Политика обработки ПДн для медклиники в 2026: что обязательно по 152-ФЗ

Часть 2 ст. 18.1 Федерального закона № 152-ФЗ обязывает оператора публиковать (или иным образом обеспечивать неограниченный доступ) к политике в отношении обработки персональных данных. Для оператора, осуществляющего сбор данных через сайт, это означает обязательное размещение политики в публичном разделе сайта — без авторизации, без капчи, без необходимости заполнять форму.

Для медицинской клиники политика — это документ, утверждённый приказом руководителя организации. Веб-публикация — копия этого приказа в части политики. Управление РКН в проверках регулярно сверяет соответствие политики на сайте утверждённой внутри организации редакции.

Положения, без которых политика медицинской клиники не считается соответствующей закону:

1. Реквизиты оператора: полное наименование, ИНН, ОГРН/ОГРНИП, адрес, контактные данные. Для медицинской организации — отдельной строкой номер и дата лицензии на медицинскую деятельность.
2. Цели обработки: оказание медицинской помощи, ведение медицинской документации, расчёты со страховыми компаниями (ОМС/ДМС), информирование пациентов, исполнение требований законодательства о здравоохранении.
3. Правовые основания обработки: согласие субъекта (ст. 9 Федерального закона № 152-ФЗ), договор оказания медицинских услуг, исполнение обязанностей оператора по Федеральному закону № 323-ФЗ (медицинская документация, статотчётность).
4. Состав ПДн: ФИО, дата рождения, пол, паспортные данные, СНИЛС, полис ОМС, адрес, контактные данные, сведения о медицинских показаниях, данные о состоянии здоровья (специальная категория ПДн по ст. 10 Федерального закона № 152-ФЗ).
5. Сроки хранения: по медицинской карте амбулаторного пациента — 25 лет, по истории болезни стационара — 25 лет, по карте беременной — 25 лет (по нормам Минздрава о сроках хранения медицинской документации); ПДн в системах записи и учёта — на срок действия договора и три года после.
6. Порядок передачи третьим лицам: страховые компании ОМС/ДМС, лаборатории-партнёры, налоговые и иные государственные органы (по запросу), врачи-консультанты (с письменного согласия пациента).
7. Меры защиты: ссылка на постановление Правительства № 1119 и определение уровня защищённости ПДн в организации (1, 2 или 3 уровень).
8. Права субъекта ПДн: право на доступ, изменение, удаление, отзыв согласия (ст. 14 Федерального закона № 152-ФЗ).
9. Контактные данные ответственного за обработку ПДн в организации.

Сведения о состоянии здоровья пациента — это одновременно специальная категория ПДн (ст. 10 Федерального закона № 152-ФЗ) и врачебная тайна (ст. 13 Федерального закона № 323-ФЗ). У них пересекающиеся, но не идентичные режимы охраны.

В политике медицинской клиники имеет смысл отдельным разделом фиксировать:

• что сведения, составляющие врачебную тайну, обрабатываются с учётом требований ст. 13 Федерального закона № 323-ФЗ;
• перечень случаев, в которых разглашение врачебной тайны допускается без согласия пациента (ч. 4 ст. 13 Федерального закона № 323-ФЗ — запросы суда, следственных органов, уведомление ФСБ при угрозе теракта и т. д.);
• порядок получения информированного согласия пациента на передачу сведений третьим лицам (например, родственникам или работодателю).

Федеральный закон № 242-ФЗ (так называемый «закон о локализации») установил требование к операторам: при сборе персональных данных граждан Российской Федерации, в том числе через сайт, обработка с использованием баз данных, находящихся на территории России, обязательна.

Для медицинской клиники это означает:

• форма записи на сайте должна сохранять данные в российской БД (хостинг — у российского провайдера, БД — на территории России);
• CRM, в которой хранятся записи пациентов, развёрнута на российской инфраструктуре;
• счётчики аналитики и тулзы маркетинга, передающие данные за рубеж (см. соседнюю статью про Google Analytics), не используются для обработки ПДн.

В политике этот блок оформляется отдельным абзацем: «Обработка персональных данных осуществляется с использованием баз данных, находящихся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона № 152-ФЗ».

Ст. 13.11 КоАП (нарушение законодательства о персональных данных) с учётом Федерального закона № 420-ФЗ от 30.11.2024 предусматривает существенные штрафы для юридических лиц. Конкретные суммы зависят от части статьи и характера нарушения; в сводке нашей методологии (см. /methodology) приведена актуальная вилка штрафов по редакции на дату пересмотра базы.

На практике РКН при плановых проверках оценивает три блока:

1. наличие политики на сайте и её соответствие закону;
2. совпадение опубликованной политики с утверждённой внутри организации;
3. наличие согласий пациентов и их формальное соответствие требованиям ст. 9 Федерального закона № 152-ФЗ.

Алгоритмический аудит сайта по «Мед-Риск» проверяет публичный контур политики — наличие, состав, ссылки на нормы — и формирует отчёт с прямым указанием отсутствующих блоков и шаблоном для добавления.

В 2026 году вступают в силу несколько изменений, которые влияют на состав и оформление политики обработки ПДн в медицинской клинике. Большинство этих изменений было принято в течение 2024–2025 годов, но именно к началу 2026 года истекли льготные переходные периоды и нормы стали обязательны для всех операторов.

Ужесточение санкций по ст. 13.11 КоАП.С конца 2024 года Федеральным законом № 420-ФЗ от 30.11.2024 введены отдельные части 9, 10, 11 ст. 13.11, которые устанавливают штрафы для юридических лиц по утечкам ПДн в зависимости от масштаба: от 1 000 до 10 000 субъектов, от 10 000 до 100 000 субъектов, более 100 000 субъектов. Для повторных утечек предусмотрен оборотный штраф (ч. 13 ст. 13.11).

Уведомление РКН об инциденте.Часть 12 ст. 13.11 (введена ФЗ-266 от 14.07.2022, действует с 2022 года) предусматривает санкции за неуведомление РКН в установленные сроки (24/72 часа). К 2026 году практика применения этой нормы стабилизировалась: оператор обязан направить первичное уведомление в РКН в течение 24 часов с момента обнаружения инцидента и развёрнутое уведомление — в течение 72 часов.

Биометрические ПДн и ЕБС.С 2023 года действует ст. 13.11.3 КоАП по нарушениям обработки биометрических данных. Для медицинской клиники, использующей биометрию (например, для допуска персонала или системы распознавания пациентов), в политике должен быть отдельный блок о работе с биометрическими ПДн со ссылкой на ФЗ-572 от 29.12.2022.

Локализация и хранение.Ч. 7 и ч. 8 ст. 13.11 (нарушение требований к локализации) ужесточились по ФЗ-242. К 2026 году санкции для юридических лиц по нарушению локализации составляют значительные суммы — заведомо больше штрафов за отсутствие политики. Это актуализирует требование к медицинской клинике размещать обработку ПДн на российской инфраструктуре.

Где конкретно на сайте должна быть размещена политика? В публичном разделе с прямой ссылкой из подвала каждой страницы сайта. Доступ — без авторизации, без капчи, без формы. Формат — HTML-страница или PDF (PDF допустим, но HTML предпочтительнее для индексации и доступности).

Можно ли использовать общий шаблон политики, найденный в интернете? Шаблон может быть отправной точкой, но политика должна отражать фактические процессы обработки ПДн в конкретной клинике: цели, состав ПДн, сроки хранения, перечень третьих лиц. Использование шаблона без адаптации — формальное нарушение ч. 3 ст. 13.11 КоАП.

Кто должен подписывать политику внутри организации? Политика утверждается приказом руководителя медицинской организации. На сайте размещается версия с реквизитами приказа (номер и дата) или ссылка на сам приказ.

Как часто нужно обновлять политику? При изменении состава обрабатываемых ПДн, целей обработки, перечня третьих лиц, нормативной базы. Минимально — один раз в год сверять с актуальной редакцией ФЗ-152 и подзаконных актов. После принятия ФЗ-420 от 30.11.2024 политики большинства операторов потребовали корректировки.

Должна ли клиника назначать ответственного за обработку ПДн? По ст. 22.1 ФЗ-152 у каждого оператора должно быть назначено лицо, ответственное за обработку ПДн. Контактные данные этого лица указываются в политике.

Нужно ли отдельное согласие пациента на обработку ПДн в целях оказания медицинской помощи? По п. 4 ч. 1 ст. 6 ФЗ-152 обработка ПДн в целях исполнения договора возможна без согласия — медицинский договор подходит под эту норму. Но для специальной категории ПДн (сведения о состоянии здоровья) согласие — отдельный документ по ст. 9 ФЗ-152, который оформляется при первом обращении пациента.

Что писать о трансграничной передаче ПДн? Если клиника не передаёт ПДн за рубеж — указывается прямо: «трансграничная передача ПДн не осуществляется». Если передаётся (например, для консультаций с зарубежными специалистами) — оформляется отдельное уведомление в РКН по ст. 12 ФЗ-152.

Как оформить политику для маленькой клиники с одним сайтом? Состав политики не зависит от размера клиники. Минимальный набор позиций (см. раздел 02) обязателен для любой медицинской организации, обрабатывающей ПДн пациентов.