Ежедневно клиника обрабатывает массу сведений: паспорт, полис, результаты анализов, назначения, истории болезней. Неразглашение персональных данных пациента не только врачебная этика, но и обязательная составляющая работы частных клиник.
За утечку личных сведений клинике грозит крупный штраф, потеря доверия пациентов и ухудшение репутации бизнеса. Как же клинике работать с персональными данными?
Рассказываем, что нужно знать частным клиникам о защите персональных данных. Как работать с информацией, чтобы избежать утечки и не получить штраф. А также, в каких случаях разглашение данных законно.
Напоминаем, материал подготовил сервис Revvy.Мед, который помогает клиникам и стоматологиям продвигаться в интернете и на Яндекс Картах. Отправляет пациентам автоматические уведомления и напоминания о записи на прием. Снижает количество неявок и оптимизирует расписание врачей.
Что относится к персональным данным в здравоохранении
Обработка и использование персональных данных регулируется Федеральным законом ФЗ-152.
Также клиники при работе с персональными данными должны придерживаться этих нормативов.

К персональным данным в здравоохранении относятся любые сведения, по которым можно идентифицировать человека.
К основным персональным данным относят:
- паспортные данные;
- адрес;
- контакты;
- СНИЛС, ИНН.
В медицине к персональным данным также относят специальные сведения:
- физические данные пациента: вес, рост, возраст;
- история болезни;
- номер медицинского полиса и название страховой компании;
- электронные медицинские карты;
- диагнозы;
- назначения лечения и процедур;
- результаты анализов, диагностик, исследований;
- данные об операциях, донорстве и пересадке органов;
- финансовые данные: реквизиты банковских карт, стоимость страховки, чеки и договора на медицинские услуги.
Неразглашение специальных сведений еще называют врачебной тайной или врачебной этикой.
Как клиники работают с персональными данными
Персональные данные — конфиденциальная информация, которую нельзя разглашать даже после смерти пациента. Есть случаи, когда это возможно, но об этом чуть позже.
Клиники работают с данными на разных этапах:
- первичный сбор — заполнение анкеты, контактных и паспортных данных пациента при первичном обращении в клинику;
- систематизация сведений — заполнение электронной карточки в МИС-системе;
- хранение сведений в базе данных МИС-системы;
- если требуется, то сведения могут уточняться;
- удаление неактуальных сведений.
И на каждом этапе работы с персональными сведениями пациента, они должны быть надежно защищены.
Случаи, когда клиника может разглашать персональные данные
Есть несколько случаев, когда ПДн раскрыть допустимо:
- При оказании первой помощи или при угрозе жизни пациенту: когда человек без сознания, психически невменяемый, или в экстремальных для здоровья условиях.
- Возраст до 15 лет — сведения о здоровье пациента получают родители или законные представители ребенка.
- По требованию судебных и других органов власти.
- При насильственных действиях — клиника должна оповестить органы внутренних дел.
- По требованию РКН (Роскомнадзор).
- При расследовании травм на производстве или при профзаболевании.
В остальных случаях частные клиники должны хранить и защищать ПДн согласно законам РФ.
Особенности защиты персональных данных в клиниках
В 2011 году Минздрав совместно с соцразвитием РФ разработали единую инфосистему в сфере здравоохранения (ЕГИСЗ). Чтобы данные по всех медицинским учреждениям были в одном месте. Но недостаточное техническое обеспечение привело к тому, что каждый медцентр собирает и защищает ПДн по-своему.
Каждый день медицинские центры и клиники собирают и обрабатывают большой массив данных. Не во всех регионах России завершены автоматизация и переход на ЭДО. Уровень защиты ПДн пациентов снижается.
Использование современных сервисов автоматизации намного упрощают сбор, хранение и защиту данных больных.
Сегодня у клиник есть три основных инструмента автоматизации:
- МИС-системы;
- облачные системы хранения базы данных;
- ПО с сетевым или локальным сервером.

Какие МИС используют клиники для защиты и обработки персональных данных пациентов
Ответственность за хранение и неразглашение персональных данных пациентов на главвраче и руководителе клиники. Именно главврач выбирает систему автоматизации и контролирует работу и защиту ПДн.
Клинике можно работать только с теми МИС, которые одобрены единым реестром Российских программ.
Локальные медицинские системы состоят из модулей. Каждый медцентр выбирает программу под свою специфику и особенности. Но главное, чтобы защита персональных данных была надежной. Иначе клинике придется заплатить штраф.
С мая 2025 года требования к работе с ПДн ужесточились.

МИС-системы, соответствующие закону о ПДн:
- IDENT;
- Medesk;
- Инфоклиника;
- MedElement;
- МедОфис.
Вышеперечисленные МИС защищают сведения о пациентах по-разному. Например, Medesk разбивает массив базы данных на ячейки, а MedElement шифрует как в момент передачи сведений между устройствами, так и при долговременном хранении.
Как минимизировать утечку персональных данных
МИС надежно защищают персданные. Но утечки все же случаются и в основном по вине младшего медицинского персонала или невнимательности сотрудников.
Как защитить клинику от утечки данных:
- работать только в утвержденных реестром МИС — в них надежные алгоритмы шифрования и архивирования;
- ограничить доступ к базе — многоуровневый пароль;
- пропускной режим в клинике;
- компьютеры и сервер должны иметь защиту от взлома;
- установка антивирусов и регулярное обновление;
- видеонаблюдение 24/7;
- регулярный инструктаж младшего медицинского персонала по нововведениям в законе.

Перед первым визитом и любой манипуляцией предлагайте пациенту письменное согласие на обработку данных.
Каким должно быть согласие на обработку данных:
- кратким — никто не будет читать полотна текста;
- понятным и удобочитаемым — шрифт не должен быть очень мелким;
- какие именно данные собираются — ФИО, диагноз, анализы;
- цель сбора данных — операция, лечение, страховка;
- срок хранения — обычно до 5 лет, при онкологии — до 30 лет;
- право отказа от согласия — пациент должен иметь возможность в любой момент отказаться от согласия.
Пример согласия на обработку данных пациента.
Я, [ФИО], даю согласие клинике [НАИМЕНОВАНИЕ КЛИНИКИ] на обработку моих персональных данных [ФИО, результаты анализов] для целей [оперативное вмешательство].
Срок хранения — 5 лет.
Уведомлен (а), что могу отозвать свое согласие в любой момент.
Защита персональных данных в клинике — не простая формальность, а обязательное требование закона №152. И выполнять это требование нужно ответственно и грамотно.
А именно:
- работать только в одобренных МИС-системах;
- собирать у пациентов письменные или электронные согласия;
- тщательно защищать хранение данных: антивирусы, видеокамеры, пароли, шифрование, охраняемая территория, пропускной режим;
- мониторить срок хранения персональных данных и вовремя уничтожать ПДн;
- регулярно обучать персонал новшествам в работе с ПДн.
Клиникам, которые выполняют законодательство, не грозят штрафы и потеря пациентов.
Честность и надежность = хорошая репутация = доверие пациентов
Пациенты выбирают тех, кто работает честно и по закону.