Создаю сервис по заполнению справок КНД 1151156 На сайте 2 кнопки скачать

Здравствуйте, Дмитрий!

Вы поднимаете очень важный и грамотный вопрос, особенно на старте сервиса, который имеет дело с информацией о клиентах клиники.

Да, заполнение и загрузка шаблона КНД 1151156 с данными о пациентах (ФИО, ИНН, суммы оплат и т.п.) – это обработка персональных данных, причём в данном случае может идти речь и о специальных категориях персональных данных, если в шаблоне содержатся сведения о медицинских услугах.

Ваша роль зависит от того, кто является оператором персональных данных. Если вы просто предоставляете технический инструмент (например, сайт), а фактическую обработку осуществляет клиника – вы обрабатывающий, а не оператор. Однако и в этом случае вы обязаны соблюдать 115-ФЗ «О персональных данных».

Чтобы юридически грамотно подготовиться к запуску, рекомендую следующие шаги:

— Заключить договор с клиниками (или другими пользователями), где будет прямо указано, что вы обрабатываете данные как обработчик по поручению, и все действия с данными производятся по их указанию, с соблюдением закона.
— Разместить пользовательское соглашение и политику конфиденциальности на сайте, где прописано, как вы работаете с данными.
— Обеспечить технические меры защиты (хранение, передача по HTTPS, антивирусы, ограничение доступа и т.п.), что прямо требует ст. 19 закона 152-ФЗ.
— Назначить ответственного за защиту ПДн (формально, даже если вы пока один работаете).
— Если данные загружаются через сайт, важно иметь согласие субъектов ПДн или убедиться, что клиника его получила (часто такое согласие входит в пакет документов при заключении договора между пациентом и клиникой).
— При наличии признаков медицинской тайны (например, названия процедур) нужно также учесть требования закона об охране здоровья граждан (323-ФЗ).

Если вы не хотите сами касаться ПДн, можно реализовать такой формат, при котором файлы не загружаются на сервер, а обрабатываются локально в браузере – тогда вы формально не получаете доступ к ПДн, и это сильно упрощает всё юридически.

В целом, важно понимать: даже если вы не используете данные в своих целях, сам факт, что вы принимаете и обрабатываете файл с ФИО и ИНН – это уже обработка, и вы должны обеспечить соответствие закону.

Вы делаете хорошее и полезное дело — главное с самого начала правильно заложить юридическую основу. Если нужно, могу помочь с шаблонами соглашений или политики конфиденциальности.

С наилучшими пожеланиями, Хабас Феликсович.

Добрый день

Да данный шаблон является обработка персональных данных

1. Является ли это обработкой персональных данных?

Да, если в шаблоне Excel содержатся:

ФИО клиентов,

их ИНН,

данные о лечении (название клиники, суммы оплаты),

другие сведения, позволяющие идентифицировать человека (ст. 3 ФЗ-152 «О персональных данных»).

2. Основные юридические риски

 Нарушение закона о персональных данных (ФЗ-152)

Если вы храните, обрабатываете или передаёте ПДн без согласия субъектов, это нарушение (ст. 7, 9 ФЗ-152).

Штрафы:

для ИП/физлиц – до 20 тыс. руб. (ст. 13.11 КоАП),

для юрлиц – до 100 тыс. руб.

 Неправильное заполнение справок (налоговые риски)

Если пользователи загружают некорректные данные, а сервис автоматически формирует справки, возможны претензии от ФНС.

Если сервис позиционируется как «помощь в налоговом вычете», но не является лицензированной бухгалтерской услугой, могут быть вопросы.

 Ответственность за хранение и утечку данных

Если хакеры украдут загруженные файлы с ПДн, вас могут привлечь за ненадлежащую защиту данных (ст. 13.11 КоАП).

3. Как подготовиться к запуску?

✅ 1. Определить статус оператора ПДн

Если сервис не хранит данные (шаблон скачивается → заполняется → загружается → удаляется), то вы не оператор ПДн.

Если файлы хранятся (даже временно), вы обязаны уведомить Роскомнадзор (ст. 22 ФЗ-152).

✅ 2. Политика конфиденциальности и согласие

Разместите на сайте Политику обработки ПДн (как собираете, храните, используете данные).

Добавьте чекбокс согласия перед загрузкой файла (например: «Я даю согласие на обработку персональных данных»).

✅ 3. Техническая защита данных

Используйте HTTPS (SSL-шифрование).

Если файлы хранятся – автоматически удаляйте их после обработки.

Не храните ПДн дольше необходимого.

✅ 4. Ограничить ответственность

Добавьте отказ от гарантий (например: «Сервис не несёт ответственности за корректность заполнения данных»).

Укажите, что сервис – это инструмент, а не бухгалтерская услуга.

✅ 5. Проверить налоговые риски

Убедитесь, что не нарушаете налоговое законодательство (например, не помогаете в мошеннических схемах вычетов).

Здравствуйте .

Если в вашем шаблоне содержатся данные, которые можно идентифицировать как персональные (например, имя, фамилия, адрес, контактная информация), то это будет считаться обработкой персональных данных. В России это регулируется Федеральным законом № 152-ФЗ "О персональных данных".

 Вам необходимо получить согласие от пользователей на обработку персональных данных. Это согласие должно быть конкретным, информированным и добровольным. Вы можете сделать это через пользовательское соглашение или отдельное согласие, которое пользователи должны принять перед тем, как загрузить данные на ваш сайт.

 Разработайте и разместите на сайте политику конфиденциальности, в которой будет подробно описано, какие именно данные вы собираете, как вы их используете, храните и защищаете.

Обеспечьте безопасность данных, которые вы обрабатываете. Это включает в себя технические и организационные меры по защите данных от несанкционированного доступа, изменения, раскрытия или уничтожения.

 Определите сроки хранения данных и порядок их удаления после истечения этих сроков или по запросу пользователя.

 Если вы планируете передавать данные третьим лицам, это должно быть четко прописано в политике конфиденциальности, и пользователи должны быть об этом информированы.