Обработка и защита персональных данных пациентов в медицинских организациях

Медицинские сведения относятся к специальной категории персональных данных, так как раскрывают состояние физического и психического здоровья гражданина. В условиях цифровизации медицины, внедрения электронных медицинских карт и интеграции с государственными информационными системами, вопросы безопасности информации выходят на первый план.

Деятельность медицинских организаций регулируется Федеральным законом № 152-ФЗ «О персональных данных и Федеральным законом № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации. Нарушение требований любого из этих законов может привести к серьезным последствиям, включая штрафы, приостановку деятельности и уголовную ответственность.

В статье подробно разберем, как осуществляется обработка персональных данных в медицинских учреждениях, какие документы необходимо оформить, какие технические меры защиты внедрить и как избежать распространенных ошибок.

Нормативная база: пересечение 152-ФЗ и 323-ФЗ

Многие руководители медучреждений ошибочно полагают, что достаточно соблюдать только требования Минздрава, игнорируя Роскомнадзор, или наоборот. На практике эти регуляторы работают в связке, и требования законов дополняют друг друга.

Федеральный закон № 152-ФЗ дает определение персональных данных. Это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. В контексте медицины это не только ФИО и паспортные данные, но и диагноз, результаты анализов, сведения о лечении, генетическая информация. Согласно ст. 10 152-ФЗ, обработка данных о состоянии здоровья относится к обработке специальных категорий ПДн. Это накладывает повышенные требования к защите и требует письменного согласия субъекта, за исключением случаев, предусмотренных законом.

Федеральный закон № 323-ФЗ вводит понятие врачебной тайны. Согласно ст. 13, сведения о факте обращения за медицинской помощью, состоянии здоровья и диагнозе не могут быть разглашены без согласия гражданина. Понятие врачебной тайны включает в себя информацию о самом факте лечения, включая обезличенные сведения. Раскрытие врачебной тайны допускается в строго определенных случаях:

• при угрозе распространения инфекционных заболеваний;

• по запросу правоохранительных органов;

• при оказании помощи несовершеннолетнему для информирования родителей и т.д.

Персональные данные в медицинской организации находятся под двойной защитой. Сотрудники должны соблюдать режим конфиденциальности как в рамках трудового договора и закона о ПДн, так и в рамках клятвы врача и закона об охране здоровья.

Основания и цели обработки: согласие и исключения

Центральный элемент легальной обработки информации – письменное согласие пациента. В медицине согласие на обработку персональных данных часто совмещается с согласием на медицинское вмешательство, но с юридической точки зрения это разные документы. Согласие на обработку ПДн должно соответствовать требованиям статьи 9 Федерального закона № 152-ФЗ.

В документе указываются:

• ФИО субъекта или его представителя.

• Наименование и адрес оператора (клиники).

• Цель обработки (диагностика, лечение, ведение медицинской документации).

• Перечень сведений, которые подлежат обработке.

• Наименование и адрес лица, осуществляющего обработку по поручению оператора (если есть).

• Перечень действий с данными и способы обработки.

• Срок действия согласия и способ его отзыва.

• Подпись субъекта.

Цели обработки должны быть конкретными и законными - оказание медицинских услуг, ведение учетной документации, взаимодействие со страховыми компаниями в системе ОМС или ДМС. Использование информации для маркетинговых рассылок требует отдельного согласия. Нельзя включать пункт о рассылке рекламных материалов в общее согласие на лечение «мелким шрифтом».

Существуют случаи, когда согласие не требуется: например, при оказании экстренной помощи, если состояние пациента не позволяет выразить волю. Обработка возможна в рамках обязательного медицинского страхования для контроля объемов и качества услуг. Но и в этих случаях режим конфиденциальности сохраняется. Передача персональных данных медицинской организацией в лабораторию должна быть юридически оформлена. Между клиникой и лабораторией заключается договор поручения обработки персональных данных.

Если клиника использует информационные системы, такие как ЕГИСЗ (Единая государственная информационная система в сфере здравоохранения), необходимо учитывать требования по интеграции. В этом случае персональные данные пациента в медицинской организации становятся частью государственного информационного контура, что требует соблюдения дополнительных стандартов безопасности и протоколов обмена.

Организация защиты данных: локальные акты и технические меры

Эффективная защита невозможна без комплексного подхода, включающего организационные и технические меры. Персональные данные в медицинском учреждении должны быть защищены от несанкционированного доступа, уничтожения, изменения и блокирования.

Технические меры защиты включают:

• Использование сертифицированных средств криптографической защиты информации (СКЗИ) при передаче по интернету.

• Разграничение прав доступа сотрудников к информационным системам. Врач должен видеть данные своих пациентов, регистратор - только контактные данные для записи.

• Ведение журналов учета и контроля доступа к базам данных.

• Установка антивирусного ПО и средств обнаружения вторжений.

• Регулярное резервное копирование информации.

Защита персональных данных в медицинской организации должна быть непрерывным процессом.

Организационные меры не менее важны. Сотрудники с доступом к специальным сведениям должны подписывать обязательство о неразглашении. Регулярное обучение персонала правилам работы с конфиденциальной информацией обязательно. Часто утечки происходят не из-за хакерских атак, а из-за человеческого фактора: оставленный без присмотра компьютер, пароль на стикере, разговор о пациенте в общественном месте.

Итог: защита персональных данных в медицинском учреждении обеспечивает юридическую безопасность клиники и доверие пациентов.

Ответственность за нарушения

Несоблюдение требований законодательства влечет серьезные последствия. Контроль осуществляют Роскомнадзор и Росздравнадзор. Проверки могут быть плановыми и внеплановыми, в том числе по жалобам пациентов.

Административная ответственность предусмотрена статьей 13.11 КоАП РФ. Штрафы за нарушения в сфере персональных данных в 2026 году:

• Невыполнение обязанности по опубликованию политики обработки: для юридических лиц от 30 000 до 60 000 рублей.

• Невыполнение обязанности по уведомлению РКН о намерении осуществлять обработку ПДн: для юридических лиц от 100000 до 300000 руб.

• Обработка сведений без согласия: для юридических лиц штраф до 700000 рублей, при повторном нарушении – до 1,5 млн.руб.

• Неправомерная передача и распространение информации, включающей специальную категорию ПДн – до 15 млн. руб.

Возможно приостановление деятельности клиники на срок до 90 суток, что критично для бизнеса.

Уголовная ответственность наступает по статье 137 УК РФ за нарушение неприкосновенности частной жизни. Если разглашение врачебной тайны или конфиденциальной информации совершено лицом с использованием своего служебного положения, наказание может включать лишение права занимать определенные должности или лишение свободы на срок до 4 лет. Это касается случаев продажи баз данных пациентов или намеренного разглашения сведений из корыстных побуждений.

Гражданско-правовая ответственность позволяет пациенту взыскать компенсацию морального вреда. Судебная практика показывает, что суммы компенсаций растут. Клиника рискует репутацией. Утечка данных ВИЧ-статуса или диагноза из психоневрологического диспансера может разрушить доверие к учреждению навсегда.

Соблюдение требований 152-ФЗ и 323-ФЗ защищает не только права пациентов, но и саму медицинскую организацию от рисков. Руководителям необходимо внедрять комплексный подход, включающий юридическое оформление процессов, технические меры защиты и обучение персонала.

Ключевые шаги для медучреждения включают:

• проведение аудита текущих процессов;

• обновление пакета локальных документов;

• внедрение необходимых средств защиты информации;

• регулярный мониторинг изменений в законодательстве.

Своевременное выполнение требований регуляторов позволяет избежать штрафов и сосредоточиться на главной цели - оказании качественной медицинской помощи.