Медицинские организации работают с наиболее чувствительными категориями персональных данных: сведениями о здоровье, диагнозах, анализах и лечении пациентов. Любая ошибка в обращении с такими данными влечёт жёсткую реакцию: совокупные штрафы могут достигать 2 миллионов рублей и выше.
При этом большинство нарушений — не злой умысел, а результат системных пробелов: формальных документов, отсутствия обучения сотрудников, бесконтрольного использования мессенджеров и слабого разграничения доступа к данным.
Ниже — самые распространённые ошибки, которые приводят клиники к штрафам, и что сделать, чтобы их избежать.
Ошибка 1. Некорректное или устаревшее уведомление о работе с персональными данными
Во многих клиниках вопрос с уведомлением регулятора когда-то «решался», но по факту уведомление не подавалось вовсе, данные в реестре давно устарели или указанные цели и состав персональных данных не соответствуют реальной работе.
Что сделать
• Проверить наличие и актуальность записи о клинике в реестре операторов ПДн.
• Сравнить фактические процессы обработки с тем, что указано в уведомлении.
• При необходимости подать уведомление впервые или внести изменения.
Ошибка 2. Политика по персональным данным не связана с реальностью
Типичная картина: политика обработки ПДн лежит на сайте и в папке у юриста, но написана по шаблону, не отражает конкретику организации, не содержит перечня систем, категорий данных и сроков хранения, а также давно не обновлялась.
Что сделать
• Переписать политику под реальную структуру и процессы клиники.
• Синхронизировать её с другими локальными актами.
• Актуализировать при изменении процессов и внедрении новых сервисов.
Ошибка 3. Неверно оформленные согласия пациентов и сотрудников
Согласия — один из ключевых юридических инструментов. Типичные ошибки: использование устаревших форм, слишком широкие цели в одном согласии, юридически уязвимые формулировки, отсутствие привязки к конкретным услугам.
Что сделать
• Провести ревизию всех действующих бланков согласий.
• Разделить согласия по целям обработки.
• Обеспечить соответствие согласий реальным процессам обработки данных.
Ошибка 4. Отсутствие реального разграничения доступа к медицинской информации
На бумаге всё выглядит правильно: есть приказы, уровни доступа, ответственные. Но на практике сотрудники используют один логин, пароли не менялись годами, доступ выдаётся «на всякий случай», а действия пользователей не отслеживаются.
Что сделать
• Настроить отдельные учётные записи для каждого сотрудника.
• Регламентировать процедуры подключения и отзыва доступа.
• Внедрить журналирование действий пользователей.
• Регулярно анализировать журналы доступа.
Ошибка 5. Нет понятного порядка реагирования на инциденты
Проблемы возникают, когда сотрудники не понимают, что считать инцидентом, никто не знает алгоритм действий, нет ответственного за реагирование, а о факте утечки узнают слишком поздно.
Что сделать
• Утвердить внутренний регламент реагирования на инциденты.
• Обучить сотрудников на практических примерах.
• Назначить ответственных за обработку инцидентов.
Ошибка 6. Использование мессенджеров и личных телефонов без правил
Мессенджеры стали одним из главных источников нарушений: скриншоты с данными пациентов пересылаются в общие чаты, результаты анализов отправляются через личные аккаунты, фото документов хранятся на личных устройствах.
Что сделать
• Закрепить правила использования мессенджеров в организации.
• Запретить передачу чувствительных данных через незащищённые каналы.
• Внедрить контролируемые инструменты для рабочих коммуникаций.
Ошибка 7. Отсутствие системного обучения сотрудников
Формально сотрудники «обязаны соблюдать правила», но никто не объяснял, что именно запрещено, реальные примеры нарушений не разбираются, обучение либо отсутствует, либо проводится для галочки.
Что сделать
• Внедрить регулярное обучение по работе с персональными данными.
• Фиксировать факт прохождения обучения.
• Обновлять материалы с учётом изменений законодательства.
Ошибка 8. Беспорядок в бумажной документации и медицинских картах
Карты пациентов лежат в открытом доступе, архивы не закрываются, движение документов не контролируется, нет порядка уничтожения. Даже одна потерянная медкарта может привести к серьёзным штрафам.
Что сделать
• Организовать закрытое хранение документов.
• Регламентировать порядок выдачи и уничтожения.
• Проводить регулярные внутренние проверки.
Ошибка 9. Подрядчики и внешние сервисы вне контроля
Многие клиники передают данные пациентов подрядчикам, не оценивая юридические последствия. Колл-центр получает доступ без ограничений, IT-подрядчики работают без требований по ПДн, облачные сервисы не описаны в локальных актах. При инциденте ответственность перед пациентами и регуляторами несёт именно клиника.
Что сделать
• Проверить договоры с подрядчиками.
• Включить положения о конфиденциальности и защите ПДн.
• Убедиться, что внешние сервисы отвечают требованиям безопасности.
Ошибка 10. Нет регулярного внутреннего аудита
Самая опасная системная ошибка — ничего не проверять, пока «всё работает». Именно так накапливаются мелкие нарушения, которые при проверке превращаются в серьёзные штрафы.
Зачем нужен внутренний аудит
Регулярный аудит позволяет своевременно выявлять слабые места, понимать, где сотрудники работают «по привычке», готовиться к проверкам и снижать риск крупных санкций. Даже базовый чек-лист помогает увидеть реальные проблемы до прихода регулятора.
Как надёжно защитить клинику: система вместо штрафов
Большинство рисков можно существенно снизить, выстроив системную работу с персональными данными:
• привести в порядок документы по ПДн;
• обучить сотрудников правилам работы с данными;
• внедрить внутренний контроль и аудит.
Самостоятельно выстроить такую систему сложно — особенно без постоянного погружения в законодательство. Решением становится готовый пакет документов и обучение сотрудников, адаптированные под медицинскую организацию.