Цифровизация

Как снизить риски штрафов за утечку персональных данных без дорогостоящих СЗИ?

Можно ли защититься от многомиллионных штрафов, не внедряя дорогостоящие средства защиты информации (СЗИ)? Разберём этот вопрос в статье.

Что изменилось с 1 мая 2025 года?

Новые штрафы за утечку персональных данных прописаны в Федеральном законе №420-ФЗ от 30.11.2024, а также в ряде подзаконных актов Роскомнадзора и Минцифры. Перечислим основные положения.
  1. Выросли штрафы за несоблюдение требований к защите ПДн: теперь они достигают 3% от выручки, но не менее 15 млн рублей и не более 500 млн рублей.
  2. Организациям, которые не направили уведомление в Роскомнадзор об обработке ПДн, грозит штраф до 700 тыс. рублей.
  3. Вводится административная ответственность за отсутствие юридически корректных согласий от пациентов на обработку ПДн. Выплаты могут составить до 1 млн рублей.
  4. Изменились правила получения согласий: устные формы и согласия «по умолчанию» больше не считаются юридически действительными.
  5. Начали действовать требования к видам электронных подписей, которые разрешено использовать при дистанционном взаимодействии с пациентами.

Что считается нарушением?

  1. Использование иностранных мессенджеров в госклиниках (Telegram, WhatsApp, Skype, Viber и др.) прямо запретили с 1 марта 2023 года (ст. 10, п. 8, ФЗ №149-ФЗ). Даже если пациент дал согласие на передачу данных через мессенджеры, вы не избежите штрафа. Сумма внушительная — до 700 тыс. рублей.
  2. В частных клиниках эти мессенджеры не запретили напрямую. Но чтобы пользоваться ими, необходимо информировать пациентов о рисках, хранить согласия и исключить передачу медицинских данных в незащищённом виде.
  3. Передачу данных по email (особенно через Gmail, Yahoo и другие зарубежные почтовые сервисы) приравняли к трансграничной передаче, что требует отдельного согласия пациента. Без него это считается нарушением.
  4. Подписанные на бумаге, но не зафиксированные в ИС согласия не считаются достаточной защитой в случае утечки.

Как правильно брать согласия?

Согласие на обработку персональных данных теперь должно:
  • быть конкретным, информированным и однозначным;
  • содержать цель обработки, перечень данных, срок хранения и право на отзыв;
  • быть подтверждено юридически значимой электронной подписью (если данные передаются дистанционно).
Клиника может использовать следующие виды подписей:
СМС-подтверждение можно использовать только как дополнительный фактор, но не как единственный юридически значимый способ подписания, так как этот способ не соответствует требованиям ФЗ-63 «Об электронной подписи». Для надёжности и легитимности каждой клинике следует использовать ЕСИА, Госключ, Личный кабинет пациента и усиленные электронные подписи.
ЕСИА и Госключ являются достаточными средствами идентификации и подтверждения согласий и сделок, если соблюдаются все требования закона.

Что можно подписывать онлайн?

  • Согласие на обработку персональных данных.
  • Информированное добровольное согласие на медицинское вмешательство.
  • Договор на оказание платных медицинских услуг.
  • Согласие на дистанционное консультирование (телемедицину).
Главное условие — подтверждение личности пациента через ЕСИА.

Как действовать клинике?

Используйте личный кабинет пациента или единый защищённый портал — для передачи информации, договоров, согласий, назначения приёмов и оплаты услуг.
✅ Интегрируйтесь с ЕСИА и Госключом:
  • это обеспечивает надёжную идентификацию пациента;
  • позволяет дистанционно подписывать документы (договоры, согласия, информированные согласия и др.);
  • является легитимной альтернативой бумажной подписи.
✅ Организуйте защищённые каналы связи:
  • откажитесь от мессенджеров и email, не прошедших проверку ФСТЭК/ФСБ;
  • используйте отечественные сертифицированные решения;
  • контролируйте доступ сотрудников к ПДн и ведите логирование.
Юридически правильно оформляйте согласия:
  • указывайте цель, перечень данных, срок хранения, способ отзыва;
  • для дистанционного взаимодействия — подписывайте документы через ЕСИА/Госключ;
  • храните все согласия в ИС, фиксируя IP, дату и способ подписи.
Как видите, даже без дорогостоящих сертифицированных СЗИ можно снизить риск утечки данных и избежать многомиллионных штрафов. Главное — правильно оформлять юридические документы, контролировать доступ к информации, не использовать запрещённые каналы связи и соблюдать новые нормы законодательства с 1 мая 2025 года.
– Павел Плетнев,
руководитель Группы компаний «Рустелетех», «Центр информационной безопасности», «Авангард-ИТ»
Отправить друзьям и коллегам в Telegram →
2025-05-29 13:38 ПДН