152-ФЗ для медицинских клиник и стоматологий

Обновлено: март 2026 · 14 мин чтения

Медицинские клиники и стоматологии работают с данными, которые закон относит к особой категории персональных данных — информация о здоровье пациентов. Это означает повышенные требования к обработке, хранению и защите, а штрафы за нарушения в разы выше, чем для обычного интернет-магазина.

В этой статье разбираем, какие требования 152-ФЗ предъявляет к сайтам клиник в 2026 году, какие нарушения встречаются чаще всего и как автоматически проверить свой сайт.

Содержание

  1. 1. Почему клиникам нужно особое внимание к 152-ФЗ
  2. 2. Какие данные собирают клиники
  3. 3. Требования 152-ФЗ к сайту клиники
  4. 4. Типичные нарушения на сайтах клиник
  5. 5. Штрафы для медицинских организаций
  6. 6. Чек-лист для сайта клиники
  7. 7. Как проверить сайт клиники автоматически

1. Почему клиникам нужно особое внимание к 152-ФЗ

Федеральный закон № 152-ФЗ «О персональных данных» делит данные на категории. Обычные персональные данные — это ФИО, email, телефон. Но медицинская информация относится к специальной категории персональных данных (ст. 10 152-ФЗ).

К специальным категориям относятся сведения о состоянии здоровья, диагнозах, проведённом лечении, результатах анализов. Для их обработки необходимо отдельное письменное согласие пациента — общее согласие на обработку ПД не подходит.

Важно: Врачебная тайна (ст. 13 ФЗ № 323 «Об основах охраны здоровья граждан») и защита персональных данных (152-ФЗ) — это два пересекающихся, но разных обязательства. Нарушение любого из них влечёт самостоятельную ответственность.

На практике это значит: если обычный интернет-магазин может ограничиться стандартной политикой конфиденциальности, то клинике нужно учитывать дополнительные нормативные акты, вести отдельные реестры согласий и обеспечивать повышенный уровень защиты.

Кроме того, Роскомнадзор при проверках медицинских организаций обращает особое внимание на полноту согласий и разделение целей обработки. Штрафы за обработку специальных категорий данных без надлежащего согласия — одни из самых высоких в КоАП.

2. Какие данные собирают клиники

Медицинская организация собирает и обрабатывает широкий спектр персональных данных — как на сайте, так и в внутренних системах. Вот основные категории:

Идентификационные данные

  • ФИО пациента
  • Дата рождения
  • Паспортные данные
  • СНИЛС
  • Полис ОМС / ДМС
  • Телефон, email

Медицинские данные

  • История болезни
  • Диагнозы (коды МКБ)
  • Результаты анализов
  • Рентгеновские снимки, КТ, МРТ
  • Назначенное лечение
  • Фотографии (до/после)

Данные с сайта

  • Формы записи на приём
  • Формы обратной связи
  • Запросы на консультацию
  • Онлайн-чат (имя + вопрос)
  • Cookie и данные аналитики

Финансовые данные

  • Данные банковских карт
  • История платежей
  • Договоры на оказание услуг
  • Страховые полисы
Внимание: Медицинские данные (красные маркеры) — это специальная категория ПД. Для их обработки нужно отдельное, явное согласие пациента. Общий чекбокс «согласен на обработку ПД» в форме записи на приём не покрывает обработку данных о здоровье.

3. Требования 152-ФЗ к сайту клиники

Помимо общих требований закона, которые распространяются на все сайты, медицинские организации должны выполнить ряд дополнительных:

Политика конфиденциальности с упоминанием медданных

Стандартная политика не подходит. Необходимо прямо указать, что клиника обрабатывает специальные категории персональных данных (данные о здоровье), перечислить цели такой обработки и правовые основания (согласие, исполнение договора на медуслуги, требования законодательства в сфере здравоохранения).

Отдельное согласие на обработку данных о здоровье

Согласие на обработку специальных категорий ПД должно быть отдельным документом (или отдельным чекбоксом). Нельзя объединять его с общим согласием на обработку ПД. В тексте должны быть указаны конкретные виды медицинских данных и цели их обработки.

Формы записи на приём

Каждая форма на сайте, которая собирает данные пациента, должна содержать явный чекбокс согласия на обработку ПД (не отмеченный по умолчанию) со ссылкой на политику конфиденциальности. Если форма предполагает указание симптомов или жалоб — нужен дополнительный чекбокс для специальных категорий данных.

Cookie-баннер

Обязательный баннер с возможностью принять или отклонить cookie. Аналитические и рекламные трекеры не должны загружаться до получения согласия. Для медицинского сайта это особенно критично: данные о посещении страниц заболеваний могут косвенно раскрывать информацию о здоровье посетителя.

SSL-сертификат

HTTPS обязателен для любого сайта, собирающего ПД. Для медицинского сайта это не рекомендация, а абсолютное требование. Все HTTP-запросы должны перенаправляться на HTTPS.

Согласие врачей на размещение данных

Если на сайте размещены профили врачей с фотографиями, ФИО, образованием и опытом — на каждого сотрудника необходимо отдельное согласие на обработку и публикацию его персональных данных. Это часто упускают из виду.

4. Типичные нарушения на сайтах клиник

По результатам проверок сотен сайтов клиник, мы составили список самых частых нарушений. Каждое из них — основание для штрафа от Роскомнадзора:

Форма записи без чекбокса согласия

Самое распространённое нарушение. Форма «Записаться на приём» собирает ФИО и телефон, но не содержит чекбокса согласия на обработку ПД. Штраф: от 30 000 до 150 000 ₽ для юрлиц.

Политика без упоминания специальных категорий

Клиника использует шаблонную политику конфиденциальности, в которой нет ни слова о медицинских данных, специальных категориях ПД или целях обработки данных о здоровье. Штраф: от 60 000 до 100 000 ₽.

Отзывы пациентов с реальными именами

Размещение отзывов вида «Иванов И.И. лечил зуб, всё отлично» — это публикация ПД (ФИО) в связке с информацией о здоровье (обращение в клинику). Без письменного согласия пациента это прямое нарушение ст. 10 152-ФЗ. Штраф: до 700 000 ₽.

Личный кабинет пациента без защиты

Онлайн-запись результатов анализов, медицинские карты в личном кабинете без двухфакторной аутентификации, без шифрования, доступные по простому URL. Утечка таких данных — основание для оборотного штрафа.

WhatsApp и Telegram для коммуникации с пациентами

Отправка результатов анализов, снимков, назначений через мессенджеры — серьёзное нарушение. Данные передаются на зарубежные серверы без согласия пациента на трансграничную передачу. Кроме того, клиника не контролирует хранение и удаление этих данных.

Google Analytics на сайте клиники

Google Analytics передаёт данные о посещении страниц на серверы в США. Если пациент просматривает страницу «Лечение диабета» — это косвенно раскрывает данные о здоровье. Для медицинских сайтов рекомендуется использовать Яндекс.Метрику с серверами в РФ.

Проверьте сайт клиники бесплатно

Автоматический аудит на соответствие 152-ФЗ. Пре-скан за 60 секунд, полный отчёт с нарушениями и штрафами — 1 990 ₽.

Нажимая кнопку, вы соглашаетесь с Политикой конфиденциальности и условиями использования

5. Штрафы для медицинских организаций

Медицинские организации подпадают под общие штрафы КоАП ст. 13.11, но при обработке специальных категорий данных суммы значительно выше. Кроме того, возможны специфические последствия для медицинского бизнеса.

НарушениеСтатьяШтраф (юрлицо)
Обработка ПД без согласия13.11 ч. 2150 000 – 500 000 ₽
Обработка спецкатегорий без согласия13.11 ч. 2500 000 – 700 000 ₽
Отсутствие политики конфиденциальности13.11 ч. 360 000 – 100 000 ₽
Невыполнение требования об удалении13.11 ч. 590 000 – 200 000 ₽
Утечка данных (массовая)13.11до 3% выручки
Повторное нарушение13.11штраф x2 – x3
Внимание: При утечке медицинских данных пациентов последствия выходят за рамки штрафов. Возможны коллективные иски пациентов, проверки Росздравнадзора и в исключительных случаях — приостановление или отзыв лицензии на медицинскую деятельность.
Совет: Первый штраф за обработку специальных категорий ПД без согласия — до 700 000 ₽. Повторное нарушение — до 2 100 000 ₽. Стоимость приведения сайта в соответствие — несоразмерно меньше.

6. Чек-лист для сайта клиники

Пройдитесь по каждому пункту. Если хотя бы один не выполнен — сайт нарушает 152-ФЗ.

1Политика конфиденциальности содержит раздел о медицинских данных (специальные категории ПД)
2Есть отдельное согласие на обработку данных о здоровье пациентов
3Все формы записи на приём содержат чекбокс согласия на обработку ПД (не отмечен по умолчанию)
4Формы с указанием симптомов/жалоб имеют дополнительный чекбокс для спецкатегорий
5На сайте установлен и работает cookie-баннер с возможностью отклонить
6SSL-сертификат установлен, все страницы работают по HTTPS
7Убраны зарубежные сервисы аналитики (Google Analytics, Meta Pixel) или получено согласие
8Данные пациентов хранятся на серверах в Российской Федерации
9Личный кабинет пациента защищён двухфакторной аутентификацией
10На каждого врача с профилем на сайте получено согласие на публикацию ПД
11Отзывы пациентов размещены с их письменного согласия
12Результаты анализов не отправляются через мессенджеры без отдельного согласия
13Сотрудники прошли инструктаж по работе с персональными данными
14Подано уведомление в Роскомнадзор об обработке ПД

7. Как проверить сайт клиники автоматически

Ручная проверка по чек-листу занимает время и требует знания нюансов. Автоматический аудит на 152-audit.ru анализирует те же параметры за 60 секунд:

  1. Введите адрес сайта клиники в форму ниже
  2. Система проверит политику, формы, cookie, SSL, трекеры
  3. Бесплатный пре-скан покажет score соответствия из 100 баллов
  4. Полный отчёт (1 990 ₽) — детальный анализ с помощью ИИ: нарушения, статьи КоАП, размеры штрафов

Наш ИИ-анализатор учитывает контекст медицинского сайта: проверяет наличие упоминаний специальных категорий ПД в политике, анализирует формы записи на приём, обнаруживает зарубежные трекеры и оценивает уровень защиты данных.

Рекомендация: Проверяйте сайт после каждого обновления: добавления нового врача, изменения форм, подключения новых сервисов. Бесплатный пре-скан можно запускать без ограничений.

Частые вопросы

Распространяется ли 152-ФЗ на стоматологии?

Да. Стоматологии — это медицинские организации, которые обрабатывают данные о здоровье пациентов (диагнозы, рентгеновские снимки, история лечения). Все требования 152-ФЗ, включая обработку специальных категорий ПД, распространяются на стоматологические клиники в полном объёме.

А если клиника использует CRM для записи пациентов?

CRM-система — это средство обработки ПД. Если CRM облачная, убедитесь, что серверы расположены в России. Необходимо заключить договор поручения обработки ПД с поставщиком CRM (ст. 6 152-ФЗ). В политике конфиденциальности нужно указать, что данные передаются третьим лицам для целей записи и ведения приёма.

Нужно ли согласие для обработки данных по ОМС?

Обработка данных для исполнения договора ОМС имеет отдельное правовое основание (ст. 6 ч. 2 п. 5 152-ФЗ — исполнение договора). Однако для обработки именно медицинских данных (данных о здоровье) всё равно требуется согласие пациента, за исключением случаев, прямо предусмотренных ст. 10 ч. 2 152-ФЗ (защита жизни и здоровья, медицинская статистика).

Как хранить медицинские карты в электронном виде?

Электронные медицинские карты должны храниться на серверах в Российской Федерации (ст. 18 ч. 5 152-ФЗ). Необходимы шифрование данных при хранении и передаче, разграничение доступа по ролям, журналирование всех обращений к данным и регулярное резервное копирование. Облачные МИС должны иметь сертификацию ФСТЭК.

Можно ли отправлять результаты анализов по email?

Формально — да, при наличии согласия пациента на такой способ передачи. Однако обычная электронная почта не обеспечивает шифрование end-to-end. Безопаснее использовать личный кабинет пациента с двухфакторной аутентификацией или защищённые медицинские платформы. Если отправляете по email — зафиксируйте согласие пациента в письменной форме.

Проверьте сайт клиники бесплатно

Автоматический аудит на соответствие 152-ФЗ за 60 секунд. Полный отчёт с нарушениями и штрафами — 1 990 ₽.

Нажимая кнопку, вы соглашаетесь с Политикой конфиденциальности и условиями использования

152-ФЗ простым языком →Штрафы 152-ФЗ: полная таблица →Чек-лист соответствия →ИИ-аудит: как это работает →

Данная статья носит информационный характер и не является юридической консультацией. Для получения юридически значимых заключений обратитесь к квалифицированному юристу в области защиты персональных данных и медицинского права.