Как клиникам хранить медицинские данные в 2025 году без нарушений закона

Медицинские данные – это не просто фамилия и телефон пациента. Это диагнозы, история болезни, результаты обследований и даже технические сведения вроде IP-адреса. В 2025 году такие данные находятся под особой защитой, а проверки Роскомнадзора и Роспотребнадзора стали чаще и строже.
При этом киберугрозы растут, и любая ошибка может стоить клинике очень дорого. Если раньше штрафы ограничивались сотнями тысяч рублей, то с 30 мая 2025 года наказание за утечку данных усилили до предела:

• до 15 млн ₽ за разглашение;
• до 3% годовой выручки при повторном нарушении.

И это не считая уголовной ответственности для сотрудников, виновных в нарушении врачебной тайны.

Многие данные в медицинских организациях попадают в категорию врачебной тайны. Это не только сведения о пациентах, но и личная информация сотрудников. Разглашение данных о состоянии здоровья может привести к серьёзным последствиям: хакеры используют такую информацию для шантажа, мошенничества или продажи на чёрном рынке.
Особенности работы с медицинской информацией:

• пациент обладает полным правом распоряжаться своими данными;
• документы должны обрабатываться быстро и точно;
• информацией оперируют разные специалисты: лаборанты, медсёстры, врачи, администраторы;
• сведения делятся на персональные, статистические и данные о лечении;
• до сих пор нет чётко установленного регламента взаимодействия между врачами, пациентами и доверенными лицами.

Рост числа носимых медицинских устройств, мобильных приложений и облачных сервисов делает хранение и защиту данных особенно актуальными. Они помогают улучшить качество медицинского обслуживания и сократить расходы клиник. Но возникает новая задача – контролировать, где и как хранится информация, генерируемая гаджетами.

• ФЗ-152 «О персональных данных» – правила обработки и хранения ПДн.
• ФЗ-242 – запрет на хранение данных за пределами РФ.
• ФЗ-323 «Об охране здоровья граждан» – охрана врачебной тайны.
• Приказ Минздрава №118н – требования к сайтам медорганизаций, включая телемедицину.
• ГОСТ Р 57580.1-2017 – стандарты безопасности.
• Требования ФСТЭК и ФСБ к защите информации.

Ключевые принципы:

• хранение только на российских серверах;
• защищённый контур с аттестацией ФСТЭК;
• контроль доступа и журналирование действий;
• согласие пациента – обязательное условие.

Если произойдёт утечка медицинских данных, клиника, как оператор, обязана:

• возместить пациенту нанесённый ущерб;
• оплатить штраф от 60 000 до 100 000 рублей согласно ст. 13.11 КоАП РФ;
• при повторной утечке – штраф до 300 000 рублей (для старых редакций закона).

Но теперь это только «нижняя планка». С 30 мая 2025 года штрафы выросли многократно: до 15 млн ₽ и до 3% годовой выручки при повторном нарушении.

• Сотрудника ждёт дисциплинарная ответственность: выговор, увольнение, а в серьёзных случаях – запрет на занятие профессиональной деятельностью до 5 лет или даже лишение свободы на срок до 4 лет.

Самое надёжное решение – работа в медицинской информационной системе, которая уже отвечает всем требованиям Минздрава.