Обязаны ли медицинские клиники соблюдать ФЗ-152?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, медицинские клиники — как государственные, так и частные — обязаны соблюдать требования ФЗ-152. Более того, они относятся к числу организаций, работающих с особыми категориями персональных данных — сведениями о здоровье пациентов. Закон требует их особой защиты, а ответственность за нарушения в медицинской сфере выше, чем в большинстве других.

Какие данные обрабатывают клиники:

«обычные» персональные данные: ФИО, дата рождения, паспортные сведения, телефон, адрес;

специальные категории: сведения о здоровье, диагнозы, результаты обследований, медицинские карты, информация о прививках;

биометрические данные: фото и видео пациентов для медкарт, результаты исследований (рентген, МРТ и др.);

данные об оплате медицинских услуг.

Все эти сведения подпадают под действие ФЗ-152 и ФЗ-323 «Об основах охраны здоровья граждан».

Обоснование по законодательству

• Ст. 3 ФЗ-152 — персональные данные включают сведения о здоровье и биометрические данные.
• Ст. 6 ФЗ-152 — согласие необходимо, если обработка не основана на законе или договоре.
• Ст. 9 ФЗ-152 — согласие должно быть конкретным, информированным и сознательным.
• Ст. 10 ФЗ-152 — специальные категории ПДн (о здоровье) можно обрабатывать только при наличии письменного согласия пациента или в случаях, прямо предусмотренных законом.
• ФЗ № 323 «Об основах охраны здоровья граждан» — закрепляет обязанность соблюдать врачебную тайну и обеспечивать конфиденциальность медицинских данных.
• Ст. 13.11 КоАП РФ — нарушение порядка обработки ПДн влечёт административную ответственность.

Практика и позиция Роскомнадзора

Роскомнадзор уделяет особое внимание медицинским организациям, так как утечка данных о здоровье считается серьёзным нарушением.

В проверках выявлялись типичные ошибки:

• отсутствие письменных согласий пациентов на обработку данных;
• публикация фото или отзывов пациентов на сайте без согласия;
• ненадёжная защита баз данных (например, электронных карт пациентов);
• хранение медицинской документации без должных мер безопасности.

Например, в одной частной клинике данные пациентов хранились на общем сервере без защиты. Роскомнадзор признал это грубым нарушением и выдал предписание устранить недостатки.

Важный момент для клиник

Даже если клиника небольшая и ведёт приём всего нескольких пациентов, она обязана:

• зарегистрироваться оператором ПДн в Роскомнадзоре;
• разработать и внедрить политику в отношении обработки ПДн;
• назначить ответственного за ПДн;
• собирать письменные согласия пациентов (или их законных представителей) на обработку данных;
• обеспечить надёжную защиту медицинской документации (бумажной и электронной).

Рекомендации и выводы

Да, медицинские клиники обязаны соблюдать ФЗ-152. Чтобы действовать законно и минимизировать риски:

1. Подайте уведомление в Роскомнадзор о начале обработки ПДн.
2. Подготовьте пакет документов по 152-ФЗ (политика, регламенты, согласия пациентов).
3. Получайте письменные согласия на обработку данных о здоровье.
4. Усильте меры защиты электронных и бумажных медицинских карт.
5. Назначьте ответственного за ПДн и обучите сотрудников правилам обработки данных.

Компания ICTech поможет медицинским клиникам подготовить полный комплект документов по ФЗ-152, разработать формы согласий и выстроить систему защиты данных пациентов. Это позволит пройти проверку Роскомнадзора без штрафов и сохранить доверие клиентов.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге