500 тыс. руб.

Блицвопросы

Что делать, если клиент пожаловался на рассылку администрации клиники?

Необходимо проверить, получила ли клиника согласие на рассылку. Если оно есть — указать, что рассылка производится на основании письменного согласия, и разъяснить действующий порядок отказа от ее получения.

Если согласия на рассылку нет, нужно немедленно исключить клиента из адресной базы. Желательно принести ему извинения за беспокойство.

Что делать, если клиент пожаловался на рассылку в контрольно-надзорные органы? Как избежать штрафа?

Жалоба клиента в органы госнадзора и контроля могут привести к проверке клиники и возбуждении дела об административном правонарушении.

При поступлении информации о жалобе целесообразно действовать по рекомендациям к вопросу 1, а кроме того активно взаимодействовать с проверяющими, внимательно относиться к передаваемым документам и при необходимости обращаться за правовой помощью.

Смягчить ответственность помогут обстоятельства, предусмотренные ст. 4.2 КоАП РФ. Если клиника не отрицает очевидное нарушение, содействует в его расследовании, добровольно прекращает неправомерные действия, это может сократить размер штрафа.

Кроме того, клиника может просить о замене штрафа на предупреждение в соответствии со ст. 4.1.1 КоАП РФ. Однако эта возможность применима только к нарушениям, совершенным впервые.