ТатьянаБескаравайнаяПрофессиональный юрист предупредил медицинских работников о недопустимости сохранения паролей в учетных записях, ужесточении уголовной ответственности за недостоверные сертификаты о вакцинации и приписки. Изменения связаны с включением с этого года медицинских информационных систем в объекты критической информационной инфраструктуры.
Юрий Прытков | Фото: vk.com/wall-55066093_78973
Начальник управления по надзору за исполнением федерального законодательства прокуратуры Калужской области Юрий Прытков рассказал о самых частых административных правонарушениях и уголовных преступлениях в сфере информационной безопасности, по которым медицинских работников могут привлечь к административной или уголовной ответственности в 2026 году. Медорганизации вынуждены выплачивать из-за действий сотрудников крупные штрафы, сообщил он на конференции Национальной медицинской палаты 24 июня.
Юрист подчеркнул, что его цель — не напугать, «а лишь предупредить о наиболее распространенных нарушениях для того, чтобы в ваших организациях вы могли их не допустить». Изменения связаны с тем, что с этого года в России введена уголовная ответственность за нарушения в сфере критической информационной инфраструктуры (КИИ) — теперь к таким объектам относятся медицинские информационные системы (МИС). Это означает, что правонарушения, совершенные с их использованием, считаются уголовным преступлением.
Уголовная ответственность установлена за нарушение правил эксплуатации средств хранения, обработки и передачи охраняемой компьютерной информации в КИИ, если она была уничтожена, модифицирована или скопирована. Это преступление средней тяжести — санкция предусматривает лишение свободы на срок до шести лет. Если эти деяния повлекло тяжкие последствия, то преступление считается уже тяжким. Непринятие необходимых мер, направленных на обеспечение безопасности объектов КИИ, — по сути, первый шаг к уголовной ответственности, подчеркнул Юрий Прытков.
Он отметил, что, как правило, медработники пренебрегают запретом на передачу паролей от учетных записей или допускают их хранение в текстовых файлах, к которым могут получить доступ третьи лица. Это одно из самых частых нарушений. В пример он привел такой случай: на компьютере в кабинете одной из медорганизаций были сохранены логины и пароли всех медработников, которые работают там посменно. То есть любой из них имел возможность войти в систему под любой учетной записью и внести любые сведения в МИС.
«В соответствии с отраслевым законодательством передавать логины и пароли из рук в руки нельзя. Действие каждого пользователя должно быть уникально идентифицировано», — напомнил юрист.
Внесение медработниками заведомо ложных и недостоверных сведений в модуль единой государственной информационной системы в сфере здравоохранения (ЕГИСЗ), например, о вакцинации и диспансеризации, которую гражданин на самом деле не проходил, относится к уголовным преступлениям. В правоприменительной практике сложились неоднозначные подходы к уголовно-правовой квалификации этих действий, но прослеживается общий тренд к ужесточению позиции судей в отношении таких преступлений, считает Юрий Прытков.
Одно из таких дел рассматривалось в Нижнем Новгороде. Медсестра поликлиники, используя учетную запись врача, вносила недостоверные данные о сделанных прививках, а ее сообщник предоставлял информацию о нуждавшихся в такой услуге без прохождения вакцинации. Их приговорили к нескольким годам лишения свободы и штрафам в размере 600 тыс. и 550 тыс. руб. соответственно. В кассационной жалобе осужденные отрицали умышленное причинение вреда объектам КИИ. Но судебная коллегия по уголовным делам Верховного суда в мае 2026 года оставила жалобу без удовлетворения.
По словам прокурора, руководителям медорганизаций — должностным лицам нужно это учитывать и принять дополнительные меры для недопущения противоправного поведения подчиненных работников. Юрий Прытков также напомнил, что наличие на сайтах формы обратной связи, книги отзывов, сервисов авторизации и даже систем мониторинга посещаемости, «Яндекс-метрики» или «Гугл-аналитики», — это риск, так как при этом происходит сбор персональных данных.
Хранить персональные данные пользователей допустимо только на российских серверах. «Медицинские организации должны помнить об этом, а также назначить должностное лицо, ответственное за обработку персональных данных. Роскомнадзор проводит мониторинг сайтов всех организаций, не только медицинских. Если выявляются факты использования системы аналитики данных зарубежных провайдеров, принимаются меры реагирования, нарушитель привлекается к административной ответственности», — предупредил юрист.
Одно из самых частых административных нарушений, по его словам, — разглашение врачебной тайны. Использовать ИИ-помощники, которые не принадлежат медорганизации, — незаконно. Передавать персональные данные (ПД) пациента можно только по решению суда и только по защищенным каналам, нельзя использовать электронные почтовые сервисы. Оптимально направить документы в бумажном виде почтой, а в электронном письме сообщить адресату, что данная информация по каналам электронной почты не может быть представлена. Один из примеров: юрисконсульт больницы в Калужской области по собственной инициативе, без запроса суда, приложила к апелляционной жалобе копию амбулаторной карты пациента. Результат — штраф 5 тыс. руб.
Другой пример: в популярном мессенджере сотрудник больницы разместил пофамильный список сотрудников учебного заведения, которые контактировали с заболевшими. Вердикт суда — штраф.
Частой причиной утечки ПД становится элементарная небрежность: использование в качестве черновиков уже использованных листов формата А4, ненадлежащий контроль за утилизацией бумажных медицинских документов.
Врач-эндоскопист из ХМАО в жалобе о нарушении своих трудовых прав в качестве доказательства приложил выписку из медкарты пациента. Суд также расценил это как нарушение и оштрафовал его. В Якутии в 2026 году сотрудник больницы после завершения диспансеризации работников организации по электронной почте направил работодателю список всех прошедших осмотр с результатами и выявленными диагнозами. Результат — штраф 40 тыс. руб.
Рекомендации юристов в связи с ограничениями на передачу личных данных в WhatsApp (принадлежит Meta, признана экстремистской и запрещена в РФ) и других иностранных мессенджерах «МВ» приводил здесь и здесь. Общее резюме: провести инструктаж с персоналом из-за введения запрета на использование иностранных мессенджеров для передачи медицинских данных, назначить ответственных за «цифровую гигиену», регулярно проверять настройки безопасности корпоративных приложений и сервисов; контролировать, чтобы данные пациентов передавались только через сертифицированные платформы.