Точки контроля при работе с персональными данными в клинике.

Статья медицинского юриста, профессионального медиатора, члена правления Национальной Ассоциации медицинских организаций Казанковой Елены Викторовны (г.Ставрополь)

Актуальность вопроса работы с персональными данными в современной медицине невозможно переоценить.

В условиях цифровизации здравоохранения и активного внедрения электронных медицинских систем работа с персональными данными становится одной из ключевых задач руководителя медицинской организации. Роль руководителя заключается в организации эффективной системы работы с персональными данными, контроле соблюдения законодательства и обеспечении защиты данных как пациентов, так и работников, контрагентов.

Тенденции последних лет указывает на особую обеспокоенность государства к защите персональных данных граждан, борьбу с кибермошенничеством и усилением контроля за деятельностью операторов, в том числе путем значительного повышения сумм штрафов и увеличением числа проверок, не смотря на действующий мораторий.

В 2025г. в сфере регулирования работы с персональными данными произошли существенные изменения, которые в безусловном порядке требуют повышенного внимания руководителя клиники и существенных изменений в процессах по работе с персональными данными.

Одно из них – с 01.09.2025г. установлен законодательный запрет на включение в условия договора согласия на обработку персональных данных.  Статья 9 152-ФЗ была дополнена следующим содержанием: «Согласие на обработку персональных данных должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект персональных данных». Невыполнение требований Закона влечет за собой штраф в размере от 300 до 700 тыс. рублей по ч. 2 статьи 13.11 КоАП РФ.

В скором времени законодатель планирует еще более усилить контроль за получением согласий на обработку персональных данных путем создания единого реестра согласий, который упростит работу субъектам за контролем над своими данными и возможностью их отзыва посредством использования портала Госуслуги, о чем имеется соответствующий законопроект о внесении изменений в 152-ФЗ, находящийся на рассмотрении в Государственной Думе.

Вводится дополнение в п. 1 ч. 1 ст. 6 152-ФЗ (выделено жирным):
«обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, обязанность получения которого предусмотрена международным договором или федеральным законом». 

Одновременно в ч. 1 ст. 9 152-ФЗ вносится следующее дополнение: «Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в случаях и форме, предусмотренных международным договором Российской Федерации или федеральным законом. Если федеральным законом не предусмотрена возможность обработки персональных данных только с согласия субъекта персональных данных в письменной форме, то указанное согласие может быть дано в любой позволяющей подтвердить факт его получения форме».

Как это будет работать на практике?
Возможность использовать получения согласия на обработку персональных данных будут ограничивать, дорабатывая нормативно-правовые акты исполнительных органов власти и закон.

Операторы персональных данных будут вынуждены уходить в правовой анализ своих процессов и искать возможность привязать обработку данных к законным основаниям, отличным от согласий, если прямых отсылок к согласиям в законе не найдется. Если законных оснований не имеется, то операторам придется отказываться от обработки персональных данных или рисковать штрафом по ч. 1 ст. 13.11 КоАП РФ (от 150 000 до 300 тыс. рублей на юридическое лицо) или по ч. 2 ст. 13.11 КоАП РФ (от 300 000 до 700 тыс. рублей на юридическое лицо).

Для контроля за работой операторов с персональными данными 25.08.2025г. Правительством РФ были внесены изменения в Постановление Правительства РФ № 1046, которое устанавливает порядок федерального государственного контроля за обработкой персональных данных.

Согласно документу, определены категории риска для объектов контроля, выделены следующие категории: высокий риск; значительный риск; средний риск; умеренный риск; низкий риск.

Операторам, осуществляющим обработку специальных и биометрических категорий персональных данных, обработку данных в информационных системах персональных данных, содержащих персональные данные более чем 100000 субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации, обработку персональных данных на основании согласия субъекта персональных данных на обработку его персональных данных в случаях, если федеральным законом не предусмотрена обязанность получения такого согласия, а также осуществляющим сбор персональных данных, в том числе в информационно-телекоммуникационной сети «Интернет» с использованием принадлежащих иностранным юридическим лицами и (или) иностранным гражданам информационных систем и (или) программ для электронных вычислительных машин, осуществляющим трансграничную передачу данных, либо передачу обезличенных  данных третьим лицам, присвоена высокая категория риска.

Деятельность всех медицинских организаций связана с обработкой чувствительной категории персональных данных – сведений о состоянии здоровья, которые 152-ФЗ отнесены к специальной категории персональных данных. Для медицинских организаций это означает, что надзорный орган 1 раз в год вправе инициировать обязательный профилактический визит, либо плановую проверку не чаще 1 раза в 2 года. 

Не смотря на действие моратория на проверки до 2030г., в скором времени все организации, отнесенные к высокой категории риска, ожидают обязательные профилактические визиты надзора, которые станут возможны за счет внесения в Постановление Правительства РФ от 10.03.2022 N 336 «Об особенностях организации и осуществления государственного контроля (надзора), муниципального контроля». Да и просто дистанционный мониторинг сайтов, которые в более чем 80 % случаев имеют нарушения законодательства о персональных данных, может послужит основанием для внеплановой проверки Роскомнадзора.

Для понимания сути персональных данных и выстраивания работы с ними, обратимся к понятию, вытекающему из положений ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» «персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».

Проще говоря, любая информация о гражданине, позволяющая его выделить из совокупности граждан является его персональными данными. Это могут фамилия, имя, отчество, дата рождения, адрес места жительства, адрес электронной почты и т.д. В совокупности с иными данными идентифицировать гражданина возможно и по номеру телефона.

Обработка персональных данных - любое действие (операция) или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

То есть, получая данных от пациента для заключения договора, внося их в медицинские информационные системы, которые в ряде случаев располагают свои дата центры (облачные хранилища) на сторонних ресурсах, вы как минимум осуществляете сбор, запись, систематизацию и передачу персональных данных. Дополняя исходно полученные данные новыми сведениями, вы уточняете, изменяете их, передавая в обезличенном виде в РЭМД ЕГИСЗ производите обезличивание и передачу данных. Таким образом любое действие в данными, подпадает под понятие их обработки.

Вместе с тем, не всякое действие при обработке персональных данных как пациента, так и работника в медицинской организации требует получения его согласия.
Исходя из положений статьи 6 152-ФЗ можно выделить три основных правовых основания для обработки персональных данных:
    • законное основание, т.е. случаи обработки персональных данных на основании положений какого-либо закона; К примеру, обработка сведений о состоянии здоровья пациента для оказания ему медицинской помощи осуществляется на основании положений 323-ФЗ «Об основах охраны здоровья граждан в РФ», что не требует получения согласия.

    • договорные отношения, т.е. случаи обработки данных для цели подготовки, заключения и исполнения договора; 
К примеру, заключая договор с пациентом, перечень данных, указанных в договоре и регламентированный Постановлением Правительства РФ от 11.05.2023 N 736 «Об утверждении Правил предоставления медицинскими организациями платных медицинских услуг, внесении изменений в некоторые акты Правительства Российской Федерации и признании утратившим силу постановления Правительства Российской Федерации от 4 октября 2012 г. N 1006» клиника имеет право обрабатывать данные на основании договора. Аналогично при работе с персональными данными сотрудников, используемыми при трудоустройстве и регламентированными положениями ТК РФ, а также приказами Минздрава (медосмотры), согласие не требуется, правовым основанием является сам трудовой договор;

    • согласие на обработку персональных данных, которое необходимо получить только лишь в тех случаях, когда нет иного основания для обработки персональных данных (положений закона, либо договора, позволяющих обрабатывать данные в отсутствие согласия). 
К примеру, внося данные в медицинскую информационную систему, осуществляющую хранение данных в специализированном дата центре, клиника не вправе в отсутствии согласия на передачу персональных данных передавать данные третьей стороне. Аналогично и при распространении персональных данных пациента в социальных сетях в маркетинговых целях, отсутствуют законные основания для размещения фото/видео изображения пациента ли сотрудника на общедоступных ресурсах, возникает необходимость получения согласия.

Для того чтобы определить в каких случаях обработка допустима исключительно на основании согласия, необходимо четко определить цели, которые вы преследуете при обработке персональных данных. 

Не смотря на множественные разъяснения надзорного органа со ссылками на положения 152-ФЗ многие клиники по-прежнему продолжают получать согласие пациента в целях оказания ему медицинских услуг, медико-профилактических целях, передачу данных в ЕГИСЗ, для осуществления внутреннего контроля качества в части ведения фотопротоколов, передачу данных страховой компании, при оказании мед услуг пациенту по полису ДМС и иных случаях, не требующих согласия на обработку персональных данных. При этом упускают очень важные и дорогостоящие по санкциям в КоАП РФ моменты в процессах работы с персональными данными, требующие обязательного наличия письменной формы согласия на обработку персональных данных.

Такими случаями являются передача данных третьему лицу, осуществляющему обработку персональных данных по поручению оператора, распространение персональных данных неограниченному кругу лиц, а также взаимодействия с гражданином для продвижения своих услуг на рынке, либо анализа статистически данных при помощи метрических программ. 

Рассмотрим примеры передачи персональных данных.
В клинике используется МИС и хранение данных развернуто на собственном сервере, данные пациентов и сотрудников в такой ситуации не передаются третьему лицу, соответственно согласие не требуется.  Противоположная ситуация, если хранение данных внесенных в МИС вы поручаете третьему лицу. Без согласия на передачу данных такое действие с данными пациентов и сотрудников законодательно запрещено и может повлечь за собой санкции по ч. 2 ст. 13.11 КоАП РФ. 

Необходимо понимать, что не всякая передача персональных данных требует согласия гражданина. Передавая данные в РЭМД ЕГИЗ клиника реализует право пациента на доступ к медицинской документации посредством портала Госуслуги, выполняет требования 852 постановления Правительства «О лицензировании медицинской деятельности» и 140 постановления Правительства «О единой государственной информационной системе в сфере здравоохранения», то есть, выполняет требования законодательства, которое является самостоятельным правовым основанием для обработки персональных данных, не требующим получения согласия гражданина. 
Отдельно следует отметить, что распространение данных неограниченному кругу лиц также, как и передача, не во всех случаях требует согласия гражданина.

К примеру, распространяя данные работников, участвующих в оказании медицинских услуг пациентам  в составе, регламентированном приказом  Минздрава России от 13.03.2025 N 118н «Об информации, необходимой для проведения независимой оценки качества условий оказания услуг медицинскими организациями, и требованиях к содержанию и форме предоставления информации о деятельности медицинских организаций, размещаемой на официальных сайтах Министерства здравоохранения Российской Федерации, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и медицинских организаций в информационно-телекоммуникационной сети «Интернет», клиника выполняет требования законодательства, что не требует получения согласия работника. Но при размещении на сайте клиники дополнительных идентификаторов работника (фото/видео изображение), клиника обязана получить его согласие на обработку персональных данных, разрешенных для распространения. 

Если рассмотреть ситуацию с распространением персональных данных пациентов, необходимо разделять случаи разглашения сведений о состоянии здоровья среди медицинского сообщества для проведения научных исследований, их опубликования в научных изданиях, использования в учебном процессе, и случаи публикации данных в открытых источниках, доступных неограниченному кругу лиц. 

Первый случай не регулируется положениями 152-ФЗ, находится в сфере регулирования статьи 13 323-ФЗ и требует согласия на разглашение на разглашение сведений, составляющих врачебную тайну, что может выть выражено в информированном добровольном согласии на медицинское вмешательство.
Во втором случае необходимо получение согласия пациента на обработку персональных данных, разрешенных для распространения.

Следует отметить, что согласие на обработку персональных данных, разрешенных для распространения оформляется в форме отдельного документа, требования к которому регламентированы приказом Роскомнадзора № 18 от 24.02.2021г.

Таким образом, основанием получения либо не получения согласия всегда вытекает и цели, которую вы преследуете для обработки персональных данных гражданина и действий, которые будут совершаться с персональными данными, в ходе реализации данной цели. 

Правильная обработка и защита персональных данных - это не только требование закона, но и залог успешной работы медицинской организации. В условиях ужесточения контроля за обработкой персональных данных медицинским организациям необходимо уделять особое внимание вопросам безопасной работы с персональными данными и регулярно проводить аудит существующих процессов обработки данных. Соблюдение всех требований законодательства поможет избежать серьезных штрафов и сохранить доверие пациентов.