Почему клиники стали одной из главных «мишеней» по персональным данным
Медицинские организации работают с самыми чувствительными категориями персональных данных — информацией о здоровье, диагнозах, результатах анализов, лечении.
Любая ошибка в работе с такими данными воспринимается регуляторами особенно жестко и может приводить к крупным штрафам, которые в сумме достигают 2 миллионов рублей и больше.
При этом большинство нарушений — не следствие злого умысла, а результат системных просчетов: формальных документов, отсутствия обучения, хаотичного использования мессенджеров и слабого контроля за доступом.
Ниже — топ ошибок, которые чаще всего приводят клинику к штрафам, и что нужно сделать, чтобы этого избежать.
Ошибка 1. Нет корректного уведомления о работе с персональными данными
Во многих клиниках вопрос с уведомлением регулятора «кто-то когда-то решал», но по факту:
- уведомление вообще не подавалось;
- данные в реестре давно устарели;
- указанные цели и состав ПДн не соответствуют реальной работе клиники.
Это воспринимается как самостоятельное нарушение и создает основу для штрафов уже на старте проверки.
Что делать
- проверить наличие и актуальность записи о клинике в реестре операторов ПДн;
- сравнить фактические процессы обработки с тем, что указано в уведомлении;
- при необходимости подать уведомление впервые или внести изменения.
Ошибка 2. Формальная политика по персональным данным, не связанная с реальностью
Типичная картина: политика в отношении обработки персональных данных «лежит» на сайте и в папке у юриста, но:
- написана по шаблону и не отражает конкретику медорганизации;
- не содержит реального перечня систем, категорий ПДн, сроков хранения;
- давно не пересматривалась, хотя клиника запускала новые сервисы и IT-решения.
При проверке быстро видно, что политика живет отдельно, а реальные процессы — отдельно. Это воспринимается как системное нарушение.
Что делать
- переписать политику под реальную структуру и процессы клиники;
- синхронизировать её с другими локальными актами;
- актуализировать документ при изменении процессов и внедрении новых сервисов.
Ошибка 3. Неверно оформленные согласия пациентов и сотрудников
Согласия — один из ключевых юридических инструментов, и здесь чаще всего допускают ошибки:
- используют устаревшие формы;
- в одно согласие «зашивают» слишком много целей;
- формулировки слишком общие или юридически уязвимые;
- согласия не привязаны к конкретным видам услуг и сервисам.
В результате при споре или проверке оказывается, что формально согласие есть, но его нельзя признать надлежащим основанием для обработки.
Что делать
- провести ревизию всех действующих бланков согласий;
- разделить согласия по целям;
- обеспечить соответствие согласий реальным процессам обработки данных.
Ошибка 4. Отсутствие реального разграничения доступа к медицинской информации
На бумаге в клинике всё выглядит правильно: есть приказы, уровни доступа и назначенные ответственные.
Но на практике:
- сотрудники используют один логин на нескольких человек;
- пароли не меняются годами;
- доступ выдается «на всякий случай»;
- действия пользователей не анализируются.
В такой системе практически невозможно определить источник утечки или неправомерного доступа к данным пациента.
Что делать
- настроить отдельные учетные записи;
- регламентировать подключение и отключение доступа;
- внедрить журналирование действий пользователей;
- регулярно анализировать логи доступа.
Ошибка 5. Нет понятного порядка реагирования на инциденты и утечки
Даже при наличии хороших документов инциденты возможны. Ключевой вопрос — как клиника на них реагирует.
Проблемы возникают, когда:
- сотрудники не понимают, что считать инцидентом;
- никто не знает порядок действий;
- отсутствует ответственный за реагирование;
- о факте утечки узнают слишком поздно.
Отсутствие алгоритма действий воспринимается как отсутствие организационных мер защиты.
Что делать
- утвердить внутренний регламент реагирования;
- обучить сотрудников на практических примерах;
- назначить ответственных за обработку инцидентов.
Ошибка 6. Использование мессенджеров и личных телефонов без правил
Мессенджеры стали одним из главных источников нарушений:
- скриншоты с данными пациентов пересылаются в общие чаты;
- результаты анализов отправляются через личные аккаунты;
- фотографии документов хранятся на личных устройствах.
Даже без злого умысла клиника фактически теряет контроль над персональными данными пациентов.
Что делать
- закрепить правила использования мессенджеров;
- запретить передачу чувствительных данных через незащищенные каналы;
- внедрить контролируемые инструменты для рабочих коммуникаций.
Ошибка 7. Отсутствие системного обучения сотрудников
На уровне документов сотрудники «обязаны соблюдать правила», но фактически:
- никто не объяснял, что именно нельзя делать;
- не разбираются реальные примеры нарушений;
- не отрабатываются сценарии общения с пациентами;
- обучение либо отсутствует, либо проводится формально.
Сотрудник, который не понимает границы допустимого, почти неизбежно допустит нарушение.
Что делать
- внедрить регулярное обучение по персональным данным;
- фиксировать прохождение обучения;
- обновлять материалы с учетом изменений законодательства и практики.
Ошибка 8. Хаос в бумажной документации и медицинских картах
Даже при электронном документообороте бумажные документы продолжают создавать серьезные риски:
- карты пациентов лежат в открытом доступе;
- архивы не закрываются;
- движение документов не контролируется;
- отсутствует порядок уничтожения документов.
Даже одна потерянная медицинская карта может привести к серьезным претензиям и штрафам.
Что делать
- организовать закрытое хранение документов;
- регламентировать порядок выдачи и уничтожения;
- проводить регулярные внутренние проверки.
Ошибка 9. Игнорирование роли подрядчиков и внешних сервисов
Многие клиники передают данные пациентов подрядчикам, не оценивая юридические последствия.
Типичные проблемы:
- колл-центр получает доступ к данным без строгих условий;
- IT-подрядчики работают без требований по ПДн в договоре;
- облачные сервисы не описаны в локальных актах.
При инциденте ответственность перед пациентами и регуляторами несет именно клиника.
Что делать
- проверить договоры с подрядчиками;
- включить положения о конфиденциальности и защите ПДн;
- убедиться, что внешние сервисы соответствуют требованиям безопасности.
Ошибка 10. Отсутствие регулярного внутреннего аудита по персональным данным
Самая опасная системная ошибка — ничего не проверять, пока «всё работает».
Именно так накапливаются десятки мелких нарушений, которые при проверке превращаются в серьезные штрафы.
Зачем нужен внутренний аудит
Внутренний аудит позволяет:
- вовремя выявлять слабые места;
- понимать, где сотрудники работают «по привычке»;
- подготовиться к проверкам;
- снизить риск крупных санкций.
Даже базовый чек-лист уже помогает увидеть реальные проблемы до прихода регулятора.
Как защитить клинику: документы и обучение вместо штрафов
Большинство рисков можно существенно снизить, если выстроить системную работу с персональными данными.
Что необходимо сделать
- привести в порядок документы по персональным данным;
- обучить сотрудников правилам работы с данными;
- внедрить внутренний контроль и аудит.
Самостоятельно выстроить такую систему сложно и долго, особенно без постоянного погружения в законодательство.
Решением становится готовый комплект документов и обучение сотрудников, адаптированные под медицинскую организацию.
Получить пакет необходимых документов: mediator-pravo.ru/personal-dannie