Новости

Топ ошибок в работе клиники с персональными данными, которые приводят к штрафам в 2 миллиона рублей

Почему клиники стали одной из главных «мишеней» по персональным данным

Медицинские организации оперируют наиболее чувствительными категориями персональных данных: сведениями о здоровье, диагнозах, результатах анализов и лечении.

Любая ошибка в обращении с такими данными влечёт жёсткую реакцию регуляторов: совокупные штрафы могут достигать 2 миллионов рублей и выше.

При этом большинство нарушений — не злой умысел, а следствие системных пробелов: формальных документов, отсутствия обучения персонала, бесконтрольного использования мессенджеров и слабого разграничения доступа.

Ниже — топ ошибок, которые чаще всего приводят клинику к штрафам, и что нужно сделать, чтобы этого избежать.

Ошибка 1. Нет корректного уведомления о работе с персональными данными

Во многих клиниках вопрос с уведомлением регулятора «кто-то когда-то решал», но по факту:

— уведомление вообще не подавалось;

— данные в реестре давно устарели;

— указанные цели и состав ПДн не соответствуют реальной работе клиники.

Это воспринимается как самостоятельное нарушение и создает основу для штрафов уже на старте проверки.

Что делать

— проверить наличие и актуальность записи о клинике в реестре операторов ПДн;

— сравнить фактические процессы обработки с тем, что указано в уведомлении;

— при необходимости подать уведомление впервые или внести изменения.

Ошибка 2. Формальная политика по персональным данным, не связанная с реальностью

Типичная картина: политика в отношении обработки персональных данных «лежит» на сайте и в папке у юриста, но:

— написана по шаблону и не отражает конкретику медорганизации;

— не содержит реального перечня систем, категорий ПДн, сроков хранения;

— давно не пересматривалась, хотя клиника запускала новые сервисы и IT-решения.

При проверке быстро видно, что политика живет отдельно, а реальные процессы — отдельно. Это воспринимается как системное нарушение.

Что делать

— переписать политику под реальную структуру и процессы клиники;

— синхронизировать её с другими локальными актами;

— актуализировать документ при изменении процессов и внедрении новых сервисов.

Ошибка 3. Неверно оформленные согласия пациентов и сотрудников

Согласия — один из ключевых юридических инструментов, и здесь чаще всего допускают ошибки:

— используют устаревшие формы;

— в одно согласие «зашивают» слишком много целей;

— формулировки слишком общие или юридически уязвимые;

— согласия не привязаны к конкретным видам услуг и сервисам.

В результате при споре или проверке оказывается, что формально согласие есть, но его нельзя признать надлежащим основанием для обработки.

Что делать

— провести ревизию всех действующих бланков согласий;

— разделить согласия по целям;

— обеспечить соответствие согласий реальным процессам обработки данных.

Ошибка 4. Отсутствие реального разграничения доступа к медицинской информации

На бумаге в клинике всё выглядит правильно: есть приказы, уровни доступа и назначенные ответственные.

Но на практике:

— сотрудники используют один логин на нескольких человек;

— пароли не меняются годами;

— доступ выдается «на всякий случай»;

— действия пользователей не анализируются.

В такой системе практически невозможно определить источник утечки или неправомерного доступа к данным пациента.

Что делать

— настроить отдельные учетные записи;

— регламентировать подключение и отключение доступа;

— внедрить журналирование действий пользователей;

— регулярно анализировать логи доступа.

Ошибка 5. Нет понятного порядка реагирования на инциденты и утечки

Даже при наличии хороших документов инциденты возможны. Ключевой вопрос — как клиника на них реагирует.

Проблемы возникают, когда:

— сотрудники не понимают, что считать инцидентом;

— никто не знает порядок действий;

— отсутствует ответственный за реагирование;

— о факте утечки узнают слишком поздно.

Отсутствие алгоритма действий воспринимается как отсутствие организационных мер защиты.

Что делать

— утвердить внутренний регламент реагирования;

— обучить сотрудников на практических примерах;

— назначить ответственных за обработку инцидентов.

Ошибка 6. Использование мессенджеров и личных телефонов без правил

Мессенджеры стали одним из главных источников нарушений:

— скриншоты с данными пациентов пересылаются в общие чаты;

— результаты анализов отправляются через личные аккаунты;

— фотографии документов хранятся на личных устройствах.

Даже без злого умысла клиника фактически теряет контроль над персональными данными пациентов.

Что делать

— закрепить правила использования мессенджеров;

— запретить передачу чувствительных данных через незащищенные каналы;

— внедрить контролируемые инструменты для рабочих коммуникаций.

Ошибка 7. Отсутствие системного обучения сотрудников

На уровне документов сотрудники «обязаны соблюдать правила», но фактически:

— никто не объяснял, что именно нельзя делать;

— не разбираются реальные примеры нарушений;

— не отрабатываются сценарии общения с пациентами;

— обучение либо отсутствует, либо проводится формально.

Сотрудник, который не понимает границы допустимого, почти неизбежно допустит нарушение.

Что делать

— внедрить регулярное обучение по персональным данным;

— фиксировать прохождение обучения;

— обновлять материалы с учетом изменений законодательства и практики.

Ошибка 8. Хаос в бумажной документации и медицинских картах

Даже при электронном документообороте бумажные документы продолжают создавать серьезные риски:

— карты пациентов лежат в открытом доступе;

— архивы не закрываются;

— движение документов не контролируется;

— отсутствует порядок уничтожения документов.

Даже одна потерянная медицинская карта может привести к серьезным претензиям и штрафам.

Что делать

— организовать закрытое хранение документов;

— регламентировать порядок выдачи и уничтожения;

— проводить регулярные внутренние проверки.

Ошибка 9. Игнорирование роли подрядчиков и внешних сервисов

Многие клиники передают данные пациентов подрядчикам, не оценивая юридические последствия.

Типичные проблемы:

— колл-центр получает доступ к данным без строгих условий;

— IT-подрядчики работают без требований по ПДн в договоре;

— облачные сервисы не описаны в локальных актах.

При инциденте ответственность перед пациентами и регуляторами несет именно клиника.

Что делать

— проверить договоры с подрядчиками;

— включить положения о конфиденциальности и защите ПДн;

— убедиться, что внешние сервисы соответствуют требованиям безопасности.

Ошибка 10. Отсутствие регулярного внутреннего аудита по персональным данным

Самая опасная системная ошибка — ничего не проверять, пока «всё работает».

Именно так накапливаются десятки мелких нарушений, которые при проверке превращаются в серьезные штрафы.

Зачем нужен внутренний аудит

Внутренний аудит позволяет:

— вовремя выявлять слабые места;

— понимать, где сотрудники работают «по привычке»;

— подготовиться к проверкам;

— снизить риск крупных санкций.

Даже базовый чек-лист уже помогает увидеть реальные проблемы до прихода регулятора.

Как надёжно защитить клинику: документы и обучение вместо штрафов

Большинство рисков можно существенно снизить, если выстроить системную работу с персональными данными.

Что необходимо сделать

— привести в порядок документы по персональным данным;

— обучить сотрудников правилам работы с данными;

— внедрить внутренний контроль и аудит.

Самостоятельно выстроить такую систему сложно и долго, особенно без постоянного погружения в законодательство.

Решением становится готовый комплект документов и обучение сотрудников, адаптированные под медицинскую организацию.

Получить пакет необходимых документов: mediator-pravo.ru/personal-dannie

Пройти обучение по персональным данным для сотрудников: mediator-pravo.ru/personal-dannie

2026-05-20 20:00 Персональные данные Юридическая безопасность