Что обязано быть на сайте медицинской клиники: требования трёх законов

Единственный документ, который 152-ФЗ прямо требует опубликовать на сайте (ст.18.1 152-ФЗ). На медсайте она должна дополнительно описывать обработку данных о состоянии здоровья, правовые основания и сроки хранения. Размещается в открытом доступе — кликабельная ссылка в подвале на каждой странице, а не PDF, который надо искать. Частая ошибка: скачанный из интернета шаблон без раздела о спецкатегориях — формально политика есть, но под медицину она не подходит.

Каждая форма — запись к врачу, обратный звонок, онлайн-консультация — должна содержать отдельный незаполненный чекбокс согласия на обработку ПД (ст.9). Предзаполненная галочка согласием не считается. А если форма запрашивает симптомы, диагноз или специальность врача — это уже спецкатегория ПДн по ст.10 152-ФЗ, и согласие на данные о здоровье оформляется отдельно от согласия с политикой. Стандартного «согласен с политикой» здесь недостаточно — это самое частое нарушение на медсайтах.

Яндекс.Метрика, Google Analytics, виджеты CRM и мессенджеров обрабатывают ПД через cookie. Баннер с запросом согласия должен появляться до их загрузки, а не после. Молчаливое согласие («продолжая пользоваться сайтом, вы соглашаетесь…») РКН не принимает — нужно активное действие пользователя. Технически частая ошибка: баннер стоит, но счётчики грузятся сразу при открытии страницы, до клика — тогда согласие фиктивно.

Google Analytics, YouTube-вставки, reCAPTCHA, Google Fonts, зарубежный хостинг — всё это передаёт данные посетителей за рубеж. Клиника обязана уведомить РКН о трансграничной передаче до её начала (ст.12) — через личный кабинет на портале РКН. Если сервис уже работает без уведомления, нарушение уже есть. По нашим данным, среди медсайтов с зарубежной аналитикой уведомление подали единицы.

В политике и на странице контактов: полное наименование юрлица (или ФИО для ИП), ИНН, юридический адрес, e-mail и телефон для обращений по вопросам ПД. Без них субъект не может реализовать право обращения к оператору, и у РКН появляется отдельное основание для предписания. Проверьте, что реквизиты совпадают с данными в ЕГРЮЛ — особенно если клиника меняла адрес или организационно-правовую форму.

На сайте: номер лицензии, дата выдачи, наименование лицензирующего органа и перечень разрешённых видов деятельности. «Клиника лицензирована» без реквизитов не годится — пациент должен иметь возможность сверить данные в реестре Росздравнадзора. После перехода на реестровую модель лицензий (2021) на сайте достаточно реквизитов лицензии и ссылки на реестр, скан-копия не обязательна.

По каждому врачу: ФИО, занимаемая должность, специальность, уровень образования, квалификационная категория и учёные звания (при наличии). Фотография законом не требуется, но снижает число жалоб и повышает доверие. Частая ошибка — раздел «Наши врачи» с одними ФИО и фото, без образования и специальности: формально сведения о работниках есть, но требование 323-ФЗ не закрыто.

Список услуг на сайте должен соответствовать видам деятельности в лицензии. Реклама услуги, которой нет в лицензии, — нарушение сразу 323-ФЗ и 38-ФЗ. Особенно внимательно стоит проверить «модные» направления (косметология, эстетическая медицина), которые маркетинг добавляет на сайт раньше, чем их вносят в лицензию.

Если клиника оказывает платные услуги, по Постановлению Правительства РФ №736 (правила предоставления платных медуслуг, действует с 2023 года) на сайте должны быть: правила оказания платных услуг, прайс с ценами, порядок заключения договора и сведения об исполнителе. Это отдельное требование сверх перечня услуг по ст.79 — частая ошибка: цены на сайте есть, а правил платных услуг и порядка договора нет. Невыполнение даёт основание для претензий потребителей по ЗоЗПП. Наш сканер проверяет это отдельным пунктом.

Информация о правах пациента (гл.4 323-ФЗ) должна быть доступна на сайте. Отдельно — порядок обжалования действий клиники с контактами Росздравнадзора и его территориального органа. Пациент должен понимать, куда пожаловаться, не уходя с сайта. Это требование закрывают единицы клиник — обычно есть «права пациента», но нет порядка обжалования и контактов надзорного органа.

Если клиника принимает ИДС в электронном виде или через сайт — форма согласия должна быть доступна для предварительного ознакомления (виды вмешательства, риски, альтернативы, право на отказ). Если ИДС подписывается только очно — на сайте достаточно упоминания об этом порядке. Полный текст — ст.20 323-ФЗ.

Актуальные часы приёма, телефон, адрес. Расхождение расписания на сайте с реальным режимом Росздравнадзор фиксирует как нарушение требований к информированию пациентов. Отдельно проверьте филиалы: часто на сайте сети режим работы указан только для головной клиники.

Если клиника работает в системе ОМС — на сайте должно быть, какие услуги оказываются бесплатно по полису и каков порядок их получения (территориальная программа госгарантий). Это особенно важно для клиник, которые принимают и по ОМС, и платно: пациент должен понимать границу между бесплатной и платной помощью.

Реклама медуслуг должна содержать предупреждение о наличии противопоказаний и необходимости консультации специалиста (ч.7 ст.24 38-ФЗ). Требование распространяется на рекламные баннеры, pop-up, промостраницы и e-mail-рассылки — на всё, что имеет признаки рекламы. Предупреждение должно быть читаемым и заметным, не мелкой сноской; стандартная формулировка — «Имеются противопоказания. Необходима консультация специалиста». Для отдельных форматов рекламы закон задаёт минимальную долю площади под предупреждение.

Информационные страницы с описанием услуг и статьи блога чаще всего рекламой не являются. Но явные призывы и стимулы («запишитесь сейчас», «скидка 30% до конца месяца», акционные баннеры) ФАС может квалифицировать как рекламу — и тогда предупреждение обязательно. Граница размытая, поэтому к промо-блокам и акциям предупреждение лучше добавлять по умолчанию.

Да, безусловно. Любая медицинская организация, собирающая данные пациентов через сайт, обязана опубликовать политику обработки персональных данных (ст.18.1 152-ФЗ). Для медицинских сайтов требования строже: вы обрабатываете спецкатегорию ПД — данные о здоровье, которые требуют отдельного правового обоснования и расширенного описания мер защиты.

Нужен, если установлены любые счётчики — Яндекс.Метрика, Google Analytics, CRM-виджеты, чаты поддержки. Все они обрабатывают персональные данные пользователей через cookie, и согласие нужно получить до их активации. Отсутствие рекламы не освобождает от требований 152-ФЗ.

Отсутствие лицензионных реквизитов — нарушение ст.79 323-ФЗ. Росздравнадзор выносит предписание и вправе инициировать внеплановую проверку всей деятельности организации. Дополнительный риск: пациент, не нашедший лицензию, может пожаловаться — и это уже самостоятельное основание для проверки.

До начала передачи — без исключений (ст.12 152-ФЗ). Если на сайте уже работает Google Analytics или другой зарубежный сервис без уведомления — нарушение уже есть. Уведомление подаётся через личный кабинет на портале РКН. Проверить наличие зарубежных сервисов на конкретном медсайте можно через индекс медсайтов ScanBase.

Закон не устанавливает конкретного срока, но требует актуальности информации. На практике — при любом изменении: увольнение врача, получение новой категории, смена специальности. Неактуальные сведения (врач на сайте, которого уже нет в клинике) — риск жалобы пациента и основание для проверки Росздравнадзора.