Можно ли защититься от многомиллионных штрафов, не внедряя дорогостоящие средства защиты информации (СЗИ)? Разберём этот вопрос в статье.
Что изменилось с 1 мая 2025 года?
Новые штрафы за утечку персональных данных прописаны в Федеральном законе №420-ФЗ от 30.11.2024, а также в ряде подзаконных актов Роскомнадзора и Минцифры. Перечислим основные положения.
- Выросли штрафы за несоблюдение требований к защите ПДн: теперь они достигают 3% от выручки, но не менее 15 млн рублей и не более 500 млн рублей.
- Организациям, которые не направили уведомление в Роскомнадзор об обработке ПДн, грозит штраф до 700 тыс. рублей.
- Вводится административная ответственность за отсутствие юридически корректных согласий от пациентов на обработку ПДн. Выплаты могут составить до 1 млн рублей.
- Изменились правила получения согласий: устные формы и согласия «по умолчанию» больше не считаются юридически действительными.
- Начали действовать требования к видам электронных подписей, которые разрешено использовать при дистанционном взаимодействии с пациентами.
Что считается нарушением?
- Использование иностранных мессенджеров в госклиниках (Telegram, WhatsApp, Skype, Viber и др.) прямо запретили с 1 марта 2023 года (ст. 10, п. 8, ФЗ №149-ФЗ). Даже если пациент дал согласие на передачу данных через мессенджеры, вы не избежите штрафа. Сумма внушительная — до 700 тыс. рублей.
- В частных клиниках эти мессенджеры не запретили напрямую. Но чтобы пользоваться ими, необходимо информировать пациентов о рисках, хранить согласия и исключить передачу медицинских данных в незащищённом виде.
- Передачу данных по email (особенно через Gmail, Yahoo и другие зарубежные почтовые сервисы) приравняли к трансграничной передаче, что требует отдельного согласия пациента. Без него это считается нарушением.
- Подписанные на бумаге, но не зафиксированные в ИС согласия не считаются достаточной защитой в случае утечки.
Как правильно брать согласия?
Согласие на обработку персональных данных теперь должно:
- быть конкретным, информированным и однозначным;
- содержать цель обработки, перечень данных, срок хранения и право на отзыв;
- быть подтверждено юридически значимой электронной подписью (если данные передаются дистанционно).
Клиника может использовать следующие виды подписей:
СМС-подтверждение можно использовать только как дополнительный фактор, но не как единственный юридически значимый способ подписания, так как этот способ не соответствует требованиям ФЗ-63 «Об электронной подписи». Для надёжности и легитимности каждой клинике следует использовать ЕСИА, Госключ, Личный кабинет пациента и усиленные электронные подписи.
ЕСИА и Госключ являются достаточными средствами идентификации и подтверждения согласий и сделок, если соблюдаются все требования закона.
Что можно подписывать онлайн?
- Согласие на обработку персональных данных.
- Информированное добровольное согласие на медицинское вмешательство.
- Договор на оказание платных медицинских услуг.
- Согласие на дистанционное консультирование (телемедицину).
Главное условие — подтверждение личности пациента через ЕСИА.
Как действовать клинике?
✅ Используйте личный кабинет пациента или единый защищённый портал — для передачи информации, договоров, согласий, назначения приёмов и оплаты услуг.
✅ Интегрируйтесь с ЕСИА и Госключом:
- это обеспечивает надёжную идентификацию пациента;
- позволяет дистанционно подписывать документы (договоры, согласия, информированные согласия и др.);
- является легитимной альтернативой бумажной подписи.
✅ Организуйте защищённые каналы связи:
- откажитесь от мессенджеров и email, не прошедших проверку ФСТЭК/ФСБ;
- используйте отечественные сертифицированные решения;
- контролируйте доступ сотрудников к ПДн и ведите логирование.
✅ Юридически правильно оформляйте согласия:
- указывайте цель, перечень данных, срок хранения, способ отзыва;
- для дистанционного взаимодействия — подписывайте документы через ЕСИА/Госключ;
- храните все согласия в ИС, фиксируя IP, дату и способ подписи.
Как видите, даже без дорогостоящих сертифицированных СЗИ можно снизить риск утечки данных и избежать многомиллионных штрафов. Главное — правильно оформлять юридические документы, контролировать доступ к информации, не использовать запрещённые каналы связи и соблюдать новые нормы законодательства с 1 мая 2025 года.
