Какие данные запрашивает клиника и на каком основании
Любая медицинская клиника в Москве работает с двумя категориями персональных данных, и понимание границ между ними — первый шаг к осознанному согласию.
1. Общие персональные данные. ФИО, дата рождения, адрес регистрации, номер телефона, данные паспорта или полиса ОМС. Эти сведения клиника запрашивает на основании ст. 6 Федерального закона № 152-ФЗ и требований приказа Минздрава России. Цель — идентификация пациента и оформление медицинской документации.
2. Специальные категории данных. Сюда относятся сведения о состоянии здоровья, диагнозах, результатах анализов, назначенном лечении. Обработка этих данных допускается только при наличии вашего явного согласия (ст. 10 закона № 152-ФЗ) и подпадает под понятие «медицинская тайна», защищённая статьёй 13 Федерального закона № 323-ФЗ «Об основах охраны здоровья граждан».
> По закону, обработка данных о состоянии здоровья допускается только при наличии письменного согласия пациента, за исключением случаев, необходимых для защиты жизни или здоровья (ст. 10 ч. 2 ФЗ-152).
По нашему опыту, большинство московских клиник используют единый бланк согласия, который покрывает обе категории. Однако качество формулировок в этих бланках существенно различается — от лаконичных двухстраничных документов до подробных многостраничных соглашений. Именно поэтому важно знать, на что обращать внимание при первичном осмотре и заполнении анкеты.
Что проверить в тексте согласия до подписания
Мы рекомендуем проходить каждый пункт бланка системно. Вот пошаговый алгоритм, который команда crescentmoonhealth.com разработала на основе анализа реальных бланков московских клиник.
1. Проверьте идентификацию клиники. В шапке согласия должны быть указаны полное наименование юридического лица, ИНН, ОГРН и реквизиты лицензии на медицинскую деятельность. Отсутствие лицензии — прямое нарушение, и подписание такого согласия не защищает ваши права.
2. Найдите перечень обрабатываемых данных. Хороший бланк содержит конкретный список: ФИО, дата рождения, адрес, номер полиса ОМС или ДМС, диагноз, коды заболеваний по МКБ-10, результаты исследований. Если в согласии написано «и иные данные» без расшифровки — это повод запросить уточнение.
3. Определите цели обработки. Закон требует, чтобы цели были сформулированы конкретно: «оказание медицинских услуг», «ведение медицинской документации», «передача в страховую компанию». Расплывчатые формулировки вроде «в иных целях, предусмотренных законодательством» — маркер того, что клиника оставляет себе широкие полномочия.
4. Оцените перечень получателей данных. Кому клиника передаёт информацию? Страховой компании, лаборатории, государственным органам — это нормально. А вот передача «партнёрам», «ассоциированным компаниям» или «третьим лицам» без конкретного перечня — причина задуматься.
5. Проверьте срок хранения данных. Согласие должно содержать указание на то, как долго клиника хранит информацию. По приказу Минздрава, медицинская документация хранится не менее 25 лет (для взрослых) и 50 лет (для детей). Если в согласии указан срок, значительно превышающий эти нормы, уточните обоснование.
6. Убедитесь в наличии права на отзыв. Согласно ст. 9 ФЗ-152, вы имеете право отозвать согласие в любой момент. В бланке должна быть соответствующая формулировка и описана процедура отзыва.
7. Обратите внимание на порядок передачи данных за рубеж. Если клиника планирует передавать данные за пределы России (например, для телемедицинских консультаций), это должно быть отдельно оговорено в согласии с указанием уровня защиты персональных данных в стране получателя.
Таблица проверки пунктов согласия
Ниже — сводная таблица, которую можно распечатать и взять с собой на приём. Мы составили её на основе анализа бланков десяти московских клиник и рекомендаций Роскомнадзора.
| Параметр | Что должно быть | На что обратить внимание |
|---|---|---|
| Реквизиты клиники | Полное наименование, ИНН, ОГРН, номер лицензии | Проверьте лицензию на сайте Росздравнадзора |
| Перечень данных | Конкретный список (ФИО, диагноз, коды МКБ) | Фраза «и иные данные» без расшифровки — минус |
| Цели обработки | «Оказание медуслуг», «ведение документации» | «Иные цели» без конкретики — повод уточнить |
| Получатели | Страховая, лаборатория, Минздрав | «Партнёры» и «ассоциированные компании» — уточните |
| Срок хранения | 25 лет (взрослые), 50 лет (дети) | Срок выше нормы — запросите обоснование |
| Право на отзыв | Ссылка на ст. 9 ФЗ-152, процедура отзыва | Отсутствие пункта о отзыве — нарушение закона |
| Передача за рубеж | Указание страны и уровня защиты | Если не оговорено — данных за рубеж не будет |
Риски при неправильном оформлении согласия
Непродуманное подписание согласия может обернуться реальными проблемами. Мы выделили три основных сценария, с которыми сталкивались наши читатели.
1. Утечка медицинской тайны. Если согласие содержит размытые формулировки о передаче данных, клиника формально имеет право передать информацию о вашем диагнозе третьим лицам — например, партнёрам для «маркетинговых исследований». В 2025 году Роскомнадзор провёл более 12 000 проверок в сфере персональных данных, и медицинские организации стабильно входят в топ-5 нарушителей.
2. Трудности с отказом от услуг. Если в согласии прописана передача данных в несколько организаций без возможности выборочного отзыва, вы можете столкнуться с ситуацией, когда данные уже распространены, и остановить процесс крайне сложно.
3. Проблемы при смене клиники. При переходе в другую клинику старая организация обязана передать медицинскую документацию новой (ст. 22 ФЗ-323), но если согласие на обработку данных оформлено неправильно, процесс может затянуться. Подробнее о том, как получить копию медицинской карты из клиники по закону, мы рассказывали в отдельном материале.
> Согласно п. 3 ст. 21 ФЗ-152, оператор обязан прекратить обработку персональных данных в течение 30 календарных дней с момента получения отзыва.
Также рекомендуем проверить, соответствует ли формат согласия структуре договора на лечение: что проверить перед подписанием — эти два документа должны быть юридически согласованы. По результатам нашего теста бланков, в 4 из 10 случаев пункты согласия и договора противоречат друг другу по перечню передаваемых данных.
Когда согласие не требуется или можно отозвать
Законодательство предусматривает ситуации, когда обработка данных допускается без отдельного согласия, а также механизм для отзыва уже данного согласия.
Случаи без согласия:
1. Угроза жизни или здоровью. Если пациент находится в критическом состоянии и не может дать согласие, клиника вправе обрабатывать данные для спасения жизни (ст. 10 ч. 2 ФЗ-152). Это стандартная практика при экстренной госпитализации, когда проводится первичный осмотр и срочные диагностические процедуры.
2. Государственные органы. По запросу суда, прокуратуры или органов дознания клиника обязана предоставить данные без дополнительного согласия пациента.
3. Страховые случаи по ОМС. При обращении по полису ОМС часть данных передаётся в фонд обязательного медицинского страхования в рамках государственных программ — это предусмотрено базовой программой ОМС и не требует отдельного согласия.
Процедура отзыва согласия:
1. Составьте письменное заявление. Укажите ФИО, данные документа, удостоверяющего личность, и конкретный пункт согласия, которое вы отзываете.
2. Подайте заявление лично или заказным письмом. Личное обращение предпочтительнее — вы получите отметку о приёме на копии заявления.
3. Дождитесь подтверждения. Клиника обязана предоставить письменное подтверждение прекращения обработки в течение 30 календарных дней.
4. Проверьте факт прекращения. Запросите у клиники письменное уведомление о том, что обработка данных прекращена, а данные уничтожены или обезличены. Сохраняйте это уведомление на случай возможных разногласий.
Важно: отзыв согласия не влияет на обработку данных, уже проведённую до момента отзыва. Если клиника передала ваши данные страховщику до получения заявления, формально нарушения нет. Однако если речь идёт о передаче данных в коммерческие структуры, не предусмотренные первоначальным согласием, вы вправе обратиться с жалобой в Роскомнадзор.
Нужно ли оформлять согласие повторно при каждом визите в клинику?
Нет, стандартное согласие на обработку персональных данных оформляется один раз и действует до момента отзыва. Однако если вы обращаетесь за новым видом медицинской помощи (например, от стоматологии к хирургии), клиника может запросить дополнительное согласие на обработку новых категорий данных — это законно и не является нарушением.
Что делать, если клиника отказывается предоставлять копию согласия?
Согласно ст. 9 ФЗ-152, вы имеете право получить копию согласия и информацию о том, какие данные обрабатываются и в каких целях. Отказ является нарушением закона. Вы можете подать жалобу в Роскомнадзор через портал Gosuslugi или направить обращение напрямую в территориальное управление ведомства.
Можно ли дать согласие в электронной форме?
Да, с 2026 года электронная форма согласия допускается при условии использования квалифицированной электронной подписи (КЭП) или иного способа, подтверждающего личность пациента. Однако на практике большинство московских клиник по-прежнему используют бумажные бланки, особенно при первичном обращении. Перед визитом уточните формат в регистратуре — это сэкономит время.