Вопрос

Обязательно ли вносить паспортные данные в договор на медицинские услуги и получать согласие на обработку персональных данных, если я не передаю их третьим лицам?

Я начинающий директор клиники, в договорах на оказание мед услуг не вписываю данные паспорта. и не беру с пациентов согласие на обработку персональных данных, потому, что их не распространяю. Это нарушение закона? Вроде бы врачи заполняют карты, там есть фамилия и адрес, но я не передаю их никуда.

Вопрос №82625Ответы: 1

29.06.2026

Нейроадвокат

10:0229.06.2026

Нарушение прав пациентов Нужен документ

В данной ситуации имеет место осуществление деятельности частной медицинской организацией (клиникой) в сфере оказания платных медицинских услуг. Юридически значимыми являются действия директора по оформлению договорных отношений с пациентами и организации внутреннего документооборота в виде ведения медицинских карт.

Ключевой аспект ситуации — это обработка персональных данных пациентов. В процессе оказания медицинской помощи клиника неизбежно сталкивается с информацией, которая относится к персональным данным пациента: фамилия, имя, отчество, адрес регистрации или проживания, а также данные о состоянии здоровья (медицинские карты). Даже если клиника не передает эти данные третьим лицам и не публикует их, сам факт сбора, записи, систематизации, накопления, хранения и использования такой информации в медицинской документации является обработкой персональных данных. Законодательство о персональных данных (Федеральный закон «О персональных данных») не связывает обязанность получить согласие субъекта (пациента) исключительно с фактом дальнейшей передачи или распространения данных — обработка сама по себе требует правового основания.

Таким образом, директор клиники ошибочно полагает, что отсутствие передачи данных третьим лицам освобождает от необходимости получения согласия на обработку. Даже если данные (включая паспортные) обрабатываются исключительно внутри клиники, это является обработкой. Медицинские карты, содержащие фамилию, адрес и сведения о здоровье, являются примером обрабатываемых персональных данных.

Что касается договора на оказание медицинских услуг: данный договор является основанием для возникновения правоотношений между клиникой и пациентом. Содержание договора регламентируется нормами гражданского законодательства. Паспортные данные (серия, номер, кем и когда выдан) часто включаются в договор для целей идентификации пациента как стороны сделки, однако гражданское законодательство не содержит прямого императивного требования об обязательном включении именно паспортных данных в текст договора. Тем не менее, для подтверждения личности пациента и корректного ведения регистрации имеет значение, какие именно сведения использует клиника. Юридически значимо, чтобы стороны были надлежащим образом идентифицированы.

В совокупности, ситуация затрагивает следующие правоотношения:

Договорные правоотношения между клиникой и пациентом (оказание платных медицинских услуг).
Правоотношения в сфере обработки и защиты персональных данных (сбор, хранение, использование информации о пациенте).
Правоотношения в сфере здравоохранения, связанные с порядком оформления медицинской документации.

Юридически значимые обстоятельства: факт сбора и хранения персональных данных пациентов (фамилия, адрес, данные о здоровье) без получения документально оформленного согласия на их обработку; отсутствие паспортных данных в тексте договора при наличии медицинской карты, которая идентифицирует и содержит данные пациента.

Начну с ключевого: подлежащие обработке в клинике сведения — фамилия, адрес, а также данные о состоянии здоровья пациента — являются персональными данными (далее — ПД) по смыслу Федерального закона «О персональных данных». Согласно ст. 3 этого Закона, персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД). Фамилия и адрес прямо идентифицируют пациента, а сведения о его здоровье также отнесены к ПД. При этом обработка ПД, как указано в той же статье, включает любое действие (операцию) с ними — сбор, запись, систематизацию, накопление, хранение, использование и т.д. Ведение медицинских карт врачами, внесение фамилии и адреса — это сбор, запись и хранение, то есть обработка ПД. И даже если эти данные «никуда не передаются», сам факт их фиксации в карте и хранения является обработкой. Мнение директора о том, что раз он не распространяет данные (не раскрывает неопределенному кругу лиц), то согласие не нужно, основано на неверном понимании термина «распространение» — он охватывает лишь одну из форм обработки, а не всю обработку.

Статья 3: 1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); 3) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; 5) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
— Федеральный закон «О персональных данных», ст. 3

Теперь разберём, требуется ли директору получать от пациента письменное согласие на обработку его ПД. Ключевым здесь является то, какие именно ПД обрабатываются. Фамилия и адрес относятся к обычным ПД, а сведения о состоянии здоровья (диагноз, результаты обследований и т.д.) — к специальной категории ПД, обработка которых по общему правилу запрещена (ст. 10 Закона о ПД). Однако для медицинской деятельности Закон предусматривает исключение.

Статья 10. Специальные категории персональных данных

Обработка специальных категорий персональных данных, касающихся ... состояния здоровья, ... не допускается, за исключением случаев, предусмотренных частями 2 и 2.1 настоящей статьи.
Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:

субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательс

— Федеральный закон «О персональных данных», ст. 10

Как видно, п. 4 ч. 2 ст. 10 допускает обработку ПД о состоянии здоровья без согласия пациента, если она осуществляется в медико-профилактических целях (для установления диагноза, оказания медицинских услуг) и при условии, что обработку проводит лицо, профессионально занимающееся медицинской деятельностью и обязанное сохранять врачебную тайну. Врачи клиники как раз являются такими лицами, а ведение медицинских карт — это часть оказания помощи. Следовательно, в части сведений о состоянии здоровья, вносимых врачами в карты, письменное согласие пациента на их обработку может не требоваться. Однако это исключение не означает, что оператор (клиника в лице директора) вовсе освобождён от обязанности информировать пациента об обработке его ПД и от выполнения иных требований Закона. Кроме того, у пациента есть право знать, какие именно ПД обрабатываются, для каких целей и на каком основании.

Для обычных ПД — фамилии и адреса — Закон предлагает несколько возможных оснований обработки без согласия. Одно из них — исполнение договора, стороной которого является субъект ПД.

Статья 6. Условия обработки персональных данных: 1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; 5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
— Федеральный закон «О персональных данных», ст. 6

Фамилия и адрес пациента объективно необходимы клинике для исполнения договора на оказание медицинских услуг: чтобы идентифицировать пациента, вести его медицинскую документацию, направлять уведомления, выписывать рецепты. Поэтому обработка этих обычных ПД может осуществляться без отдельного согласия на основании п. 5 ч. 1 ст. 6 Закона о ПД (как необходимая для исполнения договора). Это отвечает на второй вопрос: для обработки фамилии и адреса согласие может не требоваться в силу наличия иного законного основания (исполнение договора). Однако директор должен знать, что если он вдруг решит использовать эти данные для иных целей (например, для маркетинга или передачи третьим лицам), то потребуется отдельное согласие.

Но даже при наличии законного основания обработки (по договору или по специальному исключению для медуслуг) директор обязан соблюдать требования к сбору ПД, предусмотренные ст. 18 Закона о ПД. При получении ПД непосредственно от пациента (а именно так происходит при оформлении в клинику) оператор должен предоставить пациенту определённую информацию.

Статья 18. Обязанности оператора при сборе персональных данных. Часть 2: Если в соответствии с федеральным законом предоставление персональных данных и (или) получение оператором согласия на обработку персональных данных являются обязательными, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку. Часть 3: Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию: 1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя; 2) цель обработки персональных дан
— Федеральный закон «О персональных данных», ст. 18

В данном контексте пациент сам сообщает свои ПД при обращении — это данные получены от субъекта. Следовательно, часть 3 ст. 18 не применяется (она для случаев, когда данные получены не от субъекта). Однако часть 2 ст. 18 обязывает оператора, если закон предусматривает обязательность предоставления ПД (а в медицине для идентификации и ведения карты предоставление фамилии и адреса фактически обязательно), разъяснить пациенту юридические последствия отказа предоставить эти данные. Директор обязан проинформировать пациента о том, что без фамилии и адреса договор не может быть заключён и медицинская помощь не будет оказана. Если директор этого не делает, он нарушает ст. 18 ч. 2. Кроме того, даже если согласие на обработку не требуется, оператор должен обеспечить реализацию прав субъекта ПД, в частности права на получение информации об обработке (ст. 14, вне контекста, но это общий принцип). В любом случае, игнорирование обязанности разъяснения — нарушение.

Относительно паспортных данных в договоре. Закон не требует обязательно включать их в текст договора на оказание медицинских услуг. Однако для оформления письменного согласия на обработку ПД (если оно всё же потребуется, например, для передачи данных куда-либо) ст. 9 Закона о ПД устанавливает, что такое согласие должно содержать номер основного документа, удостоверяющего личность.

Статья 9. Согласие субъекта персональных данных на обработку его персональных данных. 1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. ... 4. ... Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности: 1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; ...
— Федеральный закон «О персональных данных», ст. 9

Поскольку в рассматриваемой ситуации директор не получает письменного согласия вовсе, вопрос о включении паспортных данных в согласие не стоит. Но если бы он решил оформлять такое согласие (например, на случай передачи данных страховщику по требованию), то паспортные данные в нём обязательны. Для самого договора паспортные данные не обязательны — их можно не включать, это не является нарушением. Однако для однозначной идентификации пациента в ряде случаев (например, при оказании помощи в стационаре) закон может требовать указания паспортных данных в иной документации, но не в договоре.

Наконец, необходимо учитывать требования о врачебной тайне. Сведения, содержащиеся в медицинских картах (фамилия, адрес, диагноз), составляют врачебную тайну (ст. 13 Федерального закона «Об основах охраны здоровья граждан в РФ»).

Статья 13. Соблюдение врачебной тайны. 1. Сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну. 2. Не допускается разглашение сведений, составляющих врачебную тайну, в том числе после смерти человека, лицами, которым они стали известны при обучении, исполнении трудовых, должностных, служебных и иных обязанностей, за исключением случаев, установленных частями 3 и 4 настоящей статьи.
— Федеральный закон «Об основах охраны здоровья граждан в Российской Федерации», ст. 13

Директор клиники, а также врачи являются лицами, которым эти сведения стали известны при исполнении трудовых обязанностей. Утверждение директора о том, что он «не передаёт данные никуда», формально свидетельствует о соблюдении режима врачебной тайны (разглашения не происходит). Однако сам по себе факт обработки медицинских карт (сбор, хранение) без принятия мер по защите конфиденциальности может быть нарушением, если доступ к картам имеют посторонние лица (техперсонал, уборщики и т.д.). Закон о ПД (ст. 7) также обязывает оператора не раскрывать ПД без согласия, но это не равнозначно обязанности принимать организационные и технические меры защиты — последние предусмотрены ст. 19 Закона о ПД, которая не вошла в предоставленный контекст, но её наличие необходимо учитывать. В рамках данного анализа можно указать, что директор должен обеспечить ограниченный доступ к медкартам и контроль за их сохранностью.

Таким образом, основные нарушения в описанной ситуации связаны не с отсутствием согласия на обработку ПД (для медицинских целей оно может не требоваться), а с невыполнением обязанности разъяснить пациенту последствия отказа предоставить ПД (ст. 18 ч. 2 Закона о ПД) и, возможно, с отсутствием надлежащего информирования об обработке данных. Отсутствие паспортных данных в договоре нарушением не является. Также нет оснований утверждать, что директор обязан получить письменное согласие на обработку ПД о здоровье, если обработка ведётся исключительно врачами для оказания помощи и без передачи третьим лицам. Однако для подстраховки и с учётом сложившейся правоприменительной практики (особенно требований Роскомнадзора) рекомендуется получать информированное добровольное согласие на обработку ПД хотя бы в минимальной форме — это снизит риски при проверках.

Столкнулись с похожей ситуацией?

Подробно опишите детали,
и Нейроадвокат подберёт решение

Практика вашей клиники, заключающаяся в невключении паспортных данных в договор и непредоставлении отдельного согласия на обработку, частично не противоречит закону, но содержит значительный пробел. Отсутствие паспортных данных в самом договоре не является нарушением. Вы не обязаны получать отдельное письменное согласие на обработку данных о состоянии здоровья, если она ведется исключительно врачами для оказания медицинской помощи, однако вы грубо нарушаете закон, не разъясняя пациентам юридические последствия отказа предоставить их персональные данные (фамилию, адрес) и не предоставляя им иную обязательную информацию об обработке.

Обработка фамилий и адресов в медкартах законна на основании договора, а данных о здоровье — в силу исключения для медицинской деятельности. Однако полное игнорирование обязанности по информированию пациентов создает риск административной ответственности для клиники как оператора персональных данных.

Правовая оценка и риски

Отсутствие паспортных данных в договоре: Законом не предусмотрена обязанность включать паспортные данные пациента в договор на оказание платных медицинских услуг. Нарушения в этой части нет.
Обработка данных о здоровье без согласия: Законна. Сбор и хранение сведений о диагнозах и лечении в медицинских картах подпадает под исключение, предусмотренное п. 4 ч. 2 ст. 10 Федерального закона «О персональных данных», и не требует получения отдельного согласия, если осуществляется врачами в процессе оказания медпомощи.
Нарушение №1 — непредоставление информации: Вы не выполняете требование ч. 2 ст. 18 Федерального закона «О персональных данных». При сборе фамилии и адреса, которые объективно необходимы для исполнения договора, вы обязаны письменно или под подпись разъяснить пациенту юридические последствия отказа их предоставить (невозможность заключить договор и оказать помощь). Неисполнение — это административное правонарушение.
Нарушение №2 — отсутствие политики и уведомлений: Как оператор персональных данных, клиника обязана опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему политику обработки персональных данных (ч. 2 ст. 18.1 Закона «О персональных данных»). Если такого документа нет и пациентов с ним не знакомят, это является самостоятельным нарушением.
Риски: Отсутствие документально зафиксированного информирования может быть квалифицировано как обработка персональных данных с нарушением требований законодательства, что влечет штраф по ч. 1 ст. 13.11 КоАП РФ. Для юридических лиц штраф составит от 60 000 до 100 000 рублей. При повторном нарушении санкции кратно возрастают, возможна дисквалификация.

Куда обращаться и порядок действий

Нарушения в сфере персональных данных выявляются Роскомнадзором в ходе плановых или внеплановых проверок (например, по жалобе пациента). Ваша задача — инициативно устранить нарушения до взаимодействия с надзорным органом.

Внедрить в клинике документ «Политика обработки персональных данных» в соответствии со ст. 18.1 Закона.
Разработать и использовать стандартную форму «Согласие на обработку персональных данных» для подстраховки и полного информирования пациентов.

Документы и доказательства

Законный порядок подразумевает наличие в клинике следующего пакета документов:

Договор на оказание платных медицинских услуг (паспортные данные — факультативно).
Политика обработки персональных данных (доступна для ознакомления, например, на стойке регистратуры и сайте).
Письменное информированное согласие на обработку ПД, в котором перечислены все действия с данными, включая ведение медкарты, и разъяснены последствия отказа от предоставления данных.
Медицинская карта пациента (оформляется в соответствии с приказами Минздрава).

Денежные требования

Прямых денежных требований к вам нет. Единственный риск — административный штраф:

от 60 000 до 100 000 рублей на организацию за первичное нарушение (ч. 1 ст. 13.11 КоАП РФ).

Сроки и риски

Сроки: Срок устранения нарушений целесообразно определить в 2–4 недели, необходимые для разработки и утверждения локальных актов (политики и формы согласия). Срок давности привлечения к административной ответственности за нарушение в сфере персональных данных составляет 1 год.
Риски в перспективе: Главный риск — жалоба пациента в Роскомнадзор, поводом для которой может стать любой конфликт. Также не исключены проблемы при получении лицензии, при запросе медицинской документации судом или страховой компанией, если выяснится отсутствие согласия на обработку.

Когда нужен адвокат

Обращение к адвокату настоятельно рекомендуется в следующих случаях:

В клинику поступил запрос от Роскомнадзора о предоставлении сведений в рамках проверки.
Планируется внедрение сложных информационных систем (например, перевод медкарт в цифровой формат с подключением к ЕГИСЗ), где требуется более детальная проработка оснований обработки данных.
Получен иск от пациента, оспаривающего законность обработки его данных.