Должны ли частные клиники соблюдать ФЗ-152?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, частные клиники обязаны соблюдать ФЗ-152, так как они ежедневно обрабатывают обширный объём персональных данных пациентов, включая сведения о здоровье. Такие данные относятся к специальной категории персональных данных, и их обработка возможна только при строгом соблюдении закона.

Примеры обработки ПДн в клиниках:

• приём и хранение медицинских карт пациентов;
• обработка паспортных данных, СНИЛС, полисов ОМС и ДМС;
• запись пациентов на приём по телефону и через сайт;
• ведение базы данных пациентов в информационных системах;
• передача данных в страховые компании, лаборатории, органы здравоохранения;
• фото- и видеофиксация пациентов (например, для медицинских карт или при использовании систем безопасности).

Обоснование по законодательству

• Ст. 3 ФЗ-152 — персональные данные включают любую информацию о физическом лице; данные пациентов — яркий пример.
• Ст. 10 ФЗ-152 — сведения о здоровье относятся к специальным категориям, их обработка требует письменного согласия пациента, за исключением случаев, прямо предусмотренных законом.
• ФЗ-323 «Об основах охраны здоровья граждан» (ст. 13) — закрепляет понятие медицинской тайны и обязанность медицинских организаций обеспечивать её сохранность.
• Ст. 19 ФЗ-152 — оператор обязан принимать меры по защите ПДн.

Практика и позиция Роскомнадзора

Роскомнадзор проводит плановые проверки частных клиник, уделяя особое внимание защите электронных медицинских систем и доступу к медицинским картам.
Пример: клиника хранила медицинские карты пациентов в открытом шкафу без ограничений доступа. Проверка РКН признала это нарушением ФЗ-152.
Другой случай: клиника внедрила защищённую медицинскую информационную систему, ограничила доступ врачей по ролям и оформила письменные согласия пациентов. Нарушений не выявлено.

Что важно учитывать частным клиникам

• Медицинские карты и базы данных пациентов подлежат защите на самом высоком уровне.
• Согласие пациента обязательно, если обработка не основана на законе (например, при участии в маркетинговых акциях, фото- или видеосъёмке).
• При передаче данных в страховые компании или лаборатории необходимо фиксировать правовые основания (согласие или договор).

Рекомендации и выводы

Да, частные клиники обязаны соблюдать ФЗ-152. Чтобы исключить риски:

1. Получайте письменные согласия пациентов на обработку их данных.
2. Соблюдайте режим медицинской тайны и ограничивайте доступ сотрудников.
3. Обеспечьте защиту электронных баз данных (шифрование, пароли, разграничение доступа).
4. Включите порядок работы с медицинскими данными в комплект документов по ФЗ-152 и ФЗ-323.

Компания ICTech поможет частным клиникам разработать формы согласий для пациентов, регламенты по хранению и защите медкарт, а также подготовить полный пакет документов по ФЗ-152, чтобы пройти проверку Роскомнадзора без претензий.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге