Данные пациентов под защитой: почему мессенджеры оказались вне закона

С 1 июня 2025 года медикам, предоставляющим услуги по госзаказу, окончательно запретили использовать популярные в России WhatsApp* (принадлежит корпорации Meta, признанной экстремистской и запрещенной в России), Telegram и другие зарубежные мессенджеры для сбора и передачи персональных данных пациентов. За нарушение запрета грозят серьезные штрафы.

Получать и отправлять любую медицинскую информацию можно только через защищенные каналы связи или российское ПО. С июня этого года закон стал еще строже и прямо запретил передачу любых данных, которые могут быть квалифицированы как врачебная тайна, через иностранные мессенджеры. 

Меня зовут Любовь Казакова, я — ведущий эксперт по юридическим вопросам компании «КАДИС». В этой статье поговорим о том, что такое персональные данные и врачебная тайна, как закон их защищает, кому и почему нельзя пользоваться иностранными мессенджерами, а также какая ответственность предусмотрена в случае нарушения запрета. 

Персональные данные и врачебная тайна

Персональные данные — это любая информация, прямо или косвенно относящаяся к физическому лицу, то есть субъекту персональных данных — гражданину России (п. 1 ст. 3 Федерального закон от 27 июля 2006 года №152-ФЗ «О персональных данных»). К ним относятся общие (фамилия, имя и отчество, дата и место рождения, адрес регистрации, номер телефона и адрес электронной почты, а также сведения об образовании и месте работы), специальные (расовая и национальная принадлежность, политические, религиозные и философские убеждения, информация о состоянии здоровья и так далее), биометрические (физиологические и биологические характеристики конкретного человека, например, группа крови, цвет глаз, рост, результаты анализа ДНК, отпечатки пальцев) и иные данные (например, сведения о зарплате и графике отпусков). При этом следует отметить, что законодательство не содержит исчерпывающего перечня персональных данных.

В соответствии с п.1 ст. 10 федерального закона «О персональных данных» информация о состоянии здоровья также является специальными данными. К тому же, согласно ст. 13 закона «Об основах охраны здоровья граждан РФ», она попадает и в категорию врачебной тайны. Конкретно речь идет о сведениях о факте обращения гражданина за медицинской помощью, состоянии его здоровья и диагнозе, а также иной информации, полученной при его обследовании и лечении.

Только с личного согласия

Любая обработка такой информации допустима только с письменного согласия гражданина (п.2.1 ст. 10 закона «О персональных данных»). Исключением из этого правила могут быть ситуации, когда это необходимо для защиты жизни и здоровья человека или других лиц, а получить согласие невозможно (п. 2.3 ст. 10 настоящего закона), и другие предусмотренные законодательством случаи.

Даже если гражданин дал согласие на обработку своих медицинских данных, проводить ее обязан профессиональный специалист или медучреждение, обязанные сохранять врачебную тайну, в исключительно медико-профилактических целях, для установления диагноза и оказания медицинской помощи (п. 2.4 ст. 10 закона «О персональных данных»). Все клиники и специалисты, предоставляющие медуслуги в частном порядке обязаны зарегистрироваться в реестре операторов персональных данных Роскомнадзора.

Мессенджеры запрещенные

С 1 июня 2025 года вступил в силу Федеральный закон от 01.04.2025 №41-ФЗ, уточнивший нормы законодательства в отношении передачи персональных данных через иностранные мессенджеры (фактически — трансграничной) и запретивший с их помощью ряду организаций информировать россиян. Запрет касается банков и некредитных финансовых организаций, операторов связи, владельцев маркетплейсов и других лиц. Медицинские учреждения также попадают под действие этого закона.

Кроме того, в соответствии с новой редакцией Федерального закона от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и о защите информации», вступившей в силу с 1 марта 2023 года, пользоваться иностранными мессенджерами для сбора персональных данных запрещено во многих сферах. Так, согласно ч. 8 ст. 10 Закона, это недопустимо при предоставлении госуслуг, а также выполнении госзаданий. Пользоваться иностранными мессенджерами также не могут госкомпании, муниципальные унитарные предприятия и юрлица, в уставном капитале которых доля участия государства превышает 50%.

Перечень запрещенных мессенджеров утверждает и публикует на своем официальном сайте Роскомнадзор. Сейчас в нем указаны WhatsApp*, Telegram, WeСhat, Viber, Threema, Miсrosoft Teams, Skype, Snapсhat, Disсord и другие. Список постоянно обновляется.

Иностранные базы данных и российские мессенджеры

Также 1 июля 2025 год вступили в силу новые поправки к закону «О персональных данных», регулирующие вопрос их сбора на территории России. Теперь по общему правилу при сборе персональных данных, в том числе посредством интернета, не допускаются запись, систематизация, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных граждан с использованием баз данных, находящихся за пределами территории РФ.

Если информация с сайта или мессенджера сразу уходит на иностранные серверы, это будет считаться нарушением.

В силу этих обстоятельств для сбора и обработки персональных данных можно использовать только российские программы и решения, указанные официальном реестре российского ПО Минцифры. Согласно ему, для этих целей подойдут VK Мессенджер, VK WorkSpaсe, VK MAX, TrueСonf, MyOffiсe Мессенджер, Яндекс Мессенджер, Росчат и другие.

Также организациям разрешено использовать собственные защищенные каналы связи, к примеру, присылать уведомления пациентам в их личные кабинеты на сайте клиники.

Риски для медучреждений

В соответствии с действующим законодательством госклиники не имеют права использовать иностранное ПО для сбора и обработки персональных данных пациентов. То же можно сказать и про частные медучреждения, участвующие в государственных программах, например, предоставляющих некоторые услуги по ОМС.

Теперь переписки с пациентами в популярных мессенджерах окончательно запрещены с 1 июня 2025 года.

При этом частные клиники, не работающие по ОМС, формально не подпадают под прямой запрет. Но если они участвуют в госзаказе, ответственность и риски для них сохраняются. Следует учесть, что даже напоминания о визите к врачу могут квалифицироваться как информация, относящаяся к врачебной тайне.

Многомиллионная ответственность

Нарушение запрета на использование иностранных мессенджеров для сбора и передачи персональных данных пациентов грозит врачам и клиникам серьезными штрафами. Так, согласно ст. 13.11.2 КоАП РФ для должностных лиц выплаты составят от 30 до 50 тысяч рублей, для организаций — от 100 до 700 тысяч рублей.

Кроме того, в случае утечки персональных данных ответственность становится более серьезной. Для должностных лиц штраф может составить от 200 тысяч до 1,5 миллионов рублей, для юридических лиц — до 20 миллионов рублей (ч. 12-18 ст. 13.11 КоАП РФ). Все зависит от объема утечки.

При этом с 30 мая 2025 года для юридических лиц, повторно допустивших утечку данных, вводятся оборотные штрафы.

Средства защиты для клиники

Любые мессенджеры и социальные сети не являются защищенным каналом связи. При их использовании всегда остается риск утечки персональных данных. Кроме того, все они не относятся к телемедицине.

С целью снижения рисков рекомендуется систематически проводить обучение персонала, следить за изменениями в законодательстве и своевременно доводить информацию до своих сотрудников. Также избежать нарушений поможет регулярный аудит средств коммуникации на соответствие требованиям по защите персональных данных.