Кейсы

Приведение в соответствие обработки персональных данных в медицинском учреждении

2025-07-25 20:00

1. Клиент

Медицинское учреждение, оказывающее услуги в Москве более 10 лет.Представлена основным сайтом и двумя лендинговыми страницами (маркетинговые каналы привлечения пациентов).

2. Исходная ситуация

В связи с изменениями в регулировании обработки персональных данных (ПД) и усилением контроля со стороны Роскомнадзора (РКН) возникла необходимость:
  • привести локальные нормативные акты и формы согласий в соответствие с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
  • учесть требования отраслевого законодательства в сфере здравоохранения;
  • обеспечить корректную регистрацию/уведомление в Роскомнадзоре в качестве оператора ПД (без надлежащего уведомления правомерная обработка ПД сопряжена с высоким риском привлечения к ответственности).

3. Риски несоблюдения законодательства

Нарушения в области ПД могут привести к административной ответственности по ст. 13.11 КоАП РФ «Нарушение законодательства Российской Федерации в области персональных данных». Размеры штрафов (в зависимости от состава правонарушения) достигают:
  • граждане: от 10 000 до 15 000 руб.;
  • должностные лица: от 50 000 до 100 000 руб.;
  • юридические лица: от 150 000 до 300 000 руб.
Отдельно:
Часть 11 ст. 13.11 КоАП РФ — невыполнение или несвоевременное выполнение оператором обязанности уведомить уполномоченный орган (РКН) при выявлении факта неправомерной или случайной передачи (доступа) ПД, повлекшей нарушение прав субъекта ПД — влечёт повышенные штрафы:
  • граждане: 50 000 – 100 000 руб.;
  • должностные лица: 400 000 – 800 000 руб.;
  • юридические лица: 1 000 000 – 3 000 000 руб.

4. Цель проекта

Минимизировать регуляторные и правовые риски, обеспечить правомерную и документально подтвержденную обработку персональных данных пациентов, сотрудников и соискателей медицинской организации; подготовить пакет документов для уведомления (регистрации) в РКН как оператора ПД.

5. Выполненные работы

Подготовлены и/или обновлены локальные акты и формы:
  • Политика медицинского учреждения в отношении обработки персональных данных.
  • Политика конфиденциальности персональных данных медицинского учреждения.
  • Согласие соискателя на обработку персональных данных.
  • Согласие работника на обработку персональных данных.
  • Согласие на обработку персональных данных (пациенты).
  • Положение об обработке и защите персональных данных работников медицинского учреждения.
  • Согласие на обработку персональных данных, разрешённых субъектом для распространения.
  • Обязательство о неразглашении персональных данных (для сотрудников и привлекаемых лиц).
  • Внесены положения о защите ПД в Договор об оказании платных медицинских услуг.
  • Подготовлено Информированное добровольное согласие с общим планом обследования и лечения (с увязкой с ПД).
Регуляторное взаимодействие:
  • Подготовлено и подано заявление в Роскомнадзор о включении компании в реестр операторов, осуществляющих обработку персональных данных.
Правовой анализ:
Разработано правовое заключение, включающее:
  • анализ фактических процессов обработки ПД в компании (пациенты, персонал, соискатели; сайт + лендинги);
  • рекомендации по минимизации рисков нарушений законодательства о ПД;
  • предложения по организации мероприятий оценки рисков и потенциального вреда субъектам ПД;
  • общие выводы по усилению физической защиты данных и улучшению регламента взаимодействия с субъектами ПД (запросы, уточнения, отказы, инциденты).

6. Результат

  • Компания уведомлена / включена в реестр операторов ПД Роскомнадзора (процедура инициирована и сопровождена).
  • Сформирован полный пакет актуальных локальных правовых и организационных документов для медицинской организации с учётом требований 152-ФЗ и медицинского регулирования.
  • Процессы обработки ПД приведены в документированную систему: формы согласий, внутренние положения, регламенты реагирования на инциденты, обновлённые договорные блоки с пациентами.
  • Подготовлена правовая база для дальнейшего комплаенса при проверках РКН и иных органов.

Вывод / рекомендации

ООО «Патрикеев и партнёры» успешно реализовало комплексный проект по правовой адаптации процессов обработки персональных данных в медицинской организации. Работа включала аудит, документирование, регуляторное взаимодействие и выработку практических мер снижения рисков. Клиент получил не только документы «для папки», но и работающий правовой каркас, который можно предъявить при проверке и использовать в ежедневной деятельности.
Что сделано (кратко):
  • Внесены сведения в реестр операторов ПД (Роскомнадзор) / подготовлено уведомление.
  • Подготовлен пакет локальных актов, согласий и договорных форм.
  • Обновлён договор на мед. услуги с учётом требований защиты ПД.
  • Разработаны рекомендации по безопасности, хранению и реагированию на инциденты.
Что рекомендовано клиенту продолжать делать:
1.Уведомлять Роскомнадзор о:
  • изменении сведений, указанных в уведомлении оператора ПД;
  • инцидентах утечки или неправомерного доступа к ПД (в сроки, предусмотренные ст. 21 Закона № 152-ФЗ и ч. 11 ст. 13.11 КоАП РФ — во избежание крупных штрафов).
2.Контролировать третьих лиц, которые получают ПД (ИТ-подрядчики, хостинг, лаборатории, страховые, CRM-провайдеры):
  • заключить договоры обработки ПД (поручения) с требованиями к безопасности;
  • проверять наличие у них мер защиты (ст. 6, 19 Закона № 152-ФЗ).
3.Регулярно актуализировать локальные акты при изменении услуг, каналов сбора данных (новые лендинги, формы записи, телемедицина).
4.Обучать персонал, особенно администраторов, врачей, маркетинг и ИТ: что можно собирать, как хранить, куда передавать.
5.Вести учёт согласий и их отзывов: фиксировать правовые основания обработки, когда согласие не требуется (медицинская деятельность, исполнение договора, обязательность по закону).
6.Проводить периодические внутренние проверки: полнота пакета документов, журнал инцидентов, сроки хранения мед. документации, корректность обезличивания.
Ключевые нормы права (для быстрой ориентации клиента):
  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» — общие требования к сбору, хранению, передаче, защите ПД; уведомление РКН; права субъектов.
  • Ст. 19 Закона № 152-ФЗ — требования к обеспечению безопасности ПД при их обработке.
  • Ст. 21 Закона № 152-ФЗ — уведомление уполномоченного органа (РКН), в т.ч. об инцидентах.
  • Ст. 13.11 КоАП РФ — административная ответственность за нарушения в области ПД; повышенные штрафы за не уведомление о нарушении безопасности ПД (ч. 11).
  • Профильное медицинское законодательство (в части обязательного ведения медицинской документации и хранения данных пациентов).