инструкция 18 декабря 2028 По состоянию на 18 декабря 2028

Аккредитация клиники и 152-ФЗ

Медицинская организация при прохождении аккредитации обрабатывает данные о здоровье пациентов — специальную категорию по ст. 10 ФЗ-152. Это означает повышенные требования к согласиям, МИС, ЕГИСЗ и всему документообороту.

С 30.05.2025 утечка данных более 100 000 субъектов грозит штрафом 10–15 млн ₽ по ч. 14 ст. 13.11 КоАП. Повторная утечка — оборотный штраф до 500 млн ₽ по ч. 15. Аккредитационная проверка Росздравнадзора и проверка РКН — два независимых риска.

→ Если вы главный врач и клиника проходит аккредитацию — проверьте соответствие 152-ФЗ до визита комиссии.

Аккредитация медицинской организации предполагает передачу значительного массива данных о пациентах: в МИС, ЕГИСЗ, страховым компаниям, аккредитационным комиссиям. Каждый из этих потоков регулируется ФЗ-152 отдельно от требований Росздравнадзора. Главный врач, как правило, не разграничивает два режима — медицинский и персональных данных — и получает замечания от РКН уже после успешного прохождения аккредитации. Ниже — пошаговый порядок приведения обработки ПДн в соответствие перед аккредитационным циклом.

Шаг 1. Определите, какие данные клиника обрабатывает и как они классифицируются

Медицинская организация работает одновременно с несколькими категориями персональных данных. Диагнозы, сведения о лечении, результаты анализов — специальная категория по ст. 10 ФЗ-152, обработка которой по общему правилу запрещена без явного согласия пациента. ФИО, контактные данные, сведения о полисе ОМС — общие ПДн, к которым применяются стандартные требования ст. 6 ФЗ-152. Изображения лица в СКУД или при видеоконсультации — биометрические ПДн по ст. 11 ФЗ-152.

Практический первый шаг — составить реестр информационных систем и потоков данных: МИС, ЕГИСЗ, ЛИМС, системы записи, CRM, бухгалтерия с данными сотрудников. Для каждой системы — определить категорию ПДн, правовое основание обработки и круг лиц, имеющих доступ. Без этого карта рисков по 152-ФЗ не строится.

«Ст. 10 ФЗ-152 — обработка данных о состоянии здоровья допускается только с письменного согласия субъекта либо при наличии специальных оснований — например, для защиты жизни и здоровья при невозможности получить согласие.»

Шаг 2. Проверьте уведомление в реестре РКН и соответствие заявленных целей реальной обработке

До начала обработки ПДн оператор обязан направить уведомление в РКН (ст. 22 ФЗ-152). Медицинские организации нередко состоят в реестре, но с устаревшими сведениями: не отражены новые цели обработки (например, телемедицина или передача в ЕГИСЗ), изменился состав ИСПДн или сменился ответственный за обработку. Расхождение между реестром и реальной обработкой — самостоятельное нарушение, за которое назначают штраф по ч. 10 ст. 13.11 КоАП в размере 100 000–300 000 ₽.

Проверьте актуальность уведомления через pd.rkn.gov.ru. Если цели обработки изменились или добавились новые системы — подайте уведомление об изменении сведений по форме Приказа РКН №180. Срок включения обновлённых данных в реестр — 30 дней. Для аккредитации это важно: комиссия может запросить выписку из реестра.

Клиника проходит аккредитацию и вы не уверены в статусе уведомления?

Несоответствие реестра РКН реальной обработке — это штраф 100–300 тыс. ₽ ещё до любой утечки. Уведомление нужно актуализировать до начала аккредитационного цикла, а не после замечания регулятора. У вас 30 дней с момента изменений — срок уже мог пройти.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Приведите согласия пациентов в соответствие с требованиями ст. 9 и ст. 10 ФЗ-152

Информированное добровольное согласие (ИДС) по ст. 20 ФЗ-323 и согласие на обработку ПДн по ст. 9 ФЗ-152 — два разных документа с разными реквизитами и разными правовыми последствиями. Объединять их в один бланк допустимо технически, но только при условии, что согласие на ПДн выделено как самостоятельный раздел с полным составом реквизитов.

С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие на обработку ПДн оформляется отдельным документом и не может быть встроено в договор, политику или иной текст. Это правило применяется ко всем новым пациентам с 01.09.2025. Ранее подписанные согласия переоформлять не требуется — обратной силы у поправки нет.

Для специальных категорий (данные о здоровье, диагнозы) согласие обязательно в письменной форме. Устное или конклюдентное согласие не подходит. Для обработки данных в целях распространения (публикация случая, фото до-после) — дополнительное согласие по ст. 10.1 ФЗ-152 на распространение.

«Ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156): согласие — отдельный документ с обязательными реквизитами: ФИО субъекта, контакты, наименование оператора, цели, перечень ПДн, перечень действий, срок, способ отзыва.»

Шаг 4. Проверьте МИС и передачу данных в ЕГИСЗ на соответствие требованиям локализации и поручения

Медицинская информационная система — ИСПДн, в которой обрабатываются специальные категории ПДн большого числа субъектов. По ПП РФ №1119 для таких систем, как правило, устанавливается уровень защищённости УЗ-3 или выше. Уровень зависит от типа угроз и числа субъектов: если субъектов более 100 000 и обрабатываются данные о здоровье — УЗ-2 или УЗ-1.

Если МИС предоставляется по модели SaaS сторонней организацией, требуется договор поручения обработки ПДн по п. 3 ст. 6 ФЗ-152. Без такого договора клиника нарушает условия обработки. Провайдер МИС должен обеспечивать конфиденциальность и защиту в соответствии с требованиями Приказа ФСТЭК №21.

Передача данных в ЕГИСЗ — это передача данных по поручению в государственную систему. Основание — ч. 3 ст. 91 ФЗ-323 и соответствующий нормативный акт Минздрава. ПДн должны передаваться только в объёме, необходимом для конкретной цели. Передача данных за рубеж через МИС иностранного вендора — трансграничная передача по ст. 12 ФЗ-152, требует уведомления РКН.

Требование локализации по ч. 5 ст. 18 ФЗ-152 обязывает хранить и первично обрабатывать данные граждан РФ на серверах в России. С 01.07.2025 это требование ужесточено: первичный сбор данных должен производиться в российской инфраструктуре. Облачный МИС с серверами в ЕС или США нарушает этот принцип.

«Ч. 5 ст. 18 ФЗ-152 — запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан РФ должны осуществляться с использованием баз данных, расположенных на территории РФ. Штраф за нарушение — 1–6 млн ₽ по ч. 8 ст. 13.11 КоАП.»

Если в клинике МИС от иностранного вендора или сервер находится за рубежом — это нарушение локализации с штрафом 1–6 млн ₽. Проверьте до аккредитации, а не во время проверки РКН.

Подготовиться к проверке РКН

Шаг 5. Соберите организационно-распорядительную документацию (ОРД)

ОРД — обязательный элемент соответствия ст. 18.1 ФЗ-152. Для медицинской организации минимальный пакет включает: политику обработки ПДн (публикуется на сайте клиники), приказ о назначении ответственного за обработку по ст. 22.1 ФЗ-152, перечень ИСПДн с указанием уровня защищённости, регламент реагирования на запросы субъектов, инструкции для сотрудников, имеющих доступ к МИС.

Аккредитационная комиссия в рамках проверки условий оказания медицинской помощи может запросить документы, подтверждающие защиту персональных данных пациентов. РКН при плановой проверке медицинской организации также запрашивает полный пакет ОРД. Отсутствие политики на сайте — нарушение ч. 3 ст. 13.11 КоАП, штраф 30 000–60 000 ₽.

Что подготовить к аккредитации по 152-ФЗ

Актуальное уведомление в реестре операторов ПДн (pd.rkn.gov.ru) со всеми целями обработки, включая ЕГИСЗ и телемедицину
Политика обработки ПДн на сайте клиники с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152
Отдельные согласия пациентов на обработку ПДн (в т. ч. специальной категории) по ст. 9 и 10 ФЗ-152 в редакции с 01.09.2025
Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152
Договор поручения обработки с провайдером МИС, подтверждающий локализацию данных в РФ

Как это применяется на практике

Кейс 1. Многопрофильная клиника (Приволжский ФО, лето 2025) проходила плановую аккредитацию. Параллельно РКН инициировал проверку по жалобе пациента, направившего запрос об уничтожении ПДн. Клиника не ответила в установленный срок (10 рабочих дней по ст. 20 ФЗ-152). Штраф по ч. 5 ст. 13.11 КоАП составил в диапазоне 50 000–90 000 ₽. Аккредитационный статус не пострадал, однако главный врач получил дополнительную проверку РКН с истребованием полного пакета ОРД. Документы оказались не актуализированы под требования 2025 года, что повлекло предписание об устранении.

Кейс 2. Стоматологическая клиника (Уральский ФО, осень 2025) вела страницу в социальных сетях с публикацией фотографий результатов лечения. Согласие пациентов на распространение фото было включено в общий договор на оказание услуг, а не выделено отдельным документом. После жалобы одного из пациентов РКН возбудил дело по ч. 2 ст. 13.11 КоАП (обработка ПДн без надлежащего согласия). Штраф для юридического лица составил в диапазоне 300 000–700 000 ₽. С 01.09.2025 этот риск стал выше: ФЗ-156 исключил возможность встраивания согласия в договор.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка по 38 пунктам с отчётом и планом устранения
Комплект ОРД под ключ — политика, согласия, приказы, регламенты для медорганизации
Сопровождение проверок РКН — подготовка, представление интересов, обжалование

Частые вопросы

1. Чем отличается ИДС от согласия на ПДн?

Информированное добровольное согласие (ИДС) по ст. 20 ФЗ-323 — медицинский документ, подтверждающий, что пациент согласился на конкретное медицинское вмешательство. Согласие на обработку персональных данных по ст. 9 ФЗ-152 — отдельный правовой акт, содержащий перечень ПДн, цели, сроки и способ отзыва. С 01.09.2025 оно оформляется только отдельным документом и не может быть частью ИДС или договора. Оба документа обязательны, но регулируются разными законами и имеют разные последствия при нарушении.

2. Можно ли публиковать фото «до-после» с согласия пациента?

Да, но только при наличии отдельного согласия на распространение ПДн по ст. 10.1 ФЗ-152. Это согласие не может быть объединено с общим согласием на обработку — оно оформляется самостоятельно, с указанием конкретного способа распространения (сайт, социальная сеть, СМИ) и срока. Без такого согласия публикация фото, по которым пациент идентифицируется, — нарушение. Штраф за обработку без надлежащего согласия по ч. 2 ст. 13.11 КоАП составляет 300 000–700 000 ₽ для юридического лица.

3. Кто отвечает за утечку данных через МИС — клиника или поставщик?

Клиника как оператор ПДн несёт ответственность за утечку независимо от того, произошла ли она по вине поставщика МИС. Оператор отвечает за выбор надлежащего обработчика и за содержание договора поручения. Если договор поручения по п. 3 ст. 6 ФЗ-152 не заключён — клиника отвечает в полном объёме. Если договор есть и поставщик нарушил его условия — клиника вправе предъявить регрессное требование. Штраф за утечку от 10 000 до 100 000 субъектов по ч. 13 ст. 13.11 КоАП составляет 5 000 000–10 000 000 ₽.

4. Какие данные клиника обязана передавать в ЕГИСЗ?

Перечень сведений, подлежащих передаче в ЕГИСЗ, определён ч. 3 ст. 91 ФЗ-323 и подзаконными актами Минздрава. Как правило, это сведения об оказанной медицинской помощи, диагнозах, назначенном лечении в объёме, необходимом для ведения федеральных регистров. Передача осуществляется на основании закона, согласие пациента на передачу именно в ЕГИСЗ отдельно не требуется. Однако объём передаваемых данных должен соответствовать принципу минимальности по ст. 5 ФЗ-152 — передавать данные сверх установленного перечня нельзя.

5. Что грозит клинике за утечку данных пациентов?

Размер ответственности зависит от масштаба утечки. По ч. 12 ст. 13.11 КоАП (от 1 000 до 10 000 субъектов) — штраф 3 000 000–5 000 000 ₽. По ч. 13 (от 10 000 до 100 000) — 5 000 000–10 000 000 ₽. По ч. 14 (более 100 000) — 10 000 000–15 000 000 ₽. Дополнительно — штраф за неуведомление РКН в 24 часа по ч. 11 ст. 13.11: 1 000 000–3 000 000 ₽. При повторной утечке применяется оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽. Данные о здоровье — специальная категория, что повышает общественную опасность нарушения.

6. Нужно ли переоформлять согласия, подписанные пациентами до 01.09.2025?

Нет. ФЗ-156 от 24.06.2025 не имеет обратной силы. Согласия, оформленные до 01.09.2025, сохраняют силу, если они соответствовали требованиям ст. 9 ФЗ-152 на момент подписания. Новые требования об отдельном документе распространяются только на согласия, получаемые после 01.09.2025. При этом, если клиника обновляет формы по другим причинам (новые цели, новые системы), целесообразно привести их в соответствие с актуальной редакцией.

Итог

Аккредитация медицинской организации и соответствие 152-ФЗ — параллельные процессы с разными регуляторами и разными санкциями. Росздравнадзор проверяет качество медицинской помощи, РКН — порядок обработки персональных данных. Провал по второму направлению не влияет на аккредитационный статус напрямую, но создаёт самостоятельные риски: штрафы от 30 000 до 15 000 000 ₽ и выше в зависимости от вида нарушения.

Практика DATUM по медицинским организациям включает аудит МИС и ЕГИСЗ, подготовку ОРД под требования 2025 года, сопровождение проверок РКН. Медицинская тематика — одна из ключевых специализаций практики в силу особого статуса данных о здоровье как спецкатегории по ст. 10 ФЗ-152.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна.

18 декабря 2028 года