Клиника хочет ускорить работу врачей и администраторов с помощью языковой модели, но упирается в врачебную тайну и закон о персональных данных. Вопрос звучит просто: что вообще разрешено отдавать модели, а что выводит клинику под штраф и отзыв лицензии. Ответ зависит от того, какие данные уходят, куда и в каком виде. Разберём границу спокойно, без запугивания и без вредных упрощений.

Что говорит закон

TL;DR

Сведения о факте обращения, диагнозе и состоянии пациента — это врачебная тайна по 323-ФЗ и персональные данные по 152-ФЗ. Передавать их в зарубежную модель без согласия пациента и без правовых оснований запрещено. Безопасный путь — обезличивание данных перед отправкой либо локальная модель в контуре клиники. Текстовую рутину без идентификаторов пациента модель закрывает законно уже сейчас.

Начну с правовой рамки, потому что она задаёт всё остальное. Врачебная тайна закреплена статьёй 13 закона 323-ФЗ: любые сведения о факте обращения, диагнозе и состоянии здоровья пациента охраняются от разглашения. Те же сведения одновременно являются персональными данными специальной категории по 152-ФЗ, а медицинские данные закон относит к самой чувствительной группе с усиленной защитой.

Из этого следует ключевое: отправка карты пациента в чат зарубежной модели без его согласия — это разглашение врачебной тайны и трансграничная передача персональных данных одновременно. Два нарушения в одном действии. Для клиники это штрафы по статье 13.11 КоАП, претензии Роскомнадзора и репутационный удар, который дороже любой экономии на автоматизации.

При этом закон запрещает разглашать охраняемые сведения, а вовсе сам факт применения модели. Если данные обезличены так, что по ним нельзя восстановить личность пациента, либо обработка идёт внутри контролируемого контура клиники, правовых препятствий уже нет. Граница проходит по идентифицируемости пациента, вместо самого факта применения модели.

  • 323-ФЗ, статья 13: врачебная тайна, режим разглашения сведений о пациенте
  • 152-ФЗ: медицинские данные как специальная категория персональных данных
  • Согласие пациента: письменное, на конкретную цель обработки, отзывное
  • Трансграничная передача: отдельное основание для зарубежных сервисов

Что отдавать можно

Большая часть рутины врача и администратора вообще касается личности пациента. Структура протокола, формулировки в выписке, расшифровка медицинской аббревиатуры, черновик ответа на типовой вопрос, перевод инструкции — всё это обезличенные задачи. Модель закрывает их законно и сразу, без согласий и юридических конструкций, потому что охраняемых сведений в запросе попросту нет.

  1. Разделите задачи на два списка: с идентификаторами пациента и без них
  2. Безличные задачи — шаблоны, формулировки, расшифровки — отдавайте модели сразу
  3. Для задач с данными пациента введите обезличивание: убирайте имя, дату рождения, номер карты, адрес
  4. Проверьте, что по остатку текста нельзя восстановить личность через редкий диагноз или дату приёма
  5. Чувствительные сценарии заводите на локальную модель в контуре клиники
  6. Закрепите регламент письменно: какие данные куда уходят и кто отвечает за проверку
// Простой тест на границу

Перед отправкой запроса задайте себе вопрос: сможет ли посторонний по этому тексту понять, о каком конкретном пациенте речь. Если в запросе остались имя, дата рождения, номер полиса или редкое сочетание признаков — это разглашение. Если перед вами обезличенный клинический фрагмент без привязки к личности — отправка законна.

Безопасный контур

Способ работы выбирают по чувствительности данных. Чем ближе задача к идентифицируемому пациенту, тем строже должен быть контур. Для безличной текстовой рутины подходит обычный чат, для обезличенных клинических фрагментов — российский сервис с договором на обработку, для прямой работы с картами пациентов — локальная модель, которая физически выходит за пределы клиники.

Тип данныхДопустимый контурПравовое основание
Шаблоны, формулировки, расшифровкиЛюбой чат с языковой модельюОхраняемых сведений в запросе нет
Обезличенные клинические фрагментыРоссийский сервис с договором обработкиДанные обезличены, личность невосстановима
Данные с идентификаторами пациентаЛокальная модель в контуре клиникиДанные клинику покидают
Передача в зарубежный сервисТолько при письменном согласии и основанииСогласие пациента плюс правила трансграничной передачи

Локальная модель — это рабочий вариант для клиники, которой нужна работа с реальными картами. Открытые модели разворачиваются на сервере внутри контура медицинской организации, данные пациентов остаются под крышей клиники, а врач получает помощника, который читает историю болезни и готовит черновик заключения. Стоимость такого решения выше облачного, зато правовой риск трансграничной передачи снимается полностью.

● Discovery · 1 час · бесплатно

Расскажите, какие задачи врачей и администраторов вы хотите ускорить, и я разложу их по контурам с учётом 323-ФЗ и 152-ФЗ. Записаться на бесплатный разбор процессов можно через раздел с программами.

Прийти на Discovery →

Где клиника спотыкается

Главная ошибка — отдать врачам обычный чат и понадеяться на их сознательность. На практике врач под нагрузкой вставит в запрос кусок карты с фамилией, чтобы быстрее получить формулировку, и клиника останется в неведении о разглашении. Защита строится на регламенте и техническом контуре, вместо опоры на добрую волю сотрудника. Запрет без удобной законной альтернативы сотрудники обходят молча.

// Что закрепить в регламенте

Письменно зафиксируйте: какие задачи разрешены в облачном чате, какие требуют обезличивания, какие идут только через локальную модель. Назначьте ответственного за проверку обезличивания. Проведите обучение врачей и администраторов на живых примерах. Регламент без обучения и удобного инструмента работает на бумаге.

Вторая ошибка — считать обезличивание формальностью. Убрать одно имя недостаточно: редкий диагноз в сочетании с датой приёма и возрастом способен указать на конкретного человека в небольшом городе. Настоящее обезличивание убирает и прямые идентификаторы, и косвенные признаки, по которым личность восстанавливается. Этот момент стоит проверять отдельно, вместо опоры на интуицию врача.

  • Доступ к модели: только через рабочие аккаунты, без личных чатов на телефоне
  • Обезличивание: убирать прямые и косвенные идентификаторы, проверять остаток
  • Согласие пациента: оформлять письменно, если данные уходят в облако
  • Логи запросов: хранить, чтобы при проверке Роскомнадзора показать законность

С чего начать клинике

Внедрение начинают с безличной рутины, потому что она даёт быстрый результат без правового риска. Врачи получают помощника для протоколов и формулировок, администраторы — для типовых ответов и текстов. Это снимает нагрузку уже на первой неделе и показывает команде, что инструмент работает. Параллельно юрист и руководитель готовят регламент и решают, какие задачи требуют локального контура.

Дальше клиника решает по экономике: если объём работы с реальными картами велик, локальная модель окупается и снимает правовой риск целиком. Если такой работы немного, хватает строгого обезличивания и российского сервиса с договором обработки. Выбор зависит от профиля клиники, потока пациентов и чувствительности данных — это предмет отдельного разбора, а универсального ответа здесь нет.

Самый частый провал — клиника либо запрещает модель полностью и теряет выигрыш в скорости, либо разрешает всё и попадает на разглашение. Здоровая середина строится на разделении задач по контурам и письменном регламенте. На разборе процессов мы вместе проходим по реальным сценариям ваших врачей и раскладываем их так, чтобы и врачебная тайна осталась под защитой, и рутина ушла модели.

Частые вопросы

Можно ли загружать карту пациента в ChatGPT или другую зарубежную модель?
Без письменного согласия пациента и правового основания для трансграничной передачи — запрещено. Это одновременно разглашение врачебной тайны по 323-ФЗ и передача персональных данных специальной категории за рубеж. Безопасный путь — обезличить данные перед отправкой либо использовать локальную модель внутри контура клиники.
Что считается обезличенными медицинскими данными?
Это клинический фрагмент, по которому невозможно восстановить личность пациента. Убирают прямые идентификаторы — имя, дату рождения, номер карты, полис, адрес — и проверяют косвенные: редкий диагноз с датой приёма и возрастом способен указать на человека. Настоящее обезличивание закрывает оба слоя.
Какие задачи врача можно отдать модели уже сейчас?
Любые безличные: структура протокола, формулировки в выписке, расшифровка аббревиатур, перевод инструкций, черновики ответов на типовые вопросы. В таких запросах охраняемых сведений нет, поэтому модель закрывает их законно и сразу, без согласий и юридических конструкций.
Нужна ли клинике локальная модель или хватит облака?
Зависит от объёма работы с реальными картами. Если он велик, локальная модель внутри контура клиники окупается и снимает правовой риск целиком, потому что данные наружу уходят. Если такой работы немного, хватает строгого обезличивания и российского сервиса с договором на обработку.
Чем грозит клинике разглашение через нейросеть?
Штрафы по статье 13.11 КоАП за нарушение обработки персональных данных, претензии Роскомнадзора и риск для лицензии при разглашении врачебной тайны. Плюс репутационный удар, который для медицинской организации обходится дороже любой экономии на автоматизации. Поэтому контур выстраивают заранее.
Как удержать врачей от загрузки данных пациентов в личные чаты?
Только техническим контуром и регламентом, вместо опоры на добрую волю. Дайте удобную законную альтернативу: рабочий доступ к модели для безличных задач и локальный контур для карт. Запрет без удобного инструмента сотрудники обходят молча, вставляя куски карт в личный чат на телефоне ради скорости.