Как избежать штрафов за персональные данные в 2026: чек-лист для клиники

30 мая 2025 года в России начали действовать новые правила защиты персональных данных. Штрафы за утечку информации о пациентах выросли до 15 миллионов рублей, а за повторные нарушения могут отнять до 3% годовой выручки клиники. Для медицинских организаций это особенно критично — они работают с данными специальной категории (диагнозы, результаты анализов, история болезней).

В этой статье разберем, что изменилось в законодательстве, какие ошибки допускают клиники и как защитить себя от штрафов. В конце — готовый чек-лист из 7 шагов для руководителя клиники.

Что изменилось: новые штрафы с 30 мая 2025 года

30 ноября 2024 года президент подписал закон №420-ФЗ, который радикально ужесточил ответственность за нарушения в области персональных данных. Документ вступил в силу с 30 мая 2025 года.

Раньше штрафы были символическими. За обработку данных без согласия организация платила максимум 75 000 рублей. Теперь за серьезные утечки суммы выросли в сотни раз.

Главное нововведение — градация штрафов по количеству пострадавших. Чем больше записей утекло, тем выше наказание.

Для медицинских организаций введена особая категория ответственности. Данные о здоровье пациентов относятся к специальной категории персональных данных. Их утечка карается строже, чем утечка обычной информации (например, номеров телефонов).

С января по май 2025 года Роскомнадзор зафиксировал 30 утечек персональных данных в России. В сеть попало более 38 миллионов записей. Это значит, что контроль усиливается, а вероятность проверки растет.

Роскомнадзор прогнозирует, что к концу 2025 года все типы новых штрафов будут отработаны на практике. С 2026 года начнется их полномасштабное применение.

Сколько стоит нарушение: таблица штрафов 2026

Новый закон вводит пятиуровневую систему штрафов в зависимости от масштаба утечки.

Утечка от 1 000 до 10 000 физических лиц (или от 10 000 до 100 000 записей) — штраф от 3 до 5 миллионов рублей.

Такая утечка возможна, если взломали МИС небольшой клиники на 2-3 кресла. В базе несколько тысяч пациентов за несколько лет работы.

Утечка от 10 000 до 100 000 физических лиц (или от 100 000 до 1 миллиона записей) — штраф от 5 до 10 миллионов рублей.

Это уже сетевая клиника или крупный медицинский центр. База накапливается годами, особенно если есть программы лояльности и активная работа с пациентами.

Утечка более 100 000 физических лиц (или более 1 миллиона записей) — штраф от 10 до 15 миллионов рублей.

Крупные сети стоматологий, многопрофильные центры попадают в эту категорию. Для них утечка базы — это катастрофа не только с точки зрения репутации, но и финансов.

Утечка медицинских данных (специальная категория) — штраф от 10 до 15 миллионов рублей вне зависимости от количества.

Сюда относятся диагнозы, результаты анализов, планы лечения, история болезней. Все, что хранится в электронной медицинской карте. Утечка всего одной медкарты с диагнозом может стоить клинике миллионы.

Утечка биометрических данных — штраф от 15 до 20 миллионов рублей.

Биометрия в стоматологии встречается редко, но если клиника использует 3D-сканирование лица пациента для планирования лечения или систему распознавания для контроля доступа, она попадает под эту категорию.

Отсутствие согласия на обработку чувствительных данных — штраф от 300 000 до 700 000 рублей.

Это новый штраф, который начал действовать с 1 сентября 2025 года. Если клиника обрабатывает медицинские данные без письменного согласия пациента, ее могут оштрафовать даже при отсутствии утечки.

Повторное нарушение — оборотный штраф от 1 до 3% годовой выручки, но не менее 20 миллионов рублей и не более 500 миллионов.

Это самое жесткое наказание. Если клинику уже штрафовали за утечку, а она не исправила ошибки и допустила новую, штраф привязывается к обороту. Для клиники с выручкой 100 миллионов рублей в год это от 1 до 3 миллионов, но закон устанавливает минимальный порог — 20 миллионов. Для большинства частных клиник такой штраф означает закрытие.

Все штрафы налагаются на юридическое лицо. Ответственность директора или главврача наступает отдельно по статьям КоАП для должностных лиц (обычно от 10 000 до 50 000 рублей).

Типичные ошибки клиник при работе с персональными данными

По данным юридической практики и разъяснений Роскомнадзора, большинство клиник допускают одни и те же ошибки. Вот шесть самых распространенных.

Ошибка 1: Согласие на обработку ПДн включено в договор на медицинские услуги

Закон требует, чтобы согласие на обработку персональных данных было оформлено отдельным документом. Нельзя включать его пунктом в договор или делать галочкой на сайте без возможности прочитать текст.

Почему это важно: пациент должен осознанно дать согласие. Если оно спрятано в многостраничном договоре мелким шрифтом, суд может признать его недействительным. А клиника получит штраф за обработку данных без согласия.

Как исправить: создайте отдельный бланк согласия. Пациент должен поставить подпись именно на этом документе, а не просто в договоре на услуги.

Ошибка 2: На сайте клиники нет политики конфиденциальности

Если сайт собирает данные (форма записи, обратный звонок, чат), на нем обязательно должна быть политика обработки персональных данных. Документ размещается в публичном доступе, обычно в подвале сайта.

Роскомнадзор проверяет сайты в первую очередь. Отсутствие политики — это прямое основание для штрафа.

Как исправить: разместите политику конфиденциальности на сайте. Можно использовать шаблоны или воспользоваться бесплатными конструкторами. Главное, чтобы документ описывал, какие данные вы собираете, зачем и как долго храните.

Ошибка 3: Передача данных страховым компаниям при платных услугах без согласия пациента

Если пациент лечится по ОМС, передача данных в ТФОМС и страховую компанию не требует его письменного согласия. Но если услуга платная, а клиника сотрудничает со страховыми по ДМС, нужно отдельное согласие на передачу данных третьим лицам.

Это частая ошибка клиник, которые работают одновременно по ОМС и ДМС. Они считают, что раз пациент подписал договор, можно передавать его данные кому угодно.

Как исправить: в согласии на обработку ПДн явно указывайте, что данные могут быть переданы страховым компаниям, лабораториям, партнерам. Пациент должен знать об этом и согласиться.

Ошибка 4: Хранение медицинских карт без шифрования

Закон требует применять технические меры защиты персональных данных. Если медкарты хранятся на сервере клиники или в облаке без шифрования, это нарушение.

Хакеры атакуют медицинские организации чаще, чем банки, потому что защита слабее, а данные ценны. Утечка базы пациентов с диагнозами — это не только штраф, но и удар по репутации.

Как исправить: убедитесь, что МИС и серверы клиники защищены. Используйте антивирусы, файрволы, регулярные резервные копии. Если храните данные в облаке, выбирайте сертифицированных провайдеров с защитой по 152-ФЗ.

Ошибка 5: Нет уведомления Роскомнадзора о статусе оператора ПДн

Любая организация, которая обрабатывает персональные данные, должна подать уведомление в Роскомнадзор. Это делается один раз при регистрации в качестве оператора.

Многие клиники пропускают этот шаг, считая, что раз они маленькие, их никто не проверит. Но при первой же жалобе пациента или плановой проверке отсутствие уведомления станет основанием для штрафа.

Как исправить: подайте уведомление через личный кабинет на сайте Роскомнадзора. Процедура бесплатная и занимает 10-15 минут.

Ошибка 6: Использование личных мессенджеров администраторов для переписки с пациентами

Администраторы общаются с пациентами в WhatsApp или Telegram со своих личных номеров. Когда сотрудник увольняется, вся переписка уходит вместе с ним. Клиника теряет контроль над данными.

Это нарушение: персональные данные должны храниться на контролируемых организацией ресурсах. Личный телефон администратора — не такой ресурс.

Как исправить: используйте корпоративные мессенджеры или интегрируйте WhatsApp Business API с вашей CRM. Все переписки должны сохраняться в системе клиники, а не в личных чатах сотрудников.

Чек-лист: 7 шагов для защиты персональных данных пациентов

Ниже — пошаговая инструкция для руководителя клиники. Выполните эти семь пунктов, чтобы снизить риск штрафов до минимума.

Шаг 1: Подать уведомление в Роскомнадзор

Зайдите на сайт Роскомнадзора в раздел для операторов персональных данных. Зарегистрируйте личный кабинет и подайте уведомление о начале обработки ПДн. Укажите категории данных (ФИО, контакты, медицинские данные) и цели обработки (оказание медпомощи, ведение учета, напоминания о приемах).

Уведомление подается один раз. Если меняется категория данных или появляются новые цели, нужно подать дополнительное.

Шаг 2: Создать отдельный документ согласия на обработку ПДн

Разработайте бланк согласия. Он должен содержать: - Полное наименование вашей клиники (оператор) - Цели обработки данных (оказание медуслуг, напоминания, маркетинг) - Перечень действий с данными (сбор, хранение, передача третьим лицам) - Срок хранения (обычно до момента отзыва согласия или 5 лет после последнего визита) - Право пациента отозвать согласие

Согласие оформляется в двух экземплярах: один остается у клиники, второй выдается пациенту.

Шаг 3: Разработать политику конфиденциальности и разместить на сайте

Политика конфиденциальности — это публичный документ. Он описывает, как клиника собирает, хранит и использует данные посетителей сайта.

Обязательные разделы: - Какие данные собираются (ФИО, телефон, email) - Цели сбора (запись на прием, консультация) - Кому передаются данные (например, лабораториям) - Как долго хранятся - Как пациент может запросить удаление своих данных

Политику можно создать с помощью бесплатных конструкторов или заказать у юриста. Главное — разместить ее на сайте и дать ссылку на нее в форме записи.

Шаг 4: Внедрить технические меры защиты

Минимальный набор для клиники: - Антивирус на всех компьютерах, где хранятся данные пациентов - Файрвол на сервере или роутере - Регулярные резервные копии базы МИС (ежедневно или еженедельно) - Шифрование данных при передаче (SSL-сертификат на сайте, защищенное подключение к МИС) - Парольная защита (сложные пароли, смена раз в 3 месяца)

Если клиника работает с облачными МИС, уточните у провайдера, соответствует ли его защита требованиям 152-ФЗ. Запросите копию лицензии ФСТЭК.

Шаг 5: Организационные меры

Издайте приказ о назначении ответственного за защиту персональных данных. Это может быть главврач, администратор или отдельный сотрудник.

Разработайте инструкцию для сотрудников: как работать с данными пациентов, кому можно передавать, как хранить бумажные медкарты.

Заведите журнал доступа к персональным данным. Записывайте, кто и когда получал доступ к базе пациентов. Это поможет при расследовании утечки.

Шаг 6: Обучить персонал

Проведите инструктаж для всех сотрудников, которые работают с данными пациентов (администраторы, врачи, медсестры).

Объясните: - Что такое персональные данные и почему их нужно защищать - Какие штрафы грозят клинике и лично сотруднику за утечку - Как правильно брать согласие у пациента - Что делать, если пациент просит удалить его данные - Как сообщать руководству о подозрительной активности (попытки взлома, вирусы)

Зафиксируйте факт обучения: сотрудники расписываются в журнале инструктажей. При проверке Роскомнадзора это покажет, что клиника выполняет требования закона.

Шаг 7: Провести аудит или аттестацию ИСПДн

Аттестация информационной системы персональных данных (ИСПДн) — это формальная процедура проверки защиты. Она обязательна только для государственных клиник и организаций, подключенных к госсистемам (например, ЕГИСЗ).

Для частных клиник аттестация добровольная, но рекомендуется. Стоимость — от 75 000 рублей, срок — от 6 месяцев.

Если аттестация для вас дорого или сложно, закажите внешний аудит. Специалист проверит вашу защиту, найдет слабые места и даст рекомендации. Стоимость аудита — от 30 000 рублей.

Результат аудита или аттестации — это подтверждение, что клиника выполняет требования закона. При проверке Роскомнадзора это снизит штраф или вовсе освободит от ответственности, если утечка произошла не по вине клиники.

Когда согласие пациента НЕ требуется

Закон предусматривает исключения. В некоторых случаях клиника может обрабатывать данные пациента без его письменного согласия.

Оказание медицинской помощи по ОМС

Если пациент лечится по полису ОМС, клиника передает данные в территориальный фонд обязательного медицинского страхования (ТФОМС) и страховую компанию без дополнительного согласия. Это разъяснил Роскомнадзор в памятке для медицинских организаций.

Почему: обязательное медицинское страхование регулируется отдельным законом. Пациент, предъявляя полис, автоматически соглашается на передачу данных для оплаты услуг.

Но важно: если клиника использует данные пациента для других целей (маркетинг, SMS-напоминания, реферальные программы), нужно отдельное согласие.

Передача данных в другую клинику для лабораторных исследований

Клиника может передать биоматериал пациента в стороннюю лабораторию вместе с минимальными данными (ФИО, дата рождения, номер анализа) без согласия. Это необходимо для оказания медпомощи.

Но если лаборатория получает полную медкарту с диагнозами и историей лечения, нужно согласие.

Экстренная медицинская помощь по жизненным показаниям

Если пациент без сознания или его жизни угрожает опасность, клиника оказывает помощь без согласия на обработку данных. Врач обязан спасти жизнь, даже если формальности не соблюдены.

После стабилизации состояния согласие можно получить у пациента или его родственников.

Работа с обезличенными данными

Если клиника использует данные пациентов для статистики, аналитики или научных исследований, но удаляет ФИО, контакты и другие идентифицирующие признаки, согласие не требуется. Обезличенные данные не подпадают под действие 152-ФЗ.

Пример: клиника анализирует средний возраст пациентов на имплантации, процент успешных операций, частые диагнозы. Эти данные не привязаны к конкретным людям, поэтому согласие не нужно.

Как составить правильное согласие на обработку ПДн

С 1 сентября 2025 года действуют новые требования к форме согласия. Роскомнадзор опубликовал примерные образцы, но клиника может адаптировать их под свои задачи.

Согласие должно быть конкретным, предметным, информированным, сознательным и однозначным. Что это значит на практике?

Конкретность: Нельзя написать "обработка данных для любых целей". Нужно перечислить конкретные цели: "для оказания стоматологических услуг", "для отправки напоминаний о приемах", "для передачи данных в страховую компанию по ДМС".

Предметность: Нужно указать, какие именно данные собираются. Например: "ФИО, дата рождения, адрес, телефон, email, паспортные данные, сведения о состоянии здоровья, диагноз, план лечения".

Информированность: Пациент должен понимать, что подписывает. Используйте простой язык без юридических терминов. Вместо "трансграничная передача данных" напишите "передача ваших данных в другие страны (если применимо)".

Сознательность: Пациент подписывает согласие добровольно, без принуждения. Нельзя отказывать в лечении, если пациент не дал согласие на маркетинговые рассылки. Разделите согласия: одно — на оказание медпомощи (обязательное), другое — на маркетинг (опциональное).

Однозначность: Формулировки должны быть четкими. Нельзя использовать двусмысленные фразы вроде "возможно, мы передадим ваши данные третьим лицам". Или передаете, или нет.

Обязательные пункты согласия:

1. Наименование оператора (полное юридическое название клиники, ИНН, адрес)
2. Цели обработки (зачем нужны данные)
3. Категории персональных данных (что именно собираете)
4. Перечень действий с данными (сбор, запись, хранение, уточнение, использование, передача, обезличивание, блокирование, удаление)
5. Срок действия согласия (например, "до момента отзыва" или "5 лет с даты последнего визита")
6. Право отозвать согласие (как это сделать: письменное заявление, email, личный кабинет)
7. Подпись пациента и дата

Образец формулировки для частной стоматологии:

"Я, [ФИО пациента], даю согласие ООО «Стоматология Пример» (ИНН 1234567890) на обработку моих персональных данных в целях: - Оказания стоматологических услуг - Ведения медицинской документации - Отправки напоминаний о приемах - Передачи данных в страховую компанию по ДМС (при наличии полиса)

Я согласен на сбор, запись, хранение, уточнение, использование, передачу третьим лицам (лаборатории, страховые компании) следующих данных: ФИО, дата рождения, адрес, телефон, email, паспортные данные, сведения о состоянии здоровья, диагноз, план лечения, результаты анализов.

Срок действия согласия: до момента его отзыва.

Я имею право отозвать настоящее согласие, направив письменное заявление на адрес клиники или на email info@primer.ru.

Подпись: _ Дата: _"

Этот образец можно адаптировать под специфику вашей клиники. Если вы не передаете данные третьим лицам, уберите этот пункт. Если не отправляете маркетинговые рассылки, оставьте только цель "оказание медуслуг".

Храните подписанные согласия вместе с медицинскими картами пациентов. При проверке Роскомнадзора их попросят предъявить.

Что делать при утечке данных

Утечка персональных данных — это кошмар любой клиники. Но если она уже произошла, важно действовать быстро и правильно. От этого зависит размер штрафа и возможность избежать уголовной ответственности.

Шаг 1: Немедленно уведомить Роскомнадзор

С 30 мая 2025 года действует новое требование: оператор обязан сообщить об утечке в Роскомнадзор в течение 24 часов с момента, как узнал о ней.

Уведомление подается через личный кабинет на сайте регулятора. Укажите: - Дату и время обнаружения утечки - Количество пострадавших пациентов (или примерную оценку) - Категории данных, которые утекли (ФИО, телефоны, диагнозы) - Причину утечки (взлом, ошибка сотрудника, вирус) - Меры, которые вы уже приняли для остановки утечки

Если не сообщить об утечке вовремя, штраф увеличится. Сокрытие инцидента рассматривается как отягчающее обстоятельство.

Шаг 2: Принять меры для остановки утечки

Если утечка произошла из-за взлома сервера, отключите скомпрометированную систему от интернета. Смените пароли на всех учетных записях. Запустите полную проверку антивирусом.

Если данные утекли из-за действий сотрудника (случайно отправил базу не тому адресату, потерял флешку), попросите его описать, что именно произошло. Зафиксируйте это письменно.

Обратитесь к специалистам по информационной безопасности. Они помогут найти уязвимость, через которую произошла утечка, и закрыть ее.

Шаг 3: Уведомить пациентов, чьи данные утекли

Закон требует, чтобы пострадавшие узнали об утечке от вас, а не из новостей. Отправьте пациентам уведомление любым доступным способом: SMS, email, звонок.

Что написать: - Какие данные утекли (телефон, email, диагноз) - Когда это произошло - Какие риски для пациента (например, мошенники могут позвонить от имени клиники) - Что клиника делает для устранения проблемы - Контакты для вопросов

Не пытайтесь скрыть инцидент. Пациенты все равно узнают, а доверие к клинике будет потеряно навсегда. Честность и оперативность помогут сохранить репутацию.

Шаг 4: Провести внутреннее расследование

Назначьте ответственного за расследование (это может быть главврач, юрист, внешний консультант). Соберите факты: - Как произошла утечка? - Кто имел доступ к данным в момент инцидента? - Были ли нарушены инструкции по защите данных? - Можно ли восстановить утерянные данные из резервных копий?

Результаты расследования оформите актом. Если виноват сотрудник, примените дисциплинарное взыскание (выговор, увольнение). Если причина в техническом сбое, устраните его.

Шаг 5: Ответственность за непредоставление информации об утечке

Если клиника не сообщила об утечке в Роскомнадзор, это отдельное нарушение. Штраф за сокрытие инцидента — от 150 000 до 300 000 рублей для юридических лиц.

Если утечка привела к тяжким последствиям (например, мошенники использовали медицинские данные пациентов для шантажа), возможна уголовная ответственность по статье 137 УК РФ (нарушение неприкосновенности частной жизни). Наказание — до 4 лет лишения свободы.

Утечка данных — это не конец. Клиники восстанавливаются после таких инцидентов. Главное — не замалчивать проблему, быстро реагировать и показать пациентам, что вы серьезно относитесь к их безопасности.

Защита персональных данных пациентов — это не только юридическая обязанность, но и вопрос доверия. Клиника, которая потеряла базу пациентов, теряет и их лояльность. Новые штрафы 2025-2026 годов делают это доверие еще дороже в прямом смысле слова.

Используйте чек-лист из этой статьи, чтобы проверить свою клинику. Если хотя бы один пункт не выполнен — это риск. Исправьте его сейчас, пока не пришла проверка.