В эпоху цифровизации медицина не только лечит, но и активно собирает, хранит и обрабатывает огромный объём конфиденциальной информации. В связи с этим вопросы защиты персональных данных пациентов становятся критически важными — как с точки зрения закона, так и с позиции репутации медицинского учреждения.
В мае 2025 года в российском законодательстве произошли изменения, усилившие ответственность за нарушения в сфере персональных данных. О том, что должна знать каждая клиника, особенно стоматологическая, рассказывает медицинский юрист Ольга Котляр.
Полный разбор смотрите в эфире с юристом
Этот материал основан на нашем прямом эфире с медицинским юристом Ольгой Котляр, где мы подробно разобрали:
- последние изменения в законодательстве;
- типичные ошибки клиник; шаблоны документов;
- рекомендации по работе с МИС и рассылками;
- ответственность за утечку данных.
Что изменилось в законодательстве?
С 30 мая 2025 года были увеличены штрафы за нарушение правил обработки персональных данных. Теперь, например, за отсутствие уведомления в Роскомнадзор организации может грозить штраф до 300 000 рублей. Хотя сами требования к документам остались прежними, теперь стало гораздо дороже их игнорировать.
Важно: штрафы распространяются не только на медицинские учреждения, но и на всех, кто работает с персональными данными, включая юристов, бухгалтеров и ИТ-компании.
Что обязана иметь клиника?
Минимальный пакет документов для клиники:
1. Политика обработки персональных данных
Размещается на сайте и показывает, как клиника собирает и обрабатывает данные.
2. Положение об обработке и защите ПД
Описывает внутренние процедуры: кто, когда и как работает с персональными данными.
3. Согласие пациента на обработку данных
Подписывается при первом визите и охватывает:
- заключение договора;
- ведение медицинской карты;
- маркетинговые рассылки;
- фото/видео до и после лечения (если предполагается публикация).
4. Согласие сотрудников на обработку данных и их фото
Особенно важно, если врачей размещают на сайте или в соцсетях.
5. Приказ о назначении ответственного за защиту персональных данных
Даже в маленькой клинике должен быть формально назначен ответственный (например, руководитель).
6. Уведомление в Роскомнадзор
Подаётся до начала обработки ПД, включая данные сотрудников и врачей.
Частые ошибки и штрафы
- Отсутствие политики на сайте
Это самое первое, что проверяет Роскомнадзор. Штраф — от предупреждения до 50 000 руб. - Автоматически отмеченная галочка "согласен с обработкой"
Согласие должно быть осознанным — пациент должен сам поставить галочку. - Рассылка рекламы без отдельного согласия
Даже поздравление с днём рождения может быть признано нарушением, если не получено явное разрешение. - Передача фото или документов пациента через мессенджеры
WhatsApp и Telegram — это трансграничная передача, и она требует отдельного согласия. - Сохранение данных на личных телефонах сотрудников
Нарушает не только закон о ПД, но и врачебную тайну.
Кто несёт ответственность?
В случае нарушения:
- Юридическое лицо (клиника) — несёт основную ответственность;
- Должностные лица — могут быть привлечены к административной или даже уголовной ответственности;
- Подрядчики (маркетологи, МИС) — в отдельных случаях, если вина доказана.
Роль МИС и облачных хранилищ
Медицинские информационные системы (МИС) играют важную роль в защите данных. Однако важно, чтобы серверы хранения находились в РФ. Если данные уходят за границу (например, при использовании зарубежных облаков), это считается трансграничной передачей и требует отдельного согласия пациента.
Система Dentist Plus работает через Яндекс.Cloud, что соответствует требованиям закона.
Как поступить новой клинике?
- Начать с уведомления Роскомнадзора о намерении обрабатывать персональные данные;
- Оформить политику обработки ПД и разместить её на сайте;
- Разработать шаблоны согласий (на услуги, фото, рассылки, т.д.);
- Назначить ответственного за ПД приказом;
- Обучить персонал основам работы с персональными данными;
- Проверить сайт на наличие согласий и корректную работу форм обратной связи.
Защита персональных данных — не просто бюрократия, а вопрос доверия и безопасности. Пациенты доверяют врачам самое личное — своё здоровье. Любая утечка или халатность может стоить клинике репутации и серьёзных штрафов.
Если вы — владелец или руководитель клиники, начинайте с малого: проверьте сайт, соберите документы, обучите сотрудников. И обязательно задавайте юристам «глупые вопросы» — это единственный способ разобраться и работать спокойно.