открыть менюзакрыть меню наши контакты
Компания

ОСНОВНАЯ СТРАНИЦА

Как снизить риски штрафов за утечку персональных данных без дорогостоящих СЗИ?

29 мая 2025

Как снизить риски штрафов за утечку персональных данных без дорогостоящих СЗИ?


Можно ли защититься от многомиллионных штрафов, не внедряя дорогостоящие средства защиты информации (СЗИ)? Разберём этот вопрос в статье.

Что изменилось с 1 мая 2025 года?

Новые штрафы за утечку персональных данных прописаны в Федеральном законе №420-ФЗ от 30.11.2024, а также в ряде подзаконных актов Роскомнадзора и Минцифры. Перечислим основные положения.
  1. Выросли штрафы за несоблюдение требований к защите ПДн: теперь они достигают 3% от выручки, но не менее 15 млн рублей и не более 500 млн рублей.
  2. Организациям, которые не направили уведомление в Роскомнадзор об обработке ПДн, грозит штраф до 700 тыс. рублей.
  3. Вводится административная ответственность за отсутствие юридически корректных согласий от пациентов на обработку ПДн. Выплаты могут составить до 1 млн рублей.
  4. Изменились правила получения согласий: устные формы и согласия «по умолчанию» больше не считаются юридически действительными.
  5. Начали действовать требования к видам электронных подписей, которые разрешено использовать при дистанционном взаимодействии с пациентами.

Что считается нарушением?

  1. Использование иностранных мессенджеров в госклиниках (Telegram, WhatsApp, Skype, Viber и др.) прямо запретили с 1 марта 2023 года (ст. 10, п. 8, ФЗ №149-ФЗ). Даже если пациент дал согласие на передачу данных через мессенджеры, вы не избежите штрафа. Сумма внушительная — до 700 тыс. рублей.
  2. В частных клиниках эти мессенджеры не запретили напрямую. Но чтобы пользоваться ими, необходимо информировать пациентов о рисках, хранить согласия и исключить передачу медицинских данных в незащищённом виде.
  3. Передачу данных по email (особенно через Gmail, Yahoo и другие зарубежные почтовые сервисы) приравняли к трансграничной передаче, что требует отдельного согласия пациента. Без него это считается нарушением.
  4. Подписанные на бумаге, но не зафиксированные в ИС согласия не считаются достаточной защитой в случае утечки.

Как правильно брать согласия?

Согласие на обработку персональных данных теперь должно:

  • быть конкретным, информированным и однозначным;
  • содержать цель обработки, перечень данных, срок хранения и право на отзыв;
  • быть подтверждено юридически значимой электронной подписью (если данные передаются дистанционно).
Клиника может использовать следующие виды подписей:
СМС-подтверждение можно использовать только как дополнительный фактор, но не как единственный юридически значимый способ подписания, так как этот способ не соответствует требованиям ФЗ-63 «Об электронной подписи». Для надёжности и легитимности каждой клинике следует использовать ЕСИА, Госключ, Личный кабинет пациента и усиленные электронные подписи.
ЕСИА и Госключ являются достаточными средствами идентификации и подтверждения согласий и сделок, если соблюдаются все требования закона.

Что можно подписывать онлайн?

  • Согласие на обработку персональных данных.
  • Информированное добровольное согласие на медицинское вмешательство.
  • Договор на оказание платных медицинских услуг.
  • Согласие на дистанционное консультирование (телемедицину).
Главное условие — подтверждение личности пациента через ЕСИА.

Как действовать клинике?

Используйте личный кабинет пациента или единый защищённый портал — для передачи информации, договоров, согласий, назначения приёмов и оплаты услуг.

✅ Интегрируйтесь с ЕСИА и Госключом:
  • это обеспечивает надёжную идентификацию пациента;
  • позволяет дистанционно подписывать документы (договоры, согласия, информированные согласия и др.);
  • является легитимной альтернативой бумажной подписи.
✅ Организуйте защищённые каналы связи:
  • откажитесь от мессенджеров и email, не прошедших проверку ФСТЭК/ФСБ;
  • используйте отечественные сертифицированные решения;
  • контролируйте доступ сотрудников к ПДн и ведите логирование.
Юридически правильно оформляйте согласия:
  • указывайте цель, перечень данных, срок хранения, способ отзыва;
  • для дистанционного взаимодействия — подписывайте документы через ЕСИА/Госключ;
  • храните все согласия в ИС, фиксируя IP, дату и способ подписи.
"Как видите, даже без дорогостоящих сертифицированных СЗИ можно снизить риск утечки данных и избежать многомиллионных штрафов. Главное — правильно оформлять юридические документы, контролировать доступ к информации, не использовать запрещённые каналы связи и соблюдать новые нормы законодательства с 1 мая 2025 года."
– Павел Плетнев,
руководитель Группы компаний «Рустелетех», «Центр информационной безопасности», «Авангард-ИТ»


Ссылка на ресурс: https://skillmed.pro/tpost/sjpdf8a161-kak-snizit-riski-shtrafov-za-utechku-per

 


29 мая 2025

Компания

О нас Новости Галерея Награды и достижения Лицензии и Сертификаты Вакансии Наша история

Продукты и услуги

Защита информации Инженерные системы Поставка оборудования и программного обеспечения Консалтинг и аутсорсинг

Проекты

Государственные учреждения Социальные учреждения и сфера услуг Производство Жилищно-коммунальные компании Коммерческие организации Силовые ведомства

Контакты

Наши контакты Реквизиты Вендоры Партнеры-продавцы и обособленные подразделения
© 2009 — 2025, ООО «ЦИБ»