Медицинские клиники — одни из самых уязвимых организаций, когда речь заходит о защите персональных данных. С 30 мая 2025 года вступают в силу ужесточённые штрафы за утечку персональных и биометрических данных, а также за непредставление уведомлений в Роскомнадзор. Особую опасность представляют «рутинные» действия: публикация фото врача на сайте, обработка данных пациентов в МИС или ведение соцсетей. Разберёмся, какие ошибки стоят миллионы и как клинике защититься.
Почему изменения особенно важны для медицинских организаций?
Медучреждения работают с особо чувствительными данными: ФИО, адреса, диагнозы, история болезни, снимки, биометрия. Более того, они размещают эти данные на сайтах, в информационных системах и социальных сетях — что автоматически делает их операторами персональных данных, согласно ФЗ-152.
Это означает:
- обязанность уведомлять Роскомнадзор о начале обработки ПДн;
- обязательность согласий от врачей и пациентов на публикацию любых сведений;
- ответственность за передачу данных подрядчикам;
- необходимость защиты IT-инфраструктуры и соблюдения правил обработки.
Что изменилось с 30 мая 2025 года?
С вступлением в силу поправок к ст. 13.11 КоАП РФ и Закону № 152-ФЗ «О персональных данных», клиникам грозят гораздо более серьёзные штрафы:
Важно! Даже без жалобы со стороны пациента или врача Роскомнадзор имеет право инициировать проверку в отношении сайта, соцсетей и МИС клиники.
Врачи на сайте и фото до/после — персональные данные!
Любая публикация ФИО врача, его должности, фото, графика приёма и образования — это распространение персональных данных, требующее письменного согласия. Это касается:
- страниц «Наши врачи» на сайте;
- карточек в *Instagram (запрещенная в РФ социальная сеть, признанная экстремистской), VK, Yandex;
- баннеров «Врач рекомендует» и др.
Аналогично — публикация фото пациента до и после лечения, даже без указания имени, также считается обработкой персональных и биометрических данных, если есть возможность идентификации.
Облачная или серверная МИС: что безопаснее?
Многие клиники отдают предпочтение локальной (серверной) МИС, считая, что данные «под рукой». Однако:
- Сервер может сгореть, быть украден или не иметь резервного копирования;
- В большинстве случаев не подписываются договора с IT-компаниями на обработку ПДн, что делает передачу данных незаконной;
- Если ИТ-специалист имеет доступ к данным без согласия, это уже утечка.
Облачная МИС — безопаснее, если:
✅ заключён договор с оператором на обработку ПДн;
✅ прописаны меры защиты данных и ответственность;
✅ организовано шифрование, резервное копирование и ограничение доступа.
Сайты и соцсети: ещё одна зона риска
Любая форма на сайте (онлайн-запись, заявка, подписка) — это сбор персональных данных, требующий:
- ссылки на Политику конфиденциальности;
- активного чек-бокса согласия с обработкой ПДн (посмотрите, как реализовано в сервисе по быстрому запуску сайтов для клиник - Clinilink.ru);
- согласия на e-mail/SMS-рассылки — раздельно!
Если на сайте стоит Яндекс.Метрика, требуется:
- обновлённая политика конфиденциальности;
- уведомление о cookie;
- запрет на Google Analytics без уведомления о трансграничной передаче данных в РКН.
Как обезопасить клинику и не попасть под штрафы?
1. Уведомить Роскомнадзор о начале обработки ПДн
Сделать это можно через Госуслуги или сайт РКН по форме из приказа №180. 📌 Штраф за неподачу: до 300 000 ₽
2. Проверить договоры с подрядчиками
Если сторонние сервисы (MIS, сайт, хостинг, аналитика) обрабатывают ПДн — должен быть договор на сбор и обработку ПДн.
3. Получать письменные согласия от врачей и пациентов
Храните их в бумажном или электронном виде с ЭЦП.
4. Настроить безопасность в клинике
- запрет съёмки экрана в МИС;
- логирование доступа к картам пациентов;
- регулярные резервные копии;
- антивирус и ограничение доступа по ролям.
5. Уведомлять РКН об утечке в течение 24 часов
Даже подозрение требует уведомления, затем — внутреннее расследование и отчёт в РКН в течение 72 часов.
Частые ошибки медицинских организаций
- Использование сайта клиники без политики конфиденциальности;
- Отсутствие версии для слабовидящих (ГОСТ 52872-2012);
- Публикация отзывов пациентов без письменного согласия;
- Использование иностранных сервисов без уведомления РКН;
- Хранение согласий в WhatsApp или Excel.
Законы и нормативные документы
- ФЗ-152 «О персональных данных»
- КоАП РФ, ст. 13.11, 19.7
- Ст. 272.1 УК РФ
- Приказ Роскомнадзора № 180
- ГОСТ 52872-2012
- ФЗ-323 «Об основах охраны здоровья граждан»
- Приказ Минздрава № 118н от 13.03.2025
Подпишитесь на обновления и скачайте чек-лист
Следите за изменениями в законодательстве — мы подготовили чек-лист для самопроверки сайта и МИС.
