Руководство для медицинских клиник по работе с персональными данными

Расскажем о том, как медицинским клиникам выстроить работу с персональными данными без рисков для бизнеса. Разбираем требования Роскомнадзора к обработке специальных категорий данных (сведения о здоровье), обязательные документы, согласия и типичные ошибки. Даём практические рекомендации, чтобы подготовиться к проверке и избежать штрафов.

Скачать руководство

2025 год

Точка, после которой персональные данные перестали быть формальностью для бизнеса любого размера.
30 мая 2025 года - введены новые штрафы за неправильную работу с персональными данными.
1 июня 2025 года - запрет на переписку в иностранных мессенджерах определенным компаниям.
1 июля 2025 года - ужесточение требований по локализации персональных данных.
1 сентября 2025 года - согласие на обработку персональных данных должно быть отдельным документом.

Ближайшее будущее

Отраслевые стандарты обработки персональных данных. Передача и работа с согласиями через ЕСИА.
Проверки РКН уже не «если», а «когда и с каким результатом

Три уровня зрелости клиники в работе с персональными данными

  • Готовность к проверкам
  • Понимание рисков
  • План действий при инцидентах
  • Минимизация потерь
  • Документы + процессы
  • Назначены ответственные
  • Контроль подрядчиков
  • Низкий риск типовых нарушений
  • Документы есть
  • Процессы не выстроены
  • Высокий риск штрафов
Уровень 3.
Защита и устойчивость
Уровень 2.
Управляемая система
Уровень 1.
Формальное соответствие

Штрафы

Обработка данных без согласия — 300 000 — 700 000₽. Повторно — 1 000 000 — 1 500 000₽
Нет политики конфиденциальности на сайте — 30 000 — 60 000₽.
Не ответили на запрос субъекта (клиента, пациента) — 40 000 — 80 000₽.
Невыполнение требований субъекта об уточнении или уничтожении его данных — 50 000 — 90 000. Повторно — 300 000 — 500 000₽.
Хранение данных на зарубежных серверах — 1 000 000 — 6 000 000. Повторно — 6 000 000 — 18 000 000₽.
Не направили уведомление о начале обработки данных в РКН или направили не полные сведения — 100 000 — 300 000₽.
Не сообщили об утечке данных — 1 000 000 — 3 000 000₽.
Утечка медицинских данных — 10 000 000 — 15 000 000₽.
Утечка обычных данных — 3 000 000 — 15 000 000₽ (в зависимости от количества данных) Повторно — 1 — 3% выручки за прошлый год.
Иные нарушения трактуются по ч. 1 ст. 13.11 КоАП — 150 000 — 300 000₽.
Утечка - это не только взлом базы хакерами.
Это и неправомерная передача. Например, вы дали базу своих клиентов рекламному агентству для проведения рекламной компании, но не имели права этого делать и клиент пожаловался - будет штраф как за утечку.

Типовые ошибки при работе с персональными данными

По нашей практике, РКН чаще всего выявляет следующие ошибки в клиниках:
1. Под формой сбора данных на сайте нет согласия как отдельного документа, а идет ссылка только на политику конфиденциальности.
Штраф по ч. 2 ст. 13.11 КоАП = 300 000 — 700 000 рублей.
Пример ошибки в составлении формы обратной связи
2. Согласие на рекламную рассылку делать одной "галочкой", что и согласие на обработку данных.
Рекламная рассылка должна быть всегда отдельным согласием и нельзя заставлять на нее соглашаться, т.к. основание для рекламной рассылки - ФЗ “О рекламе”.
Штраф по ст. 14.3 КоАП = 300 000 — 1 000 00 рублей.
3. Расплывчатые формулировки в цели сбора данных.
Например, "любая информация, которую пользователь указывает в форме сбора"
4. Указывать информированное добровольное согласие (ИДС) как основание для обработки данных.
ИДС никогда не может быть основанием для обработки данных.
Штраф по ч. 1 ст. 13.11 КоАП = 150 000 — 300 000 рублей
Для обработки специальных категорий персональных данных (сведений о состоянии здоровья), предоставленных через Сайт до момента заключения договора на оказание медицинских услуг в письменной форме, правовым основанием является отдельное информированное добровольное согласие Пользователя, получаемое в соответствии с требованиями законодательства об охране здоровья граждан и о персональных данных, либо иные основания, предусмотренные ч. 2 ст. 10 ФЗ «О персональных данных». В случае, если такие данные предоставляются для целей заключения и исполнения договора на оказание медицинских услуг, и согласие получается непосредственно в клинике, обработка может осуществляться на основании п. 2-4 ч. 1 ст. 6 и ч. 2 ст. 10 ФЗ «О персональных данных».
5. Использование зарубежных мессенджеров для сбора контактов пациентов
Переписка с пациентами и информирование их о приеме не запрещены, но первичный сбор данных расценивается РКН как обработка на зарубежных серверах.
Штраф по ч. 8 ст. 13.11 КоАП = 1 000 000 — 6 000 000 рублей
6. Передача ПДн без регламентации и оснований
Например, передача зуботехнической лаборатории возможна без согласия пациента в рамках исполнения договора на оказание медицинских услуг. А, например, передача маркетинговому агентству для проведения рассылки или рекламной компании невозможна без отдельного согласия пациента, т.к. это не является обязательным для исполнения договора на оказание медицинских услуг.
Штраф по ч. 1 ст. 13.11 КоАП = 150 000 — 300 000 рублей
7. Отсутствие cookie-баннера на сайте в случае, если сайт собирает cookies и/или используется метрическая программа, например, Яндекс.Метрика.
При использовании Яндекс.Метрики обязательно указание на нее.
Штраф по ч. 1 ст. 13.11 КоАП = 150 000 — 300 000 рублей
“Сайт делает подрядчик, но ответственность всегда на клинике”

Особенности работы с персональными данными в медицине

1. Согласие на обработку персональных данных
Клиники обрабатывают особую категорию персональных данных - данные о состоянии здоровья.
Закон относит их к специальным категориям персональных данных.
Вы можете не подписывать с пациентом согласие на обработку персональных данных о состоянии здоровья, если:
  • используете их только для оказания медицинских услуг
  • доступ к ним имеют только врачи
Если доступ к данным о состоянии здоровья имеют не только врачи, например, администраторы, то требуется подписание отдельного согласия
2. Фотографии врачей на сайте
Приказ Минздрава от 13 марта 2025 г. N 118н обязывает каждую клинику указывать на сайте ФИО врача, его должность и сведения об образовании.
Размещение фото врача приказ не регулирует.
По смыслу закона и сложившейся практике, размещение фото в совокупности с другими данными о враче на сайте является распространением персональных данных.
По закону, для этого требуется отдельное согласие врача, чьи данные размещаются.
Вы можете использовать наш образец согласия.
3. Передача персональных данных
Какие требования соблюдать при передаче персональных данных партнерам и контрагентам?
При передаче персональных данных в рамках исполнения договора об оказании медицинских услуг, вам не нужно подписывать с пациентом согласие на передачу его данных.
Например, вы передаете данные зуботехнической лаборатории для изготовления коронок или данные в лабораторию для анализов. В идеале, такие данные следует обезличить.
Если вы передаете персональные данные для других целей, например, маркетинговому агентству, то требуется отдельное согласие на такую передачу.
В любом случае, вы обязаны подписать с ваших контрагентом поручение на обработку персональных данных.

Зачем защищать персональные данные

По нашей практике, РКН чаще всего выявляет следующие ошибки в клиниках:
Защита персональных данных — это управление рисками клиники, а не формальность
Задача клиники — не “избежать штрафа”, а быть готовой к проверке и инцидентам.
Как обычно делают:
  • Типовая политика
  • Нет согласий
  • Согласия везде, даже где не требуются
  • Уведомление в РКН направлено формально и не полностью
  • Документы не обновляются и не соответствуют процессам
  • Непонятно, кто реально ответственный
Как проверяет РКН:
  • Соответствие документов фактическим процессам
  • Какие данные фактически обрабатываются
  • Как распределены роли и ответственные
  • Как вы реагируете на инциденты
На проверке оценивают не документы, а то, как клиника реально работает с данными.

Как выстроить защиту ПДн в клинике

Рабочая система защиты - это:

Регламенты и документы.
Контроль передачи данных подрядчикам и контрагентам.
Обученные сотрудники.
Понятные цели и основания обработки.
Работа сайта и онлайн сервисов.
Понимание действий при запросах и утечках
Система рушится, если не настроен каждый элемент

Этапы

Первый этап
Аудит текущей ситуации
Что помогает понять аудит:
Какие данные компания собирает.
Из каких источников.
Как получается согласие на сбор и обработку данных, какие основания кроме согласия.
Как происходит взаимодействие с пациентом, сотрудником, контрагентомфизиком (с субъектом данных).
Где компания эти данные обрабатывает.
Законны ли источники сбора и обработки.
Кто имеет доступ к данным.
Кому данные передаются и на каких основаниях.
Действительно ли собираемые данные нужны компании или они избыточны.
Как уничтожаются данные.
Какие документы есть в компании и соответствуют ли они требованиям закона.
Этап аудита самый сложный и долгий, потому что требуется собрать массу информации, ничего не упустить и проанализировать полученную информацию, а дальше понять, что с ней делать.
Второй этап
Построение дорожной карты устранения ошибок и рисков.
На этом этапе важно распределить риски на первичные, то есть те, которые заметить стороннему наблюдателю проще всего и они очевидны с точки зрения закона и практики, и вторичные, то есть те, которые заметить может только Роскомнадзор при детальном запросе документов и информации либо в ходе проведения проверки.
Третий этап
Исправление очевидных рисков.
Корректировка/размещение политики в свободном доступе, подача уведомления в реестр операторов, получение согласий на обработку данных, определение правовых основания обработки данных пациентов.
Четвертый этап
Исправление неочевидных и внутренних рисков.
Подготовка и внедрение локальных актов, защита со стороны ИТ от утечек, обучение сотрудников работе с ПД, корректировка процессов работы с данными внутри компании, создание регламентов работы с ПД, разработка всех необходимых по закону документов.
Последний этап
Определение ответственного сотрудника, который будет следить за изменениями процессов в компании, напр. за началом обработки новых данных, добавлением субъектов, поддержанием системы.
Больше актуальных новостей и экспертных материалов в наших соцсетях
Подписывайтесь на удобную площадку, чтобы быть в курсе последних изменений законодательства и получать практические материалы для бизнеса.