Медицинские данные и врачебная тайна: как совместить с 152‑ФЗ
Что такое медицинские данные и специальные категории ПДн
Медицинские сведения о пациенте — это «данные о здоровье» и сопутствующая информация, возникающая при оказании медуслуг: жалобы, диагноз, результаты анализов и исследований, назначения, сведения о инвалидности, ИНФО о страховом полисе и т. п. В терминах 152‑ФЗ это специальные категории персональных данных (ст. 10), потому что информация о состоянии здоровья относится к повышенно защищаемым.
- Ключевые понятия:
- «Здоровье — персональные данные» в понимании 152‑ФЗ — любые сведения о состоянии организма субъекта, факте обращений за медицинской помощью, медзаключениях и противопоказаниях.
- «Специальные категории персональных данных 152 ФЗ» — данные о расовой и национальной принадлежности, политических взглядах, религии, интимной жизни и здоровье.
Подробнее о категориях и ограничениях смотрите материал: специальные категории ПДн и норму ст. 10 152‑ФЗ.
![Схема потоков медицинских данных и правовые основания]
Врачебная тайна и 152‑ФЗ: где пересечение
«Врачебная тайна» закреплена в отраслевом законодательстве (в т. ч. в законе об охране здоровья граждан). Она запрещает разглашать любые сведения, ставшие известными при обращении за медпомощью, без согласия пациента. 152‑ФЗ регулирует обработку персональных данных, включая медицинские, устанавливая требования к основаниям, безопасности, правам пациента и обязанностям оператора.
Как сочетается врачебная тайна и 152 ФЗ:
- Врачебная тайна определяет режим конфиденциальности; 152‑ФЗ — правомерные способы обработки и защиты данных.
- Запрет на разглашение по медицинскому закону усиливается запретом 152‑ФЗ на обработку и распространение спецкатегорий без оснований.
- Исключения для врачебной тайны (угроза жизни, запрос суда и др.) должны соответствовать основаниям 152‑ФЗ.
О других действующих актах и их связи с персональными данными — в разделе другие законы.
Правовые основания: когда можно и нельзя
Общая логика 152‑ФЗ: специальные категории запрещены, кроме случаев, прямо указанных в законе (ст. 10), а также при наличии информированного согласия (ст. 6, ст. 9, ст. 10). Для медицинских организаций и врачей ключевы следующие основания:
- С письменного согласия пациента (или законного представителя);
- Для защиты жизни, здоровья или иных жизненно важных интересов, если согласие получить невозможно;
- Для медицинской профилактики, диагностики, оказания медуслуг, ведения меддокументации — при условии профессиональной тайны (врачебная тайна);
- Для исполнения закона (санэпиднадзор, воинский учет, страховые выплаты, льготное лекарственное обеспечение);
- По запросам суда, следствия, иных органов — в пределах их полномочий.
Подробно про основания, исключения и рабочие сценарии: обработка без согласия и ст. 6 152‑ФЗ.
Быстрый ориентир: когда нужно согласие
| Ситуация |
Основание |
Нужно согласие? |
Комментарий |
| Плановое оказание платных услуг, запись на прием через сайт |
Ст. 6, ст. 10 152‑ФЗ |
Да |
Письменное или электронное с усиленной подписью/интеграцией; форма — см. ниже |
| Экстренная помощь без возможности получить согласие |
Ст. 10 ч. 2 |
Нет |
Документируйте обстоятельства невозможности получения согласия |
| Передача данных в страховую (ОМС/ДМС) |
Закон, договор |
Чаще — нет |
Если предусмотрено законом/договором; объем — минимально необходимый |
| Публикация кейсов/отзывов с диагнозами на сайте |
Ст. 10.1 152‑ФЗ |
Да, отдельное |
Нужна форма согласия на распространение с перечнем сведений |
| Научные цели, статистика с обезличиванием |
Ст. 10, обобщенные данные |
Зависит |
По возможности — обезличивание |
Дополнительно про «распространение ПДн» — это отдельный режим (ст. 10.1 152‑ФЗ): см. согласие на распространение ПДн и текст нормы ст. 10.1.
Согласие пациента: виды, форма, распространение
Для медицинских данных (152 ФЗ медицинские данные — спецкатегория) требуется расширенная формулировка согласия:
- Идентификация пациента;
- Цели: оказание услуги, ведение карты, напоминания, биллинг, гарантии качества и т. п.;
- Перечень данных: ФИО, контакты, полис, диагноз/назначения, результаты исследований;
- Действия (операции) с данными: сбор, хранение, передача в страховую, обезличивание, уничтожение и др.;
- Перечень получателей (страховая, лаборатория, госорганы в рамках закона);
- Срок действия и порядок отзыва.
Рекомендуем оформить комплект: согласие на обработку ПДн + при необходимости отдельное согласие на распространение ПДн для публикаций. Шаблоны и формы — в разделе шаблоны и формы 152‑ФЗ и готовом пакете документов.
Если согласие электронное (телемедицина, сайт):
Передача третьим лицам и раскрытие врачебной тайны
Медицинская организация часто взаимодействует с лабораториями, страховыми, ИТ‑подрядчиками, государственными системами. На каждую передачу нужны основания и договорные гарантии конфиденциальности.
| Получатель |
Правовое основание |
Объем данных |
Документы |
| Лаборатория, телерадиология |
Договор поручения, ст. 6, ст. 10 |
Направление, идентификация, материал |
Договор о поручении обработки ПДн: см. поручение обработки ПДн |
| Страховая (ОМС/ДМС) |
Закон, договор |
Выписка, счета, подтверждения |
Договор, акт, регламент передачи |
| Суд/следствие/правоохранительные органы |
Требование по закону |
Ровно запрошенный объем |
Реестр запросов, журнал выдачи |
| ИТ‑подрядчик (хостинг, облако) |
Поручение, локализация |
ИСПДн целиком |
Проверка ТСПИ и локализации: серверы/ЦОД, облака |
Разглашение врачебной тайны допустимо только в пределах исключений закона и (или) согласия. Организуйте учет всех запросов и выдач.
Подробнее про передачи — в разделе передача третьим лицам.
Электронные карты, ИСПДн и безопасность в клинике
Любая мединформационная система — это ИСПДн. Для нее обязательны организационные и технические меры: модель угроз, уровень защищенности, СЗИ, контроль доступа, шифрование, бэкапы.
Отдельное внимание сайту клиники: cookie, формы записи, виджеты аналитики — это тоже обработка ПДн. Настройте баннеры и политику: cookie и баннеры, Яндекс.Метрика, требования к сайту.
![Пример архитектуры ИСПДн клиники: контуры, СЗИ, каналы]
Локализация, хранение, уничтожение и трансграничная передача
Следите за обновлениями: изменения 2025 по 152‑ФЗ и последняя редакция 152‑ФЗ.
Биометрия в медицине: фото, видео, телемедицина
Фотографии, видеозаписи, голос, некоторые сигналы (в т. ч. шаблоны ЭКГ в системах, где они используются для идентификации) могут стать биометрическими ПДн. Для их обработки действуют отдельные правила (ст. 11 152‑ФЗ):
- Нужны дополнительные основания и меры защиты;
- Часто целесообразно разнести идентификацию и медицинские данные;
- Для видеонаблюдения в клинике учитывайте информирование и режим хранения: см. видеонаблюдение и 152‑ФЗ и биометрические ПДн.
Типичные ошибки и штрафы
Частые нарушения:
- Универсальная «галочка» вместо отдельного согласия на медицинские данные и распространение кейсов;
- Передача данных страховым и подрядчикам без договора поручения и без минимизации объема;
- Отсутствие локализации и резервного копирования в РФ;
- Недостаточные меры защиты ИСПДн, отсутствие модели угроз и средств криптографии на каналах;
- Публикация отзывов с диагнозами без отдельного согласия по ст. 10.1;
- Несообщение об утечке и отсутствие плана реагирования.
Ответственность: КоАП ст. 13.11 и смежные составы. Диапазон штрафов и примеры — в разделе ответственность и штрафы. Практика проверок — проверки Роскомнадзор.
Чек‑лист соответствия для клиники и частной практики
- Классифицируйте процессы и данные: определите, где именно обрабатываются «здоровье — персональные данные 152 ФЗ».
- Определите основания: для каждого процесса — ссылка на норму (ст. 6, 9, 10, 10.1) и необходимость согласия.
- Подготовьте пакет документов: Политика обработки ПДн, реестр операций, акты разграничения доступа, Журналы, Договоры поручения. Готовые решения — пакет документов.
- Назначьте ответственного и организуйте обучение: обязанности оператора, ответственный за ПДн, внутренний контроль.
- Проверьте ИСПДн: уровень защищенности, СЗИ, шифрование, бэкап, контроль доступа: меры безопасности.
- Настройте сайт: формы, cookie‑баннер, Политика, логирование согласий: документы для сайта и формы на сайте.
- Уточните взаимодействие с подрядчиками: договоры поручения, SLA, проверка локализации.
- Обновите порядок хранения и уничтожения: сроки хранения, уничтожение.
- Проверьте необходимость уведомления РКН и сведений в реестре: уведомление Роскомнадзор, реестр операторов.
- Для ИП‑врача — упрощенный комплект и практические формы: документы для ИП.
Дополнительная отрасль: здравоохранение и 152‑ФЗ.
Вывод и что делать дальше
Медицинские данные — одна из самых чувствительных категорий. Чтобы совместить врачебную тайну и требования 152‑ФЗ, зафиксируйте правовые основания для каждой операции, оформите корректные согласия, минимизируйте передачи и обеспечьте техническую защиту ИСПДн. Это снизит риски утечки и претензий, упростит взаимодействие с регулятором и партнерами.
Готовы навести порядок? Закажите аудит и комплект документов «под ключ», а также проверьте сайт нашей бесплатной онлайн‑проверкой. Если нужны шаблоны и инструкции — переходите в пакет документов 152‑ФЗ и начинайте внедрение сегодня.
