152-ФЗ для стоматологии: документы по защите персональных данных

Стоматологические клиники обрабатывают **специальные категории персональных данных** — сведения о состоянии здоровья пациентов. Это данные о диагнозах, снимках, планах лечения, аллергиях, принимаемых препаратах и истории болезней.

Обработка спецкатегорий ПДн регулируется **статьёй 10 закона 152-ФЗ** и требует повышенного уровня защищённости (УЗ-2 или УЗ-1). Для стоматологии это означает расширенный пакет документов и усиленные меры безопасности.

Помимо медицинских данных клиника обрабатывает общие ПДн: ФИО, паспортные данные, полис ОМС/ДМС, контактные данные, данные банковских карт при оплате. Все эти данные также подлежат защите.

Стоматология обрабатывает спецкатегории ПДн, поэтому пакет документов шире, чем у обычного бизнеса. Минимальный комплект включает:

- **Информированное добровольное согласие** (ИДС) — на медицинское вмешательство и обработку данных о здоровье; - **Согласие пациента на обработку ПДн** — отдельное от ИДС, с указанием перечня данных и целей обработки; - **Политика конфиденциальности** — размещается на сайте клиники в открытом доступе; - **Положение об обработке ПДн** — внутренний документ, утверждённый главным врачом; - **Приказ о назначении ответственного за ПДн** — обычно администратор клиники или замглавврача; - **Акт определения уровня защищённости** — для ИСПДн клиники (МИС, ЕМИАС, 1С); - **Модель угроз** — с учётом специфики медицинских информационных систем; - **Уведомление в Роскомнадзор** — подаётся через pd.rkn.gov.ru.

Несоблюдение этих требований влечёт штрафы по ст. 13.11 КоАП: до 150 000 ₽ за обработку спецкатегорий без письменного согласия.

В стоматологии требуется два отдельных согласия от каждого пациента.

**Информированное добровольное согласие (ИДС)** — на медицинское вмешательство, регулируется Федеральным законом 323-ФЗ «Об основах охраны здоровья граждан». Содержит информацию о методах лечения, рисках и альтернативах.

**Согласие на обработку персональных данных** — по 152-ФЗ. Поскольку обрабатываются данные о здоровье (спецкатегория), согласие должно быть **письменным** с указанием: перечня данных, целей обработки, срока действия, права отзыва.

Для несовершеннолетних пациентов (до 15 лет) оба согласия подписывает законный представитель — родитель или опекун. С 15 лет пациент подписывает ИДС самостоятельно, но согласие на обработку ПДн — до 18 лет подписывает представитель.

Стоматологические клиники используют МИС: DENTAL4WINDOWS, StomPRO, Инфодент, 1С:Медицина, DentaBase и другие. Каждая МИС является информационной системой персональных данных (ИСПДн), для которой необходимо определить уровень защищённости.

При использовании облачных МИС клиника обязана заключить с разработчиком **поручение на обработку ПДн** по ст. 6 закона 152-ФЗ. В договоре фиксируется: перечень данных, цели обработки, обязанность хранить данные на территории РФ.

Если клиника подключена к ЕГИСЗ (Единая государственная информационная система здравоохранения) или региональной МИС, данные передаются в государственные системы — это также должно быть отражено в согласии пациента и политике конфиденциальности.

Данные о состоянии здоровья пациента защищены **врачебной тайной** (ст. 13 Федерального закона 323-ФЗ) и одновременно являются **специальными категориями ПДн** (ст. 10 закона 152-ФЗ). Двойная защита означает двойную ответственность.

Разглашение врачебной тайны влечёт уголовную ответственность по ст. 137 УК РФ (до 4 лет лишения свободы). Нарушение 152-ФЗ — административную ответственность по ст. 13.11 КоАП (до 500 000 ₽ с учётом 420-ФЗ).

Все сотрудники клиники, имеющие доступ к медицинским данным (врачи, медсёстры, администраторы, IT-специалисты), подписывают обязательство о неразглашении персональных данных и врачебной тайны.

Медицинские учреждения — в приоритете проверок Роскомнадзора, поскольку обрабатывают спецкатегории ПДн. Типичные нарушения стоматологий:

- Отсутствие письменного согласия на обработку данных о здоровье; - Политика конфиденциальности не опубликована на сайте; - Уведомление в Роскомнадзор не подано; - Нет акта определения уровня защищённости ИСПДн; - Доступ к базе пациентов есть у сотрудников, не имеющих права доступа.

С 2025 года размеры штрафов значительно увеличены: за утечку персональных данных — оборотные штрафы до 500 млн ₽ (420-ФЗ). Для стоматологии утечка медицинских данных = максимальные санкции.