Перейти к содержанию
аналитика 14 апреля 2029 По состоянию на 14 апреля 2029

Аптеки и ПДн (связь с 152-ФЗ)

Аптека — оператор персональных данных по ст. 3 ФЗ-152: она собирает имена, контакты, сведения о рецептах и, в ряде случаев, медицинские данные пациентов, относящиеся к специальным категориям по ст. 10 ФЗ-152.
С 30.05.2025 утечка данных от 1 000 до 10 000 субъектов влечёт штраф 3–5 млн ₽ (ч. 12 ст. 13.11 КоАП); при повторности — оборотный штраф до 500 млн ₽ (ч. 15). За нарушение локализации данных — от 1 до 6 млн ₽ (ч. 8).
→ Если вы финансовый директор аптечной сети и не знаете, в каком реестре РКН вы числитесь и какие документы подтвердят соответствие при проверке, — читайте дальше.

Аптечный бизнес привыкал считать себя частью медицины, а не цифровой экономики. Между тем аптеки накапливают базы покупателей программ лояльности, передают данные маркетплейсам и CRM-системам, обмениваются сведениями с ЕГИСЗ. Регулятор смотрит на это иначе: Роскомнадзор относит аптеки к операторам ПДн наравне с банками и интернет-магазинами. Ниже — разбор того, какие нормы 152-ФЗ обязательны для аптеки, какие штрафы предусмотрены и что конкретно нужно подготовить, чтобы проверка не превратилась в кризис бюджета.

Какие данные аптека обрабатывает и почему это не «просто продажи»?

Аптека работает с несколькими потоками ПДн. Первый — покупатели бонусных программ: ФИО, телефон, email, история покупок, иногда дата рождения. Второй — рецептурный отпуск: данные рецепта содержат диагноз, МНН препарата и сведения врача. По позиции Роскомнадзора, информация о том, какой препарат и по какому рецепту приобретён, раскрывает сведения о состоянии здоровья. Это специальная категория по ст. 10 ФЗ-152. Обработка специальных категорий по общему правилу запрещена, кроме исключений п. 2 ст. 10, — в том числе если обработка необходима для защиты жизни и здоровья или осуществляется медицинской организацией в рамках профессиональной деятельности.

Третий поток — работники: личные дела, СНИЛС, ИНН, банковские реквизиты для зарплаты, данные медкнижек. Четвёртый — контрагенты и поставщики (физлица, ИП). Пятый — данные, которые аптека передаёт в ЕГИСЗ при отпуске рецептурных препаратов. Каждый поток требует отдельного правового основания по ст. 6 ФЗ-152 и отдельного раздела в политике конфиденциальности.

«Ст. 10 ФЗ-152 — обработка данных о состоянии здоровья без письменного согласия допустима только при наличии оснований п. 2 ст. 10, в том числе в медицинских целях лицом, обязанным соблюдать профессиональную тайну.»

Аптека, имеющая лицензию на фармацевтическую деятельность, может опираться на это исключение. Но важен нюанс: исключение работает при отпуске препаратов, а не при формировании CRM-профиля для маркетинговых рассылок. Как только аптека начинает использовать данные о покупках для таргета — основание меняется и требует отдельного согласия.

Какие нормы 152-ФЗ обязательны для аптеки без исключений?

Вне зависимости от размера аптечной сети и формы собственности действуют пять обязательных блоков.

Уведомление РКН (ст. 22 ФЗ-152). До начала обработки ПДн оператор обязан направить уведомление. Форма — через портал pd.rkn.gov.ru. Срок включения в реестр — 30 дней. Неуведомление или просрочка — штраф 100–300 тыс. ₽ по ч. 10 ст. 13.11 КоАП (в редакции с 30.05.2025).

Политика обработки ПДн (ч. 2 ст. 18.1 ФЗ-152). Документ должен быть опубликован в открытом доступе — минимум на сайте или на стенде в торговом зале. Невыполнение — ч. 3 ст. 13.11, штраф 30–60 тыс. ₽. Для аптечной сети с оборотом в сотни миллионов рублей это незначительная сумма, но сам факт нарушения даёт РКН основание перейти к проверке по существу.

Назначение ответственного (ст. 22.1 ФЗ-152). Юридическое лицо обязано назначить лицо, ответственное за организацию обработки ПДн, приказом. Без этого документа любая проверка РКН фиксирует нарушение с первых минут.

Согласие субъекта (ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025). С 01.09.2025 согласие на обработку ПДн оформляется отдельным документом — не встроенным в договор купли-продажи, не в правилах программы лояльности, не в оферте. У каждого согласия — обязательные реквизиты: ФИО субъекта, контактные данные, наименование оператора, цель, перечень данных, перечень действий, срок, способ отзыва. Аптеки, которые собирали согласия через галочку «согласен с условиями» на сайте или кассовом терминале, должны пересмотреть форму.

Локализация (ч. 5 ст. 18 ФЗ-152). Запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан РФ должны осуществляться на серверах в РФ. Это касается и облачных CRM: если данные покупателей аптеки хранятся на зарубежном сервере — нарушение ч. 8 ст. 13.11 КоАП, штраф 1–6 млн ₽.

Не уверены, в каком реестре РКН числится ваша аптека?

Финансовый директор аптечной сети нередко узнаёт о проблеме с ПДн из запроса РКН, а не от юриста. К этому моменту бюджет на устранение нарушений многократно превышает стоимость превентивного аудита. Юристы DATUM проведут аудит соответствия по чек-листу из 38 пунктов и выдадут приоритизированный план с оценкой рисков.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как работают программы лояльности аптек в свете требований ФЗ-152?

Программа лояльности — наиболее типичный источник рисков для аптечной сети. Стандартная схема: покупатель регистрируется на кассе или в мобильном приложении, получает бонусную карту, а аптека накапливает историю его покупок. С точки зрения 152-ФЗ это обработка ПДн в маркетинговых целях, требующая отдельного согласия.

Уязвимых точек несколько. Первая — согласие при регистрации. Если форма содержит только поле «согласен на обработку ПДн» без конкретного перечня данных, целей и сроков — это нарушение ст. 9. После 01.09.2025 такая форма недействительна вне зависимости от того, когда субъект её подписал. Согласия, полученные до указанной даты, действуют до их отзыва или истечения срока, но новые должны быть по новым правилам.

Вторая точка — передача данных партнёрам. Если аптека использует внешнюю CRM или передаёт данные маркетинговому агентству, это поручение обработки по п. 3 ст. 6 ФЗ-152. Требуется договор-поручение с перечнем действий и требованиями к защите. Без договора оператор несёт ответственность за действия подрядчика.

Третья точка — срок хранения. После отзыва согласия или по достижении цели обработки данные подлежат уничтожению по ст. 21 ФЗ-152. Бессрочное хранение клиентских баз в CRM нарушает принцип ограничения срока хранения (ст. 5 ФЗ-152). Регулятор это проверяет.

Что подготовить аптеке для соответствия 152-ФЗ

  • Уведомление в реестре РКН — проверить актуальность сведений на pd.rkn.gov.ru, включая перечень целей и категорий ПДн.
  • Политика обработки ПДн — опубликована на сайте и/или в торговом зале, содержит обязательные разделы по ч. 2 ст. 18.1 ФЗ-152.
  • Отдельные согласия по ст. 9 ФЗ-152 (редакция с 01.09.2025) — для покупателей программы лояльности, для рассылок, для передачи данным партнёрам.
  • Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 и должностная инструкция.
  • Договоры-поручения с CRM-провайдером, маркетинговым агентством, IT-подрядчиком — с перечнем допустимых действий и требованиями к защите.

Какие санкции грозят аптеке за нарушения и как их оценить в деньгах?

Финансовый директор должен держать в голове не абстрактные «риски», а конкретные цифры. Актуальная редакция ст. 13.11 КоАП (18 частей, действует с 30.05.2025, введена ФЗ-420 от 30.11.2024) устроена иначе, чем до 2025 года.

Типичные нарушения аптечной сети и соответствующие санкции:

  • Обработка без правового основания или несовместимая с целями — ч. 1 ст. 13.11, штраф 150–300 тыс. ₽ для юрлица. При повторности — ч. 1.1, 300–500 тыс. ₽.
  • Обработка без письменного согласия или с дефектным согласием — ч. 2, штраф 300–700 тыс. ₽. При повторности — ч. 2.1, 1–1,5 млн ₽.
  • Отсутствие политики — ч. 3, штраф 30–60 тыс. ₽. Сумма небольшая, но инспектор обязан вынести протокол, если документ не вывешен.
  • Нарушение локализации (зарубежная CRM без надлежащего уведомления) — ч. 8, штраф 1–6 млн ₽. При повторности — ч. 9, 6–18 млн ₽.
  • Утечка данных 1 000–10 000 субъектов — ч. 12, штраф 3–5 млн ₽.
  • Утечка 10 000–100 000 субъектов — ч. 13, штраф 5–10 млн ₽.
  • Утечка более 100 000 субъектов — ч. 14, штраф 10–15 млн ₽.
  • Повторная утечка (оборотный штраф, ч. 15) — 1–3% совокупной годовой выручки за предшествующий календарный год, не менее 20 млн ₽ и не более 500 млн ₽.
  • Неуведомление РКН об утечке в течение 24 часов — ч. 11, штраф 1–3 млн ₽.
«Ст. 13.11 ч. 15 КоАП (в редакции с 30.05.2025) — оборотный штраф за повторную утечку составляет от 1% до 3% совокупной выручки за предшествующий год, не менее 20 млн ₽ и не более 500 млн ₽. Скидка при быстрой уплате по ст. 32.2 КоАП на оборотный штраф не распространяется.»

Для аптечной сети с выручкой 1 млрд ₽ оборотный штраф при повторной утечке составит минимум 20 млн ₽, а при выручке 5 млрд ₽ — до 150 млн ₽. Стоимость аудита соответствия — от 100 тыс. ₽. Разница в масштабе делает аудит вопросом бюджетной математики, а не «дополнительных расходов».

Если аптечная сеть уже получила предписание РКН или зафиксировала инцидент с данными покупателей — время на реакцию ограничено: 24 часа на первичное уведомление (ч. 3.1 ст. 21 ФЗ-152), 72 часа на отчёт. Юристы DATUM готовы собрать ОРД и защитить позицию в арбитраже.

Заказать аудит 152-ФЗ

Как это применяется на практике

Кейс 1. Аптечная сеть в Сибирском федеральном округе (осень 2025) использовала облачную CRM зарубежного провайдера для хранения данных покупателей программы лояльности — около 180 тыс. субъектов. Уведомление РКН о трансграничной передаче не подавалось. После плановой проверки РКН зафиксировал нарушение ч. 5 ст. 18 ФЗ-152 (локализация) и возбудил дело по ч. 8 ст. 13.11 КоАП. Штраф составил несколько миллионов рублей. Параллельно выявлено отсутствие договора-поручения с CRM-провайдером — дополнительный протокол по ч. 1 ст. 13.11. Совокупные потери многократно превысили стоимость предварительного юридического сопровождения.

Кейс 2. Региональная аптечная сеть (Приволжский ФО, начало 2026) получила жалобу бывшего покупателя: тот потребовал уничтожить его данные после истечения срока действия бонусной карты. Аптека не располагала регламентом ответа на обращения субъектов и просрочила 10-рабочедневный срок по ст. 20 ФЗ-152. РКН вынес предупреждение по ч. 4 ст. 13.11. По итогам внутренней проверки выяснилось, что политика обработки ПДн на сайте не обновлялась с 2021 года и не отражала фактических получателей данных. Компания приняла решение провести полный аудит ОРД.

Услуги DATUM по теме

Частые вопросы

1. Можно ли отказать клиенту без биометрии?

Применительно к аптечному бизнесу: аптека не вправе обусловливать отпуск препаратов предоставлением биометрических данных. По ч. 8 ст. 14.8 КоАП обусловливание обслуживания потребителя предоставлением биометрии в ЕБС влечёт штраф для юрлица. Более широко — любая дискриминация покупателя за отказ предоставить данные, не обязательные по закону, нарушает права субъекта. Программа лояльности с обязательной биометрией — под особым вниманием РКН.

2. Что грозит аптечной сети за утечку данных покупателей?

Штраф зависит от числа субъектов: 1 000–10 000 — ч. 12 ст. 13.11 КоАП, 3–5 млн ₽; 10 000–100 000 — ч. 13, 5–10 млн ₽; более 100 000 — ч. 14, 10–15 млн ₽. При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. Дополнительно — штраф 1–3 млн ₽ за неуведомление РКН в течение 24 часов по ч. 11 ст. 13.11. С 11.12.2024 за незаконное использование или передачу ПДн предусмотрена уголовная ответственность по ст. 272.1 УК РФ — до 10 лет лишения свободы (ч. 5).

3. Какое правовое основание обработки ПДн в аптеке?

Зависит от цели. Отпуск рецептурных препаратов — исполнение требований законодательства (п. 2 ст. 6 ФЗ-152) и специальное исключение п. 2 ст. 10 для медицинской деятельности. Программа лояльности — согласие субъекта по ст. 9 ФЗ-152. Трудовые отношения с работниками — исполнение трудового договора (п. 5 ст. 6). Обмен с ЕГИСЗ — исполнение требований законодательства об обращении лекарственных средств. Использовать одно согласие на все цели сразу с 01.09.2025 недопустимо.

4. Где физически хранится биометрия, если аптека её собирает?

Хранение биометрических ПДн вне Единой биометрической системы (ЕБС) запрещено с 01.06.2023 (ФЗ-572 от 29.12.2022). Аптека, которая использует биометрию для идентификации покупателей или контроля доступа сотрудников и хранит шаблоны самостоятельно, нарушает ФЗ-572. Обработка биометрии с нарушением требований ст. 11 ФЗ-152 — ч. 16 ст. 13.11 КоАП. Утечка биометрических ПДн — ч. 17 ст. 13.11, штраф 15–20 млн ₽.

5. Как оспорить штраф РКН, если протокол уже составлен?

Протокол по ст. 13.11 КоАП составляет РКН, рассматривают дело с 28.12.2025 мировые судьи (ФЗ-508 от 28.12.2025). Постановление обжалуется в районный суд в 10-дневный срок. По ст. 4.1.1 КоАП для микропредприятий и субъектов МСП при первичном нарушении и отсутствии вреда суд вправе заменить штраф предупреждением — это не применяется к оборотным составам (ч. 15, ч. 18). По ст. 4.1 КоАП (примечание 3.4-2) при документально подтверждённых инвестициях в ИБ от 0,1% выручки за 3 года оборотный штраф снижается до 1/10 минимума, но не менее 15 млн ₽ и не более 50 млн ₽. Без юриста по ст. 13.11 добиться снижения сложнее: практика только складывается.

Итог

Аптека в части 152-ФЗ стоит на пересечении медицины и розничной торговли: специальные категории данных пациентов требуют одних оснований, данные покупателей программ лояльности — других. Ошибки в согласиях, отсутствие договоров с CRM-провайдерами и незакрытый вопрос локализации превращаются в штрафы от сотен тысяч до десятков миллионов рублей — особенно после вступления в силу ФЗ-420 с 30.05.2025.

DATUM сопровождает аптечные сети в части соответствия 152-ФЗ: аудит обработки ПДн, сборка ОРД, подготовка к проверке РКН и защита в арбитраже по ст. 13.11 КоАП.

Смотрите также

СЛ
Сергей Лобанов
Аналитик · Финансовый сектор
Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ), отказ от биометрии по ч. 8 ст. 14.8 КоАП.

14 апреля 2029 года