Медицинская сфера обрабатывает наиболее чувствительную категорию персональных данных. Применение 152‑ФЗ в здравоохранении — это про «минимальный достаточный доступ», строгую фиксацию оснований обработки и безупречную безопасность ИСПДн. В статье разберём, что такое медицинские данные по 152‑ФЗ, когда требуется согласие пациента, как организовать доступы и взаимодействие с подрядчиками, а также какие штрафы и проверки стоит ожидать.
«Медицинские данные 152‑ФЗ» — это специальные категории ПДн (сведения о состоянии здоровья, диагнозы, назначения, результаты исследований, инвалидность и т. п.). Их обработка регулируется общими нормами закона и особыми ограничениями для спецкатегорий.
Ключевые материалы по теме:
Важно: «персональные данные пациента 152‑ФЗ» включают также паспортные сведения, контакты, СНИЛС/полис ОМС, записи звонков, изображения (например, фотоснимки с процедур), биометрические шаблоны (если используются системы распознавания) — см. Биометрические ПДн и Статья 10.1.
Обработка специальных категорий по общему правилу требует согласия, но для медицины 152‑ФЗ допускает ряд исключений. Ниже — практическая карта оснований.
| Сценарий | Нужно ли согласие | Правовое основание |
|---|---|---|
| Оказание медпомощи, ведение медкарт, обмен с ЕГИСЗ | Как правило, можно без согласия | Исключения для медицины по спецкатегориям, при соблюдении медтайны — см. Статья 10, обзор — Обработка без согласия |
| Экстренная помощь при угрозе жизни | Не требуется | Защита жизни и здоровья — Статья 10 |
| Передача данных в страховую по ОМС/ДМС | Возможна без отдельного согласия | Исполнение закона/договора, минимально необходимые данные |
| Маркетинговая рассылка, публикация отзывов с диагнозом | Требуется отдельное согласие | Согласие на распространение ПДн, обычное согласие |
| Передача лаборатории/ИТ‑подрядчику | Без отдельного согласия пациента, но по договору поручения | Поручение обработки ПДн |
| Видеонаблюдение в клинике | Зависят от цели и зоны | См. Видеонаблюдение и 152‑ФЗ |
Полезно помнить: если используете данные сверх медицинской цели (например, рассылка акций), включайте отдельное, добровольное и информированное согласие. Шаблоны — в Шаблоны и формы.
Термин «врачебная тайна 152‑ФЗ» употребляют неформально, но правовой режим врачебной тайны закреплён профильным медицинским законодательством. Оно действует вместе с 152‑ФЗ и ужесточает режим доступа к сведениям о здоровье.
| Критерий | Врачебная тайна | Персональные данные (152‑ФЗ) |
|---|---|---|
| Что защищает | Сведения о факте обращения, диагнозе, обследованиях, лечении | Любую информацию о физлице, в т. ч. медданные |
| Кому нельзя раскрывать | Любым третьим лицам, кроме случаев, установленных законом | Любым третьим лицам без основания/согласия |
| Исключения | Угроза жизни, запросы следствия/суда, страховых и др. | Законные основания, согласие, поручение |
| Ответственность | Профильные законы здравоохранения + дисциплинарная/гражданская | 152‑ФЗ + КоАП (штрафы), гражданская |
Обзор смежных актов — Связанные законы. Для целей 152‑ФЗ «медицинские данные» — это спецкатегория, что требует особых мер (см. Специальные категории).
В медорганизации доступ к ПДн пациента должен соответствовать принципу «минимально необходимый». Практические правила:
Для персонала назначьте ответственного за ПДн — Ответственный за обработку ПДн — и выстройте внутренний контроль и обучение.
Когда нужна подпись пациента?
Как собирать согласия:
Убедитесь, что текст согласия конкретен, разделяет цели и сроки, а данные собираются по принципу минимизации. Правовые основы — Статья 9 и Принципы и цели обработки.
Сроки хранения определяются как медицинскими правилами (меддокументация, архив), так и 152‑ФЗ. После достижения цели — данные подлежат блокировке/уничтожению, если нет обязанности хранить их дольше.
Клиника — оператор ПДн и владелец ИСПДн. Базовые опоры безопасности:
Не забудьте локальные документы: Политика обработки ПДн, приказы, инструкции, журнал обучения. Обязанности оператора — Статья 21, безопасность — Статья 18, 18.1.
Большинство медорганизаций обязаны уведомить РКН и попасть в реестр операторов. Проверьте необходимость и подайте — Уведомление в Роскомнадзор, Реестр операторов ПДн. Готовьтесь к визитам — Проверки Роскомнадзора.
Документы, которые обычно запрашивают: политика, реестр операций, договоры поручения, модели угроз, приказы, журналы инструктажа, акты уничтожения. Сформируйте комплект — Пакет документов по 152‑ФЗ.
Если используете зарубежные сервисы (телемедицина, облачные CRM, мессенджеры), соблюдайте правила трансграничной передачи — Трансграничная передача ПДн и учитывайте режим локализации. Рекомендуется размещение в РФ — Серверы, хостинг, ЦОД, Облака: Yandex Cloud. Для международных потоков сопоставьте требования 152‑ФЗ и GDPR — GDPR и 152‑ФЗ. Смежные нормы — Связанные законы.
Пациент — субъект ПДн. Он вправе получить копии, уточнить, ограничить, отозвать согласие, потребовать удаления, если цели достигнуты и нет иных обязанностей по хранению. Организуйте понятный процесс обработки запросов — Права субъектов ПДн и шаблоны ответов — Заявления и отзыв.
При инцидентах действуйте быстро: фиксация, блокировка, оценка ущерба, уведомление РКН при риске — Инциденты и утечки ПДн, Уведомление РКН. Ответственность — КоАП 13.11 и общее — Ответственность и штрафы.
Следите за изменениями формулировок согласий, режимов идентификации онлайн, оборота биометрии и трансграничной передачи. Обзор — Изменения 2025. Для биометрии и телемедицины перепроверьте свои процессы — Биометрические ПДн.
Вывод и следующий шаг
Применение 152‑ФЗ в здравоохранении — это ясные правовые основания, строгие доступы и проверяемая безопасность ИСПДн. Начните с инвентаризации процессов, раздельных согласий и актуализации договоров с подрядчиками, затем выстройте технические меры и обучение персонала. Нужна практическая помощь? Закажите экспресс‑аудит и комплект документов для вашей клиники: Аудит соответствия 152‑ФЗ или «Консалтинг и документы под ключ». Мы поможем внедрить требования быстро и без лишней бюрократии.