Персональные данные пациентов в медклинике: что Роскомнадзор проверяет сверх типового 152-ФЗ
Двадцать лет назад персональные данные пациента — это была картонная карта в шкафу с амбарным замком. Сегодня это МИС в облаке, СНИЛС в квитанции на ОМС, результат анализа в мессенджере и айтишник-аутсорсер, который в два часа ночи чинит сервер через RDP. Пятнадцать лет я чиню такие серверы клиникам и вижу одно и то же: директора путают обычный 152-ФЗ с тем, что реально спрашивает Роскомнадзор у медицины. А спрашивает он совсем другое.
Почему данные о здоровье — это не просто персональные данные
Есть 152-ФЗ, и есть его статья 10. Это разные миры. Обычные ПДн — фамилия, телефон, адрес — можно обрабатывать с согласием на общих основаниях, и любой юрист за вечер накидает вам политику из шаблона. Данные о здоровье — это специальная категория. Закон прямо запрещает их обработку, кроме перечисленных исключений. Одно из них — оказание медицинской помощи медработником, обязанным соблюдать врачебную тайну. То есть у клиники есть законное основание обрабатывать диагнозы и без согласия, но это основание узкое и жёстко привязано именно к лечению, а не к маркетингу, не к рассылке акций, не к передаче данных в call-центр для обзвона.
Ко мне в прошлом году пришёл директор небольшой стоматологии, двадцать два кресла на три филиала. У него была красивая политика конфиденциальности с сайта-конструктора, скачанная у консультанта за три тысячи рублей. Написана грамотно. Только про специальную категорию там не было ни строчки. РКН на выездной проверке это увидел за пять минут — и не потому что искал специально, а потому что документ был явно не про медицину, там даже слова «диагноз» не встречалось.
Согласие пациента: одна бумажка на всё — это не про медицину
Тут путают три разных документа. Согласие на медицинское вмешательство — это медицинское право, форма утверждена приказом Минздрава. Согласие на обработку персональных данных — отдельная история по 152-ФЗ. А согласие на обработку данных именно специальной категории — третье, со своим набором обязательных пунктов: цель обработки, перечень действий, срок хранения, кто ещё получит доступ к данным. С 2022 года форма письменного согласия должна соответствовать требованиям приказа Роскомнадзора № 996. Многие клиники до сих пор используют одну универсальную бумажку на всё сразу, где эти три вещи слиты в один абзац мелким шрифтом.
У одной клиники, с которой мы работаем по ИТ уже три года, при проверке нашли ровно это: пациенты подписывали единое согласие, но нигде не было прямо указано, что клиника передаёт данные страховой компании по ДМС. Формально — нарушение, потому что каждая цель обработки и каждый получатель должны быть перечислены явно. Штрафа не было, отделались предписанием на устранение за месяц, но нервов ушло много, а переделка всех бланков реестратуры заняла три недели.
Модель угроз и уровень защищённости — бумага, которую спросят первой
Приказ ФСТЭК № 21 определяет уровни защищённости ИСПДн — от УЗ-4 до УЗ-1. Для медицинских данных, поскольку это специальная категория, актуальными обычно признаются угрозы 1 или 2 типа, что автоматически поднимает требуемый уровень выше, чем в обычном интернет-магазине с теми же условно ста записями клиентов. Конкретный УЗ зависит от количества субъектов персональных данных и от того, работаете ли вы с недекларированными возможностями программного обеспечения. Для клиники на 30-50 рабочих мест с базой в пять-семь тысяч пациентов в год это чаще всего УЗ-2 или УЗ-3, и уже это требует сертифицированных СЗИ, а не просто антивируса из коробки.
Без модели угроз и акта определения уровня защищённости у вас формально нет обоснования, почему вы выбрали именно такие средства защиты. Это первый документ, который спрашивают на проверке, и его отсутствие — почти гарантированное предписание. Составление модели угроз под клинику на 40 мест у нас стоит от 60 до 120 тысяч рублей в зависимости от количества филиалов и информационных систем, актуализировать её нужно при любом изменении инфраструктуры — новый сервер, новая МИС, новый филиал.
МИС, ЕГИСЗ и СНИЛС — где реально утекают данные
1С:Медицина, МедИс, Инфоклиника, Ренова — неважно, какая у вас МИС, важно, что она интегрирована с ЕГИСЗ и передаёт туда обезличенные и не очень данные, а для электронного взаимодействия нужна квалифицированная электронная подпись и часто КриптоПро CSP на рабочих местах регистратуры. СНИЛС и номер полиса ОМС — тоже персональные данные, причём в связке с диагнозом это уже спецкатегория без всяких оговорок. Ошибка, которую я вижу постоянно: результаты анализов отправляют пациенту на почту вложением в незашифрованном виде, потому что «так удобнее». Формально это передача спецданных по открытому каналу.
Отдельная тема — лаборатория-подрядчик. Многие клиники отдают анализы на аутсорс в крупную сетевую лабораторию. С точки зрения закона это означает, что лаборатория — обработчик персональных данных по поручению оператора, и по статье 6 152-ФЗ с ней обязателен договор с прописанными условиями обработки, целями, сроком хранения и обязательством соблюдать конфиденциальность. У одного нашего клиента, сети из трёх клиник в Подмосковье, такого договора не было вообще — работали по устной договорённости пять лет. На проверке это стало отдельным пунктом предписания.
Физическая защита: сервер в кладовке и картотека без замка
Как-то приехал к клиенту чинить Windows Server, который начал зависать по вечерам. Сервер стоял в кладовке рядом с шваброй и коробками с бахилами, дверь без замка, ключ на гвоздике у входа — заходи кто хочет. При этом на сервере крутилась вся МИС с базой пациентов за шесть лет. Формально помещение с ИСПДн должно быть с ограниченным доступом, с журналом посещений, а лучше с видеонаблюдением на входе. Для бумажных карт то же самое — шкаф с замком, а не открытая полка в коридоре, куда заглядывает уборщица.
У этой же клиники не было резервного копирования вообще, только надежда, что диск не умрёт. Мы поставили Veeam с ежедневным бэкапом на отдельный NAS и шифрованием архива — это отдельная требуха, потому что бэкап с медданными защищать нужно так же, как боевую базу, а не как случайную папку. Через два месяца у них всё-таки умер жёсткий диск на сервере. Восстановились за три часа. Директор потом признался, что до этого случая считал резервное копирование «айтишной блажью за лишние деньги».
Что реально смотрит инспектор на выездной проверке
На практике проверка в клинике идёт не по общему чек-листу из интернета, а по конкретному набору: приказ о назначении ответственного за обработку ПДн, политика обработки с явным указанием специальной категории, согласия пациентов по установленной форме, модель угроз и акт определения уровня защищённости, договоры с обработчиками — IT-аутсорсером, лабораторией, облачным провайдером МИС, план реагирования на инциденты с уведомлением РКН в течение 24 часов о факте утечки и 72 часов с подробностями, это требование действует с сентября 2022 года. И журнал обучения персонала — да, инспектор реально может спросить, когда в последний раз медсёстры и администраторы проходили инструктаж по работе с персональными данными.
Ещё смотрят сайт клиники: есть ли согласие на обработку куки и форм записи, соответствует ли оно тому же приказу № 996, куда уходят данные из онлайн-записи — если это стороннее виджет-приложение, оно тоже обработчик, и договор с ним обязателен. У одной клиники в Химках, куда мы заходили после того как их напугала соседняя сеть штрафом, форма записи на сайте вообще не собирала согласие — просто поле «телефон» без единой строчки о персональных данных. Исправили за один день, но это был показательный случай, насколько мелочи решают.
Штрафы, которые действительно кусаются
С 2023 года в статье 13.11 КоАП появились оборотные штрафы за утечку персональных данных, и для медицины они особенно чувствительны, потому что данные о здоровье считаются отягчающим фактором при квалификации нарушения. За утечку от одной до десяти тысяч записей штраф юрлицу — от трёх до пяти миллионов рублей. От десяти до ста тысяч записей — от пяти до десяти миллионов. Свыше ста тысяч — от десяти до пятнадцати миллионов. При повторном нарушении штраф становится оборотным: от одного до трёх процентов выручки за предыдущий год, но не менее пятнадцати и не более пятисот миллионов рублей.
Для клиники с выручкой в 80-120 миллионов рублей в год повторный оборотный штраф — это от 800 тысяч до 3,6 миллиона, и это отдельно от репутационного удара, когда пациенты узнают, что их диагнозы утекли в сеть. Но чаще на практике штрафуют не за саму утечку, а за банальное отсутствие документов — это статья 13.11 часть 1, штраф скромнее, 30-60 тысяч для юрлица, зато проверить это может любая плановая проверка, а не только реагирование на инцидент.
Частые вопросы
Нужно ли отдельное согласие, чтобы передавать данные пациента в страховую по ДМС или в фонд ОМС?
Да, и это должно быть прописано явно, а не подразумеваться. В согласии на обработку персональных данных нужно отдельно указать цель передачи и конкретного получателя — страховую компанию или территориальный фонд ОМС. Общая формулировка «третьим лицам при необходимости» не годится, инспектор это отмечает как нарушение.
Айтишник-аутсорсер, который удалённо чинит нашу МИС по RDP, — это обработчик персональных данных?
Практически всегда да, если он в процессе работы получает технический доступ к базе с данными пациентов, даже без цели их читать. С таким подрядчиком обязателен договор с условиями обработки, обязательством конфиденциальности и порядком уведомления об инцидентах. Устная договорённость и оплата по счёту без договора — это то, что чаще всего всплывает на проверке.
Что делать в первые часы, если случилась утечка базы пациентов?
С 2022 года оператор обязан уведомить Роскомнадзор о факте утечки в течение 24 часов, а подробную информацию — в течение 72 часов, включая причины и принятые меры. Параллельно нужно локализовать источник утечки, сменить пароли и доступы, зафиксировать событие для последующего разбирательства. Молчать и ждать, что пронесёт, — худший вариант, штраф за сокрытие выше, чем за саму утечку.
Сколько стоит привести персональные данные в порядок для клиники на 20-30 рабочих мест?
Модель угроз и акт определения уровня защищённости — от 60 до 120 тысяч рублей разово. Переработка согласий, политики и договоров с обработчиками — обычно 40-80 тысяч. Технические средства защиты, если их не было вообще, — от 150 тысяч и выше в зависимости от количества рабочих мест и наличия сертифицированного СЗИ от НСД. В сумме для среднего случая выходит 300-500 тысяч рублей на приведение в порядок и потом ежегодное сопровождение.
Напишите нам — за неделю сделаем аудит ИСПДн, покажем конкретные дыры и посчитаем, во сколько обойдётся их закрыть.
Бесплатная консультация →
Подпишитесь на рассылку ITfresh
Раз в неделю — практические гайды для руководителя и сисадмина: безопасность, 1С, миграции, резервные копии, лайфхаки из реальных проектов.
