Медицинские сайты и клиники: особенности обработки специальных категорий ПДн

Почему медицинские сайты – отдельный мир по ФЗ-152

Сайт клиники, медицинского центра, частного кабинета врача или онлайн-сервиса телемедицины обрабатывает персональные данные принципиально иного уровня чувствительности, чем сайт интернет-магазина или корпоративный блог. Запрос на приём, форма обратной связи с жалобами на здоровье, личный кабинет пациента с историей анализов – каждое из этих взаимодействий порождает специальные категории персональных данных в терминологии части 1 статьи 10 ФЗ-152.

Специальные категории – это сведения о состоянии здоровья, диагнозах, медицинских процедурах, приёме лекарств, результатах анализов, имеющихся заболеваниях. Статья 10 ФЗ-152 устанавливает жёсткий общий запрет на их обработку, кроме закрытого перечня исключений, и требует повышенных мер защиты. За нарушение – штрафы, существенно превышающие «обычные» ставки, плюс приостановка деятельности при грубых нарушениях.

По статье 13.11 КоАП штраф за обработку специальных категорий ПДн без письменного согласия для юридического лица составляет от 300 000 до 700 000 ₽ (часть 2). За повторное нарушение применяются оборотные санкции по новой статье 13.11.3 КоАП – от 1 до 5 млн рублей или процент от годовой выручки.

Правовые основания обработки медицинских ПДн

Часть 2 статьи 10 ФЗ-152 содержит закрытый перечень случаев, когда обработка специальных категорий допустима. Для медицинской сферы применимы следующие основания:

  • Письменное согласие субъекта – основной способ, требует расширенной формы по статье 9 с подписью либо электронной подписью
  • Медицинское обслуживание, медицинская диагностика, установление медицинского диагноза – на условиях обязанности сохранения врачебной тайны
  • Защита жизни, здоровья или иных жизненно важных интересов субъекта – когда получить согласие невозможно
  • Обязательное медицинское страхование – в рамках исполнения договора ОМС

Важно: сайт клиники, через который пациент самостоятельно записывается или отправляет жалобы, в большинстве случаев требует именно письменного согласия, а не «медицинской тайны» – потому что медицинская деятельность ещё не началась, пациент только обращается.

Форма записи на приём: правильная конструкция

Типичная форма записи на приём клиники содержит: ФИО, дату рождения, телефон, email, специализация врача, удобное время, иногда – краткое описание жалобы. Последнее поле критично: как только пациент указывает жалобу («боль в пояснице», «подозрение на диабет», «нужна консультация по гинекологии»), на сайт поступают специальные категории ПДн.

Минимальные требования к форме записи

  1. Отдельный чекбокс согласия на обработку персональных данных, снятый по умолчанию
  2. Отдельный чекбокс согласия на обработку специальных категорий ПДн (сведений о состоянии здоровья)
  3. Ссылка на согласие в расширенной форме – с указанием всех сведений по статье 9 ФЗ-152
  4. Ссылка на политику конфиденциальности
  5. Информирование о передаче данных в медицинскую информационную систему клиники
  6. Зашифрованная передача формы через HTTPS с TLS 1.2+

Что указать в расширенной форме согласия

  • ФИО, адрес субъекта (пациента)
  • Наименование и адрес оператора (клиники)
  • Цель обработки: запись на приём, оказание медицинской помощи, взаимодействие с врачом
  • Перечень обрабатываемых данных (включая специальные категории)
  • Перечень действий с данными (сбор, запись, систематизация, хранение, использование, уничтожение)
  • Срок действия согласия и способ его отзыва
  • Подпись субъекта или электронная идентификация

Техническая защита: уровни значимости ИСПДн

Приказ ФСТЭК N 21 требует определения уровня защищённости информационной системы. Для медицинских сайтов с обработкой специальных категорий применяются уровни УЗ-2 или УЗ-1 – в зависимости от объёма субъектов.

Число субъектов Тип данных УЗ Ключевые требования
Менее 100 000 Специальные категории УЗ-2 Сертифицированное СЗИ, МЭ, антивирус
Более 100 000 Специальные категории УЗ-1 СЗИ + аттестация ИС + НДВ-контроль
Любое Биометрия (ЕБС не в ЕСИА) УЗ-1 Максимальный уровень защиты

Это означает для сайта клиники: нельзя хостить базу записей на «обычном» общем хостинге без аттестации, нельзя использовать зарубежные SaaS-решения для записи (JaneApp, Zocdoc, SimplePractice), нельзя хранить медицинские данные в незашифрованном виде.

Личный кабинет пациента

Современные клиники предоставляют пациентам личный кабинет с доступом к истории обращений, результатам анализов, рецептам, заключениям врачей. Это фактически мини-МИС (медицинская информационная система), и к ней применяются максимально строгие требования.

Обязательные элементы защиты личного кабинета

  • Двухфакторная аутентификация (пароль + SMS-код, приложение-генератор или биометрия)
  • Шифрование HTTPS с актуальными TLS-протоколами
  • Защита от подбора паролей (ограничение на число попыток, капча)
  • Журнал входов пациента и персонала в кабинет с возможностью экспорта по требованию
  • Автоматическое завершение сессии после 15 минут бездействия
  • Запрет индексации личного кабинета поисковыми системами
  • Защита от SQL-инъекций, XSS, CSRF на уровне приложения

Кейс 2025 года: крупная сеть медицинских лабораторий оштрафована на 800 000 ₽ за утечку результатов анализов 30 000 пациентов через уязвимость в личном кабинете. Отсутствовала защита прямого доступа к файлам PDF с результатами – достаточно было знать последовательный ID, чтобы получить чужой результат. Это классическая IDOR-уязвимость, которую должен был выявить код-аудит по УЗ-2.

Онлайн-чат с врачом и мессенджеры

Если на сайте клиники работает онлайн-чат (с врачом или администратором) – переписка почти всегда касается состояния здоровья. То же самое с мессенджерами: WhatsApp, Telegram, Viber, VK.

Риски использования мессенджеров

  • WhatsApp – серверы за пределами РФ, нарушение локализации
  • Telegram – неоднозначный правовой статус, серверы за рубежом
  • VK Мессенджер – российская инфраструктура, предпочтительный вариант
  • Яндекс Мессенджер для бизнеса – инфраструктура РФ, подходит для медицины

Что делать, если пациенты пишут в WhatsApp

  1. Не использовать WhatsApp как основной канал – только для справочной информации без указания диагнозов
  2. Перевести медицинские консультации в личный кабинет или в российские мессенджеры
  3. В политике конфиденциальности прямо указать, какие каналы связи используются для медицинских вопросов
  4. Обучить администраторов: не просить пациентов присылать фото результатов анализов в WhatsApp

Документы клиники: минимум для сайта с медпрофилем

  1. Политика обработки персональных данных (публикуется на сайте)
  2. Положение об обработке персональных данных
  3. Положение об обработке специальных категорий персональных данных
  4. Приказ о назначении ответственного за организацию обработки ПДн
  5. Приказ об утверждении перечня лиц, имеющих доступ к специальным категориям ПДн
  6. Форма согласия на обработку ПДн для записи на приём
  7. Форма согласия на обработку специальных категорий ПДн
  8. Форма согласия на передачу данных в страховую компанию (при необходимости)
  9. Регламент реагирования на инциденты (утечки)
  10. Уведомление в Роскомнадзор с пометкой «Обработка специальных категорий»
  11. Модель угроз для ИСПДн клиники (по методике ФСТЭК)
  12. Акт определения уровня защищённости ИСПДн

Взаимодействие со страховыми компаниями (ДМС)

Если клиника работает с добровольным медицинским страхованием, на её сайте может быть форма «Подать заявку на ДМС» или «Проверить покрытие по полису». Передача данных между клиникой и страховщиком – это отдельная обработка, и для неё нужны:

  • Договор о поручении обработки ПДн между клиникой и страховой (если страховая обрабатывает по поручению клиники)
  • Либо договор между клиникой и страховой о совместной обработке с распределением ответственности
  • Отдельное согласие пациента на передачу сведений о состоянии здоровья страховщику
  • Перечень передаваемых сведений – только минимально необходимый набор

Рекламные рассылки от клиники

Клиники активно ведут email- и SMS-рассылки: напоминания о приёме, акции на процедуры, информация о новых врачах, приглашения на чекап. Для любых рекламных коммуникаций необходимо отдельное согласие – по статье 18 ФЗ-38 «О рекламе» плюс по статье 9 ФЗ-152.

Где чаще всего нарушают

  • SMS с рекламой отправляются всем пациентам без отдельного согласия на рекламу
  • Email-рассылка «Приглашаем на акцию по маммографии» отправляется только женщинам определённого возраста – это автоматизированное профилирование по специальным категориям
  • Напоминания об очередном осмотре через СМС упоминают диагноз («напоминаем о повторной консультации эндокринолога») – утечка медтайны через SMS-оператора

Правильная практика

  1. Отдельный чекбокс согласия на рекламу в форме записи и при регистрации в личном кабинете
  2. Содержание рассылок – без упоминания диагнозов и специализаций, только общие приглашения
  3. Персонализированные медрекомендации – только в защищённом личном кабинете или через звонок администратора, не SMS
  4. Возможность отписки в каждом сообщении (ссылка «отписаться» в email, STOP в SMS)

Особенности телемедицины

Сайт телемедицинского сервиса (или раздел телемедицины в обычной клинике) – зона максимального риска. Здесь обрабатываются:

  • Видео и аудио приёмов – запись содержит изображение и голос пациента, жалобы, диагностические выводы
  • Файлы с результатами обследований – фото анализов, УЗИ, МРТ, выписки
  • Переписка с врачом в чате телеконсультации
  • Данные о назначенных лекарствах и процедурах

Минимальные требования к телемедицинской платформе

  1. Платформа размещена на серверах в РФ
  2. Видеосвязь организована через российские сервисы (Яндекс Телемост, TrueConf, Mind) или собственную инфраструктуру WebRTC
  3. Записи консультаций хранятся в зашифрованном виде
  4. Доступ к записям ограничен врачом и пациентом, администраторы платформы доступа не имеют
  5. Сроки хранения записей определены в согласии и политике
  6. Врач при входе в консультацию идентифицируется квалифицированной ЭП или биометрией

Запросы от пациентов: сроки и форма ответа

По статье 14 ФЗ-152 пациент имеет право запросить у клиники: подтверждение факта обработки его ПДн, цели обработки, перечень данных, сроки хранения, лиц, имеющих доступ. Клиника обязана ответить в 10 рабочих дней.

Одновременно пациент имеет право по статье 22 Закона РФ «Об охране здоровья граждан» получать сведения о состоянии своего здоровья. Срок – 30 дней.

В форме ответа важно: не раскрывать сведения третьих лиц (например, если в документах упомянут второй пациент), не нарушать врачебную тайну при отправке сведений через незащищённые каналы, вести журнал всех запросов и ответов на случай проверки РКН.

Чек-лист: 18 пунктов соответствия медицинского сайта

  1. Сайт размещён на российском хостинге
  2. База данных пациентов локализована в РФ
  3. Политика конфиденциальности учитывает обработку специальных категорий
  4. Форма записи содержит отдельный чекбокс согласия на обработку специальных категорий
  5. Есть расширенная форма письменного согласия по статье 9 ФЗ-152
  6. Личный кабинет защищён двухфакторной аутентификацией
  7. Личный кабинет и страницы с ПДн закрыты от индексации
  8. Передача данных идёт только по HTTPS с TLS 1.2+
  9. Определён уровень защищённости ИСПДн (УЗ-2 или УЗ-1)
  10. Установлены сертифицированные СЗИ ФСТЭК
  11. Уведомление в РКН содержит пометку «обработка специальных категорий»
  12. Назначен ответственный за организацию обработки ПДн (приказ)
  13. Утверждён перечень лиц с доступом к спецкатегориям
  14. Со всеми контрагентами (лаборатории, страховые, курьеры анализов) – поручения обработки
  15. Рекламные рассылки не содержат упоминаний диагнозов и специализаций
  16. Cookie-banner не загружает аналитику до согласия
  17. Медицинские консультации не ведутся в WhatsApp и других зарубежных мессенджерах
  18. Настроен план реагирования на инциденты и процедура уведомления РКН в 24 часа

Ответственность руководства клиники

Главный врач и директор клиники несут персональную ответственность за организацию обработки ПДн. При утечке специальных категорий ПДн возможна не только административная, но и уголовная ответственность по статье 137 УК РФ (нарушение неприкосновенности частной жизни) – до 4 лет лишения свободы. Поэтому аудит сайта клиники и регулярная проверка его соответствия ФЗ-152 – это не «юридическая гигиена», а прямая защита руководства от серьёзных личных рисков.