Добавить в корзинуПозвонить
Найти в Дзене
Синтез закона и технологий
1352 подписчика

Специальная категория ПДн — медицинские данные

23
5 мин
Продолжаем цикл «Персональные данные на практике: от хаоса к системе». Мы уже разобрались со статусом оператора, обязательными документами и уведомлением Роскомнадзора.
Сегодня — тема, которая отличает медорганизации от большинства других операторов: специальная категория персональных данных. В работе клиники персональные данные условно можно разделить на три уровня. 1. Общие персональные данные
ФИО, дата рождения, адрес, телефон, паспортные данные, СНИЛС, ИНН, полис ОМС/ДМС. 2. Специальная категория ПДн (сведения о состоянии здоровья)
Федеральный закон № 323-ФЗ (ч. 1 ст. 22) относит к таким сведениям, в том числе: На практике это почти весь массив медицинской документации: 3. Биометрические персональные данные
Это данные, которые используются для установления личности. Например, фото/видео пациента, если они применяются именно для идентификации. Важно: Роскомнадзор разъяснял, что рентгеновские и флюорографические снимки сами по себе не биометрия, если не используются для идентификации
Оглавление

Продолжаем цикл «Персональные данные на практике: от хаоса к системе». Мы уже разобрались со статусом оператора, обязательными документами и уведомлением Роскомнадзора.
Сегодня — тема, которая отличает медорганизации от большинства других операторов: специальная категория персональных данных.

Что в медицине относится к данным о здоровье

В работе клиники персональные данные условно можно разделить на три уровня.

1. Общие персональные данные
ФИО, дата рождения, адрес, телефон, паспортные данные, СНИЛС, ИНН, полис ОМС/ДМС.

2. Специальная категория ПДн (сведения о состоянии здоровья)
Федеральный закон № 323-ФЗ (ч. 1 ст. 22) относит к таким сведениям, в том числе:

  • результаты медицинского обследования;
  • наличие заболевания;
  • диагноз и прогноз развития;
  • методы оказания медпомощи и риски;
  • возможные виды медицинского вмешательства, последствия и результаты.

На практике это почти весь массив медицинской документации:

  • анализы и обследования (лабораторные и инструментальные);
  • предварительные и окончательные диагнозы;
  • история болезни;
  • сведения об операциях;
  • назначения, схемы лечения, рецепты;
  • противопоказания и аллергии;
  • заключения врачей;
  • выписки из медкарты (в том числе электронной);
  • сведения о беременности и родах.

3. Биометрические персональные данные
Это данные, которые используются для установления личности. Например, фото/видео пациента, если они применяются именно для идентификации.

Важно: Роскомнадзор разъяснял, что рентгеновские и флюорографические снимки сами по себе не биометрия, если не используются для идентификации личности. Но они всё равно относятся к сведениям о здоровье и подпадают под специальную категорию ПДн.

Почему в медицине вопрос согласия особенно чувствительный

Общее правило ст. 10 152-ФЗ: обработка специальных категорий ПДн ограничена и допускается при наличии предусмотренного законом основания.

Для медицины действует важное основание (п. 4 ч. 2 ст. 10 152-ФЗ): обработка данных о здоровье возможна без отдельного согласия, если она ведётся в медико-профилактических целях, для диагностики и оказания медуслуг, и при этом соблюдается режим врачебной тайны.

Где риск на практике

В медицинских организациях с данными работают не только врачи:

  • администраторы и регистраторы;
  • колл-центр;
  • IT-сотрудники;
  • подрядчики, обслуживающие МИС/CRM/инфраструктуру;
  • лаборатории и иные контрагенты в рамках процессов оказания помощи.

Именно здесь чаще всего возникают претензии: не из-за самой медицинской услуги, а из-за «сервисного контура» вокруг неё — доступов, передачи, хранения, коммуникаций, мессенджеров и интеграций.

Практический вывод:
Для снижения рисков клинике обычно требуется не только корректная правовая база, но и грамотно оформленное письменное согласие, локальные акты, режим доступа и договорная обвязка с сотрудниками/подрядчиками.

Когда обработка возможна без отдельного письменного согласия

Ключевые основания (ч. 2 ст. 10 152-ФЗ) включают, в частности:

  1. Защита жизни и здоровья, когда получить согласие невозможно (например, экстренная помощь).
  2. Медицинские цели — профилактика, диагностика, лечение, оказание медуслуг при соблюдении режима тайны.
  3. Иные предусмотренные законом случаи, включая защиту прав и законных интересов в рамках установленных процедур.

Даже когда отдельное согласие не требуется, обязанность сохранять врачебную тайну и ограничивать доступ к данным остаётся.

Что важно внедрить в медицинской организации уже сейчас

  • Утвердить отдельную форму согласия пациента на обработку ПДн (включая специальные категории), где цели и действия сформулированы конкретно.
  • Проверить правовые основания по каждому процессу: приём, запись, диагностика, лаборатория, колл-центр, напоминания, телемедицина.
  • Разграничить доступы в МИС/CRM: кто и какие данные видит.
  • Оформить обязательства о неразглашении и инструкции для сотрудников.
  • Зафиксировать порядок работы с подрядчиками: договорные условия, меры защиты, ответственность.
  • Настроить журналирование и контроль доступа к медданным.
  • Пересмотреть каналы коммуникаций с пациентами (мессенджеры, почта, телефония).
  • Регулярно обучать персонал по ПДн и врачебной тайне.

Электронное согласие: можно ли

Да, можно.
Согласие в форме электронного документа допустимо при соблюдении требований закона. На практике это требует корректной юридической и технической реализации (вид подписи, фиксация волеизъявления, доказуемость, хранение и возможность подтверждения при проверке).

Отдельно про сотрудников

Работодатель не вправе запрашивать у работника сведения о состоянии здоровья, не связанные с выполнением трудовой функции (абз. 7 ст. 88 ТК РФ).
В медорганизации это особенно важно: «медицинский статус» сотрудника нельзя собирать и хранить «на всякий случай».

Тест: правильно ли вы работаете с медицинскими данными?

Ответьте «да» или «нет» на каждый пункт:

  1. В медицинской организации утверждена отдельная форма согласия на обработку медицинских данных?
  2. В согласии указаны конкретные цели обработки?
  3. Согласие (или иное законное основание) фиксируется до начала обработки?
  4. Все сотрудники с доступом к медданным подписали обязательства о неразглашении?
  5. Бумажные документы хранятся в защищённом месте с ограниченным доступом?
  6. Информационные системы и базы с медданными защищены, а доступы разграничены?
  7. Команда понимает, в каких случаях обработка возможна без отдельного согласия?
  8. В медицинской организации есть регулярное обучение по работе с ПДн и врачебной тайне?

Результат:

  • 8 «да» — процесс выстроен на хорошем уровне.
  • 1–2 «нет» — есть зоны риска, лучше закрыть их в ближайшее время.
  • 3 и более «нет» — высокий риск претензий и проверок, нужен аудит процессов и документов.

Для медицинских организаций: углублённый тест

На нашем сайте есть отдельный тест — с учётом специальных требований к медданным и ответственности за нарушения.

Как пройти:

  2. Ответьте на 12 вопросов (до 3 минут).
  3. Получите результат и персональные рекомендации.
  4. При необходимости оставьте заявку на консультацию.

Подписывайтесь на канал «Синтез закона и технологий».
В следующих материалах цикла:

  • врачебная тайна и персональные данные: как не допустить конфликт режимов;
  • согласие пациента: сбор, хранение, отзыв;
  • медколл-центр и мессенджеры: где проходит граница допустимого;
  • обезличивание медицинских данных для исследований.

Переходим от хаоса к системе. Вместе.

Изображение сгенерировано ИИ.
Изображение сгенерировано ИИ.

Безопасность и правопорядок
95,2 тыс интересуются