152‑ФЗ в здравоохранении: медданные, согласия и доступы

Медицинская сфера обрабатывает наиболее чувствительную категорию персональных данных. Применение 152‑ФЗ в здравоохранении — это про «минимальный достаточный доступ», строгую фиксацию оснований обработки и безупречную безопасность ИСПДн. В статье разберём, что такое медицинские данные по 152‑ФЗ, когда требуется согласие пациента, как организовать доступы и взаимодействие с подрядчиками, а также какие штрафы и проверки стоит ожидать.

Схема потоков медицинских данных в клинике — прием, лаборатория, ЕГИСЗ, страховая

Что относится к медицинским персональным данным

«Медицинские данные 152‑ФЗ» — это специальные категории ПДн (сведения о состоянии здоровья, диагнозы, назначения, результаты исследований, инвалидность и т. п.). Их обработка регулируется общими нормами закона и особыми ограничениями для спецкатегорий.

Ключевые материалы по теме:

Получить CloudPayments бесплатно

Что такое медицинские ПДн и их особенности — Медицинские ПДн и Специальные категории ПДн
Нормы закона — Статья 10 (специальные категории), Статья 9 (согласие)
Глоссарий терминов — Глоссарий 152‑ФЗ

Важно: «персональные данные пациента 152‑ФЗ» включают также паспортные сведения, контакты, СНИЛС/полис ОМС, записи звонков, изображения (например, фотоснимки с процедур), биометрические шаблоны (если используются системы распознавания) — см. Биометрические ПДн и Статья 10.1.

Законные основания обработки: с согласием и без

Обработка специальных категорий по общему правилу требует согласия, но для медицины 152‑ФЗ допускает ряд исключений. Ниже — практическая карта оснований.

Сценарий	Нужно ли согласие	Правовое основание
Оказание медпомощи, ведение медкарт, обмен с ЕГИСЗ	Как правило, можно без согласия	Исключения для медицины по спецкатегориям, при соблюдении медтайны — см. Статья 10, обзор — Обработка без согласия
Экстренная помощь при угрозе жизни	Не требуется	Защита жизни и здоровья — Статья 10
Передача данных в страховую по ОМС/ДМС	Возможна без отдельного согласия	Исполнение закона/договора, минимально необходимые данные
Маркетинговая рассылка, публикация отзывов с диагнозом	Требуется отдельное согласие	Согласие на распространение ПДн, обычное согласие
Передача лаборатории/ИТ‑подрядчику	Без отдельного согласия пациента, но по договору поручения	Поручение обработки ПДн
Видеонаблюдение в клинике	Зависят от цели и зоны	См. Видеонаблюдение и 152‑ФЗ

Полезно помнить: если используете данные сверх медицинской цели (например, рассылка акций), включайте отдельное, добровольное и информированное согласие. Шаблоны — в Шаблоны и формы.

Врачебная тайна и 152‑ФЗ: различия и пересечения

Термин «врачебная тайна 152‑ФЗ» употребляют неформально, но правовой режим врачебной тайны закреплён профильным медицинским законодательством. Оно действует вместе с 152‑ФЗ и ужесточает режим доступа к сведениям о здоровье.

Критерий	Врачебная тайна	Персональные данные (152‑ФЗ)
Что защищает	Сведения о факте обращения, диагнозе, обследованиях, лечении	Любую информацию о физлице, в т. ч. медданные
Кому нельзя раскрывать	Любым третьим лицам, кроме случаев, установленных законом	Любым третьим лицам без основания/согласия
Исключения	Угроза жизни, запросы следствия/суда, страховых и др.	Законные основания, согласие, поручение
Ответственность	Профильные законы здравоохранения + дисциплинарная/гражданская	152‑ФЗ + КоАП (штрафы), гражданская

Обзор смежных актов — Связанные законы. Для целей 152‑ФЗ «медицинские данные» — это спецкатегория, что требует особых мер (см. Специальные категории).

Доступы в ИСПДн клиники: роли, журналы, подрядчики

В медорганизации доступ к ПДн пациента должен соответствовать принципу «минимально необходимый». Практические правила:

Ролевая модель: врач видит только своих пациентов; администратор — записи и биллинг без диагнозов; ИТ — только обезличенные журналы.
Журналирование: фиксируйте кто, к каким данным, когда обращался. Это помогает при проверках и инцидентах.
Разделение сред: продакшен/тест, доступ по VPN, 2FA.
Подрядчики (лаборатории, биллинг, облака): оформляйте Поручение обработки и контролируйте меры безопасности подрядчика. Передача — по правилам передачи третьим лицам.

Для персонала назначьте ответственного за ПДн — Ответственный за обработку ПДн — и выстройте внутренний контроль и обучение.

Согласия пациента: виды и оформление

Когда нужна подпись пациента?

Обычное согласие: для нетиповых целей (маркетинг), объединения медданных из разных систем, фото/видео в публичных материалах. Шаблон — Согласие на обработку ПДн.
Согласие на распространение: для публикации отзывов, кейсов, фотоотчётов — Согласие на распространение ПДн.

Как собирать согласия:

На ресепшене — бумага/электронная подпись; в телемедицине — усиленная или простая электронная подпись по внутренним правилам.
На сайте — через форму с чекбоксом и логами согласия (IP, время, оферта) — см. Формы на сайте и согласие, Cookie и баннеры, Яндекс Метрика и Яндекс Формы.
Право на отзыв — укажите понятный порядок: Заявления и отзыв согласия.

Убедитесь, что текст согласия конкретен, разделяет цели и сроки, а данные собираются по принципу минимизации. Правовые основы — Статья 9 и Принципы и цели обработки.

Хранение, блокировка и уничтожение медданных

Сроки хранения определяются как медицинскими правилами (меддокументация, архив), так и 152‑ФЗ. После достижения цели — данные подлежат блокировке/уничтожению, если нет обязанности хранить их дольше.

Определяем сроки по каждой категории: амбулаторная карта, записи звонков, видео.
Фиксируем в реестре операций и локальных актах.
Реализуем процедуру удаления/блокировки и создаём акты — см. Сроки хранения ПДн, Уничтожение и блокировка, Прекращение обработки.
Для исследований и аналитики используем обезличивание.

ИСПДн клиники: безопасность и уровни защиты

Клиника — оператор ПДн и владелец ИСПДн. Базовые опоры безопасности:

Классификация ИСПДн и выбор уровня защищённости — ИСПДн: определение и требования, Уровни защищённости
Модель угроз и план мер — Модель угроз ИСПДн
Технические и оргмеры — Меры безопасности ПДн, шифрование — Криптография и шифрование
Сертифицированные средства защиты, учёт требований — Требования ФСТЭК и ФСБ

Схема защиты ИСПДн клиники: сегментация, DLP, SIEM, шифрование, журналирование

Не забудьте локальные документы: Политика обработки ПДн, приказы, инструкции, журнал обучения. Обязанности оператора — Статья 21, безопасность — Статья 18, 18.1.

Уведомление Роскомнадзора и проверки

Большинство медорганизаций обязаны уведомить РКН и попасть в реестр операторов. Проверьте необходимость и подайте — Уведомление в Роскомнадзор, Реестр операторов ПДн. Готовьтесь к визитам — Проверки Роскомнадзора.

Документы, которые обычно запрашивают: политика, реестр операций, договоры поручения, модели угроз, приказы, журналы инструктажа, акты уничтожения. Сформируйте комплект — Пакет документов по 152‑ФЗ.

Трансграничная передача и инфраструктура

Если используете зарубежные сервисы (телемедицина, облачные CRM, мессенджеры), соблюдайте правила трансграничной передачи — Трансграничная передача ПДн и учитывайте режим локализации. Рекомендуется размещение в РФ — Серверы, хостинг, ЦОД, Облака: Yandex Cloud. Для международных потоков сопоставьте требования 152‑ФЗ и GDPR — GDPR и 152‑ФЗ. Смежные нормы — Связанные законы.

Типичные ошибки медорганизаций

Смешивают правовые основания: лечение и маркетинг покрывают одним согласием.
Отсутствуют договоры поручения с лабораториями и ИТ‑аутсорсом — см. Поручение обработки.
Избыточные доступы у администраторов/ИТ, нет журналирования.
Необоснованно длинные сроки хранения записей звонков и видеонаблюдения — проверьте Сроки хранения и Видеонаблюдение.
Используют зарубежные SaaS без оценки трансграничной передачи.
Нет уведомления РКН и внутренней политики — Требования к сайту, Политика.
Непрозрачный механизм отзыва согласий — Отзыв согласия.

Права пациента и ответы на запросы

Пациент — субъект ПДн. Он вправе получить копии, уточнить, ограничить, отозвать согласие, потребовать удаления, если цели достигнуты и нет иных обязанностей по хранению. Организуйте понятный процесс обработки запросов — Права субъектов ПДн и шаблоны ответов — Заявления и отзыв.

При инцидентах действуйте быстро: фиксация, блокировка, оценка ущерба, уведомление РКН при риске — Инциденты и утечки ПДн, Уведомление РКН. Ответственность — КоАП 13.11 и общее — Ответственность и штрафы.

Обновления 2025: что учесть

Следите за изменениями формулировок согласий, режимов идентификации онлайн, оборота биометрии и трансграничной передачи. Обзор — Изменения 2025. Для биометрии и телемедицины перепроверьте свои процессы — Биометрические ПДн.

Полезные материалы и шаблоны

База: О законе 152‑ФЗ, Текст, последняя редакция, Структура и статьи
Политики и формы: Генератор политики и согласий, Политика обработки ПДн, Шаблоны
Сайт клиники: Аудит сайта, Онлайн‑проверка, Cookie и баннеры, SSL/HTTPS
Комплаенс: Аудит соответствия, Подготовка к проверке, Чек‑лист 152‑ФЗ
Обучение и помощь: Обучение и курсы, Консалтинг и документы под ключ

Вывод и следующий шаг

Применение 152‑ФЗ в здравоохранении — это ясные правовые основания, строгие доступы и проверяемая безопасность ИСПДн. Начните с инвентаризации процессов, раздельных согласий и актуализации договоров с подрядчиками, затем выстройте технические меры и обучение персонала. Нужна практическая помощь? Закажите экспресс‑аудит и комплект документов для вашей клиники: Аудит соответствия 152‑ФЗ или «Консалтинг и документы под ключ». Мы поможем внедрить требования быстро и без лишней бюрократии.

Получить CloudPayments бесплатно