Обязана ли поликлиника защищать данные пациентов по 152-ФЗ?

Да, любая медицинская организация — государственная или частная — является оператором персональных данных по 152-ФЗ. Медицинские сведения о диагнозах, лечении и состоянии здоровья относятся к специальным категориям ПДн (ст. 10), которые требуют повышенного уровня защиты и обязательного согласия пациента. Обработка без принятия технических и организационных мер — административное правонарушение с штрафом до 100 000 рублей для юридического лица.

Что такое уровень защищённости ПДн (УЗ-1, УЗ-2, УЗ-3)?

Уровень защищённости (УЗ) — это категория требований к техническим и организационным мерам, определяемая по Постановлению Правительства №1119. Зависит от типа ПДн, количества субъектов и категории угроз. УЗ-1 — наивысший, требует максимальных мер (редко применяется в медицине). УЗ-3 — стандартный для большинства районных поликлиник. Определить свой уровень защищённости — первый шаг к выполнению требований 152-ФЗ.

Какие штрафы за нарушение 152-ФЗ в медицине?

Штрафы существенно выросли после принятия 420-ФЗ (май 2024). За обработку ПДн без согласия — до 300 000 рублей. За утечку ПДн пациентов: при ≥1 млн записей — до 15 млн рублей или 1% выручки за год. При повторной утечке — до 3% годовой выручки. Для государственных больниц с выручкой 500 млн рублей это может быть 15 млн рублей. Уголовная ответственность — при незаконной передаче данных о здоровье третьим лицам (ст. 137 УК РФ, до 5 лет лишения свободы).

Нужен ли отдельный ИТ-специалист для защиты ПДн в больнице?

Не обязательно отдельный специалист, но ответственный за организацию обработки ПДн должен быть назначен приказом. В небольших медицинских организациях эту роль часто совмещают с ИТ-администратором или замглавврача по АХЧ. В крупных больницах и сетях клиник — отдельный специалист по ИБ или ответственный за ПДн. Ключевые функции: ведение реестра ИСПДн, разработка политики ПДн, контроль технических мер, инструктаж персонала.

Как SGRC-система помогает выполнить 152-ФЗ?

SGRC-платформа автоматизирует ключевые процессы: 1) реестр информационных систем ПДн с уровнями защищённости; 2) библиотека готовых документов — политика ПДн, согласия, регламенты; 3) чеклисты соответствия Приказу №21 ФСТЭК; 4) мониторинг выполнения мер защиты; 5) напоминания о переаттестации и проверках. Это сокращает время на подготовку к проверке РКН с недель до дней и снижает риск штрафов.

Защита персональных данных в медицинской организации: требования 152-ФЗ

Q: Нужно ли уведомлять РКН, если медицинская организация ведёт картотеку пациентов?

Да, обязательно. Все операторы ПДн, обрабатывающие данные в информационных системах, должны уведомить Роскомнадзор до начала обработки (ст. 22 152-ФЗ). Медицинские организации — не исключение, даже если картотека ведётся в простой базе данных. Уведомление подаётся через сайт РКН в электронной форме. Без уведомления штраф — до 30 000 рублей (ст. 19.7 КоАП).

Медицинская организация хранит всё, что человек предпочёл бы оставить в тайне: диагнозы, историю болезни, результаты анализов, сведения о принимаемых препаратах. По 152-ФЗ это специальные категории персональных данных — самая защищаемая категория. Закон устанавливает для них повышенные требования, а санкции за нарушения после 420-ФЗ (вступил в силу 30.05.2024) стали существенно жёстче.

Утечка данных 100 000 пациентов — штраф 10–15 млн рублей. При повторном нарушении — до 3% годовой выручки. Для государственной больницы с бюджетом 500 млн рублей это 15 млн рублей. Это не теория: Роскомнадзор проводит плановые проверки медицинских организаций ежегодно.

В этой статье — что конкретно требует 152-ФЗ от поликлиник и больниц, как правильно определить уровень защищённости ИСПДн и какие меры реально защищают от штрафов.

Почему медицинские организации — операторы ПДн особой категории

Статья 10 152-ФЗ выделяет специальные категории персональных данных — сведения, раскрытие которых способно причинить субъекту существенный вред. К ним относятся данные о состоянии здоровья, диагнозах, лечении и медицинских процедурах. Именно с такими данными работает любая медицинская организация — от частной стоматологии до федерального онкологического центра.

Что обрабатывает медицинская организация

Даже небольшая поликлиника обрабатывает несколько категорий ПДн одновременно:

Идентификационные данные: ФИО, дата рождения, СНИЛС, серия и номер паспорта, место прописки.
Страховые данные: номер полиса ОМС или ДМС, наименование страховщика, номер договора.
Медицинские сведения: диагнозы по МКБ-10, назначенное лечение, выписанные рецепты, результаты лабораторных и инструментальных исследований, история госпитализаций.
Контактные данные: телефон, адрес электронной почты — для записи на приём, уведомлений, телемедицины.
Биометрические данные: в ряде случаев — фотографии в медкартах (например, в психиатрических учреждениях для идентификации), слепки для стоматологических протезов.

Совокупный объём данных в ИСПДн городской поликлиники — десятки тысяч записей пациентов. Региональная МИС — сотни тысяч. Это не просто «персональные данные» — это наиболее чувствительная информация о человеке.

Три ключевых отличия от «обычного» оператора ПДн

1. Согласие в явной форме. Для обработки специальных категорий ПДн стандартного согласия на обработку недостаточно. Требуется явное письменное согласие субъекта с указанием конкретных категорий обрабатываемых данных (ст. 9, ст. 10 152-ФЗ). Исключение — оказание медицинской помощи при невозможности получить согласие (ст. 10 п. 2 пп. 4), но это именно исключение, а не правило.

2. Повышенный уровень защищённости. Специальные категории ПДн требуют минимум УЗ-3, а при определённых условиях — УЗ-2 или УЗ-1 (Постановление Правительства №1119 от 01.11.2012). Это означает обязательный перечень технических и организационных мер по Приказу ФСТЭК №21.

3. Строгий контроль передачи третьим лицам. Передача данных пациентов страховым компаниям, лабораторным сетям, исследовательским организациям — каждый случай требует отдельного согласия или законного основания. Без этого — нарушение, даже если получатель — аффилированная структура.

Требования 152-ФЗ для медицинских организаций

Уведомление РКН о начале обработки ПДн

До начала обработки персональных данных оператор обязан уведомить Роскомнадзор (ст. 22 152-ФЗ). Медицинские организации не исключение — даже если ПДн обрабатываются только в бумажной картотеке или простой базе данных.

Порядок уведомления:

Подаётся через официальный сайт РКН в электронной форме (с усиленной квалифицированной ЭП) или в бумажном виде.
Направляется до начала обработки ПДн — не после.
При изменении сведений (новая ИСПДн, новые цели обработки) — повторное уведомление в течение 10 дней.

Последствия за нарушение: ст. 19.7 КоАП — штраф до 30 000 рублей для юридического лица. Повторное — от 50 000 рублей. Отсутствие уведомления фиксируется при плановых проверках РКН автоматически.

Согласие пациента: когда нужно и когда можно без него

Обработка специальных категорий ПДн без согласия субъекта — нарушение ст. 10 152-ФЗ с штрафом до 300 000 рублей (ст. 13.11 ч. 2 КоАП). Закон устанавливает исчерпывающий перечень оснований для обработки без согласия:

Оказание медицинской помощи при состоянии, не позволяющем дать согласие, — скорая помощь, реанимация (ст. 10 п. 2 пп. 4).
Медицинская профилактика и диагностика — при условии, что обработку ведёт медицинский работник, обязанный сохранять врачебную тайну.
Обязательные медицинские осмотры по трудовому законодательству.

Во всех остальных случаях — передача данных в страховые компании, ФОМС, лабораторные сети, телемедицинские платформы — нужно явное письменное согласие. Один документ «согласие на обработку ПДн» не покрывает все цели: для каждой цели передачи третьим лицам нужна отдельная формулировка в согласии или отдельный документ.

Приказ ФСТЭК №21 — технические и организационные меры

Приказ ФСТЭК №21 от 18.02.2013 определяет состав и содержание мер по обеспечению безопасности ПДн при их обработке в информационных системах. Структура документа: 15 групп мер от идентификации и аутентификации пользователей до защиты среды виртуализации.

Принципиальный момент: не все меры обязательны для каждой ИСПДн. Для каждого уровня защищённости определён минимальный базовый набор — и организация должна применить именно его, а не произвольный перечень.

Постановление Правительства №1119: как определяется УЗ

ПП №1119 от 01.11.2012 устанавливает алгоритм определения уровня защищённости ИСПДн. Он зависит от трёх параметров:

Тип ПДн: специальные категории (здоровье, диагнозы), биометрические, общедоступные или иные.
Количество субъектов: менее 100 000 или более 100 000 записей в ИСПДн.
Категория актуальных угроз: 1-й тип (уязвимости в системном ПО), 2-й тип (уязвимости в прикладном ПО), 3-й тип (без НДВ в ПО).

Для медицинской организации тип ПДн всегда — специальные категории. Значит, уровень защищённости определяется числом записей и моделью угроз.

Как определить уровень защищённости ИСПДн в медицине

УЗ-1: федеральные центры и МИС с миллионами записей

УЗ-1 присваивается ИСПДн, обрабатывающей специальные категории ПДн субъектов, не являющихся сотрудниками оператора, при числе субъектов более 100 000 и угрозах 1-го типа. Либо — при угрозах 1-го типа независимо от числа субъектов.

В медицинской практике: крупные федеральные онкологические, кардиологические, инфекционные центры с базами данных пациентов от всех регионов страны; региональные МИС, агрегирующие данные от сотен учреждений в единой системе.

Требования УЗ-1 — наиболее строгие: включают защиту виртуальной среды, обнаружение вторжений на уровне системного ПО, многофакторную аутентификацию для удалённого доступа.

УЗ-2: региональные больницы и МИС с внешним доступом

УЗ-2 присваивается ИСПДн с угрозами 2-го типа при обработке специальных ПДн (любое число субъектов), или угрозами 3-го типа при числе субъектов более 100 000. Угрозы 2-го типа характерны для ИСПДн с удалённым доступом, интеграцией с внешними системами (ФОМС, страховщики, телемедицина).

В медицинской практике: крупные городские и районные больницы с числом карточек пациентов более 100 000; МИС с модулем телемедицины или API-интеграцией со страховщиками.

УЗ-3: стандарт для большинства медицинских организаций

УЗ-3 — самый распространённый уровень. Присваивается ИСПДн с угрозами 3-го типа при числе субъектов менее 100 000 и специальными категориями ПДн. Угрозы 3-го типа — «прикладные»: уязвимости в ПО присутствуют, но не связаны с недекларированными возможностями на уровне системного ядра.

В медицинской практике: районные поликлиники, небольшие частные клиники, стоматологии, лаборатории — с локальными ИСПДн без интеграции с внешними системами.

Практическая таблица: размер организации → УЗ

Тип организации	Пациентов в ИСПДн	Внешний доступ / интеграции	Уровень защищённости
Федеральный медицинский центр	>100 000	Да (ФОМС, страховщики)	УЗ-1 или УЗ-2
Региональная МИС (агрегатор)	>100 000	Да	УЗ-1 или УЗ-2
Городская больница	>100 000	Нет	УЗ-2
Районная поликлиника	<100 000	Нет	УЗ-3
Частная клиника / стоматология	<100 000	Нет	УЗ-3
Лаборатория с API интеграцией	Любое	Да	УЗ-2
Телемедицинская платформа	>100 000	Да	УЗ-2

Как формализовать уровень защищённости

Уровень защищённости не определяется «на глаз» — он должен быть зафиксирован документально:

Провести классификацию ИСПДн (отдельно для каждой системы: МИС, лабораторная система, система видеонаблюдения, архив PACS).
Разработать Акт определения уровня защищённости для каждой ИСПДн.
Утвердить акт приказом руководителя.
На основании УЗ сформировать Перечень мер по Приказу №21 с отметками о выполнении.

Типичные нарушения и штрафы в медицинской отрасли

После принятия 420-ФЗ санкции за нарушения в сфере ПДн выросли в 2–10 раз по сравнению с редакцией 2013 года.

Таблица штрафов (актуальная редакция КоАП с учётом 420-ФЗ)

Нарушение	Статья КоАП	Штраф для юрлица
Обработка ПДн без согласия субъекта	ст. 13.11 ч. 2	до 300 000 ₽
Нет политики ПДн на сайте организации	ст. 13.11 ч. 3	до 60 000 ₽
Необеспечение возможности отзыва согласия	ст. 13.11 ч. 4	до 300 000 ₽
Необеспечение безопасности ПДн	ст. 13.11 ч. 5	до 300 000 ₽
Передача данных за рубеж без уведомления	ст. 13.11 ч. 9	до 6 млн ₽
Утечка ПДн (1–10 тыс. субъектов)	ст. 13.11 ч. 12	3–5 млн ₽
Утечка ПДн (10–100 тыс. субъектов)	ст. 13.11 ч. 12	5–10 млн ₽
Утечка ПДн (более 100 тыс. субъектов)	ст. 13.11 ч. 12	10–15 млн ₽
Утечка биометрических ПДн	ст. 13.11 ч. 13	до 20 млн ₽
Несоблюдение технических мер (Приказ №21)	ст. 13.11 ч. 1	до 100 000 ₽

Оборотные штрафы при повторных нарушениях

420-ФЗ ввёл оборотные штрафы при повторных утечках ПДн: 1–3% годовой выручки, но не менее 20 млн рублей и не более 500 млн рублей.

Пример расчёта для государственной больницы с финансированием 600 млн рублей в год:

1% = 6 млн рублей
3% = 18 млн рублей

Это реальные суммы — не гипотетические. РКН фиксирует повторные нарушения, если в течение года организация уже получала предписание или штраф по аналогичному нарушению.

Уголовная ответственность

Незаконное получение и распространение сведений о частной жизни — в том числе медицинских данных — квалифицируется по ст. 137 УК РФ:

Часть 1: штраф до 200 000 рублей или лишение свободы до 2 лет.
Часть 2 (с использованием служебного положения): штраф до 300 000 рублей или лишение свободы до 4 лет.

Распространение врачебной тайны — дополнительное основание для уголовного преследования по ст. 137 УК и профессиональной ответственности по Федеральному закону №323-ФЗ «Об основах охраны здоровья граждан».

Технические и организационные меры защиты

Организационные меры: базовый обязательный пакет

Любая медицинская организация, независимо от размера, должна иметь следующий комплект документов:

Публичные документы:

Политика обработки персональных данных — размещена на официальном сайте в отдельном разделе (ст. 18.1 152-ФЗ). Документ должен содержать цели обработки, категории ПДн, сроки хранения, права субъектов.
Согласие на обработку ПДн — для каждого пациента при первичном обращении. Отдельные блоки или документы для передачи третьим лицам (страховщикам, лабораториям).

Внутренние документы:

Приказ о назначении ответственного за организацию обработки ПДн.
Перечень ИСПДн с классификацией и уровнями защищённости.
Регламент обработки персональных данных — для каждого подразделения, работающего с ПДн.
Должностные инструкции для медрегистраторов, врачей, ИТ-специалистов — с разделами об обязанностях в сфере ПДн.
Журнал учёта носителей ПДн.
Журнал событий безопасности ИСПДн.
Акты определения уровня защищённости для каждой ИСПДн.

Технические меры по уровням защищённости

УЗ-3 — базовый набор мер по Приказу №21:

Мера	Что конкретно
Идентификация и аутентификация (ИАФ)	Уникальный логин и пароль ≥8 символов для каждого пользователя МИС. Запрет общих учётных записей.
Управление доступом (УПД)	Разграничение прав: врач видит только своих пациентов. Регистратор не имеет доступа к результатам анализов. Доступ к базе данных — только через приложение, не напрямую.
Регистрация событий (РСБ)	Журнал входов, изменений и выгрузок данных пациентов. Хранение журналов не менее 1 года.
Защита машинных носителей (ЗНИ)	Учёт съёмных носителей. Запрет записи ПДн на личные флешки. Уничтожение носителей по акту.
Антивирусная защита (АВЗ)	Сертифицированный ФСТЭК/ФСБ антивирус на всех рабочих станциях ИСПДн. Регулярное обновление баз.
Межсетевое экранирование (МЭ)	МИС — в отдельном сетевом сегменте. Нет прямого доступа из гостевого Wi-Fi к базе пациентов.
Анализ защищённости (АНЗ)	Сканирование уязвимостей — минимум раз в год. Документированные результаты.

Дополнительные меры для УЗ-2:

Защита при передаче данных по каналам связи: шифрование при передаче в ФОМС, страховщикам, лаборатории (TLS 1.2+ или VPN с сертифицированными СКЗИ).
Контроль целостности ПО и данных ИСПДн.
Обеспечение доступности ПДн: резервное копирование с проверкой восстановления.

Аудит ИБ ИСПДн: что и как часто проверять

Внутренний аудит — обязательный элемент системы защиты ПДн, а не разовое мероприятие. Минимальная периодичность: 1 раз в год. При изменении состава ИСПДн, смене подрядчиков, модернизации МИС — внеплановый аудит.

Чек-лист ежегодного аудита ИБ ПДн для медицинской организации:

Актуализировать перечень ИСПДн: появились ли новые системы (телемедицина, мобильное приложение для пациентов, новый модуль МИС).
Проверить актуальность актов классификации ИСПДн — соответствуют ли текущему числу субъектов и составу обрабатываемых данных.
Сверить уровень защищённости с текущим составом системы и моделью угроз.
Проверить выполнение технических мер по чеклисту Приказа №21 для каждой ИСПДн.
Проверить актуальность согласий пациентов: изменились ли цели обработки, добавились ли новые получатели данных.
Оценить состояние документации для передачи данных третьим лицам: договоры с лабораториями, ФОМС, страховщиками — содержат ли обязательства по защите ПДн.
Провести инструктаж персонала по вопросам обработки ПДн и врачебной тайны.

Как автоматизировать защиту ПДн в медицинской организации

Ручное управление документацией ПДн в медицинской организации со штатом 200+ сотрудников — десятки документов, постоянные обновления при изменении законодательства, риск пропустить критичный срок. SGRC-платформа переводит этот процесс в управляемый, прозрачный режим.

Реестр ИСПДн: автоматический расчёт УЗ

SGRC-платформа ведёт реестр всех информационных систем, обрабатывающих ПДн: МИС, лабораторные системы, архивы изображений (PACS), системы записи на приём, телемедицинские модули. Для каждой системы указываются атрибуты — тип ПДн, число субъектов, наличие внешнего доступа — и автоматически рассчитывается уровень защищённости по ПП №1119.

На основании УЗ платформа формирует список применимых мер по Приказу №21 с чеклистами и ответственными.

Библиотека документов для медицинских организаций

Готовые шаблоны, адаптированные под специфику медицины:

Политика обработки персональных данных (для публикации на сайте).
Согласие на обработку ПДн пациента — базовое и с расширенными целями (передача в страховую, в лабораторию).
Приказ о назначении ответственного за ПДн.
Акт определения уровня защищённости ИСПДн.
Регламент обработки персональных данных.
Инструкции для медрегистраторов и врачей.
Акт уничтожения носителей ПДн.

Подробнее об автоматизации документооборота — «Автоматизация документов ИБ».

Чеклисты соответствия Приказу №21

Для каждой ИСПДн — персональный чеклист мер с привязкой к ответственным, дедлайнами и полем для загрузки подтверждающих документов (скриншоты настроек, журналы, акты). Статус каждой меры: выполнено, просрочено, требует обновления.

Мониторинг и напоминания

При приближении плановой проверки РКН, истечении срока действия согласий или выходе нового регуляторного требования — автоматические уведомления ответственному. Никаких «забыли обновить политику» — платформа напоминает за 30, 14 и 7 дней.

Быстрая оценка готовности к проверке

За 15 минут — отчёт с текущим состоянием защиты ПДн: процент выполненных мер по Приказу №21, выявленные пробелы, приоритеты для устранения до проверки. Руководитель видит не «в целом всё нормально», а конкретные риски с количественной оценкой.

Комплексное решение для соответствия 152-ФЗ в медицинской организации — «Защита персональных данных».

Итоги

Медицинские организации обрабатывают специальные категории ПДн — самую чувствительную категорию по 152-ФЗ. Это автоматически влечёт:

Обязательное уведомление РКН до начала обработки.
Присвоение уровня защищённости ИСПДн (чаще всего УЗ-3, реже УЗ-2).
Выполнение мер по Приказу ФСТЭК №21.
Полный пакет организационных документов: политика ПДн, согласия, регламенты, журналы.

После 420-ФЗ цена нарушений выросла кратно: утечка данных 100 000 пациентов — штраф 10–15 млн рублей. Повторное нарушение — до 3% годовой выручки. Выстроить защиту и поддерживать её в актуальном состоянии помогает SGRC-платформа КиберОснова: реестр ИСПДн, готовые документы, чеклисты соответствия Приказу №21 и мониторинг выполнения мер.

Связанные материалы:

Защита персональных данных в медицинской организации: требования 152-ФЗ

Защита персональных данных в медицинской организации: требования 152-ФЗ

Почему медицинские организации — операторы ПДн особой категории

Что обрабатывает медицинская организация

Три ключевых отличия от «обычного» оператора ПДн

Требования 152-ФЗ для медицинских организаций

Уведомление РКН о начале обработки ПДн

Согласие пациента: когда нужно и когда можно без него

Приказ ФСТЭК №21 — технические и организационные меры

Постановление Правительства №1119: как определяется УЗ

Как определить уровень защищённости ИСПДн в медицине

УЗ-1: федеральные центры и МИС с миллионами записей

УЗ-2: региональные больницы и МИС с внешним доступом

УЗ-3: стандарт для большинства медицинских организаций

Практическая таблица: размер организации → УЗ

Как формализовать уровень защищённости

Типичные нарушения и штрафы в медицинской отрасли

Таблица штрафов (актуальная редакция КоАП с учётом 420-ФЗ)

Оборотные штрафы при повторных нарушениях

Уголовная ответственность

Технические и организационные меры защиты

Организационные меры: базовый обязательный пакет

Технические меры по уровням защищённости

Аудит ИБ ИСПДн: что и как часто проверять

Как автоматизировать защиту ПДн в медицинской организации

Реестр ИСПДн: автоматический расчёт УЗ

Библиотека документов для медицинских организаций

Чеклисты соответствия Приказу №21

Мониторинг и напоминания

Быстрая оценка готовности к проверке

Итоги

Часто задаваемые вопросы

Связанные материалы

Автоматизируйте ИБ с КиберОснова