Нужно ли согласие на обработку медицинских данных?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, согласие обязательно, так как сведения о здоровье относятся к специальной категории персональных данных. Их обработка допускается только при наличии письменного согласия пациента либо в случаях, прямо установленных законом. Для медицинских организаций и ИП-медиков оформление таких согласий — одно из ключевых требований ФЗ-152 и ФЗ-323 «Об основах охраны здоровья граждан».

Когда согласие необходимо:

- при ведении медицинской карты пациента;
- при сборе анализов, обследований, результатов диагностики;
- при передаче данных в страховые компании (ОМС, ДМС);
- при публикации отзывов, фото или видео пациентов;
- при хранении и использовании данных в информационных системах.

Когда согласие может не требоваться:

- если обработка необходима для защиты жизни и здоровья пациента и он не может дать согласие (экстренные ситуации);
- если обработка ведётся по основаниям, установленным федеральным законом (например, передача сведений в органы здравоохранения при инфекционных заболеваниях).

Обоснование по законодательству

• Ст. 3 ФЗ-152 — сведения о здоровье относятся к персональным данным.
• Ст. 10 ФЗ-152 — специальные категории ПДн (о здоровье) обрабатываются только с письменного согласия субъекта, за исключением установленных законом случаев.
• Ст. 9 ФЗ-152 — согласие должно быть конкретным, информированным и сознательным.
• ФЗ № 323 «Об основах охраны здоровья граждан» (ст. 13, 19) — закрепляет обязанность медицинских организаций соблюдать врачебную тайну и конфиденциальность медицинских данных.
• Ст. 13.11 КоАП РФ — нарушение правил обработки персональных данных влечёт административную ответственность.

Практика и позиция Роскомнадзора

Роскомнадзор подчёркивает, что именно медицинские организации чаще всего нарушают правила обработки ПДн из-за отсутствия корректных согласий пациентов. Например, при проверках выявлялись случаи, когда клиники ограничивались устными формулировками или общими пунктами в договорах, что признавалось недействительным.

В некоторых случаях, когда данные пациентов передавались страховым компаниям без отдельного согласия, Роскомнадзор квалифицировал это как нарушение сразу двух законов — ФЗ-152 и ФЗ-323.

Что важно учитывать медицинским организациям

• Согласие должно быть оформлено в письменной форме (бумажной или в виде электронного документа с ЭП).
• В согласии необходимо указывать: цели обработки, перечень данных, срок хранения, порядок отзыва согласия.
• Универсальные формулировки («для оказания медицинских услуг») недостаточны, требуется конкретика.

Рекомендации и выводы

Да, согласие на обработку медицинских данных нужно практически всегда. Чтобы действовать законно, медицинским организациям необходимо:

1. Разработать корректные формы письменных согласий для пациентов.
2. Включить согласия в пакет документов по ФЗ-152 и ФЗ-323.
3. Установить порядок отзыва согласия и информировать пациентов о правах.
4. Обеспечить защиту медицинских данных на бумажных и электронных носителях.

Компания ICTech подготовит для вашей клиники полный пакет документов по ФЗ-152, включая формы согласий на обработку медицинских данных, что позволит избежать претензий Роскомнадзора и сохранить доверие пациентов.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге