Станислав Яворский, генеральный директор компании P&I Legal, в издании «Хороший доктор» в свой статье «База о персональных данных: как правильно понимать закон» анализирует судебные прецеденты в медицинской практике, помогая врачам понять риски врачебных ошибок и способы защиты от исков пациентов.

Персональные данные – это любая информация, по которой можно идентифицировать человека. Закон устанавливает, что персональные данные могут быть и в таком объеме, при котором гражданина невозможно идентифицировать сразу. Такое лицо называется «определяемым». Например, зная Ф.И.О., вы не сможете идентифицировать конкретного человека, поскольку существуют тезки. Однако, если к Ф.И.О. добавить номер мобильного телефона, фотографию человека или номер паспорта, этой информации достаточно, чтобы определить конкретного субъекта персональных данных. Такое лицо называется «определенным».

Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» защищает объем персональных данных как определенного лица, так и определяемого. Как это правило влияет на практическую работу врача? Например, необходимо помнить,
что, даже размещая фотографию части тела пациента, на которой не видно лица, необходимо получать согласие на обработку персональных данных. Несмотря на то, что этих данных еще недостаточно для идентификации, лицо является «определяемым».

Форма согласия

С 1 сентября 2025 года согласие на обработку персональных данных (далее – ПД) должно оформляться отдельно от иных документов.

Примечательно, что даже после внесения изменений в закон он оставляет возможность получения согласий в устной форме, как бы странно это ни звучало. В статье 9 по-прежнему указано, что согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное
не установлено федеральным законом. Ниже конкретизируется, что в случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. То есть в остальных случаях письменная форма необязательна.

Примерно такая же ситуация была до вступления в силу Федерального закона «Об основах охраны здоровья граждан в Российской Федерации» от 21.11.2011 года № 323-ФЗ. Прежнее законодательство указывало на необходимость получения информированного
добровольного согласия, но не конкретизировало его форму, что позволяло медицинским организациям ссылаться на получение ИДС от пациента устно. На практике это означало, что врач мог просто поговорить с пациентом, рассказать об операции и рисках, при этом не подписать ИДС. Согласно 323-ФЗ, ИДС берется письменно.

Закон устанавливает повышенные требования к отдельным видам персональных данных, операциям их обработки и способам передачи: специальные категории, биометрия, распространение ПД, трансграничная передача.

Письменная форма согласий из этого перечня прямо установлена законом для  специальных категорий и биометрии.

Независимо от ситуации и сферы деятельности организации обработка любых персональных данных должна осуществляться только для законных, заранее определенных целей, а сбор ПД не должен быть избыточным. Этот вопрос нельзя решить лишь оформлением согласия субъекта ПД. В случае проверки Роскомнадзора (далее – РКН) медицинская организация должна будет объяснить, зачем именно собираются те или иные персональные данные, не является ли их объем чрезмерным, не обусловленным разумной целью.

Специальные категории

Самый важный для врачей тип ПД – специальные категории о расовой и национальной принадлежности, политических взглядах,
религиозных или философских убеждениях, состоянии здоровья и интимной жизни. Как указано выше, обработка специальных
категорий возможна только при наличии согласия в письменной форме, однако для медицинских организаций предусмотрено исключение.

Если обработка таких персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медикосоциальных услуг при условии, что обработка осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну, согласие получать не обязательно.

Тем не менее большинство медицинских организаций предпочитают получать согласие на обработку от пациента в письменной форме. Это оправданно, поскольку в клиниках обработка персональных данных осуществляется не только врачами (лицами, профессионально занимающимися медицинской деятельностью), но и администраторами, службой сервиса и другим немедицинским персоналом. К врачебной тайне относятся не только диагноз и характер оказываемых услуг, но и сам факт обращения за медицинской помощью, поэтому обеспечить соблюдение закона о ПД без получения соответствующего письменного согласия крайне сложно.

Кроме того, такие направления, как маркетинг, публикация фотографий, коммуникация с пациентом и т. д., не подпадают под медико-профилактические цели.

Биометрия

Это, пожалуй, наименее корректно понимаемая широкой аудиторией категория персональных данных. Под биометрией закон понимает сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность. К таким сведениям относятся: отпечатки пальцев и ладоней; рисунок вен; геометрия кисти; изображение лица; радужная оболочка и/или сетчатка глаза; голосовой слепок; параметры ушной раковины; динамика подписи; клавиатурный почерк; паттерн походки и многое другое.

При этом часто упускают важную деталь. Перечисленные сведения сами по себе не признаются биометрическими персональными данными. Для этого они должны не только характеризовать особенности человека, позволяющие его идентифицировать, но и использоваться для такой идентификации.

Это означает, что одна и та же фотография пациента может признаваться либо не признаваться биометрическими персональными данными в зависимости от целей ее использования. Если фотография применяется для контроля результата лечения, то, несмотря на то что она характеризует особенности личности, биометрическими ПД она не признается. Если же фотография используется для оформления пропуска в клинику, распознавания лица для прохода к зоне ресепшен, авторизации в медицинской информационной
системе, она относится к биометрическим персональным данным.

Если клиника собирает биометрические персональные данные, согласие на обработку необходимо получать у субъекта в письменной форме.

Как быть клиникам, которые не используют такие сведения для идентификации, но имеют камеры видеонаблюдения? Если камеры видеонаблюдения не содержат алгоритмов распознавания лиц, получать согласие на обработку биометрии не требуется, даже при последующей идентификации пациента по видеозаписи при совершении им правонарушения на территории медицинской организации.

Это связано с тем, что закон предусматривает исключения при использовании биометрии в целях законодательства о безопасности.

До 27 августа 2025 года требования к антитеррористической защищенности предполагали обязанность установки камер для медицинских организаций независимо от присвоенной категории. Сейчас камеры обязательны для медицинских организаций третьей категории (количество потенциальных пострадавших от 50 человек) и выше, а также для организаций, осуществляющих деятельность, связанную с оборотом наркотических средств (НС) и психотропных средств (ПВ).

Для остальных клиник установка камер – право, а не обязанность. При этом использование изображения пациента с целью идентификации его личности при совершении противоправных действий подпадает под законодательство о безопасности и не обязывает получать письменное согласие на обработку биометрии, если только камеры не содержат автоматизированных модулей идентификации.

Распространение персональных данных

Закон придает этому виду обработки особое значение с 2021 года, когда в нем появилась специальная статья. Это объяснимо: в отличие от предоставления ПД, при распространении данные передаются неопределенному круг лиц, например публикуются в сети Интернет.

В медицинской практике к распространению относятся публикация кейсов и фотографий, комментарии в СМИ, публичные посты, сториз с отзывами.

Статья закона, регулирующая этот тип обработки, не содержит прямого требования о письменной форме согласия, но указывает на необходимость оформления такого согласия отдельно не только от иных документов, но и от иных согласий на обработку ПД.

Чаще всего клиники сталкиваются с необходимостью таких согласий не в связи с обработкой персональных данных пациентов, а персонала – медицинских работников.

В силу законодательства на официальном сайте медицинской организации должна размещаться информация о медицинских работниках, включая сведения об уровне их профессионального образования и квалификации.

В 2021 году Конституционный суд РФ по делу о работе сайта prodoctorov.ru (Постановление от 25.05.2021 г. № 22­П) указал, что персональные данные врача представляют особый общественный интерес и подлежат опубликованию, независимо от его согласия.

Однако при публичном размещении ПД врачей закон и КС РФ позволяют публиковать без их согласия только тот объем данных, который прямо предусмотрен законодательством.

Размещение, например, фотографий врача на официальном сайте медицинской организации или на стороннем агрегаторе без согласия медицинского работника незаконно.

Таким образом, расширять предусмотренный законом минимальный объем сведений работодатель вправе только при наличии согласия врача на распространение ПД.

В свою очередь, сократить установленный законом для распространения объем ПД о себе врач не может ввиду особого общественного значения своей профессии.

Трансграничная передача и иностранные мессенджеры

Развитие информационных технологий и внешнеполитическая обстановка усиливают внимание власти к случаям направления персональных данных в другие государства.

В медицинской деятельности это актуально при хранении баз данных пациентов на серверах за пределами страны, переписке с пациентами по электронной почте и в иностранных мессенджерах, таких как WhatsApp (принадлежит Meta, признанной экстремистской организацией в России), Telegram и Viber.

С марта 2023 года при предоставлении государственных и муниципальных услуг, выполнении государственного или муниципального задания запрещено использовать принадлежащие иностранным юридическим лицам и/или гражданам программы для ЭВМ, предназначенные и (или) используемые исключительно для обмена электронными сообщениями между пользователями.

Такой запрет распространяется на государственные и муниципальные унитарные предприятия, публично-правовые компании и хозяйственные общества с совокупной долей государства более 50%.

Прямого запрета на использование иностранных мессенджеров частными медицинскими организациями нет. Наши опросы показывают, что руководители частных медицинских организаций пока не готовы отказываться от иностранных мессенджеров, полагая, что это снизит конкурентоспособность компаний.

Однако такое использование необходимо правильно легализовать. Для любых персональных данных закон устанавливает требования «локализации», то есть необходимости формирования соответствующих баз данных на территории России.

Для последующей трансграничной передачи закон выделяет две категории иностранных государств: обеспечивающих адекватную защиту при обработке и не обеспечивающих таковую; условно – «адекватные» и «неадекватные» страны, перечень которых утверждается законодательством.

Условием трансграничной передачи является предварительное получение от иностранных государств или лиц сведений о мерах защиты ПД, а для «неадекватных» стран – дополнительных сведений об их внутреннем правовом регулировании в области персональных данных. В дальнейшем РКН может запросить эти сведения у оператора.

После получения таких сведений оператор направляет в Роскомнадзор (РКН) уведомление о намерении осуществлять трансграничную передачу, указывая, помимо прочего, дату проведения оператором оценки соблюдения органами власти иностранных государств конфиденциальности персональных данных.

Для «адекватных» стран оператор может начинать трансграничную передачу сразу после направления уведомления. В случае «неадекватных» стран оператор должен дождаться решения РКН: если в течение 10 рабочих дней решение о запрете передачи не будет принято, данные можно начинать передавать.

В официальном Telegram-канале «Корпорации МСП» (корпорация малого и среднего предпринимательства) 7 августа 2025 года размещен комментарий начальника отдела контрольнонадзорной деятельности РКН Анны Кононенко: направление информации, содержащей персональные данные, с использованием иностранных мессенджеров пользователям, находящимся на территории РФ, не будет являться трансграничной передачей ПД.

Практические выводы по данному вопросу следующие:

◆ Все базы данных должны быть локализованы в России на российских серверах.

◆ При переписке по электронной почте целесообразно использовать отечественные почтовые сервисы с серверами на территории
РФ либо согласовывать с РКН трансграничную передачу.

◆ Для обмена сообщениями использовать отечественные мессенджеры; при использовании иностранных мессенджеров согласовывать трансграничную передачу с РКН, а на свой риск можно учитывать обозначенную позицию представителя РКН о допустимости переписки в иностранных мессенджерах между пользователями на территории РФ.