Персональные данные в медицине: как избежать ошибки ценой 15 миллионов рублей

Тема персональных данных (ПДн) в последнее время превратилась для многих в головную боль: Роскомнадзор расширяет полномочия, штрафы растут как на дрожжах.

Для медицинских организаций ставки особенно высоки: речь идет не только о фамилиях и номерах телефонов, но и о врачебной тайне — информации специальной категории, требующей повышенной правовой защиты.

Любая ошибка в работе с ПДн может обернуться не только репутационными, но и серьезными финансовыми потерями: штраф сопоставим с бюджетом небольшой клиники.

Многие полагают, что наличие готового пакета документов, купленного в интернете, уже означает соблюдение требований закона. Спешим огорчить: если нагрянет проверка, показать шаблон — недостаточно. Нужно понимать процессы, которые стоят за каждой бумагой.

В этой статье разберем, какие риски несет клиника, если, кроме как бумагой, персональные данные никак не защищены, и какие меры действительно помогают выстроить рабочую систему безопасности.

С точки зрения закона информация о состоянии здоровья, диагнозах и лечении относится к специальным категориям персональных данных (ст. 10 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

Обработка таких данных запрещена, за исключением строго определенных случаев. Для медицинской организации основанием является письменное согласие пациента (п. 1 ч. 2 ст. 10 152-ФЗ).

Что это значит для клиники? Любая «галочка» на сайте, любое устное согласие в регистратуре — это нарушение. Согласие на обработку ПДн о здоровье должно быть письменным, в том числе в форме электронного документа, подписанного квалифицированной электронной подписью, если это предусмотрено законом для конкретных случаев, но классическая бумажная форма — самая надежная база.

Разумеется, необходимо помнить об исключениях из правил, призванных сохранить пациенту жизнь и здоровье. В ряде случаев обработка персональных данных допускается без получения согласия. В частности, это возможно, если:

• обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных (пациента);

• получение согласия в конкретной ситуации объективно невозможно.

Основания: пп. 1, 6 ч. 1 ст. 6 и ч. 1 ст. 9 Закона № 152-ФЗ.

Законодатель резко ужесточил ответственность. Если раньше штрафы были «приятными», то теперь они бьют по обороту. Основные статьи КоАП РФ (ст. 13.11), которые касаются медицины:

А. Обработка без согласия (ч. 2 ст. 13.11 КоАП РФ). Если вы взяли кровь на анализ или завели карту, не получив правильного письменного согласия:

• штраф для клиники (юрлица): от 300 000 до 700 000 рублей;

• повторное нарушение (ч. 2.1): от 1 до 1,5 миллиона рублей.

Б. Утечка данных о здоровье (ч. 16 ст. 13.11 КоАП РФ). Это самый страшный пункт. Если произошла неправомерная передача (например, база утекла в сеть или врач передал данные третьим лицам без основания) информации, включающей специальную категорию данных (диагнозы, здоровье):

• штраф для клиники: от 10 до 15 миллионов рублей.

В. Повторная утечка специальных данных (ч. 18 ст. 13.11 КоАП РФ). Если вас уже штрафовали за утечки и это случилось снова:

• штраф: от 1% до 3% от годовой выручки клиники (но не менее 25 миллионов рублей).

Г. Нарушение локализации (ч. 8 ст. 13.11 КоАП РФ). Если вы используете CRM или облачный сервис и серверы находятся не в России (например, зарубежный хостинг для сайта с записью):

• штраф: от 1 до 6 миллионов рублей;

• повторное нарушение: от 6 до 18 миллионов рублей.

Д. Сокрытие инцидента (ч. 11 ст. 13.11 КоАП РФ). С 2022 года (и с ужесточением в 2024) вы обязаны сообщать в Роскомнадзор о фактах утечек. Если не сообщили вовремя:

• штраф: от 1 до 3 миллионов рублей.

Биометрия (ст. 11 152-ФЗ). Если вы используете системы распознавания лиц (например, для прохода в клинику или идентификации пациента), это биометрические данные:

• требуется письменное согласие;

• штраф за утечку биометрии (ч. 17 ст. 13.11 КоАП РФ): 15–20 миллионов рублей для юрлиц.

Трансграничная передача (ст. 12 152-ФЗ). Если вы используете зарубежное ПО, которое передает данные на серверы за границу (даже облачные хранилища), вы обязаны уведомить Роскомнадзор до начала передачи. С 2023 года правила ужесточились. Передача в страны, не обеспечивающие адекватную защиту, может быть запрещена.

Чтобы чувствовать себя уверенно и работать без лишних рисков, важно выстроить системный подход к защите персональных данных. Мы подготовили для вас чек-лист на основе требований 152-ФЗ.

1. Аудит и инвентаризация. Вы не можете защитить то, что не знаете:

• составьте перечень всех информационных систем (МИС, сайт, CRM, бумажные журналы);

• определите, какие данные где хранятся (ФИО, телефоны, диагнозы, паспорта);

• проверьте, где физически находятся серверы (только РФ).

2. Документы «в поле», а не в шкафу. Папка с документами должна работать:

• Согласия. Проверьте формы согласий. Они должны соответствовать ч. 4 ст. 9 152-ФЗ (ФИО, паспортные данные пациента, цель, перечень данных, срок действия, подпись). Для данных о здоровье — обязательно отдельный пункт или отдельное согласие (ст. 10 152-ФЗ).

• Политика обработки ПДн. Согласно ч. 2 ст. 18.1 152-ФЗ, вы обязаны опубликовать документ, определяющий политику клиники в отношении ПДн. Обычно это раздел на сайте. Если его нет — штраф по ч. 3 ст. 13.11 КоАП РФ (30–60 тыс. руб.).

3. Техническая защита (ст. 19 152-ФЗ). Вы обязаны принимать меры для защиты данных от неправомерного доступа:

• Уровни защищенности. Определите уровень защищенности ваших информационных систем (УЗ-1, УЗ-2, УЗ-3 или УЗ-4). Для медицины, где есть специальные категории данных, обычно требуются высокие уровни.

• Средства защиты. Используйте сертифицированные средства защиты информации (антивирусы, СКЗИ), особенно если работаете с электронными медицинскими картами.

• Разграничение доступа. Врач не должен видеть данные пациентов другого отделения без необходимости. Пароли должны быть сложными и регулярно меняться.

4. Работа с запросами пациентов (ст. 14, 20, 21 152-ФЗ). Пациент имеет право знать, что вы храните о нем:

• Срок ответа: 10 рабочих дней (может быть продлен еще на 5 дней с уведомлением).

• Право на удаление: если пациент отзывает согласие, вы обязаны прекратить обработку и уничтожить данные в срок до 30 дней (ч. 5 ст. 21 152-ФЗ), если нет закона, обязывающего хранить карту (например, сроки хранения меддокументации).

• Ошибка здесь: игнорирование запроса пациента ведет к штрафу по ч. 4 ст. 13.11 КоАП РФ (40–80 тыс. руб.), а невыполнение требования об удалении — до 90 тыс. руб. (ч. 5 ст. 13.11 КоАП РФ).

5. Реагирование на инциденты (ч. 3.1 ст. 21 152-ФЗ). Если произошла утечка (вирус-шифровальщик, потеря флешки, ошибка сотрудника), вам необходимо:

• в течение 24 часов уведомить Роскомнадзор об инциденте, причинах и вреде;

• в течение 72 часов предоставить результаты внутреннего расследования;

• уведомить субъектов данных (пациентов), если это необходимо для защиты их прав.

Важно: сокрытие инцидента сейчас карается строже, чем сам инцидент (см. штраф выше).

6. Уведомление Роскомнадзора (ст. 22 152-ФЗ). Вы должны быть в реестре операторов:

• проверьте, подавали ли вы уведомление об обработке ПДн;

• исключения есть (например, обработка только для исполнения договора с пациентом-работником), но для клиник, ведущих базы пациентов, уведомление обязательно;

• неподача уведомления — штраф по ч. 10 ст. 13.11 КоАП РФ (100–300 тыс. руб.).

• Не доверяйте «готовым папкам» без адаптации. Документы должны отражать реальность вашей клиники. Если в политике написано «используем шифрование», а его нет — это отягчающее обстоятельство.

В разделе «Документы» ЦСМК есть все необходимые документы, но и они требуют внимательного и обстоятельного подхода при подписании и внедрении. Если у вас возникли вопросы, обращайтесь к нашим специалистам через кнопку «Задать вопрос эксперту».

• Назначьте ответственного. Согласно ст. 22.1 152-ФЗ, юридическое лицо обязано назначить лицо, ответственное за организацию обработки ПДн. Приказ должен быть реальным, человек должен понимать свои обязанности.

• Проверьте согласия пациентов. Особенно на обработку специальных категорий (здоровье).

• Локализуйте базы. Убедитесь, что первичный сбор и хранение данных граждан РФ происходит на серверах в России.

• Обучите персонал. Врач или администратор, отправивший фото паспорта пациента в общий чат WhatsApp, создает вам убытки в миллионы рублей. Они должны знать основы 152-ФЗ.

• Проведите проверку соблюдения порядка работы с персональными данными в вашей организации посредством специального проверочного листа в разделе «Проверки» ЦСМК.

Персональные данные в медицине — это не бюрократия, это — часть медицинской безопасности. В условиях, когда штраф за утечку данных о здоровье может достигать 15 миллионов рублей, а при повторном нарушении — не менее 25 миллионов, экономия на юристах и специалистах по информационной безопасности становится самым дорогим решением.

Если вам важно выстроить эту работу системно — с учетом требований закона, реальных процессов и контроля рисков, — ЦСМК поможет сделать защиту персональных данных частью устойчивой и безопасной работы медицинской организации без расширения штата и лишней административной нагрузки.