Избыточные согласия на обработку персональных данных — это не «подстраховка», а способ добровольно записать клинику в группу высокого риска у Роскомнадзора и создать себе проблемы, куда серьёзнее, чем один штраф.

Почему лишние согласия опаснее штрафа

Многие руководители клиник думают так: «за лишние согласия никто не наказывает, значит, лучше взять согласие на всё». На первый взгляд логика понятна: в КоАП нет отдельной статьи именно за избыточные согласия.

Но в 2025 году изменился сам подход к контролю за персональными данными. Постановление Правительства № 1046 ввело систему индикаторов риска. В группу высокого риска (А) попадают операторы, которые:

• обрабатывают специальные категории и биометрические персональные данные;
• ведут большие базы (более 100 000 человек);
• ставят согласие основанием обработки там, где по закону можно обрабатывать данные без него;
• активно собирают данные через интернет и иностранные сервисы;
• передают персональные данные за рубеж или множеству третьих лиц.

Если клиника в уведомлении в реестр операторов указывает, что почти всё делает «на основании согласия», хотя могла бы опираться на закон или договор, она сама записывает себя в категорию максимального риска для Роскомнадзора.

Чем это оборачивается:

• чаще плановые проверки (раз в 2 года вместо более мягкого режима);
• обязательные профилактические визиты не «по настроению», а по графику;
• постоянная нагрузка по подготовке документов.​​

По сути, лишнее согласие — это маячок для Роскомнадзора: «мы не понимаем свои правовые основания обработки, приходите к нам почаще».

Как уведомление в реестр операторов «сдаёт» ваши ошибки

Уведомление в реестр операторов ПД (то самое, которое подаётся в Роскомнадзор) — это не формальность, а витрина ваших правовых оснований.​

В нём вы указываете:

• категории обрабатываемых ПД;
• цели обработки;
• правовые основания (закон, договор, согласие);
• наличие трансграничной передачи и т.д.​​

Если клиника вместо «закон/договор» проставляет «согласие» по всем процессам (лечение, ведение медкарты, передача в ЕГИСЗ, расчёты с СМО, взаимоотношения с работниками и т.п.), проверяющий делает простой вывод:

• у оператора нет корректной классификации процессов;
• согласие используется там, где закон даёт более сильное основание;
• организация автоматически попадает в группу риска по Постановлению № 1046.​

И дальше проверки приходят не «вдруг», а строго по плану.

Когда согласие пациента на обработку ПД не требуется

Ключевая мысль: согласие — не базовое, а резервное основание. В медицине во многих случаях клиника вполне законно обрабатывает ПД пациента без отдельного согласия, опираясь на закон или договор.​

​Согласие пациента НЕ требуется, если обработка идёт:

1. Для медико‑профилактических целей и оказания медпомощи
   • Лечение пациента, проведение обследования с привлечением сторонних мед организаций, ведение мед документации, оформление листков нетрудоспособности по 323‑ФЗ.
2. По договору платных медуслуг (ПМУ), включая ДМС
   • Обработка данных, необходимых для заключения и исполнения договора ПМУ (паспортные данные, контактные данные, сведения о состоянии здоровья в объёме, необходимом для услуги).​
3. При работе в системе ОМС
   • Передача ПД в страховую медорганизацию, ТФОМС по 326‑ФЗ.​
4. При передаче данных в ЕГИСЗ
   • Передача сведений в ЕГИСЗ по 323‑ФЗ и подзаконным актам (постановление № 140).​
5. Для фотофиксации в целях ВКК
   • Фотофиксация в целях контроля качества (приказ Минздрава № 785н) как часть процесса оказания помощи.​
6. Другие случаи, когда есть прямое законное основание
   • Например, когда обязанность обработки/передачи прямо возложена на медорганизацию законом или подзаконным актом.​

Во всех этих случаях включать в согласие цели вроде «оказание мед услуг по договору платных услуг», «медико-профилактические цель», «передача данных в ЕГИСЗ», «передача в СМО» — избыточно и вредно.

Когда согласие жизненно необходимо

Есть процессы, где без согласия работать нельзя — и именно там «забытое» согласие превращается уже в классическое нарушение с прямыми штрафами.​

Согласие пациента обязательно, когда:

1. Передаче ПД третьему лицу без медлицензии
   • Передача данных в МИС, принадлежащей 3-му лицу, СМС‑шлюз, сервис рассылки, облачный сервис (дата центр).​
2. Распространение персональных данных
   • Публикация фото пациента, историй лечения, отзывов с указанием ФИО в соцсетях, на сайте, в обучающих материалах, СМИ, рекламных баннерах.​
   Для ПД, разрешённых для распространения, действует отдельная конструкция согласия с особыми реквизитами (приказ Роскомнадзора № 18).​
3. Маркетинг и реклама
   • Рассылки об акциях, новых услугах, персональных предложениях по e‑mail, SMS, мессенджерам. Звонки по базе пациентов с предложением услуг.​
   Здесь пересекаются ст. 15 152‑ФЗ и ст. 18 Закона о рекламе: нет согласия — нет законного рекламного контакта, и ответственность может наступать и по 13.11 КоАП РФ, и по 14.3 КоАП РФ.​
4. Сбор метрических данных и cookie, если вы привязываете их к пользователю
   • Яндекс.Метрика, другие счётчики и трекинг, особенно при «склейке» с пользовательским профилем (телефон, e‑mail).​
   Роскомнадзор допускает разные формы согласия на cookie, но сам факт согласия и корректное информирование должны быть.​
5. Запись через сайт. личный кабинет с участием облачной МИС и бот.

Здесь отсутствие или «кривое» согласие уже напрямую приводит к штрафам по ч. 2 ст. 13.11 КоАП РФ и, при нарушении прав пациента как потребителя, к дополнительным санкциям по ЗоЗПП и компенсации морального вреда.

Чем плохи «универсальные» согласия в договоре

Типовой пример опасного текста:

«Подписывая настоящий договор, Пациент также выражает согласие на обработку… в том числе в целях продвижения на рынке товаров и услуг Исполнителя…».

Главные проблемы такого подхода:

• нарушено требование ч. 1 ст. 9 152‑ФЗ. Согласие должно быть отдельным документом, а не «вшито» в договор ПМУ;​
• пациент фактически вынужден согласиться на маркетинг, что может трактоваться как навязывание дополнительных условий;​
• при споре клинике сложно доказать, что согласие было свободным и осознанным, а не «подписали всё одним махом».​

В итоге: один абзац в договоре может дать связку из нескольких составов административных правонарушений (13.11, 14.8 КоАП РФ + моральный вред пациенту), а не только вопросы от Роскомнадзора.

Как клинике выстроить «умную» систему согласий?

1. Карта процессов обработки ПД
   • Чётко описать, какие данные, в каких целях обрабатываются, по каким каналам и кому передаются (МИС, ЕГИСЗ, СМО, маркетинг, подрядчики).
2. Привязка процессов к основаниям
   • Для каждого процесса выбрать верное основание: закон, договор, согласие.
   • Убрать согласия цели, которые уже покрыты законом/договором.
3. Корректное уведомление в реестр операторов
   • Обновить уведомление, чтобы в нём отражались корректные основания обработки, а не «согласие» везде.​
4. Разработать согласия по видам обработки
   • Отдельное согласие на распространение ПД.
   • Отдельное — на рекламу и маркетинговые коммуникации.
   • Отдельное — на передачу ПД конкретным третьим лицам (облачная МИС, сервис рассылки, система ЭДО и т.п.).​

Так клиника остаётся в правовом поле, не раздувает индикатор риска и при этом имеет сильную позицию на случай проверки или спора.

Если вы видите, что согласия в вашей клинике написаны “на всякий случай”, а уведомление в реестр операторов ПД давно никто не открывал, самое время провести аудит. Я помогаю медицинским организациям выстроить систему обработки персональных данных без избыточных согласий, с корректными основаниями и понятными формами для пациентов.

Вы можете написать мне через форму обратной связи на сайте или сразу в мессенджер MAX. Обсудим вашу ситуацию и подберём безопасное решение именно под вашу медорганизацию.

Казанкова Елена Викторовна

Медицинский юрист. Эксперт по работе с персональными данными в здравоохранении. Профессиональный медиатор в сфере медицины. Спикер отраслевых конференций по медицинскому праву.