152-ФЗ для психолога: данные клиентов без штрафов в 2026

Частная психологическая практика почти всегда работает с очень чувствительной информацией: имя клиента, контакты, жалобы, история отношений, заметки о ходе работы. Всё это — персональные данные, а часть из них ещё и относится к специальной категории. Это значит, что психолог попадает под действие Федерального закона №152-ФЗ О персональных данных ровно так же, как клиника или интернет-магазин. Хорошая новость в том, что для небольшой практики требования закона выполнимы без юриста в штате и без дорогих систем — нужен порядок, а не магия. Ниже разберём, что именно требует закон, как оформить согласие, где хранить записи и как снизить риск утечки при онлайн-консультациях.

Что 152-ФЗ требует от психолога

Закон 152-ФЗ регулирует обработку персональных данных — то есть любой информации, относящейся к определённому или определяемому человеку. Как только вы записали имя клиента, его телефон и хоть строчку о его ситуации, вы стали оператором персональных данных и приняли на себя обязанности по их защите. Не имеет значения, ведёте вы записи в тетради, в заметках телефона или в облачной таблице — закон смотрит на сам факт обработки, а не на инструмент.

Базовый набор обязанностей оператора выглядит так:

• обрабатывать данные только с законным основанием — как правило, это согласие клиента;
• собирать данные строго под конкретную цель и не хранить лишнего на всякий случай;
• обеспечить защиту данных от чужого доступа, утраты и изменения;
• хранить данные не дольше, чем нужно для заявленной цели;
• уметь по запросу клиента уточнить, заблокировать или удалить его данные;
• иметь документ, описывающий вашу политику обработки персональных данных.

Отдельный практический момент — уведомление Роскомнадзора о намерении обрабатывать персональные данные. Раньше для ряда случаев действовали исключения, но в последние годы перечень ситуаций, когда уведомление подавать нужно, заметно расширился. Как правило, частному психологу безопаснее исходить из того, что уведомление потребуется, и заранее уточнить актуальный порядок на сайте регулятора, чем рассчитывать на устаревшее исключение.

Почему данные о здоровье — особая категория

152-ФЗ делит персональные данные на обычные и специальные. К специальной категории относятся, в частности, сведения о состоянии здоровья и о психологическом состоянии человека. Для психолога это ключевой момент: значительная часть того, что клиент рассказывает на сессии, и ваши заметки об этом — это именно специальная категория данных. Закон относится к ней строже, потому что утечка таких сведений способна нанести человеку гораздо больший вред, чем утечка обычного телефона.

Важно при этом не подменять понятия. Психологическое консультирование — это не медицинская деятельность и не лечение, и позиционировать его как медицину не нужно. Но с точки зрения защиты данных информация о душевном состоянии, переживаниях, диагнозах, которые клиент упоминает, и динамике его работы с вами требует повышенной аккуратности.

Практические последствия особого статуса такие:

• обрабатывать такие данные по умолчанию запрещено — нужно отдельное основание, чаще всего письменное согласие клиента именно на специальную категорию;
• меры защиты должны быть усиленными: ограниченный доступ, шифрование там, где это возможно, отказ от хранения в открытом виде в общедоступных местах;
• передача таких данных третьим лицам (например, супервизору или коллеге для консультации) допустима только с согласия клиента и, как правило, в обезличенном виде.

Обезличивание как привычка

Самый простой способ снизить риски — приучить себя минимизировать персональные данные в рабочих записях. Если в заметках о сессии можно обойтись без полного имени, используйте инициалы или внутренний код клиента, а связку код — реальный человек храните отдельно и под защитой. Тогда даже при доступе к заметкам посторонний не сразу поймёт, о ком идёт речь.

Согласие на обработку: как оформить правильно

Согласие — это основной фундамент законной работы психолога с данными. Главная ошибка здесь — формальная отписка вроде согласен на обработку данных без деталей. Такое согласие легко оспорить, потому что человек не понимал, на что соглашается. Чтобы согласие было действительным, оно должно быть конкретным, информированным и сознательным.

Хорошее согласие отвечает как минимум на следующие вопросы:

• Кто обрабатывает данные — ваше имя или название практики и контакт для обращений.
• Какие данные — перечень: контакты, сведения о состоянии и переживаниях, заметки о ходе работы.
• Зачем — цель: оказание психологических консультаций и ведение записей о работе.
• Что вы с ними делаете — сбор, хранение, при необходимости передача супервизору в обезличенном виде.
• Как долго хранятся данные и что происходит после завершения работы.
• Как отозвать согласие и какие у клиента есть права.

Для специальной категории данных согласие лучше оформлять письменно — на бумаге с подписью или в электронной форме с подтверждением. Если вы работаете онлайн, подойдёт подписанный скан или отдельный документ, который клиент заполняет до начала работы. Важно, чтобы согласие было отделимым: человек должен иметь возможность согласиться на сами консультации, но отказаться, например, от записи сессий или от использования его случая в обезличенном виде для супервизии.

Отдельно проговорите право на отзыв. Клиент может в любой момент отозвать согласие, и после этого вы обязаны прекратить обработку и удалить данные, если нет другого законного основания их хранить. Заранее продумайте, как технически вы будете удалять записи о конкретном человеке, чтобы такой запрос не застал врасплох.

Где и как хранить записи и заметки о сессиях

Закон не предписывает конкретную программу или сервис — он требует, чтобы данные были защищены соразмерно рискам. Для частной практики это означает несколько простых, но обязательных правил. Первое — данные не должны лежать в открытом виде там, где к ним есть доступ у посторонних: общий семейный компьютер, незапароленный телефон, открытая облачная папка со ссылкой для всех.

Минимальный разумный набор мер хранения:

• отдельная учётная запись или профиль для рабочих данных, не смешанный с личными файлами;
• надёжные пароли и двухфакторная аутентификация на всех сервисах, где лежат данные клиентов;
• шифрование диска ноутбука и блокировка экрана — на случай кражи или потери устройства;
• резервные копии, чтобы не потерять записи, но тоже под защитой, а не в случайном чате;
• удаление данных по истечении срока хранения и по запросу клиента, включая копии в корзине и бэкапах.

Бумажные записи тоже под законом

Если вы ведёте заметки на бумаге, они подпадают под те же требования. Их нельзя оставлять на виду, нужно хранить в закрытом ящике или сейфе, а при завершении работы — уничтожать так, чтобы текст нельзя было восстановить. Стопка тетрадей с именами и историями клиентов на полке в кабинете — это такой же риск, как незапароленная облачная таблица.

Опись данных

Полезно один раз составить простую опись: какие данные вы собираете, где они физически хранятся, у кого есть доступ и как долго вы их держите. Эта опись не для регулятора, а для вас — она сразу показывает дыры. Часто именно при её составлении обнаруживается, что переписка с клиентами годами копится в личном мессенджере, к которому привязана и куча всего личного.

Онлайн-консультации, мессенджеры и риск утечки

Онлайн-формат добавляет удобства, но и расширяет поверхность риска. Видеосвязь, переписка, передача файлов, запись сессий — каждый канал это место, где данные могут утечь. Базовый принцип тот же: чем чувствительнее информация, тем строже к каналу. Сессию с обсуждением тяжёлой темы не стоит вести через сомнительный сервис, который непонятно где хранит записи.

Несколько практических ориентиров:

• для переписки выбирайте мессенджеры с шифрованием и не храните в них архив всей истории клиента;
• не пересылайте заметки о сессиях и согласия через открытые каналы без защиты;
• если записываете сессию, делайте это только с явного согласия клиента и храните запись по тем же правилам, что и остальные данные;
• помните про географию хранения: для специальной категории данных безопаснее использовать сервисы, размещающие данные на территории России, и заранее проверять это условие.

Отдельная тема — соцсети и привычка записать клиента в директ. Использовать для рабочей переписки личные аккаунты в Instagram или Facebook (продукт Meta; Meta признана экстремистской организацией и запрещена в РФ) — плохая идея сразу по нескольким причинам: и из-за статуса платформы, и из-за того, что вы смешиваете личное и рабочее, и теряете контроль над тем, где оседает чувствительная информация. Лучше держать для практики отдельный канал связи и не вести деловую переписку там, где у вас личная лента.

Стоит честно признать: полностью исключить риск утечки нельзя. Поэтому важно не только защищаться, но и иметь план на случай инцидента — кому вы сообщаете, как уведомляете клиента, как быстро меняете пароли и закрываете доступ. Готовый порядок действий снижает ущерб и показывает, что вы относитесь к данным ответственно.

Чек-лист соответствия для частного психолога

Свести всё к практике помогает короткий чек-лист. Пройдитесь по нему — каждый пункт, на который вы отвечаете нет, это зона, которую стоит закрыть в первую очередь.

• У меня есть письменное согласие клиента на обработку данных, включая специальную категорию.
• Согласие конкретное: указаны кто, какие данные, зачем, сроки и право на отзыв.
• Есть документ с политикой обработки персональных данных, который я могу показать по запросу.
• Я проверил, нужно ли подавать уведомление в Роскомнадзор, и сделал это, если требуется.
• Данные клиентов хранятся отдельно от личных файлов, под паролем и с двухфакторной аутентификацией.
• Диск устройства зашифрован, экран блокируется, есть защищённые резервные копии.
• В рабочих заметках я минимизирую данные и по возможности использую коды вместо полных имён.
• Я не веду деловую переписку с клиентами через личные соцсети и сомнительные сервисы.
• У меня есть понятный порядок удаления данных по истечении срока и по запросу клиента.
• Есть план действий на случай утечки или потери устройства.

Если по большинству пунктов вы пока отвечаете нет, это нормальная отправная точка — у большинства частных практик так и есть. Привести всё в порядок реально за несколько последовательных шагов, и при желании я помогу привести данные клиентов в соответствие с 152-ФЗ — от текста согласия и политики до настройки защищённого хранения.

Частые вопросы

Я веду всего несколько клиентов и записи только в тетради. На меня тоже распространяется 152-ФЗ? Да. Закон смотрит на факт обработки персональных данных, а не на их объём или носитель. Даже несколько имён с заметками о ситуации клиента — это обработка, и базовые требования к согласию и защите действуют так же, как у крупной организации.

Достаточно ли устного согласия клиента? Для обычных данных в ряде случаев устного согласия может хватать, но сведения о психологическом состоянии относятся к специальной категории, для которой надёжнее оформлять письменное согласие. Письменная форма к тому же защищает вас: при споре у вас есть документ, подтверждающий, что человек был проинформирован и согласился.

Можно ли обсуждать случай клиента с супервизором или коллегой? Можно, но с двумя условиями. Во-первых, об этом стоит заранее предупредить клиента и получить его согласие. Во-вторых, передавать информацию лучше в обезличенном виде, без имени и узнаваемых деталей, чтобы личность человека нельзя было установить.

Что делать, если данные всё же утекли — например, украли ноутбук? Действуйте по заранее подготовленному плану: смените пароли и закройте доступы, оцените, какие именно данные могли быть скомпрометированы, и при необходимости уведомьте клиентов и регулятора в установленном порядке. Заранее продуманный сценарий и шифрование устройства резко снижают и ущерб, и ваши риски.

Нужно ли мне обязательно подавать уведомление в Роскомнадзор? В большинстве ситуаций сегодня — да, и перечень исключений в последние годы сузился. Конкретный порядок и форму лучше проверить на актуальном источнике регулятора перед подачей, потому что требования периодически уточняются. Если сомневаетесь, безопаснее исходить из того, что уведомление потребуется.

Коротко о главном

Соответствие 152-ФЗ для частного психолога — это не бюрократическая страшилка, а понятный набор привычек. Вы оператор персональных данных с того момента, как записали первого клиента, а значительная часть ваших записей относится к специальной категории, которую закон защищает строже. Основа законной работы — конкретное информированное согласие, особенно письменное для сведений о психологическом состоянии.

Дальше всё сводится к порядку: защищённое и отдельное хранение, минимизация данных в заметках, аккуратность с онлайн-каналами и соцсетями, понятные правила удаления и готовый план на случай утечки. Если пройти по чек-листу и закрыть слабые места, вы заметно снизите и юридические риски, и риск навредить клиенту утечкой чувствительной информации — а доверие клиента и есть главный актив в этой работе.