Добавить в корзинуПозвонить
Найти в Дзене
ЦСМК
409 подписчиков

Персональные данные в медицине: как избежать ошибок ценой 15 000 000 рублей

14
7 мин
Тема персональных данных (ПДн) в последнее время превратилась для многих в головную боль: Роскомнадзор расширяет полномочия, штрафы растут как на дрожжах. Для медицинских организаций ставки особенно высоки: речь идет не только о фамилиях и номерах телефонов, но и о врачебной тайне — информации специальной категории, требующей повышенной правовой защиты. Любая ошибка в работе с ПДн может обернуться не только репутационными, но и серьезными финансовыми потерями: штраф сопоставим с бюджетом небольшой клиники. Многие полагают, что наличие готового пакета документов, купленного в интернете, уже означает соблюдение требований закона. Спешим огорчить: если нагрянет проверка, показать шаблон — недостаточно. Нужно понимать процессы, которые стоят за каждой бумагой. В этой статье разберем, какие риски несет клиника, если, кроме как бумагой, персональные данные никак не защищены, и какие меры действительно помогают выстроить рабочую систему безопасности. С точки зрения закона информация о состоян
Оглавление

Тема персональных данных (ПДн) в последнее время превратилась для многих в головную боль: Роскомнадзор расширяет полномочия, штрафы растут как на дрожжах.

Для медицинских организаций ставки особенно высоки: речь идет не только о фамилиях и номерах телефонов, но и о врачебной тайне — информации специальной категории, требующей повышенной правовой защиты.

Любая ошибка в работе с ПДн может обернуться не только репутационными, но и серьезными финансовыми потерями: штраф сопоставим с бюджетом небольшой клиники.

Многие полагают, что наличие готового пакета документов, купленного в интернете, уже означает соблюдение требований закона. Спешим огорчить: если нагрянет проверка, показать шаблон — недостаточно. Нужно понимать процессы, которые стоят за каждой бумагой.

В этой статье разберем, какие риски несет клиника, если, кроме как бумагой, персональные данные никак не защищены, и какие меры действительно помогают выстроить рабочую систему безопасности.

Почему медицина — зона повышенного риска?

С точки зрения закона информация о состоянии здоровья, диагнозах и лечении относится к специальным категориям персональных данных (ст. 10 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

Обработка таких данных запрещена, за исключением строго определенных случаев. Для медицинской организации основанием является письменное согласие пациента (п. 1 ч. 2 ст. 10 152-ФЗ).

Что это значит для клиники? Любая «галочка» на сайте, любое устное согласие в регистратуре — это нарушение. Согласие на обработку ПДн о здоровье должно быть письменным, в том числе в форме электронного документа, подписанного квалифицированной электронной подписью, если это предусмотрено законом для конкретных случаев, но классическая бумажная форма — самая надежная база.

Разумеется, необходимо помнить об исключениях из правил, призванных сохранить пациенту жизнь и здоровье. В ряде случаев обработка персональных данных допускается без получения согласия. В частности, это возможно, если:

  • обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных (пациента);
  • получение согласия в конкретной ситуации объективно невозможно.

Основания: пп. 1, 6 ч. 1 ст. 6 и ч. 1 ст. 9 Закона № 152-ФЗ.

Цена ошибки: штрафы 2024–2025 годов

Законодатель резко ужесточил ответственность. Если раньше штрафы были «приятными», то теперь они бьют по обороту. Основные статьи КоАП РФ (ст. 13.11), которые касаются медицины:

А. Обработка без согласия (ч. 2 ст. 13.11 КоАП РФ). Если вы взяли кровь на анализ или завели карту, не получив правильного письменного согласия:

  • штраф для клиники (юрлица): от 300 000 до 700 000 рублей;
  • повторное нарушение (ч. 2.1): от 1 до 1,5 миллиона рублей.

Б. Утечка данных о здоровье (ч. 16 ст. 13.11 КоАП РФ). Это самый страшный пункт. Если произошла неправомерная передача (например, база утекла в сеть или врач передал данные третьим лицам без основания) информации, включающей специальную категорию данных (диагнозы, здоровье):

  • штраф для клиники: от 10 до 15 миллионов рублей.

В. Повторная утечка специальных данных (ч. 18 ст. 13.11 КоАП РФ). Если вас уже штрафовали за утечки и это случилось снова:

  • штраф: от 1% до 3% от годовой выручки клиники (но не менее 25 миллионов рублей).

Г. Нарушение локализации (ч. 8 ст. 13.11 КоАП РФ). Если вы используете CRM или облачный сервис и серверы находятся не в России (например, зарубежный хостинг для сайта с записью):

  • штраф: от 1 до 6 миллионов рублей;
  • повторное нарушение: от 6 до 18 миллионов рублей.

Д. Сокрытие инцидента (ч. 11 ст. 13.11 КоАП РФ). С 2022 года (и с ужесточением в 2024) вы обязаны сообщать в Роскомнадзор о фактах утечек. Если не сообщили вовремя:

  • штраф: от 1 до 3 миллионов рублей.

Особые риски: биометрия и трансграничная передача

Биометрия (ст. 11 152-ФЗ). Если вы используете системы распознавания лиц (например, для прохода в клинику или идентификации пациента), это биометрические данные:

  • требуется письменное согласие;
  • штраф за утечку биометрии (ч. 17 ст. 13.11 КоАП РФ): 15–20 миллионов рублей для юрлиц.

Трансграничная передача (ст. 12 152-ФЗ). Если вы используете зарубежное ПО, которое передает данные на серверы за границу (даже облачные хранилища), вы обязаны уведомить Роскомнадзор до начала передачи. С 2023 года правила ужесточились. Передача в страны, не обеспечивающие адекватную защиту, может быть запрещена.

Пошаговый алгоритм защиты для руководителя

Чтобы чувствовать себя уверенно и работать без лишних рисков, важно выстроить системный подход к защите персональных данных. Мы подготовили для вас чек-лист на основе требований 152-ФЗ.

1. Аудит и инвентаризация. Вы не можете защитить то, что не знаете:

  • составьте перечень всех информационных систем (МИС, сайт, CRM, бумажные журналы);
  • определите, какие данные где хранятся (ФИО, телефоны, диагнозы, паспорта);
  • проверьте, где физически находятся серверы (только РФ).

2. Документы «в поле», а не в шкафу. Папка с документами должна работать:

  • Согласия. Проверьте формы согласий. Они должны соответствовать ч. 4 ст. 9 152-ФЗ (ФИО, паспортные данные пациента, цель, перечень данных, срок действия, подпись). Для данных о здоровье — обязательно отдельный пункт или отдельное согласие (ст. 10 152-ФЗ).
  • Политика обработки ПДн. Согласно ч. 2 ст. 18.1 152-ФЗ, вы обязаны опубликовать документ, определяющий политику клиники в отношении ПДн. Обычно это раздел на сайте. Если его нет — штраф по ч. 3 ст. 13.11 КоАП РФ (30–60 тыс. руб.).

3. Техническая защита (ст. 19 152-ФЗ). Вы обязаны принимать меры для защиты данных от неправомерного доступа:

  • Уровни защищенности. Определите уровень защищенности ваших информационных систем (УЗ-1, УЗ-2, УЗ-3 или УЗ-4). Для медицины, где есть специальные категории данных, обычно требуются высокие уровни.
  • Средства защиты. Используйте сертифицированные средства защиты информации (антивирусы, СКЗИ), особенно если работаете с электронными медицинскими картами.
  • Разграничение доступа. Врач не должен видеть данные пациентов другого отделения без необходимости. Пароли должны быть сложными и регулярно меняться.

4. Работа с запросами пациентов (ст. 14, 20, 21 152-ФЗ). Пациент имеет право знать, что вы храните о нем:

  • Срок ответа: 10 рабочих дней (может быть продлен еще на 5 дней с уведомлением).
  • Право на удаление: если пациент отзывает согласие, вы обязаны прекратить обработку и уничтожить данные в срок до 30 дней (ч. 5 ст. 21 152-ФЗ), если нет закона, обязывающего хранить карту (например, сроки хранения меддокументации).
  • Ошибка здесь: игнорирование запроса пациента ведет к штрафу по ч. 4 ст. 13.11 КоАП РФ (40–80 тыс. руб.), а невыполнение требования об удалении — до 90 тыс. руб. (ч. 5 ст. 13.11 КоАП РФ).

5. Реагирование на инциденты (ч. 3.1 ст. 21 152-ФЗ). Если произошла утечка (вирус-шифровальщик, потеря флешки, ошибка сотрудника), вам необходимо:

  • в течение 24 часов уведомить Роскомнадзор об инциденте, причинах и вреде;
  • в течение 72 часов предоставить результаты внутреннего расследования;
  • уведомить субъектов данных (пациентов), если это необходимо для защиты их прав.

Важно: сокрытие инцидента сейчас карается строже, чем сам инцидент (см. штраф выше).

6. Уведомление Роскомнадзора (ст. 22 152-ФЗ). Вы должны быть в реестре операторов:

  • проверьте, подавали ли вы уведомление об обработке ПДн;
  • исключения есть (например, обработка только для исполнения договора с пациентом-работником), но для клиник, ведущих базы пациентов, уведомление обязательно;
  • неподача уведомления — штраф по ч. 10 ст. 13.11 КоАП РФ (100–300 тыс. руб.).

Что делать прямо сейчас: рекомендации ЦСМК

  1. Не доверяйте «готовым папкам» без адаптации. Документы должны отражать реальность вашей клиники. Если в политике написано «используем шифрование», а его нет — это отягчающее обстоятельство.

В разделе «Документы» ЦСМК есть все необходимые документы, но и они требуют внимательного и обстоятельного подхода при подписании и внедрении. Если у вас возникли вопросы, обращайтесь к нашим специалистам через кнопку «Задать вопрос эксперту».

-2

2. Назначьте ответственного. Согласно ст. 22.1 152-ФЗ, юридическое лицо обязано назначить лицо, ответственное за организацию обработки ПДн. Приказ должен быть реальным, человек должен понимать свои обязанности.

3. Проверьте согласия пациентов. Особенно на обработку специальных категорий (здоровье).

4. Локализуйте базы. Убедитесь, что первичный сбор и хранение данных граждан РФ происходит на серверах в России.

5. Обучите персонал. Врач или администратор, отправивший фото паспорта пациента в общий чат WhatsApp, создает вам убытки в миллионы рублей. Они должны знать основы 152-ФЗ.

6. Проведите проверку соблюдения порядка работы с персональными данными в вашей организации посредством специального проверочного листа в разделе «Проверки» ЦСМК.

-3

Персональные данные в медицине — это не бюрократия, это — часть медицинской безопасности. В условиях, когда штраф за утечку данных о здоровье может достигать 15 миллионов рублей, а при повторном нарушении — не менее 25 миллионов, экономия на юристах и специалистах по информационной безопасности становится самым дорогим решением.

Если вам важно выстроить эту работу системно — с учетом требований закона, реальных процессов и контроля рисков, — ЦСМК поможет сделать защиту персональных данных частью устойчивой и безопасной работы медицинской организации без расширения штата и лишней административной нагрузки.

Узнать больше о ЦСМК
Записаться на бесплатную демонстрацию системы

Безопасность и правопорядок
95,2 тыс интересуются