10 типовых вопросов главврача по 152-ФЗ
Роскомнадзор квалифицирует данные о состоянии здоровья как специальную категорию вне зависимости от того, в какой системе они хранятся: на бумаге, в МИС или в облаке подрядчика. Главный врач несёт ответственность как руководитель оператора. Ниже — десять вопросов, которые чаще всего возникают при аудите медицинской организации, с ответами по существу и ссылками на нормы.
Вопрос 1. Чем отличается информированное добровольное согласие пациента от согласия на обработку персональных данных?
Это два разных документа с разными правовыми основаниями. Информированное добровольное согласие (ИДС) регулируется ст. 20 323-ФЗ и посвящено согласию на медицинское вмешательство. Согласие на обработку персональных данных регулируется ст. 9 ФЗ-152 и касается исключительно порядка использования сведений о пациенте.
До 01.09.2025 эти документы нередко объединяли в одном бланке. С вступлением в силу ФЗ-156 от 24.06.2025 согласие на обработку ПДн оформляется отдельным документом и не может включаться в договор, ИДС или иной документ. Это требование ч. 1 ст. 9 ФЗ-152 в действующей редакции.
Обязательные реквизиты согласия на ПДн: ФИО пациента, контактные данные, наименование медорганизации, цель обработки (например, «оказание медицинской помощи»), перечень обрабатываемых данных, перечень действий с ними, срок действия согласия, способ его отзыва.
Вопрос 2. Нужно ли отдельное согласие на передачу данных в ЕГИСЗ?
Передача сведений в ЕГИСЗ — это исполнение медицинской организацией обязанности, предусмотренной законодательством (ст. 91 323-ФЗ). Такая обработка ПДн допускается без согласия пациента по п. 2 ч. 1 ст. 6 ФЗ-152 — обработка необходима для исполнения обязанности, возложенной на оператора законом.
Однако состав передаваемых сведений имеет значение. Если медорганизация передаёт в ЕГИСЗ данные сверх установленного перечня или использует их в иных целях — это уже выходит за рамки законного основания. В этом случае требуется отдельное согласие либо иное основание по ст. 6 ФЗ-152.
Рекомендуется зафиксировать в политике обработки ПДн (ст. 18.1 ФЗ-152), что передача в ЕГИСЗ осуществляется во исполнение требований 323-ФЗ, и указать это в уведомлении оператора в РКН.
Вопрос 3. Как оформить договор с МИС-подрядчиком, чтобы не нарушить 152-ФЗ?
Если вендор МИС имеет доступ к персональным данным пациентов (хранение, техническая поддержка, облачный хостинг), он является лицом, осуществляющим обработку ПДн по поручению оператора, — в терминах ст. 6 п. 3 и ст. 3 ФЗ-152. Медорганизация остаётся оператором и несёт ответственность за нарушения, допущенные подрядчиком.
В договор с МИС-подрядчиком необходимо включить: перечень разрешённых действий с ПДн, цель обработки, обязанность соблюдать конфиденциальность, требования к уровню защищённости (не ниже УЗ-3 для медицинских данных по ПП РФ №1119), порядок уничтожения данных по завершении договора, обязанность уведомить оператора при инциденте.
Если МИС размещена на серверах за рубежом, возникает вопрос о локализации (ч. 5 ст. 18 ФЗ-152) и трансграничной передаче (ст. 12 ФЗ-152). Первичные базы с ПДн граждан РФ должны находиться в России.
Оформлен ли у вас договор с МИС-подрядчиком по требованиям ст. 6 ФЗ-152?
Если в договоре с вендором МИС нет условий об обработке ПДн по поручению — клиника несёт полную ответственность за его действия. При утечке через МИС-систему РКН привлекает оператора, а не подрядчика. Юристы DATUM проверят договоры с вендорами и приведут их в соответствие с ФЗ-152.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru
Вопрос 4. Какой уровень защищённости ИСПДн обязателен для медицинской клиники?
Медицинские данные относятся к специальной категории ПДн (ст. 10 ФЗ-152). Это напрямую влияет на определение уровня защищённости по ПП РФ №1119.
Для информационных систем, обрабатывающих специальные категории данных сотрудников и пациентов (при числе субъектов менее 100 000 и отсутствии актуальных угроз 1-го типа), как правило, устанавливается УЗ-3. Если число субъектов превышает 100 000 — УЗ-2. Конкретный уровень определяется при классификации ИСПДн с учётом типа актуальных угроз.
УЗ-3 требует выполнения базового набора мер защиты по Приказу ФСТЭК №21: идентификация и аутентификация пользователей, управление доступом, регистрация событий, защита от вредоносного кода, антивирусная защита, обновление программного обеспечения. Модель угроз и акт классификации ИСПДн — обязательные документы.
Вопрос 5. Можно ли публиковать фотографии пациентов «до и после» с их согласия?
Фотографии, по которым можно идентифицировать пациента, являются персональными данными. Если на снимке отражаются сведения о состоянии здоровья или характере медицинского вмешательства — это специальная категория ПДн (ст. 10 ФЗ-152) и данные, составляющие врачебную тайну (ст. 13 323-ФЗ).
Публикация допустима при наличии отдельного письменного согласия по ст. 10.1 ФЗ-152 — согласия на распространение ПДн. Это отдельный документ, не совмещаемый ни с ИДС, ни с согласием на обработку ПДн. В согласии на распространение должны быть явно указаны: конкретные данные, разрешённые к публикации (фотографии определённого вида), площадки размещения, срок, право отзыва.
Если пациент отозвал согласие — фотографии необходимо удалить со всех площадок. Хранение опубликованных материалов после отзыва согласия — нарушение ст. 21 ФЗ-152.
Что подготовить главному врачу для соответствия 152-ФЗ
- Отдельное согласие пациента на обработку ПДн (по ст. 9 ФЗ-152, в ред. с 01.09.2025) — не совмещённое с ИДС
- Договор с МИС-подрядчиком с условиями об обработке ПДн по поручению (ст. 6 ч. 3 ФЗ-152) и требованиями к уровню защищённости
- Акт классификации ИСПДн с определением уровня защищённости (УЗ-2 или УЗ-3) по ПП РФ №1119
- Политика обработки ПДн с опубликованием на сайте (ст. 18.1 ФЗ-152), включающая раздел о специальных категориях и передаче в ЕГИСЗ
- Регламент реагирования на инциденты: 24 часа — первичное уведомление РКН, 72 часа — отчёт (ч. 3.1 ст. 21 ФЗ-152, Приказ РКН №187)
Вопрос 6. Как организовать телемедицинские консультации без нарушения 152-ФЗ?
Телемедицина предполагает передачу медицинских данных через каналы связи. Это обработка специальных категорий ПДн в информационной системе. Требования те же, что и для стационарной обработки: согласие пациента, уровень защищённости не ниже УЗ-3, меры технической защиты канала связи.
Если платформа для телемедицины — сторонний сервис, он является обработчиком ПДн по поручению. Необходим договор поручения по ст. 6 ч. 3 ФЗ-152 с требованиями к конфиденциальности и защите данных. Использование зарубежных видеосервисов (Zoom, Teams без корпоративного контракта) создаёт риск нарушения локализации и трансграничной передачи без уведомления РКН.
При консультации иностранного пациента из-за рубежа возникает трансграничная передача ПДн — требуется уведомление РКН по ст. 12 ФЗ-152 до начала передачи.
Вопрос 7. Что происходит при утечке медицинских данных через МИС — кто несёт ответственность?
Медицинская организация как оператор ПДн несёт ответственность вне зависимости от того, произошла ли утечка через собственную инфраструктуру или через систему подрядчика. Это принципиальная позиция: по ст. 6 ч. 3 ФЗ-152 оператор отвечает перед субъектом за действия лица, которому поручил обработку.
Штрафные санкции зависят от числа пострадавших субъектов: от 1 000 до 10 000 пациентов — 3–5 млн ₽ (ч. 12 ст. 13.11 КоАП); от 10 000 до 100 000 — 5–10 млн ₽ (ч. 13); свыше 100 000 — 10–15 млн ₽ (ч. 14). Неуведомление РКН об утечке в 24 часа — отдельный штраф 1–3 млн ₽ (ч. 11 ст. 13.11).
Уголовная ответственность по ст. 272.1 УК РФ (введена ФЗ-421, действует с 11.12.2024) распространяется на физических лиц, причастных к незаконному использованию, передаче или хранению компьютерной информации с ПДн. Максимальное наказание по ч. 5 — до 10 лет лишения свободы при тяжких последствиях.
Если в клинике произошёл инцидент с данными пациентов — у вас 24 часа на первичное уведомление РКН. Этот срок не восстанавливается, и каждый час промедления повышает риск штрафа от 1 до 15 млн ₽. Юристы DATUM возьмут реагирование на себя.
Реагировать на утечкуВопрос 8. Нужно ли уведомлять РКН, если клиника только ведёт бумажные карты?
Да. Уведомление РКН о намерении обрабатывать персональные данные (ст. 22 ФЗ-152) обязательно для всех операторов вне зависимости от формы обработки — бумажной или электронной. Исключения из обязанности уведомления установлены ч. 2 ст. 22 ФЗ-152, и медицинские организации ни под одно из них, как правило, не подпадают.
Неуведомление — штраф 100–300 тыс. ₽ по ч. 10 ст. 13.11 КоАП. При бумажном ведении карт медорганизация обязана также выполнять требования ч. 1 ст. 19 ФЗ-152 об организационных мерах защиты: режим хранения, ограничение доступа, журнал выдачи карт.
Уведомление подаётся через портал pd.rkn.gov.ru. Форма — Приказ РКН №180 от 28.10.2022. Срок включения в реестр — 30 дней.
Вопрос 9. Как оформить передачу данных пациента в страховую компанию?
Передача медицинских данных в страховую организацию — для целей ОМС или ДМС — возможна по нескольким правовым основаниям. Для ОМС применяется основание исполнения обязанности по закону (п. 2 ч. 1 ст. 6 ФЗ-152) в связке с нормами о медицинском страховании. Для ДМС, как правило, требуется согласие пациента, поскольку передача в страховую компанию не вытекает напрямую из обязательного требования закона.
Состав передаваемых данных должен соответствовать цели передачи. Передача сведений о диагнозах и лечении сверх необходимого для страховых целей — нарушение принципа минимизации (ст. 5 ФЗ-152) и врачебной тайны (ст. 13 323-ФЗ).
В договоре со страховой компанией, имеющей доступ к данным пациентов, также необходим раздел об обработке ПДн по поручению, если страховая фактически обрабатывает данные от имени медорганизации.
Вопрос 10. Что проверяет Роскомнадзор при плановой проверке медицинской организации?
При плановой или внеплановой проверке инспекторы РКН запрашивают документы, подтверждающие выполнение требований ФЗ-152. Для медицинской организации типовой перечень включает следующее.
Документы, которые проверяет РКН: уведомление оператора и актуальная запись в реестре, политика обработки ПДн (опубликована на сайте по ст. 18.1 ФЗ-152), согласия пациентов (отдельные, по требованиям ст. 9 в редакции с 01.09.2025), приказ о назначении ответственного за обработку ПДн (ст. 22.1 ФЗ-152), договоры с подрядчиками (МИС, лаборатории, страховые) с условиями поручения обработки, акт классификации ИСПДн и модель угроз, регламент реагирования на инциденты.
Отдельное внимание — к специальным категориям ПДн: инспекторы проверяют, оформлено ли письменное согласие именно на обработку медицинских данных (п. 4 ч. 2 ст. 10 ФЗ-152), а не только общее согласие на «обработку персональных данных».
Как это выглядит на практике: два сценария
Сценарий 1. Утечка через МИС в частной клинике. Многопрофильная клиника (Центральный ФО, осень 2025) использовала облачную МИС без договора поручения с вендором. После хакерской атаки на сервер вендора в открытый доступ попали данные около 12 000 пациентов. Клиника уведомила РКН через 38 часов — срок 24 часов нарушен. Итого два состава: ч. 12 ст. 13.11 КоАП (утечка 10 000–100 000 субъектов, 5–10 млн ₽) и ч. 11 (неуведомление в 24 часа, 1–3 млн ₽). Отсутствие договора поручения лишило клинику возможности переложить ответственность на вендора. Суммарный штраф — в диапазоне нескольких миллионов рублей.
Сценарий 2. Успешное прохождение проверки РКН. Стоматологическая клиника (Уральский ФО, начало 2026) прошла внеплановую проверку РКН после жалобы пациента на нежелательную рассылку. Клиника представила: отдельные согласия на обработку ПДн и на рассылку (с 01.09.2025), политику обработки, договор с МИС-подрядчиком с условием поручения. Проверка завершилась предписанием об устранении технического недостатка (отсутствие срока действия согласия в форме на сайте) без штрафа. Полный комплект ОРД стал решающим фактором.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка медорганизации по 38 критериям, включая специальные категории ПДн
- Комплект ОРД под ключ — согласия пациентов, политика, договоры поручения, регламент инцидентов
- Сопровождение проверок РКН — подготовка документов, представление интересов клиники при проверке
Частые вопросы
1. Чем отличается ИДС от согласия на обработку персональных данных?
Информированное добровольное согласие по ст. 20 323-ФЗ — это согласие пациента на медицинское вмешательство. Согласие на обработку ПДн по ст. 9 ФЗ-152 — это разрешение на использование сведений о пациенте оператором. Это два разных документа. С 01.09.2025 (ФЗ-156) согласие на ПДн оформляется отдельно и не может включаться в ИДС, договор или иной документ. Клиники, совместившие оба согласия, должны разделить их до приёма новых пациентов.
2. Можно ли публиковать фото до-после с согласия пациента?
Да, но требуется не просто согласие на обработку ПДн, а отдельное согласие на распространение по ст. 10.1 ФЗ-152. В нём должны быть указаны конкретные данные (какие именно фотографии), площадки публикации, срок и способ отзыва. Молчание пациента или общая подпись под «согласием на всё» правового значения не имеют. После отзыва согласия на распространение фотографии удаляются со всех ресурсов.
3. Кто отвечает за утечку через МИС?
Медицинская организация как оператор несёт ответственность перед субъектами и РКН вне зависимости от того, чья техническая инфраструктура дала сбой. По ст. 6 ч. 3 ФЗ-152 оператор отвечает за действия лица, которому поручил обработку. Отсутствие договора поручения с МИС-вендором — самостоятельное нарушение и лишает возможности регрессного требования к подрядчику.
4. Какие данные передавать в ЕГИСЗ?
Состав сведений для ЕГИСЗ определяется ст. 91 323-ФЗ и приказами Минздрава. Передача данных в ЕГИСЗ в установленном объёме не требует отдельного согласия пациента — она основана на законодательной обязанности (п. 2 ч. 1 ст. 6 ФЗ-152). Передача сведений сверх установленного перечня требует отдельного правового основания. Рекомендуется зафиксировать основание передачи в политике обработки ПДн.
5. Что грозит клинике за утечку медицинских данных?
Ответственность зависит от масштаба: утечка данных 1 000–10 000 пациентов — штраф 3–5 млн ₽ (ч. 12 ст. 13.11 КоАП), 10 000–100 000 — 5–10 млн ₽ (ч. 13), свыше 100 000 — 10–15 млн ₽ (ч. 14). Неуведомление РКН за 24 часа — дополнительный штраф 1–3 млн ₽ (ч. 11). При повторном нарушении — оборотный штраф до 500 млн ₽ (ч. 15). Уголовная ответственность физических лиц по ст. 272.1 УК РФ — до 10 лет лишения свободы при тяжких последствиях.
6. Как часто проводить аудит соответствия 152-ФЗ в медицинской организации?
Минимум — один раз в год и при каждом существенном изменении: подключение новой МИС или сервиса, смена подрядчика, изменение перечня обрабатываемых данных, введение телемедицины. Также аудит необходим после любого инцидента с ПДн и при получении уведомления о проверке РКН. Плановая проверка РКН предполагает актуальный пакет документов — устаревшие согласия и политика без даты обновления фиксируются как нарушения.
Итог
Медицинская организация обрабатывает специальные категории персональных данных, что влечёт максимальный уровень ответственности по 152-ФЗ. Ключевые точки риска: несоответствие согласий пациентов требованиям ст. 9 в редакции с 01.09.2025, отсутствие договора поручения с МИС-вендором, неготовность к реагированию на инцидент в режиме 24/72 часов. Каждый из этих пробелов — самостоятельный состав по ст. 13.11 КоАП.
DATUM сопровождает медицинские организации по всем аспектам 152-ФЗ: от разработки пакета ОРД и согласий пациентов до защиты при проверке РКН и реагирования на утечки. Практика ведётся с 2014 года в составе сети «Ветров и партнёры».
22 января 2029 года