Практическое руководство по обработке персональных данных (ПДн) в медицинских организациях России: требования ФЗ‑152 и ФЗ‑323, согласия, документы, безопасность ИСПДн, отличия для стоматологии, медцентра и федеральной сети клиник

Почему медицинские ПДн — особая категория

Данные пациентов — это не «просто контактная база» и не «карточка клиента», а информация, которая напрямую затрагивает частную жизнь, здоровье и социальный статус человека. В медицине утечка даже одного файла (например, снимка, результата анализа, диагноза или факта обращения) может повлечь не только штрафы, но и репутационные риски, жалобы, конфликты с пациентом и проверку регуляторов.

Юридически медицинская организация почти всегда работает со специальными категориями персональных данных — прежде всего с данными о состоянии здоровья, обработка которых по общему правилу ограничена и допускается только при соблюдении условий закона (ФЗ‑152 «О персональных данных», ст. 10). Параллельно действует режим врачебной тайны: сведения о факте обращения, состоянии здоровья и диагнозе составляют врачебную тайну, и их разглашение запрещено, кроме строго определённых законом случаев (ФЗ‑323 «Об основах охраны здоровья граждан в Российской Федерации», ст. 13).

Отсюда главный вывод: соответствие требованиям по ПДн — это не формальность «для галочки», а базовый элемент доверия пациента и устойчивости бизнеса, независимо от масштаба — от небольшого стоматологического кабинета до федеральной сети медценторв.

Правовая основа по ПДн для медорганизации

1) Специальные категории ПДн: что относится и почему это критично

ФЗ‑152 прямо относит к специальным категориям ПДн, в частности, сведения о состоянии здоровья и интимной жизни, и устанавливает общий запрет на их обработку, если не выполнены условия-исключения. Для медицинских организаций ключевое практическое «окно законности» — обработка в медико‑профилактических целях, для установления диагноза и оказания медуслуг при условии, что обработку ведёт лицо, профессионально занимающееся медицинской деятельностью и обязанное сохранять врачебную тайну (п. 4 ч. 2 ст. 10 ФЗ‑152).

Что это означает «на земле»:

• Не любой сотрудник клиники «по умолчанию» может работать с диагнозами и исследованиями: доступ должен быть оправдан ролью и обязанностями.
• Любая передача данных «в сторону» (аутсорсер, колл‑центр, маркетинг‑подрядчик, облачный сервис) мгновенно повышает требования к договорам, доступам и защите.

2) Врачебная тайна: режим строже, чем кажется

ФЗ‑323 определяет врачебную тайну широко: факт обращения, состояние здоровья, диагноз и иные сведения, полученные при обследовании и лечении. И важный управленческий момент: разглашение запрещено не только врачам, но и всем лицам, которым эти сведения стали известны при обучении или исполнении трудовых обязанностей, включая регистратуру, ИТ, бухгалтерию, маркетинг, подрядчиков (ФЗ‑323, ст. 13).

Практический смысл пересечения ФЗ‑152 и ФЗ‑323:

• ФЗ‑152 задаёт правила законности обработки (основания, согласия, безопасность, уведомления).
• ФЗ‑323 добавляет «этический и правовой замок» на распространение: даже внутри клиники данные раскрываются только по необходимости, а наружу — только при наличии законного основания.

3) ИДС на вмешательство vs Согласие на обработку ПДн: почему нужны оба

В реальной практике часто встречается опасная ошибка: клиника оформляет информированное добровольное согласие на медицинское вмешательство (ИДС), но не получает отдельного согласия на обработку ПДн — и считает, что «документы закрыты». Логика понятна, но юридически ИДС и согласие на обработку ПДн решают разные задачи: ИДС — про медицинское решение и риски вмешательства, а согласие на ПДн — про действия с данными (сбор, запись, хранение, передачу и т. п.) и требования ФЗ‑152 (ст. 9).

Можно ли объединить в один документ? На практике встречаются комбинированные формы (в одном «пакете»), но управленчески безопаснее разделять сущности:

• ИДС — медицинский документ;
• согласие на обработку ПДн — документ по ФЗ‑152 с обязательными реквизитами (см. ниже).

Если всё же объединять — следите, чтобы блок согласия на ПДн содержал все элементы письменного согласия, иначе рискуете получить штраф при проверке.

4) Уведомление Роскомнадзора и требования

Роскомнадзор выступает уполномоченным органом по защите прав субъектов ПДн, и оператор (медицинский центр) по общему правилу обязан до начала обработки уведомить его о намерении осуществлять обработку ПДн (ФЗ‑152, ст. 22). Данные из уведомления вносятся в реестр операторов (за исключением сведений о средствах обеспечения безопасности).

Если используется зарубежное ПО/инфраструктура, возникает риск трансграничной передачи: по ФЗ‑152 оператор до начала трансграничной передачи обязан направить отдельное уведомление о намерении осуществлять трансграничную передачу, причём оно направляется отдельно от уведомления по ст. 22 (ФЗ‑152, ст. 12). В таком уведомлении указываются, в частности, цели, категории данных и перечень стран, куда планируется передача (ФЗ‑152, ст. 12).

5) Обеспечение безопасности персональных данных

В части обеспечения безопасности персональных данных при обработке в информационных системах (ИСПДн) важны три слоя регулирования:

• ФЗ‑152 требует принимать правовые, организационные и технические меры защиты ПДн от неправомерного/случайного доступа и иных действий (ст. 19).
• Постановление Правительства № 1119 вводит уровни защищенности ПДн при обработке в ИСПДн и критерии их выбора (в том числе в зависимости от типа угроз и категорий данных).
• Приказ ФСТЭК № 21 устанавливает состав и содержание организационных и технических мер обеспечения безопасности ПДн в ИСПДн, привязанных к уровням защищенности.

Практическая реализация: действия для клиники любого масштаба

Ниже — «скелет» системы, который одинаково нужен и небольшому кабинету, и крупному медцентру. Разница — в глубине проработки и количестве ИТ‑контуров, а не в том, нужны ли шаги вообще.

Шаг 1. Определите процессы и цели обработки

Сначала требуется зафиксировать: что именно обрабатывается и зачем. Это основа для документов, согласий, разграничения доступа и выбора мер защиты.

Мини‑чек‑лист по составу обрабатываемых персональных данных в медицинской сфере (пример):

Цель «Предоставление медицинских услуг»

• Основные данные: ФИО, дата рождения, паспорт (если берёте), СНИЛС (если берёте), контакты.
• Страховые/платежные: полис, договор, данные для оплаты.
• Специальные категории: сведения о состоянии здоровья (анамнез, диагнозы, исследования, снимки, назначения, выписки, результаты лабораторных исследований и анализов и т.п.).
• Дополнительные данные: фото «до/после», видео- аудиозаписи консультаций.

Управленческий принцип: если цель не сформулирована — обработка выглядит избыточной и становится слабым местом при проверке и инциденте.

Шаг 2. Определите правовое основание для обработки ПДн

Обработка медицинских сведений о пациенте может осуществляться без согласия, если она направлена на достижение медико-профилактических целей, постановку диагноза или непосредственное оказание медицинских и медико-социальных услуг. Ключевым условием является проведение такой обработки специалистом, имеющим надлежащее медицинское образование и несущим установленную законом обязанность по сохранению врачебной тайны.

В иных случаях, например, передача данных внешним лабораториям или подрядчикам, обработка медицинских сведений может осуществляться только с согласия субъекта. ФЗ‑152 требует, чтобы согласие было конкретным, информированным, сознательным и однозначным. А в случаях обработки сведений о состоянии здоровья, она может осуществляться только с согласия в письменной форме, причём закон описывает, что именно такое согласие должно включать (ФЗ‑152, ст. 9, ч.4).

Что должно быть в письменном согласии (практический шаблон состава)

В согласии в письменной форме должны присутствовать, в частности:

• ФИО и адрес субъекта ПДн, реквизиты документа, удостоверяющего личность.
• Наименование и адрес оператора (медорганизации).
• Цель обработки.
• Перечень ПДн, на обработку которых даётся согласие.
• Перечень действий с ПДн и общее описание способов обработки.
• Срок действия согласия и способ его отзыва.
• Подпись субъекта ПДн (или ЭП при электронном согласии).

Если согласие подписывает представитель (например, родитель ребёнка), включаются данные представителя и реквизиты документа, подтверждающего полномочия).

Шаг 3. Локальные документы: минимальный комплект, без которого система не взлетит

ФЗ‑152 обязывает оператора принимать меры, необходимые и достаточные для выполнения обязанностей, и прямо приводит примеры таких мер: назначение ответственного, издание политики и локальных актов и т.п. Также оператор, собирающий ПДн через интернет, обязан опубликовать политику и сведения о реализуемых требованиях к защите и обеспечить доступ к ним (ФЗ‑152, ст. 18.1).

Практический минимум для медорганизации:

• Политика в отношении обработки ПДн.
• Приказ об организации обработки ПДн.
• Перечни целей, процессов, ИСПДн, допущенных должностных лиц.
• Система разграничения доступа.
• Инструкции для пользователей информационных систем.
• Формы договоров, согласий и иных документов, необходимых при взаимодействии внутри медорганизации, с пациентами и регулятором.

Шаг 4. Безопасность ИСПДн: организационные + технические меры

ФЗ‑152 требует защищать ПДн от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий. Закон также указывает на необходимость определения угроз и применения организационных и технических мер, а также использования средств защиты информации, прошедших оценку соответствия (ФЗ‑152, ст. 19).

Практическая реализация в соответствии с нормативными документами:

• Правительство РФ установило, что при обработке ПДн в ИСПДн применяются уровни защищенности (4 уровня) и критерии их определения (Постановление Правительства № 1119).
• Приказом ФСТЭК № 21 установлен состав и содержание организационных и технических мер защиты ПДн в ИСПДн в привязке к уровням защищенности.

Что это значит по‑человечески (минимально разумный набор мер):

• Ролевая модель доступа в медицинскую информационную систему: врач видит «своих» пациентов, регистратура — только то, что нужно для записи и договора, бухгалтерия — минимум, необходимый для финансовых расчетов.
• Жёсткая дисциплина учётных записей: персональные логины у каждого сотрудника, запрет общих паролей и слабых паролей (например, clinic, 12345 и т.п.)
• Журналирование доступа (кто и когда открывал карту/скачивал снимок).
• Обновления ОС/ПО, антивирус, контроль внешних носителей.
• Шифрование/защита резервных копий и разумная схема бэкапов.
• Обучение и контроль персонала: фишинг, мессенджеры, «передайте снимок в чат».

Особенности для разных типов медорганизаций

Частный кабинет / небольшая стоматология

В небольших практиках ключевой риск — «всё держится на одном человеке» (главврач/владелец) и на бытовых привычках: хранение базы на одном компьютере, пересылка снимков пациенту в мессенджере, отсутствие договоров с ИТ‑мастером «по знакомству».

Рабочая модель для малого масштаба:

• Минимизируйте контуры: отдельный рабочий компьютер, разные учетные записи для разных задач, автоматическая блокировка компьютера, запрет личных флешек.
• Документы «короткие, но обязательные»: политика, приказ/назначение ответственного (часто это сам руководитель), формы согласий.
• Безопасность — не «дорогой комплекс», а дисциплина: обновления, антивирус, резервные копии и ограничение доступа.

Практический совет: если ведёте учёт в простой программе/таблице, относитесь к ней как к ИСПДн: установите пароли, разграничьте доступ и делайте резервные копии, иначе потеря/утечка может быть очень болезненной.

Сетевая клиника / многопрофильный медцентр

Здесь появляются «взрослые» задачи: филиалы, большая регистратура, контакт‑центр, интеграции с лабораториями, МИС/1С, личный кабинет пациента, записи разговоров.

Ключевые особенности:

• Нужна централизованная модель управления ПДн: единые шаблоны согласий, единые регламенты, единая система разграничения доступа и единые требования к подрядчикам.
• Ролевая модель доступа в МИС становится критичной: «все всё видят» — типовой дефект, который выстреливает при внутреннем конфликте или проверке.
• Обязателен «мост» между юристами и ИТ: юридические цели и основания должны совпадать с тем, как реально настроены системы и интеграции.
• Регулярные проверки и обучение — не формальность: при большом штате человеческий фактор становится основной причиной утечек.

Нормативная опора: обязанности по обеспечению выполнения закона через назначение ответственного и локальные акты (ФЗ‑152, ст. 18.1), а также обязанность обеспечивать безопасность ПДн (ФЗ‑152, ст. 19).

Крупный медицинский холдинг / федеральная сеть

В холдингах появляется «промышленный» уровень зрелости: комплаенс, ИБ‑служба, внутренние стандарты, формальные процедуры инцидент‑менеджмента, аудит филиалов, единые требования к ИСПДн и подрядчикам.

Особенности и требования масштаба:

• Много ИСПДн и много уровней защищенности: разные системы (МИС, колл‑центр, HR, аналитика, телемедицина) могут требовать различного объема мер по ПП № 1119.
• Требуются формализованные меры защиты по приказу ФСТЭК № 21 (организационные и технические меры в зависимости от уровня защищенности).
• Часто остро стоит тема трансграничной передачи — особенно если используются зарубежные сервисы для коммуникаций, аналитики, рассылок или хранения. Оператор до начала трансграничной передачи обязан отдельно уведомить уполномоченный орган (ФЗ‑152, ст. 12).

Практический совет: в крупной структуре «одна инструкция на всё» обычно не работает — нужна матрица: положения (верхний уровень) + регламенты и инструкции + процедуры по типам систем и подразделениям.

Типичные ошибки и риски (и как их закрывать)

Ошибка 1. База пациентов на «обычном» компьютере без базовой защиты

Почему это опасно: обязанность защищать ПДн закреплена в ФЗ‑152 (ст. 19), включая меры против неправомерного доступа и требование организационных и технических мер.

Как исправить:

• Минимум: персональные учётки, сложные пароли, авто‑блокировка, обновления, антивирус, резервные копии.
• Базовый уровень: оценка угроз безопасности ПДн, а также подбор мер по уровню защищенности ИСПДн (ПП № 1119) и по составу мер (приказ ФСТЭК № 21).

Ошибка 2. Нет договоров с «обработчиками» (ИТ‑аутсорс, лаборатории, колл‑центр)

Почему это опасно: по факту данные уходят третьим лицам, а юридически это должно быть оформлено и ограничено — иначе вы не управляете риском.

Как исправить (практически):

• Перепроверьте договоры с подрядчиками: предмет поручения, цели, перечни данных, меры защиты, запрет «использовать в своих целях», сроки хранения/удаления, порядок реагирования на инциденты.
• Проверьте, где физически/технически хранятся данные (особенно в «облачной МИС» и сервисах записи).

Ошибка 3. Персонал пересылает данные в мессенджеры

Почему это происходит: это удобно. Почему это опасно: вы теряете контроль над контуром, и «врачебная тайна» может быть нарушена одним неосторожным пересланным файлом.

Как исправить:

• Политика «что можно/нельзя отправлять» + безопасный канал (ЛК пациента, защищённая почта, корпоративный защищённый мессенджер с правилами хранения).
• Обучение и проверка понимания: короткие тесты, разбор инцидентов, памятки.

Заключение и рекомендации

Единые законы действуют для всех: медданные почти всегда относятся к специальным категориям ПДн, врачебная тайна защищает факт обращения, диагноз и сведения обследования/лечения, а безопасность ПДн должна обеспечиваться правовыми, организационными и техническими мерами. Разница между кабинетной стоматологией и федеральной сетью — в масштабе ИСПДн, количестве процессов и глубине контроля, но не в наличии обязанностей — они одинаковы для всех.

Главный практический совет: начинать стоит не с покупки «самого дорогого антивируса», а с выстраивания правовой базы (согласия, политика, локальные акты, договоры с подрядчиками) и обучения персонала. И уже затем — доводить ИТ‑контуры до требований уровней защищенности и состава мер.

3–5 ключевых тезисов для руководителя

• Медицинские данные — специальные категории ПДн, и правила их обработки строже; ориентир — ФЗ‑152 ст. 10 и режим врачебной тайны по ФЗ‑323 ст. 13.
• ИДС на медицинское вмешательство не заменяет согласие на обработку ПДн: письменное согласие должно содержать обязательные реквизиты по ФЗ‑152 ст. 9.
• «Минимальный комплект» обязателен для всех: ответственный, политика, локальные акты и процедуры — это прямо следует из подхода ФЗ‑152 ст. 18.1.
• Безопасность ИСПДн — обязанность, а не опция: ФЗ‑152 ст. 19 + уровни защищенности по ПП № 1119 + меры по приказу ФСТЭК № 21.
• Если есть зарубежные сервисы/инфраструктура — заранее проверьте трансграничную передачу и уведомления: ФЗ‑152 ст. 12 и ст. 22.