С 2026 года все медицинские организации в России, включая частные клиники, лаборатории, стоматологии и диагностические центры, обязаны соблюдать новые требования по защите персональных данных (ПДн) и критической информационной инфраструктуры (КИИ). Это связано с тем, что сфера здравоохранения признана критически важной, и любая медицинская организация, использующая информационные системы, становится субъектом КИИ.
Ключевые требования и шаги для клиник
- Назначение ответственного за информационную безопасность и создание комиссии по категорированию объектов КИИ.
- Инвентаризация и категорирование всех цифровых систем: медицинские информационные системы (МИС), лабораторные и диагностические сервисы, телемедицина, серверы, сети и др.
- Оформление и подача перечня объектов КИИ и результатов категорирования в ФСТЭК России в установленные сроки.
- Внедрение технических и организационных мер: использование сертифицированных средств защиты, разработка регламентов, обучение персонала, реагирование на инциденты.
- Подготовка обязательного пакета документов: акты категорирования, модель угроз, планы защиты, инструкции, журналы учёта инцидентов и др. (всего — более 40 документов).
Требования к защите персональных данных в медицинских клиниках в 2026 году
Медицинские организации обязаны соблюдать строгие требования по защите ПДн пациентов и сотрудников. Это связано с тем, что клиники работают с особыми категориями ПДн (сведения о здоровье), которые требуют повышенной защиты и охраняются врачебной тайной. Нарушение этих требований может привести к штрафам, репутационным потерям и судебным искам.
Ключевые требования ФЗ-152 и Роскомнадзора
- Назначение ответственного за обработку персональных данных.
- Разработка локальных нормативных актов: политика обработки ПДн, положение о защите, регламенты доступа, инструкции.
- Получение корректных согласий пациентов на обработку данных, включая отдельные согласия на специальные категории и передачу третьим лицам.
- Техническая защита: защита медицинских информационных систем, разграничение доступов, резервное копирование, антивирусная защита.
- Обучение персонала правилам работы с ПДн и медицинской тайной.
- Ведение журналов учёта доступа, передачи и уничтожения данных.
Типовые ошибки клиник
- Неправильные или неполные согласия пациентов.
- Отсутствие локальных актов.
- Свободный доступ к медицинским данным.
- Недостаточное обучение персонала.
- Незащищённые медицинские информационные системы.
Ответственность и риски
- Административные штрафы от 500 000 до нескольких миллионов рублей.
- Приостановка деятельности клиники.
- Уголовная ответственность (до 10 лет лишения свободы при тяжких последствиях).
> ❗️ Важно: интеграция с государственными системами (ЕГИСЗ, ФРМО, ФРМР) невозможна без выполнения требований по КИИ и защищённому контуру.
Заказать полный комплект обязательных документов по КИИ + подготовка писем во ФСТЭК России можно здесь: https://mediator-pravo.ru/gotovie-dokumenti-po-vsem-napravleniyam/tproduct/441368178272-komplekt-dokumentov-subekta-kii
Заказать полный комплект обязательных документов по персональным даным с изменениями 2026 года можно здесь: https://mediator-pravo.ru/personal-dannie
Обязательное обучение сотрудников по программе повышения квалификации с выдачей удостоверения: «Правила работы с персональными данными в организациях по требованию 152-ФЗ»: https://mediator-pravo.ru/personal-dannie