ПДн врачей и медсестёр: публичные сведения
С 01.09.2025 согласие на обработку персональных данных оформляется отдельным документом (ФЗ-156 от 24.06.2025). Это затрагивает и сотрудников клиники: публикация фото врача на сайте, указание его квалификации в МИС, передача сведений в ЕГИСЗ — каждое действие требует собственного правового основания. Инструкция описывает шесть шагов: от классификации данных до организации хранения, с опорой на ст. 10 ФЗ-152, ст. 13 Федерального закона № 323-ФЗ и требования РКН к медицинским организациям.
Шаг 1. Определите, какие данные медработника относятся к публичным
Персональные данные медработника делятся на три группы по режиму обработки. Первая — общедоступные сведения, которые сам работник разместил в открытых источниках: профессиональный профиль на сайте клиники с его согласия, данные в реестре медицинских работников ФРМР. Вторая — сведения, которые клиника вправе обрабатывать на основании трудового договора и законодательства: ФИО, специальность, сведения о лицензии. Третья — данные, требующие отдельного согласия: фотография, личные контакты, сведения о состоянии здоровья.
Ключевое разграничение: ФИО врача и его специальность в контексте оказания медицинской помощи — это профессиональная информация, обработка которой допустима по п. 5 ч. 1 ст. 6 ФЗ-152 (исполнение договора с пациентом). Но фото врача или его личный номер телефона — уже иная категория, требующая отдельного согласия по ст. 9 ФЗ-152 в редакции с 01.09.2025.
Шаг 2. Проверьте основание для обработки данных в МИС
Медицинская информационная система (МИС) хранит данные медработника в двух ролях: как субъекта трудовых отношений и как участника лечебного процесса. В первой роли основание обработки — трудовой договор и требования ст. 86–88 Трудового кодекса. Во второй — исполнение медицинской деятельности, регулируемой ч. 1 ст. 13 Федерального закона № 323-ФЗ.
Проблема возникает, когда МИС содержит данные, выходящие за рамки обеих ролей: сведения о личных заболеваниях врача, его психологические тесты при аттестации, результаты медосмотров. Эти данные — спецкатегория по ст. 10 ФЗ-152. Их обработка в МИС допустима только при наличии письменного согласия работника или в случаях, прямо предусмотренных законом (например, обязательные медосмотры по ст. 213 ТК РФ).
Отдельный вопрос — доступ к данным врача внутри МИС. Регистратор не должен видеть сведения о состоянии здоровья медработника. Разграничение прав доступа в МИС — требование Приказа ФСТЭК № 21 (группа УПД — управление правами доступа). Его отсутствие создаёт риск нарушения ч. 1 ст. 13.11 КоАП даже без факта утечки.
Не уверены, корректно ли настроены права доступа в МИС?
Если в МИС нет разграничения доступа к данным медработников — это уязвимость, которую РКН фиксирует при плановой проверке медорганизации. У клиники есть время привести систему в порядок до получения уведомления о проверке. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru
Как публиковать данные врача на сайте клиники без нарушений?
Шаг 3. Получите отдельное согласие на публикацию
С 01.09.2025 согласие на обработку ПДн не может быть частью трудового договора, должностной инструкции или кадровой анкеты (ФЗ-156 от 24.06.2025, изменения в ч. 1 ст. 9 ФЗ-152). Для публикации данных врача на сайте требуется отдельный документ со следующими обязательными реквизитами: ФИО субъекта, наименование оператора, цель обработки, перечень ПДн, перечень действий, срок действия согласия, способ его отзыва.
Важно: если клиника публикует фотографию врача — это обработка биометрических ПДн по смыслу ст. 11 ФЗ-152 (изображение лица, позволяющее установить личность). Требуется письменное согласие. Устная договорённость или подпись в трудовом договоре недостаточны. Для ст. 10.1 ФЗ-152 (распространение ПДн) установлен принцип: молчание субъекта означает запрет на распространение.
Что подготовить для публикации данных медработника
- Отдельное согласие на обработку и распространение ПДн — по форме с реквизитами ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156)
- Для фото врача — отдельное письменное согласие на обработку биометрических данных (ст. 11 ФЗ-152)
- Политика обработки ПДн на сайте с разделом о данных медработников (ч. 2 ст. 18.1 ФЗ-152)
- Порядок отзыва согласия и порядок удаления данных с сайта после отзыва
- Журнал учёта согласий сотрудников с датами подписания и отзывов
Шаг 4. Разберитесь с передачей данных в ЕГИСЗ
Единая государственная информационная система в сфере здравоохранения (ЕГИСЗ) включает Федеральный регистр медицинских работников (ФРМР). Передача данных врача в ФРМР — обязанность медорганизации по Постановлению Правительства РФ о ведении ЕГИСЗ. Согласие работника на эту передачу не требуется: основание — исполнение требований законодательства (п. 2 ч. 1 ст. 6 ФЗ-152).
Состав данных для ФРМР строго определён нормативно: ФИО, дата рождения, СНИЛС, специальность, квалификационная категория, сведения о сертификате. Передача данных сверх установленного перечня — нарушение принципа минимизации (ст. 5 ФЗ-152). Медорганизация не вправе направлять в ФРМР, например, данные о состоянии здоровья работника или сведения о его дисциплинарных взысканиях.
Телемедицинские платформы создают дополнительный риск: если телемедицина работает через зарубежный сервис (SaaS), профиль врача может оказаться за пределами РФ. Это нарушение ч. 5 ст. 18 ФЗ-152 о локализации. Штраф по ч. 8 ст. 13.11 КоАП — 1 000 000 — 6 000 000 ₽. При повторном нарушении — 6 000 000 — 18 000 000 ₽ по ч. 9.
Шаг 5. Настройте реагирование на запрос медработника о его ПДн
Медработник как субъект ПДн вправе запросить информацию о составе обрабатываемых данных, целях и основаниях обработки. Клиника обязана ответить в течение 10 рабочих дней с даты обращения (ст. 20 ФЗ-152), с возможностью продления ещё на 5 рабочих дней при письменном уведомлении субъекта. Нарушение срока — штраф по ч. 4 ст. 13.11 КоАП от 40 000 до 80 000 ₽.
Практически значимая ситуация: врач, который уходит из клиники, требует уничтожить его персональные данные. Здесь возникает коллизия: с одной стороны, право субъекта на уничтожение ПДн при достижении целей обработки (ст. 21 ФЗ-152); с другой — обязанность хранить кадровые документы 75 лет по нормам архивного законодательства. Клиника вправе отказать в уничтожении тех данных, хранение которых обязательно по закону, но обязана уничтожить данные, цель обработки которых достигнута (например, удалить фото с сайта, отозвать профиль из раздела «Наши врачи»).
Если главный врач получил запрос от сотрудника на уничтожение ПДн — у клиники 10 рабочих дней на ответ по ст. 20 ФЗ-152. Ошибка в обосновании отказа создаёт основание для жалобы в РКН и проверки. Юристы DATUM помогут составить обоснованный ответ и настроить процедуру реагирования на запросы субъектов.
Подготовиться к проверке РКНШаг 6. Организуйте хранение согласий и журнал инцидентов
Согласие на обработку ПДн медработника должно храниться в течение всего срока обработки и три года после его окончания — это следует из общего правила о сроках исковой давности. Хранение на бумаге или в электронном виде с квалифицированной электронной подписью — оба формата допустимы. При утрате согласия клиника не сможет подтвердить правомерность обработки при проверке РКН.
Журнал инцидентов с ПДн — обязательный элемент системы организационных мер по ч. 1 ст. 18.1 ФЗ-152. Если произошла утечка данных медработника (например, через взлом МИС), клиника обязана уведомить РКН в течение 24 часов (ч. 3.1 ст. 21 ФЗ-152) и направить отчёт о результатах расследования в течение 72 часов (Приказ РКН № 187 от 14.11.2022). Нарушение этого срока — штраф по ч. 11 ст. 13.11 КоАП от 1 000 000 до 3 000 000 ₽.
Журнал инцидентов фиксирует: дату и время обнаружения, состав затронутых данных, число субъектов, принятые меры, статус уведомления РКН. При наличии такого журнала клиника демонстрирует суду и регулятору добросовестность, что влияет на применение смягчающих обстоятельств при назначении штрафа.
Типичные ситуации из практики медорганизаций
Ситуация 1. Клиника (Сибирский ФО, лето 2025) опубликовала на сайте фотографии всех врачей и медсестёр как часть ребрендинга. Основание — пункт в трудовом договоре «работник соглашается на использование фотоматериалов». После 01.09.2025 такое основание недействительно: согласие должно быть отдельным документом (ФЗ-156). РКН при плановой проверке зафиксировал нарушение ч. 2 ст. 13.11 КоАП — обработка биометрических ПДн без надлежащего согласия. Штраф для юрлица составил сумму в диапазоне 300 000 — 700 000 ₽. Стратегия: переоформить согласия на публикацию фото в виде отдельных документов по каждому сотруднику, внести изменения в раздел «Наши врачи» на сайте.
Ситуация 2. Медицинский центр (Центральный ФО, осень 2025) использовал телемедицинскую платформу с хранением данных на серверах в Европейском союзе. В профиле врача хранились: ФИО, специальность, расписание, телефон. После проверки РКН установил нарушение ч. 5 ст. 18 ФЗ-152 о локализации. Штраф по ч. 8 ст. 13.11 КоАП составил сумму в нижней части диапазона 1 000 000 — 6 000 000 ₽. Параллельно центр получил предписание перевести данные на российские серверы в течение 30 дней. Стратегия: выбрать отечественную телемедицинскую платформу или настроить хранение первичных данных исключительно в российском сегменте облака.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка всей системы обработки ПДн медорганизации, включая МИС и ЕГИСЗ
- Комплект ОРД под ключ — политика, согласия медработников, журналы инцидентов и запросов субъектов
- Сопровождение проверок РКН — подготовка к плановой проверке и представительство перед регулятором
Частые вопросы
1. Чем отличается информированное добровольное согласие (ИДС) от согласия на обработку ПДн?
ИДС — документ медицинского права, регулируемый ст. 20 Федерального закона № 323-ФЗ. Он фиксирует согласие пациента на медицинское вмешательство и не является согласием на обработку персональных данных по ст. 9 ФЗ-152. Согласие на ПДн — самостоятельный документ с реквизитами, установленными ФЗ-152: цель, перечень данных, перечень действий, срок, способ отзыва. Объединять ИДС и согласие на ПДн в одном документе с 01.09.2025 недопустимо (ФЗ-156 от 24.06.2025).
2. Можно ли публиковать фото «до и после» лечения с согласия пациента?
Публикация фото «до и после» затрагивает данные о состоянии здоровья пациента — это специальная категория ПДн по ст. 10 ФЗ-152. Для публикации необходимо отдельное письменное согласие на распространение таких данных по ст. 10.1 ФЗ-152. Если на фото идентифицируется лицо пациента — дополнительно требуется согласие на обработку биометрических данных (ст. 11 ФЗ-152). Устного согласия или подписи в общей анкете недостаточно.
3. Кто несёт ответственность за утечку данных через МИС — клиника или разработчик системы?
Ответственность несёт клиника как оператор персональных данных. Если МИС эксплуатируется по договору с IT-компанией, та выступает лицом, осуществляющим обработку по поручению оператора (п. 3 ст. 6 ФЗ-152). Договор поручения обработки должен содержать перечень допустимых действий и требования по защите данных. Отсутствие такого договора — самостоятельное нарушение. Штраф по ст. 13.11 КоАП при утечке через подрядчика предъявляется клинике: судебная практика исходит из того, что оператор отвечает за действия привлечённого обработчика.
4. Какие данные медработника обязательно передавать в ЕГИСЗ?
Состав определён нормативно: ФИО, дата рождения, СНИЛС, специальность, уровень образования, сведения о сертификате специалиста или свидетельстве об аккредитации, квалификационная категория, место работы. Передача данных сверх этого перечня без отдельного правового основания нарушает принцип минимизации по ст. 5 ФЗ-152. Согласие работника на передачу нормативно установленного состава данных в ФРМР не требуется — это исполнение требования законодательства.
5. Что грозит клинике за утечку данных медработников или пациентов?
Размер ответственности зависит от числа пострадавших субъектов. Утечка данных от 1 000 до 10 000 субъектов — штраф 3 000 000 — 5 000 000 ₽ по ч. 12 ст. 13.11 КоАП; от 10 000 до 100 000 субъектов — 5 000 000 — 10 000 000 ₽ по ч. 13; более 100 000 субъектов — 10 000 000 — 15 000 000 ₽ по ч. 14. При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 000 000 ₽ и не более 500 000 000 ₽. Дополнительно: неуведомление РКН в 24 часа — штраф 1 000 000 — 3 000 000 ₽ по ч. 11.
6. Нужно ли переоформлять согласия медработников, подписанные до 01.09.2025?
Согласия, подписанные до 01.09.2025, продолжают действовать до истечения их срока: ФЗ-156 от 24.06.2025 не имеет обратной силы. Переоформление обязательно в двух случаях: если срок старого согласия истёк, или если вы планируете новые действия с данными, не охваченные старым согласием (например, публикация на новой платформе, передача новому подрядчику). При любом обновлении кадровых форм использовать уже требования нового стандарта — отдельный документ с реквизитами ст. 9 ФЗ-152.
Итог
Данные медработников обрабатываются в трёх контекстах: кадровый учёт, МИС и ЕГИСЗ, публичное представление на сайте. Каждый контекст имеет собственное правовое основание и требует отдельных организационных мер. Публикация фото — согласие по ст. 11 ФЗ-152; передача в ФРМР — исполнение требования закона без согласия; обработка в МИС — трудовой договор плюс разграничение прав доступа по Приказу ФСТЭК № 21. После 01.09.2025 любое новое согласие медработника должно быть оформлено отдельным документом.
DATUM сопровождает медицинские организации в выстраивании системы обработки ПДн персонала: от аудита текущего состояния МИС и согласий до подготовки к плановой проверке РКН и реагирования на инциденты с данными пациентов и врачей.
3 апреля 2028 года