Врачебная тайна и персональные данные: два закона, один пациент — что должен знать клиника

Продолжаем цикл «Персональные данные на практике: от хаоса к системе». Мы уже разобрали, какие данные относятся к специальной категории и почему для их обработки требуется письменное согласие. Сегодня поговорим о ключевом правовом барьере для медицинских организаций — пересечении двух режимов: защиты персональных данных (152-ФЗ) и врачебной тайны (323-ФЗ).

Два закона: одно требование, разные ограничения

В медицинской организации одновременно действуют два правовых режима.

Первый — 152-ФЗ «О персональных данных»

Медицинские сведения о здоровье — специальная категория персональных данных (ст. 10). Их нельзя обрабатывать «как обычные» данные клиента. Обработка допускается только при наличии оснований из ч. 2 ст. 10, в том числе:

• письменного согласия пациента (п. 1);
• медицинских целей — профилактика, диагностика, лечение, оказание медуслуг при соблюдении врачебной тайны (п. 4);
• иных случаев, прямо указанных в законе.

Второй — 323-ФЗ «Об основах охраны здоровья»

Ст. 13 вводит врачебную тайну: факт обращения, состояние здоровья, диагноз и иные сведения, полученные при обследовании и лечении. Разглашать их без согласия нельзя, в том числе после смерти пациента (ч. 2 ст. 13), кроме случаев, которые закон прямо разрешает (ч. 3 и 4 ст. 13).

Что это значит на практике

Одни и те же сведения защищены двумя законами. Передать их другому лицу (не для лечения пациента) нужно так, чтобы действие было законно и по 152-ФЗ, и по 323-ФЗ.

Это не всегда два отдельных бланка:

• по ч. 3 ст. 13 323-ФЗ согласие на разглашение тайны может быть выражено в информированном добровольном согласии на медицинское вмешательство;
• по 152-ФЗ врач при оказании помощи может опираться на п. 4 ч. 2 ст. 10 — без отдельного согласия на обработку ПДн, если соблюдается режим тайны.

Что входит во врачебную тайну

Закон относит к врачебной тайне (ст. 13 323-ФЗ):

• факт обращения за медицинской помощью;
• состояние здоровья гражданина;
• диагноз заболевания;
• иные сведения, полученные при медицинском обследовании и лечении.

Перечень толкуется широко: под запрет попадают практически любые сведения, ставшие известными медработнику в связи с оказанием помощи.

Обязанность не разглашать распространяется не только на врачей, но и на всех, кому сведения стали известны при обучении или исполнении трудовых обязанностей — регистраторов, IT-специалистов, сотрудников колл-центров.

Где чаще всего ошибаются клиники

Данные видят не только врачи: регистратура, колл-центр, IT, подрядчики МИС/CRM.

Для них п. 4 ч. 2 ст. 10 152-ФЗ обычно не срабатывает. Нужны письменное согласие, локальные акты, разграничение доступа и договоры с подрядчиками.

Для любой передачи «наружу» — маркетинг, отзывы, мессенджеры, передача «знакомому врачу» без оформления — отдельная проверка: есть ли основание и по ПДн, и по врачебной тайне.

Когда можно раскрыть данные без согласия: основные сценарии

Без согласия действуют только закрытые перечни в ч. 4 ст. 13 323-ФЗ и основания ч. 2 ст. 10 152-ФЗ. Ниже — основные ситуации; полный список — в тексте ч. 4 ст. 13.

1. Угроза жизни и здоровью — пациент не может выразить волю (п. 1 ч. 4).

2. Инфекционная угроза — передача в уполномоченные органы (п. 2 ч. 4).

3. Запросы суда, дознания, следствия, прокуратуры — по мотивированному запросу (п. 3 ч. 4). Нужен внутренний регламент приёма и выдачи.

4. Помощь несовершеннолетнему — информирование родителя (п. 4 ч. 4).

5. Обмен между медорганизациями — направление, госпитализация (п. 8 ч. 4).

6. Органы внутренних дел — установленные законом случаи (п. 5 ч. 4).

7. После смерти — родственникам — по ч. 3.1 ст. 13, по запросу, если не было запрета.

8. Прочие основания — военно-врачебная экспертиза, ОМС и др. (п. 6, 7, 9, 10 ч. 4).

Важно: обсуждение в коридоре, общий чат, скрин в соцсети — это разглашение, а не законная передача.

Ответственность за нарушение

Административная (ст. 13.14 КоАП, ч. 1)

• граждане: 5 000 – 10 000 ₽;
• должностные лица: 40 000 – 50 000 ₽ или дисквалификация до 3 лет;
• юрлица: 100 000 – 200 000 ₽.

Жалоба часто идёт в прокуратуру; параллельно возможны проверки Роскомнадзора.

Оператор по 152-ФЗ

При утечке медданных — ч. 16 ст. 13.11 КоАП: 10–15 млн ₽ независимо от числа пострадавших.

Уголовная (ст. 137 УК)

До 2–5 лет в зависимости от состава.

Гражданская (ст. 151, 1064, 1101 ГК)

Моральный вред — на практике от 10 000 ₽ и выше. Регресс с сотрудника — ст. 238 ТК.

Дисциплинарная (ст. 81 ТК)

Увольнение за разглашение тайны — пп. «в» п. 6 ч. 1.

Реальные случаи из практики 2025–2026 годов

Случай 1. Штраф врачу за разглашение факта обращения ребёнка

Врач разгласил факт обращения ребёнка за медицинской помощью без согласия его законных представителей. Из-за его ошибки несколько человек узнали о случившемся. Врача оштрафовали на 5 000 рублей (постановление Первого КСОЮ от 23.01.2026 по делу № 16-193/2026).

Случай 2. Медсестра распространила данные пациентки в соцсетях

В Кольском районе медсестра в конце декабря 2025 года незаконно получила сведения, составляющие врачебную тайну пациентки, и распространила их через сообщения в социальных сетях. В отношении неё было возбуждено уголовное дело.

Случай 3. Штраф сотруднице больницы за разглашение врачебной тайны

Бывшую сотрудницу ГАУЗ Свердловской области «Артемовская центральная районная больница» суд признал виновной по ч. 2 ст. 13.14 КоАП РФ и назначил штраф в размере 10 000 рублей.

Случай 4. Директор стоматологии получил предупреждение

Директор стоматологической клиники отказался представить адвокату заверенные копии медицинских документов, ссылаясь на врачебную тайну. Мировой судья вынес ему предупреждение за отказ предоставить документы по законному запросу.

Как медицинской организации избежать нарушений

1. Назначьте ответственного за обработку ПДн и соблюдение врачебной тайны. Этот сотрудник должен контролировать все процессы работы с данными пациентов.
2. Разработайте внутренний регламент работы с запросами. Чётко пропишите, кто и в каком порядке отвечает на запросы правоохранительных органов, суда, адвокатов и родственников пациентов.
3. Получайте отдельное письменное согласие на обработку медицинских данных. С 1 сентября 2025 года согласие должно быть оформлено как отдельный документ, а не включено в договор.
4. Обучите персонал. Все сотрудники, имеющие доступ к медицинским данным (включая администраторов и IT-специалистов), должны знать правовые основы охраны врачебной тайны и быть ознакомлены с ответственностью за её разглашение.
5. Защитите каналы передачи данных. Использование мессенджеров и электронной почты для передачи врачебной тайны без специального правового основания означает нарушение требований 152-ФЗ и 323-ФЗ. Используйте защищённые каналы связи.
6. Храните согласия и документацию в защищённом месте. Бумажные согласия — в сейфе или запираемом шкафу, электронные базы — на серверах, расположенных на территории РФ.
7. Регулярно проводите внутренние проверки. Контролируйте, как сотрудники соблюдают режим врачебной тайны, и своевременно выявляйте риски.

Тест: готова ли ваша медорганизация к соблюдению врачебной тайны?

Ответьте «да» или «нет» на каждый пункт.

1. Все сотрудники, имеющие доступ к медицинским данным, подписали обязательство о неразглашении врачебной тайны?
2. В вашей клинике утверждена форма письменного согласия на обработку медицинских данных как отдельный документ?
3. Вы знаете перечень случаев, когда данные можно раскрыть без согласия пациента, и соблюдаете эти основания?
4. У вас назначен сотрудник, ответственный за обработку запросов правоохранительных органов, суда и адвокатов?
5. Вы используете защищённые каналы связи для передачи медицинских данных?
6. Вы регулярно проводите обучение персонала по вопросам врачебной тайны и ответственности за её разглашение?
7. Вы знаете размеры штрафов за разглашение врачебной тайны по ст. 13.14 КоАП РФ?
8. У вас есть внутренний регламент действий при утечке или разглашении медицинских данных?

Результат:

• Если вы ответили «да» на все 8 пунктов — ваша организация в зоне низкого риска.
• Если хотя бы один ответ «нет» — у вас есть пробелы. Начните с самого слабого места: назначения ответственного, обучения персонала или настройки защищённых каналов связи.
• При трёх и более «нет» — вы в зоне высокого риска проверок и штрафов. Рекомендуем провести аудит документации и процессов.

Для медицинских организаций: дополнительный тест

На нашем сайте есть отдельный углублённый тест для поликлиник, больниц, стоматологий, лабораторий и врачебных кабинетов. Он учитывает специальный режим работы с медицинскими данными и ответственность за утечки в 2026 году.

Как пройти тест:

Шаг 1. Перейдите по ссылке:
https://synlawtech.ru/security/pd-test

Шаг 2. Ответьте на 12 вопросов — это займёт не больше 3 минут.

Шаг 3. Получите результат и персональные рекомендации.

Шаг 4. Оставьте заявку на бесплатную консультацию.

Подписывайтесь на канал «Синтез закона и технологий»

В следующих статьях цикла «Персональные данные на практике: от хаоса к системе»:

• согласие пациента: как собирать, хранить и отзывать (образцы для клиник);
• медицинский колл-центр и мессенджеры: как напоминать о приёме, не нарушая закон;
• обезличивание медицинских данных для исследований.

Подпишитесь, чтобы не пропустить практические материалы. Если остались вопросы — задавайте в комментариях.

Изображение сгенерировано ИИ.

Материал носит информационный характер и не заменяет консультацию юриста или специалиста по информационной безопасности. Для юридически значимых решений сверяйтесь с актуальными текстами законов и официальными разъяснениями.