ФЗ-152 для клиники: персональные данные пациентов на сайте и в CRM
ФЗ-152 «О персональных данных» для медицинской клиники — это не «политика на сайте для галочки», а полноценный комплекс из 5–7 обязательств, нарушение каждого из которых может стоить до 500 000 ₽. После поправок от 30.05.2025 штрафы по ст. 13.11 КоАП выросли в 3–5 раз, и Роскомнадзор активно использует автоматизированные проверки сайтов и форм. По нашим разборам 70+ клиник в портфолио: 8 из 10 нарушают ФЗ-152 в минимум 3 точках. В этой статье — что обязательно сделать, какие нарушения чаще всего ловят и сколько стоит каждое.
Данные пациентов — это специальная категория ПДн (информация о здоровье). Требования жёстче, чем у обычных компаний.
5 обязательных шагов: регистрация в Роскомнадзоре + согласие в каждой форме + Политика конфиденциальности + cookie-баннер + хранение на серверах в РФ.
Штрафы (с 30.05.2025): 100–500 тыс. ₽ за нарушение, до 15 млн при утечке данных пациентов. Дополнительно — приостановка обработки ПДн до 90 дней.
Регистрация в РКН — бесплатна (rkn.gov.ru → «Подать уведомление об обработке ПДн»). Срок — 2–3 недели. Делается раз и навсегда.
Почему ФЗ-152 в медицине жёстче, чем в любой другой отрасли
Когда клиника обрабатывает данные пациента (имя, телефон, дата рождения, диагноз, история обращений), она работает с «специальной категорией персональных данных» по ст. 10 ФЗ-152 — это сведения о состоянии здоровья. Закон относит к этой категории также национальность, политические и религиозные взгляды, генетические данные. К специальной категории — максимальные требования закона:
- Согласие пациента должно быть письменным и информированным (или электронным с верификацией) — не просто галочка «согласен».
- Цели обработки прописываются максимально подробно — нельзя написать «для оказания услуг», нужно «для записи на приём, ведения медицинской карты, осуществления платежей, отправки уведомлений по СМС».
- Хранение — только на серверах в РФ (ст. 18 ФЗ-152). Зарубежные CRM (Google Workspace, иностранные облака) запрещены для первичной обработки данных пациентов.
- Срок хранения медицинской документации в РФ — 25 лет (Приказ Минздрава №530н), что значительно дольше обычного срока ПДн (3 года).
После поправок от 30.05.2025 в ст. 13.11 КоАП штрафы за нарушение требований к специальной категории — от 300 000 до 700 000 ₽ для юр. лица (раньше — до 75 000 ₽). За утечку — отдельная шкала: 5–15 млн ₽ за один инцидент.
5 главных обязательств медицинской клиники по ФЗ-152
Минимальный набор «по закону», который должен быть у каждой клиники без исключений:
1. Регистрация в Роскомнадзоре как оператор ПДн
Подаётся бесплатное Уведомление об обработке ПДн через сайт pd.rkn.gov.ru. В уведомлении указывается: наименование оператора, ИНН, цели обработки, категории данных, способы обработки, срок хранения, перечень мер защиты, ФИО ответственного. Срок рассмотрения — до 30 рабочих дней. После регистрации клиника попадает в публичный реестр операторов ПДн. Без регистрации — штраф до 100 000 ₽ за юр. лицо (ст. 19.7 КоАП).
2. Согласие на обработку ПДн в каждой форме
На сайте — в каждой форме (запись на приём, обратная связь, заявка на расчёт, подписка), в МИС/CRM при первом приёме пациента — отдельный бумажный документ. Требования к согласию: чекбокс не предзаполнен, информированное (текст с целями и сроками), конкретное (отдельные галочки для разных целей: запись + рассылка), отзыв возможен в один клик. Просто «Согласен» без раздела целей и без ссылки на политику — нарушение, штраф 100–500 тыс. ₽.
3. Политика обработки персональных данных на сайте
Отдельная страница по адресу /privacy или /personal-data. Обязательные разделы: оператор и контактные данные, цели обработки, перечень обрабатываемых ПДн, способы обработки, сроки хранения, способы защиты, права субъекта ПДн (доступ, изменение, удаление), порядок реагирования на запросы. Ссылка на политику — со ВСЕХ форм сайта + в футере.
4. Cookie-баннер на сайте
Cookies, идентифицирующие пользователя (Яндекс.Метрика, ВК Пиксель, Google Analytics) — это персональные данные по разъяснению Роскомнадзора 2024 года. Это значит: при первом заходе пользователя нужен баннер с возможностью отказа от необязательных cookies + указание в политике, какие именно cookies собираются и зачем.
5. Хранение данных пациентов в РФ
По ст. 18 ФЗ-152 первичная обработка ПДн граждан РФ должна быть на серверах, физически расположенных на территории России. Разрешённые CRM: Битрикс24 (тариф «облако» — серверы в РФ), AMOCRM, МойКласс, Mango Office, медицинские МИС (МедЛок, Renovatio, Архимед). Запрещены для основной БД пациентов: зарубежные CRM (Hubspot, Salesforce, Zoho), Google Workspace, Notion, Airtable. Подробнее по СRM — смотрите наш отдельный гайд.
Регистрация в Роскомнадзоре: пошаговая инструкция
Самая частая отговорка клиник: «мы маленькие, нам не надо». Это миф — с 01.09.2022 уведомление обязательно для ВСЕХ операторов ПДн, включая ИП с одним сотрудником. Процедура:
- Откройте pd.rkn.gov.ru → раздел «Подать уведомление».
- Зарегистрируйтесь с подтверждением через Госуслуги (или ЭЦП юр.лица).
- Заполните 13 обязательных полей: реквизиты оператора (ИНН/ОГРН), правовое основание обработки, цели, категории субъектов (пациенты, сотрудники, кандидаты), перечень ПДн, способы и сроки обработки, технические/организационные меры защиты, ФИО ответственного за организацию обработки ПДн (приказом по клинике).
- Подпишите уведомление и отправьте.
- Через 1–3 недели получите подтверждение и номер в реестре.
Раз в год нужно сверять реестр и обновлять уведомление, если что-то изменилось (новые цели, новые системы хранения, смена ответственного). Подача дополнительных уведомлений — тоже бесплатна и онлайн.
Cookies и Яндекс.Метрика: почему это тоже ПДн
До 2024 года многие клиники считали, что cookies — это «технические данные», не требующие согласия. После разъяснений Роскомнадзора от октября 2024 и серии судебных решений ситуация изменилась: любые cookies, которые позволяют идентифицировать конкретного пользователя, относятся к персональным данным. Это касается:
- Яндекс.Метрика, Google Analytics, Top.Mail.Ru — статистика посещений с уникальными ID посетителей.
- ВК Пиксель, Яндекс Аудитории, Facebook Pixel — пиксели для ретаргетинга.
- Идентификаторы сессий, IP-адреса, User-Agent — если они логируются.
Что нужно на сайте: при первом заходе пользователя — баннер «Мы используем cookies для аналитики и улучшения сайта. Можно настроить или отказаться» с двумя кнопками: «Принять» / «Отказаться» (или «Настроить»). Если пользователь отказался — рекламные пиксели не запускаются. В политике конфиденциальности — отдельный раздел про cookies со списком всех счётчиков и пикселей.
Роскомнадзор в 2025 году запустил автоматизированную систему мониторинга сайтов на наличие cookie-баннеров и согласий на ПДн. Боты сканируют сайты массово, и при отсутствии баннера сайт попадает в очередь на ручную проверку. Особенно активно — медицинские сайты. Прецеденты штрафов за отсутствие баннера в 2025: 80–150 тыс. ₽ для частных клиник.
Штрафы ФЗ-152 после поправок от 30.05.2025
Сводная таблица актуальных штрафов для медицинской клиники (юр. лицо) по ст. 13.11 КоАП после поправок ФЗ-420 от 30.05.2025:
| Нарушение | Статья КоАП | Штраф (юр. лицо) |
|---|---|---|
| Нет регистрации в РКН как оператора | 19.7 | до 100 000 ₽ |
| Нет согласия на ПДн в форме | 13.11 ч. 1 | 100 000 – 500 000 ₽ |
| Нет политики на сайте | 13.11 ч. 2 | 50 000 – 300 000 ₽ |
| Хранение ПДн пациентов вне РФ | 13.11 ч. 8 | 1 000 000 – 6 000 000 ₽ |
| Утечка специальной категории ПДн | 13.11 ч. 11 | 5 000 000 – 15 000 000 ₽ |
| Cookie-баннера нет | 13.11 ч. 2 | 50 000 – 300 000 ₽ |
| Отказ удалить данные по запросу | 13.11 ч. 5 | 200 000 – 500 000 ₽ |
Дополнительно: при повторном нарушении штрафы удваиваются + Роскомнадзор может приостановить обработку ПДн до 90 дней (фактически — блокировка работы CRM/МИС).
Что нельзя хранить в зарубежной CRM
Если ваша клиника использует Hubspot, Salesforce, Notion, Airtable, Google Sheets для хранения базы пациентов — это нарушение ст. 18 ФЗ-152. Штрафы от 1 до 6 млн ₽. Что можно/нельзя:
- МОЖНО (серверы в РФ): Битрикс24 (тариф «облако»), AMOCRM, МойКласс, Mango Office, медицинские МИС, Яндекс 360, VK WorkSpace, MTS Link, Mango.
- МОЖНО (для статистики обезличенной): Яндекс.Метрика, Топ.Mail.Ru. Google Analytics в РФ работает ограниченно — лучше не использовать.
- НЕЛЬЗЯ (зарубежные облака): Hubspot, Salesforce, Zoho, Pipedrive, Google Workspace, Notion, Airtable, MailChimp, ConvertKit для базы пациентов.
- НЕЛЬЗЯ (мессенджеры): хранить базу пациентов в чатах WhatsApp/Telegram, скриншотах. Только в защищённой CRM с серверами в РФ.
Переход с зарубежной CRM на российскую делается за 2–4 недели (миграция базы + настройка процессов). Стоимость — от 30 000 ₽ за интеграцию. Это в 30 раз дешевле минимального штрафа.
Чек-лист соответствия ФЗ-152 за 30 минут
- Клиника зарегистрирована в Роскомнадзоре в реестре операторов ПДн?
- В каждой форме на сайте есть чекбокс «Согласен на обработку ПДн» (не предзаполнен) со ссылкой на политику?
- Есть отдельные галочки для разных целей (запись + рассылка) — или хотя бы одна форма не подменяет другую?
- Политика конфиденциальности — отдельная страница, содержит цели обработки, перечень данных, права субъекта ПДн?
- На сайте при первом заходе показывается cookie-баннер с возможностью отказа?
- В политике указаны все счётчики и пиксели на сайте (Яндекс.Метрика, ВК Пиксель и т.д.)?
- База пациентов хранится в CRM/МИС с серверами в РФ?
- Подписан приказ о назначении ответственного за обработку ПДн в клинике?
- Подписаны соглашения о конфиденциальности с сотрудниками, имеющими доступ к ПДн пациентов?
- Есть процедура реагирования на запрос «удалить мои данные» (срок 30 дней)?
Если «нет» по 3+ пунктам — высокий риск штрафа при первой жалобе пациента или плановой проверке РКН. Рекомендуем заказать полный юр-аудит клиники — закроем все вопросы за 5–7 рабочих дней.
Подготовка клиники к соответствию ФЗ-152
За 15 000 ₽ разово: подача уведомления в РКН + написание Политики конфиденциальности под вашу клинику + шаблоны согласий на обработку ПДн (для приёма, для рассылки, для сайта) + cookie-баннер для Tilda. Срок — 7–10 рабочих дней. Результат — клиника полностью в правовом поле ФЗ-152.
Заказать подготовку по ФЗ-152Частые вопросы про ФЗ-152 в медицине
Нужно ли медицинской клинике регистрироваться в Роскомнадзоре как оператору ПДн?
Какие штрафы за нарушение ФЗ-152 в 2026 году?
Являются ли cookies на сайте клиники персональными данными?
Можно ли хранить данные пациентов в зарубежной CRM или облаке?
Достаточно ли поставить чекбокс «Согласен» в форме записи?
