тел:8 (800) 775-99-90

Личный кабинет

Выйти из системы

Сменить пользователя

Блог компании Cortel > Информационная безопасность > Персональные данные медицинских организаций

By 17.04.2025 Информационная безопасность 0 Comments

Персональные данные медицинских организаций

Медицинская отрасль — не просто участники, а особая категория в рамках закона №152-ФЗ «О персональных данных». Например, не нужно получать согласие, если пациенту срочно требуется первая помощь, а также в ряде других ситуаций.

Разберёмся:

  • какие правила обработки персональных данных актуальны для медработников в 2025 году;
  • в каких случаях можно обойтись без письменного согласия пациента;
  • как оформлять документы, чтобы не получить штраф от Роскомнадзора;
  • что изменилось в последние годы и какие риски появились.

База: персональные данные в 2025

С базой — определением персональных данных, категорий, целей и т.д. — можно ознакомиться здесь. В рамках медицинских организаций важно понимать, что правовой защите подлежит информация о человеке, которая позволяет его идентифицировать и затрагивает его права.

О «затрагивает права»: номер телефона человека без каких-либо дополнительных идентификаторов — это не ПДн. Однако, когда мы начинаем взаимодействовать с этим номером — делать маркетинговые рассылки, звонить — мы затрагиваем его права. Соответственно, как только начинается взаимодействие — эта информация попадает в зону правовой защиты.

С 30.05.2025 начинает действовать новый размер санкций за невыполнение требований, связанных с ПДн. С полным перечнем нововведений, касающихся административной и уголовной ответственности можно ознакомиться здесь. Что делать всем прямо сейчас — здесь.

Мораторий на проверки операторов всё ещё действует, однако ведомства свободно проводят внеплановые проверки, о чем мы подробно рассказывали здесь и здесь.

В первую очередь, ошибки в работе с ПДн выдают:

  • ошибки в содержании уведомления о начале обработки ПДн или отсутствие оператора в реестре;
  • содержание сайта. Об этом очень подробно рассказывали здесь;
  • размещение фото сотрудников и пациентов в отсутствие сведений о том, что они дали согласие;
  • ошибки в согласии: несколько целей, не коррелирующих между собой, избыточный состав данных;
  • использование зарубежных баз данных для обработки ПДн пациентов и работников. Выявление трансграничной передачи – 100% повод для внеплановой проверки.

Про согласия на обработку в медицине 

Согласия не нужны, если ваша цель, например: медико-профилактическая, установление медицинского диагноза и оказания медицинских услуг по договору, осуществление иных, связанных с этим мероприятий, а также в целях организации внутреннего учета Оператора, при условии сохранения врачебной тайны

Так как для этих целей есть законные правовые основания.

  • Федеральный закон от 21.11.2011 N 323-Ф3;
  • Постановление Правительства РФ от 11.05.2023 N 736 ;
  • Приказ Минздрава России от 15.12.2014 N 834н;
  • Приказ Минздрава России от 05.08.2022 N 530н;
  • Приказ Минздрава России от 31.07.2020 N 785н и т.д.

Также заявление не требуется, когда данные пациентов передаются в другую клинику для проведения лабораторных исследований. Обработка специальных категорий без письменного согласия допускается, если обработка осуществляется в медицинских целях. В то же время, субъект имеет право знать, какими третьими лицами обрабатываются его ПДн, поэтому сведения о соисполнителях, имеющих лицензию на медицинскую деятельность, можно включить в договор оказания платных медицинских услуг.

Согласия нужны:

– При передаче третьему лицу осуществляющему обработку ПДн пациентов по поручению клиники. Например, владельцы вашей облачной медицинской информационной системы, ИИ, который производит обработку рентгенологических данных и т.д.

– При распространении ПДн пациентов в СМИ, интернете, обучающих мероприятиях, сайте, соц. сетях.

– При осуществлении маркетинговых мероприятий (рассылка, звонки).

Передача и распространение

Про передачу в ЕГИСЗ

Очень частое заблуждение: “Если мы передаём данные в ЕГИСЗ, нам нужно получить согласие на распространение”

Но это не распространение, а предоставление информации – действия, направленные на получение информации определённым кругом лиц или передачу информации определённому кругу лиц.

Если оператор не предоставляет эти данные напрямую, в процессе могут участвовать третьи лица: 

– владелец облачной МИС

– оператор по передаче данных в ЕГИСЗ

В этом случае обязательно согласие на передачу третьему лицу в письменной форме.

Включение согласия на обработку персональных данных в договор платных медицинских услуг — избыточно, поскольку заключение договора попадает под исключения (договор брать не нужно) ст. 6 152-ФЗ.

Распространение ПДн

Распространение ПДн – действия, направленные на раскрытие ПДн неопределённому кругу лиц. То есть, вы не можете знать заранее и наверняка, сколько человек увидят эти данные:

– на сайте

– в соцсетях

– в СМИ

– в рекламе и т.д.

Письменное согласие на распространение обязательно. Его состав и форма установлены Роскомнадзором:

  • реквизиты;
  • сведения об информационных ресурсах оператора (адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имя файла веб-страницы), посредством которых будут осуществляться распространение;
  • цель (цели) обработки ПДн;
  • категории и перечень ПДн, на обработку которых дается согласие субъекта;
  • условия и запреты, установленные субъектом ПДн;
  • срок действия согласия.

Маркетинговые мероприятия

Взаимодействие с пациентом в рамках рекламных целей — например, рассылки на электронную почту или СМС, информация об акциях и услугах — НЕВОЗМОЖНО без его письменного согласия.

Реклама признается распространенной без предварительного согласия абонента или адресата, если рекламораспространитель не докажет, что такое согласие было получено. Рекламораспространитель обязан немедленно прекратить распространение рекламы в адрес лица, обратившегося к нему с таким требованием.

При этом согласие абонента на получение от конкретного лица информации справочного характера, например, о прогнозе погоды, курсах обмена валют, не может быть истолковано как согласие на получение от этого лица рекламы.

Нарушение этих требований = наказание за избыточную или несовместимую с целями обработку ПДн = ч. 1 ст. 13.11. КоАП РФ = от 150 до 300 тыс. руб. + штрафы от ФАС.

И напоследок, пару слов о самой обсуждаемой теме — оборотных штрафах до 3% за утечку персданных. УТЕЧКА ПДн — факт неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн (ч. 3.1 ст. 21 152-Ф3). Вот несколько примеров утечек:

  • передача данных пациентов или сотрудников при отсутствии их согласия третьим лицам
  • переписка в мессенджерах с пациентами, пересылка данных пациентов и сотрудников по незащищенным каналам связи (анализы по электронной почте)
  • размещение фото пациента и сведений об оказанной медицинской помощи в соцсетях без его согласия
  • заполнение гугл форм и т.п.

Если у вас остались вопросы и вы бы хотели получить персональную консультацию по вашей ситуации с обработкой и защитой персональных данных или аудит сайта на соответствие выполнения требований 152-ФЗ — заполните эту форму. Мы свяжемся с вами.