Главная
Юристу
Персональные данные
Требования к обработке персональных данных в медицинских организациях

14 августа 2025 1 556

Требования к обработке персональных данных в медицинских организациях

Размер шрифта:

Деятельность медицинских организаций сегодня достаточно сильно регламентирована в различных областях. Обработка персональных данных в этом отношении — не исключение. Рассмотрим подробнее, какие существуют требования к обработке персональных данных в медицинских организациях и как не допустить клиникам их нарушений.

Коротко о главном: 5 пунктов

Медицинские учреждения собирают и хранят персданные пациентов для лечения и ведения документов.
Эти сведения защищены законом, и больница обязана хранить их в тайне и принимать меры безопасности.
Пациент может узнать, что про него известно клинике.
Передавать данные кому-то постороннему врачи могут только с письменного согласия пациента или в ситуациях, прямо разрешенных законом.
Если больница нарушит правила, её могут серьезно оштрафовать.

Как закон защищает персональные данные пациентов

С точки зрения законодательства о персональных данных клиника является оператором ПД, поскольку самостоятельно осуществляет их обработку, определяет цели работы с ними, их состав, необходимый для обработки, и последующие операции с ними. Причем по смыслу п. 2 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ не имеет значения как форма собственности (государственная или частная), так и организационно-правовая форма (ИП или компания).

Узнайте, как зарегистрироваться в качестве оператора персональных данных в реестре Роскомнадзора

А пациент по отношению к медицинской организации является субъектом персональных, что предоставляет ему при взаимодействии c медучреждениями все те правовые гарантии, которые предусмотрены ФЗ № 152, среди них, в частности, право на:

доступ к своим ПД;
отзыв согласия на обработку;
защиту своих прав (обжалование действий/бездействия операторов в контрольные органы или в судебном порядке);
установление запретов и условий по работе с ПД и т.д.

Вместе с тем необходимо учитывать, что персональные данные пациентов часто сопряжены с медициной, а такие сведения в силу положений ст. 10 ФЗ № 152 относятся к специальной категории ПД, что предполагает недопустимость работы с ними, за исключением, в частности, следующих ситуаций:

от субъекта получено согласие на обработку персональных данных;
обрабатывать информацию необходимо для защиты жизни или здоровья ее носителя или жизни и здоровья или других жизненно важных интересов других лиц, а получение согласия непосредственно от гражданина не представляется возможным;
обрабатывать ПД подобного характера необходимо в профилактических целях в сфере медицины, для установления диагноза, предоставления услуг в сфере медицины и при условии, что сведения обрабатывает лицо, которое является медицинским профессионалом и в силу закона обязано хранить врачебную тайну;
обрабатывать сведения необходимо в соответствии со страховым законодательством.

Кроме того, на клиники возложена обязанность принимать необходимые юридические, технические и организационные меры для защиты конфиденциальной информации о пациентах от неправомерного доступа к ней (ст. 18.1, 19 ФЗ № 152).

Если пациент считает, что его права в сфере обработки ПД нарушаются, то ему следует обращаться в жалобой в территориальный орган Роскомнадзора по месту его регистрации или постоянного проживания.

Что включает в себя обработка персональных данных пациентов в медорганизации

Законодательство под обработкой персональных данных подразумевает широкий и неограниченный перечень действий с ними, о чем свидетельствует соответствующее определение п. 3 ст. 3 ФЗ № 52, но применительно к клиникам обработка ПД пациентов включает в себя, в частности, следующие операции:

сбор (при регистрации лица, анкетирование);
запись, фиксацию в медицинской карте (бумажной или электронной);
систематизацию, распределение по картотекам, учет;
накопление и хранение (архивы, ЭМК);
уточнение, обновление медицинских сведений о пациентах;
извлечение и просмотр (врачами, медперсоналом, уполномоченными сотрудниками);
использование для установления диагноза, лечения, оформления документов;
передачу/предоставление/доступ — другим медицинским учреждениям, страховщикам, правоохранительным и судебным органам, при наличии оснований;
обезличивание/анонимизацию для статистики и исследований;
блокирование (при споре/жалобе), удаление и уничтожение.

Обработка ПД в клинике подразумевает взаимодействие со следующими категориями сведений:

личная информация о пациентах и персонале медицинской организации (ФИО, паспортные данные, реквизиты полиса ОМС, место жительства и т.п.);
всё то, что относится к врачебной тайне и связано с состоянием здоровья гражданина (диагноз, назначенное лечение, результаты анализов и т.п.).

Подробнее: что относится к персональным данным

Правила предоставления персональных данных пациенту и его законному представителю

В соответствии со ст. 14 и 20 ФЗ № 152 клиники обязаны сообщать пациентам или их законным представителям о том, какие принадлежащие им персональные данные находятся в распоряжении медицинской организации. Кроме того, медучреждение обязано предоставить возможность ознакомиться с ними в течение 10 дней с момента получения соответствующего запроса. Направить подобный запрос вправе как сам гражданин, так и его законный представитель.

Отправить такой запрос вы вправе нарочно, почтой или в электронном формате. Главное, чтобы у вас на руках осталось подтверждение направления запроса.

Скачать образец запроса на предоставление информации об обработке персональных данных

Помимо этого, пациент или его законный представитель вправе на основании письменного заявления получить доступ к документам, в т.ч. выпискам и копиям, в которых отражено состояние здоровья гражданина (п. 5 ст. 22 Федерального закона от 21.11.2011 № 323-ФЗ). Осуществить такое ознакомление лица допускается также и в электронной форме.

Порядок и сроки представления документов в сфере медицины, которые относятся к гражданину, установлены Приказом Минздрава России от 31.07.2020 № 789н.

Правила предоставления персональных данных третьим лицам

Передавать сведения о пациентах третьим лицам по общему правилу медицинские организации вправе исключительно при наличии письменного согласия пациента (ст. 7 ФЗ № 152). Такое согласие следует оформлять отдельным документом в простой письменной форме.

Аналогичный подход применяется и в отношении сведений, составляющих врачебную тайну.

Вместе с тем федеральным законодательством могут быть предусмотрены случаи, когда предоставление осуществляется без согласия. Сегодня такими примерами является предоставление по требованию МВД, ФСБ, ФСИН, прокуратуры, ФССП, представителей судебной системы и т.д.

Однажды в рамках уголовного дела доверитель просил направить в клинику адвокатский запрос на предоставление определенной информации о третьем лице. Но такой запрос заранее обречен на отрицательный результат, поскольку адвокатский запрос не является тем случаем, когда медучреждение обязано предоставлять персональные данные третьим лицам без согласия от пациента.

Согласие пациента на обработку персональных данных: составляем правильно

Перед оформлением согласия на обработку персональных данных учтите, что оно должно быть конкретным, информированным, сознательным и однозначным — это требование закона.

При составлении документа учтите требования о наличии обязательных реквизитов, указанных в п. 4 ст. 9 ФЗ № 152.

Подробнее: как оформить согласие на обработку персональных данных

Если пациент не в состоянии предоставить согласие в силу своей недееспособности, то за него это делает его законный представитель.

Особенно обратите внимание на подробное описание цели, объема обрабатываемых данных, действий оператора, срока действия, способа и порядка отзыва.

Предоставленный ниже образец вы сможете адаптировать для потребностей вашей организации в сфере медицины:

Скачать образец согласия пациента на обработку персональных данных

Ответственность за нарушение законодательства о персональных данных медицинской организацией

Для организаций в сфере медицины не предусмотрено каких-либо специальных составов за нарушение требований по обработке персональных данных в сфере медицины. В таких случаях применяются положения ст. 13.11 КоАП РФ.

Так, нецелевая обработка персональных данных влечет наказание для юрлиц в виде штрафа в размере от 150 000 до 300 000 рублей, при повторном нарушении требований существует риск получить штраф в размере до 500 000 рублей.

Отсутствие необходимого согласия на обработку от гражданина карается штрафом в размере до 700 000 рублей.

Если гражданин, проходящий лечение, потребовал проинформировать его о том, какая информация о нем содержится в компании, а ему отказали, то организация в сфере медицины рискует получить штраф в размере от 40 000 до 80 000 рублей.

Может пригодиться: как пожаловаться на халатность медицинского персонала

Обработка персональных данных в поликлиниках и медицинских центрах: частые вопросы

В чем может проявляться обработка персональных данных о пациенте?

Обработка может проявляться в следующем: сбор при регистрации, запись в медкарты, хранение, уточнение информации, передача страховщикам или другим медучреждениям.

Как пациент может получить доступ к информации о себе?

Гражданин вправе подать письменный запрос с соответствующей просьбой, ответить на который клиника обязана в течение 10 дней

Какая ответственность предусмотрена для медицинский организаций за нарушение требований по обработке ПД?

Ответственность за нарушение таких требований установлена в ст. 13.11 КоАП РФ, в качестве санкций предусмотрены штрафы вплоть до нескольких сотен тысяч рублей.

Вам в помощь образцы, бланки для скачивания

Скачать образец запроса на предоставление информации об обработке персональных данных Скачать образец согласия пациента на обработку персональных данных

Приказ Минздрава России от 31.07.2020 N 789н

Федеральный закон от 27.07.2006 N 152-ФЗ

Статья 13.11 КОАП РФ. Нарушение законодательства Российской Федерации в области персональных данных

Оставить комментарий Распечатать

Пастухов Михаил Адвокат

Все статьи автора

Помощник по этой статье

Что это?

Сориентирует по тому, что написано на этой странице — быстро и по делу.

Это автоматический помощник, работающий на основе искусственного интеллекта. Он отвечает только на основе текста этой страницы и размещённых на ней ссылок. Если какого-то факта в статье нет, помощник честно сообщит об этом.

Например: «Каков порядок действий?», «Каковы сроки?», «Какие документы нужны?».

Комментарии

Пастухов Михаил
2025-08-13 15:21:53

В силу специфики работы с персональными данными в медицинской организации, для начинающих компаний в этой сфере целесообразно отдать эти вопросы на аутсорс, обратившись к профильным специалистам по работе с ПД.

Что-то непонятно? Спрашивайте!

Персональные данные: ответы по темам

1 вопрос 9 сентября 2025

Оформление согласия на обработку персональных данных на сайте

Обсуждаем, как с учетом изменений с 1 сентября оформить согласия на обработку персональных данных на сайте, если нет отдельного раздела про персональные данные.

1 240

1 вопрос 7 июля 2025

Как разрешено пересылать документы с персональными данными в рамках закона о персональных данных РФ?

Обсуждаем, как пересылать внутри и вне компании документы с персональными данными, чтобы не нарушить № 152-ФЗ.

3 305

1 вопрос 17 июня 2025

«Политика конфиденциальности» и «Политика обработки персональных данных» это разные документы?

Разбираемся, «Политика конфиденциальности» и «Политика обработки персональных данных» являются разными документами, или один из них включён в другой?

3 838

1 вопрос 30 апреля 2025

Как составить согласие на обработку персональных данных, чтобы оно соответствовало требованиям ФНС по раскрытию налоговой тайны?

Обсуждаем, что включить в согласие на обработку персональных данных, чтобы оно соответствовало требованиям ФНС по раскрытию налоговой тайны.

2 233

Вам может быть интересно: