Ошибки клиник при работе с персональными данными: что важно знать

Все медорганизации считаются операторами персональных данных, согласно Федеральному закону № 152-ФЗ. Закон обязывает такие организации выполнять множество требований, причем перечень этих требований и размеры штрафов за их нарушение постоянно растут. Например, за неправильную обработку или защиту персональных данных по статье 13.11 КоАП РФ предусмотрены крупные штрафы.

Чтобы избежать штрафов, важно не совершать основные ошибки.

Неправильное согласие на обработку данных

Не всегда нужно брать согласие. Запрашивать подпись на согласие каждый раз не обязательно. Закон разрешает обрабатывать данные без письменного согласия, если это нужно для выполнения обязанностей по закону или договора. 

Но с 1 сентября 2025 года важно подписывать с пациентом согласие на отдельном бланке. В договоре на оказание платных услуг не обязательно указывать согласие на обработку данных.

Когда согласие обязательно. Нельзя запрашивать у пациента лишние данные, не связанные с целью договора. Если клиника хочет отправлять рекламу, нужны дополнительные данные и отдельное письменное согласие не только на обработку персональных данных, но и на получение рекламы.

Обычно согласие оформляют неправильно: используют шаблон, не указывают цели, собирают лишние данные, не прописывают срок хранения. Еще одна ошибка — одинаковые согласия для пациентов и сотрудников, хотя цели обработки отличаются.

За отсутствие согласия, когда оно требуется, либо за его неправильное оформление предусмотрен штраф от 30 до 150 тысяч рублей. В ближайшее время штрафы могут вырасти до 700 тысяч или даже 1,5 миллиона рублей за повторные нарушения.

Рекомендуется вести внутренний реестр: он поможет определить, когда и какие согласия нужны, и какие документы оформлять для разных целей.

Нужны готовые документы для клиники по организации работы с персональными данными? Выбирайте необходимое на сайте: https://mediator-med.ru/dokument-dlya-klinik

Передача данных третьим лицам без согласия

Согласия на обработку данных недостаточно для передачи их в другие организации, например лаборатории или подрядчикам. Для каждой передачи требуется отдельное согласие пациента, в котором нужно указать, какие данные и кому передаются, а также цель передачи. Нельзя ограничиться фразой «передаем лаборатории» — нужно указывать конкретное юридическое лицо.

Штраф за передачу данных без согласия — от 30 до 150 тысяч рублей.

Перед передачей данных важно прописать в договорах с партнерами условия о конфиденциальности и ответственности. Это поможет защитить клинику, если данные утекут по вине третьих лиц.

Отсутствие политики обработки персональных данных

Сайт любой медорганизации должен содержать политику обработки персональных данных — это требование закона. Отсутствие такой политики или ее формальное размещение (без конкретики о целях, сроках и перечне обрабатываемых данных) является нарушением.

За нарушение грозит штраф от 30 до 60 тысяч рублей.

Итог: чтобы избежать проблем и штрафов, клинике важно грамотно оформлять согласия, правильно передавать данные и публиковать подробную политику обработки персональных данных на сайте.

Персональные данные размещены за пределами России

Все персональные данные пациентов (серверы, облачные сервисы и т.д.) должны находиться в России. Медицинская организация обязана иметь документы, подтверждающие российское размещение данных (ч. 5 ст. 18 Закона о персональных данных). Часто клиники не осведомлены, что их данные хранятся за границей, например, при использовании Google-форм.

Чтобы избежать штрафов, нужно подтвердить, что база данных размещена в России. Не используйте иностранные облачные решения и сервисы.

Если персональные данные хранятся за границей, штраф может составить до 6 млн рублей, а при повторном нарушении — до 18 млн рублей (ч. 8, 9 ст. 13.11 КоАП РФ). Эти штрафы реально применяются.

Обучение сотрудников - путь к снижению рисков нарушений работы с персональными данными 

В 2024 и 2025 году значительно ужесточилась ответственность операторов персональных данных. Штрафы достигают десятки миллионов рублей, вплоть до реального лишения свободы.  Тема действительно серьезная, учитывая, что большинство просто не знают своих обязанностей, как операторов. А незнание законов не освобождает от ответственности. 

Напомним, каждая медицинская организация или ИП является оператором персональных данных.

Грамотно выстроенный процесс работы с персональными данными = экономия миллионов на штрафах.