инструкция 14 января 2029 По состоянию на 14 января 2029

Бюджет соответствия 152-ФЗ для клиники

Данные пациентов — специальная категория по ст. 10 ФЗ-152. За утечку медицинской базы штраф по ч. 12–14 ст. 13.11 КоАП составляет от 3 до 15 млн рублей, а при повторности — оборотный штраф до 500 млн.

Клиники работают на пересечении двух режимов: ФЗ-152 «О персональных данных» и ст. 13 ФЗ-323 «Об охране здоровья» (врачебная тайна). Несоответствие любому из них создаёт административный риск и угрозу лицензии.

Если вы главный врач и в клинике работает МИС, подключена к ЕГИСЗ и ведётся телемедицина — читайте пошаговый план формирования бюджета соответствия 152-ФЗ с расчётом конкретных статей. →

С 30 мая 2025 года нарушения в обработке данных пациентов квалифицируются по новой редакции ст. 13.11 КоАП (ФЗ-420 от 30.11.2024). Медицинские данные — это специальная категория по ст. 10 ФЗ-152, поэтому большинство типичных нарушений клиники попадают под усиленные составы. Бюджет соответствия — не абстракция: это набор конкретных статей расходов, каждая из которых закрывает определённый риск. Ниже — инструкция по шагам: от диагностики текущего состояния до расчёта затрат на ОРД, технические меры и DPO.

Шаг 1. Оцените исходное состояние: что уже есть и что отсутствует

Прежде чем формировать бюджет, необходимо понять точку отсчёта. Клиники, как правило, имеют часть документов (медицинские согласия, договоры с МИС), но почти никогда не имеют полного пакета ОРД по ФЗ-152. Базовая диагностика занимает 1–3 рабочих дня и не требует привлечения внешних консультантов на этом этапе.

Проверьте наличие четырёх ключевых элементов. Первый — уведомление в реестре операторов персональных данных на pd.rkn.gov.ru: если клиника обрабатывает ПДн пациентов (а она это делает по умолчанию), уведомление обязательно по ст. 22 ФЗ-152. Второй — актуальная политика обработки персональных данных, опубликованная на сайте, с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152. Третий — отдельные согласия пациентов на обработку ПДн: с 1 сентября 2025 года по ФЗ-156 от 24.06.2025 согласие не может быть встроено в текст договора или информированного добровольного согласия (ИДС). Четвёртый — приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152.

«Ст. 22 ФЗ-152 обязывает оператора до начала обработки персональных данных уведомить Роскомнадзор. Медицинская организация — оператор с момента первого обращения пациента.»

Результат шага: список документов и процессов, которых нет. Это основа для составления бюджета.

Шаг 2. Рассчитайте стоимость организационно-распорядительной документации

ОРД — первая и наиболее предсказуемая статья бюджета. Для медицинской организации стандартный пакет включает не менее 38 документов: политику обработки ПДн, согласия пациентов, работников и контрагентов, приказы, регламенты, журналы учёта запросов субъектов, инструкции для персонала МИС.

Специфика клиники — два параллельных документа при каждом обращении пациента. Информированное добровольное согласие (ИДС) регулируется ст. 20 ФЗ-323 и относится к медицинскому праву. Согласие на обработку персональных данных — отдельный документ по ст. 9 ФЗ-152. Смешивать их нельзя: это разные правовые основания с разными реквизитами. Объединение в один документ после 1 сентября 2025 года нарушает требование об «отдельном документе» по ФЗ-156.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 (действует с 01.09.2025) требует, чтобы согласие на обработку ПДн было оформлено отдельным документом и не объединялось с договором, офертой или иными документами.»

Стоимость разработки ОРД под ключ у специализированного юриста составляет 45 000–90 000 рублей для клиники среднего размера (до 50 сотрудников, одна МИС, без телемедицины). При наличии телемедицинских сервисов и передачи данных в ЕГИСЗ — 80 000–150 000 рублей. Разработка своими силами возможна, но несёт риск некомплектности: отсутствие одного документа из пакета — основание для протокола по ч. 3 ст. 13.11 КоАП (штраф до 60 000 рублей).

Согласия пациентов ещё совмещены с ИДС?

Если в клинике согласие на обработку ПДн входит в текст информированного добровольного согласия — с 1 сентября 2025 года это нарушение ч. 2 ст. 13.11 КоАП. Штраф для юридического лица — от 300 000 до 700 000 рублей. Юристы DATUM разработают отдельные согласия с обязательными реквизитами по ст. 9 ФЗ-152 и проведут аудит всего пакета ОРД медорганизации.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Определите уровень защищённости МИС и бюджет на технические меры

Медицинская информационная система обрабатывает специальные категории ПДн — сведения о состоянии здоровья по ст. 10 ФЗ-152. Это автоматически влияет на уровень защищённости информационной системы персональных данных (ИСПДн) по ПП РФ №1119 от 01.11.2012.

Для большинства клиник применим УЗ-3 (актуальны угрозы 3-го типа, до 100 000 субъектов) или УЗ-2 (если число пациентов превышает 100 000). УЗ-3 обязывает выполнить базовый набор мер по Приказу ФСТЭК №21: идентификация и аутентификация (ИАФ), управление доступом (УПД), защита носителей (ЗНИ), антивирусная защита (АВЗ), регистрация событий безопасности (РСБ). Стоимость технических мер при уже развёрнутой MIS варьируется: от 80 000 рублей (доработка существующей инфраструктуры) до 400 000–600 000 рублей (если требуется выделенная среда, СКЗИ, система обнаружения вторжений).

Отдельная статья — СКУД с биометрией. Если в клинике используется система контроля доступа по отпечаткам или по лицу — это биометрические ПДн по ст. 11 ФЗ-152. Обработка без письменного согласия каждого сотрудника — нарушение, квалифицируемое по ч. 16 ст. 13.11 КоАП.

Что подготовить для оценки уровня защищённости МИС

Перечень ИСПДн: название МИС, версия, способ развёртывания (локально / облако / гибрид)
Категории обрабатываемых ПДн: специальные (диагнозы, назначения), общие (контакты), биометрические (если есть СКУД)
Ориентировочное число субъектов — пациентов в базе (порог 100 000 влияет на УЗ)
Актуальная модель угроз или справка от поставщика МИС об аттестации
Договор с поставщиком МИС: есть ли условие об обработке по поручению по ст. 6 ФЗ-152

Как рассчитать бюджет на ЕГИСЗ и телемедицину?

Передача сведений в Единую государственную информационную систему в сфере здравоохранения (ЕГИСЗ) обязательна для медицинских организаций, участвующих в программе госгарантий, и для частных клиник при наличии лицензии на ряд видов деятельности. Состав передаваемых сведений регулируется Приказом Минздрава: это данные об оказанных услугах, диагнозах, назначениях. Пациент не даёт отдельного согласия на передачу в ЕГИСЗ — это законное основание по п. 7 ч. 1 ст. 6 и ч. 2 ст. 10 ФЗ-152 (исполнение обязанностей, возложенных законодательством).

Бюджет на интеграцию с ЕГИСЗ — это преимущественно расходы на доработку МИС и техническую поддержку: от 30 000 до 200 000 рублей в зависимости от поставщика. Юридические расходы здесь минимальны: требуется проверить соответствие договора с поставщиком МИС условиям поручения по ст. 6 ФЗ-152 и актуализировать политику обработки ПДн (отразить ЕГИСЗ как получателя).

Телемедицина создаёт дополнительный контур: если платформа зарубежная или данные передаются за рубеж, возникает трансграничная передача по ст. 12 ФЗ-152. До передачи в страну без адекватного уровня защиты необходимо уведомить Роскомнадзор. Стоимость подготовки уведомления и сопутствующих документов — 60 000–120 000 рублей у специализированного юриста.

Если в клинике используется зарубежная телемедицинская платформа или МИС в иностранном облаке — у вас может быть неуведомлённая трансграничная передача данных пациентов. Штраф по ч. 10 ст. 13.11 КоАП — от 100 000 до 300 000 рублей, а нарушение локализации по ч. 8 — от 1 до 6 млн рублей.

Подготовиться к проверке РКН

Шаг 5. Заложите резерв на реагирование при инцидентах

Статья бюджета, которую чаще всего игнорируют при планировании. Регламент реагирования на инциденты с ПДн — обязательный документ, а сроки закреплены в ч. 3.1 ст. 21 ФЗ-152 и Приказе РКН №187 от 14.11.2022: 24 часа на первичное уведомление Роскомнадзора, 72 часа — на отчёт о результатах внутреннего расследования. Для клиники это особенно критично: утечка медицинских данных — это утечка специальной категории, что автоматически влечёт составы по ч. 12–17 ст. 13.11 КоАП.

Стоимость разработки регламента реагирования — 30 000–60 000 рублей. Стоимость привлечения юриста в случае реального инцидента (сопровождение уведомления, взаимодействие с РКН, подготовка отчёта) — от 200 000 рублей. Практика показывает: клиники, не имеющие готового регламента, тратят на реагирование в 3–5 раз больше тех, у кого процедура отработана заранее.

«Ч. 11 ст. 13.11 КоАП (в редакции с 30.05.2025): неуведомление или несвоевременное уведомление Роскомнадзора об инциденте с персональными данными — штраф для юридического лица от 1 000 000 до 3 000 000 рублей.»

Как применяется бюджет в практике: два сценария для клиники

Сценарий 1. Плановая подготовка к проверке РКН. Клиника в Приволжском ФО (осень 2025 года) получила предписание о проверке через 30 дней. Из документации имелись только МИС-договор и политика конфиденциальности на сайте без обязательных разделов. Юристы сформировали полный пакет ОРД за 18 рабочих дней: переработали политику, подготовили согласия на ПДн отдельно от ИДС, назначили ответственного приказом, разработали регламент реагирования. Стоимость работ составила около 120 000 рублей. Проверка завершилась без штрафа; выдано предписание по двум незначительным пунктам со сроком устранения 60 дней.

Кейс 2. В деле об утечке данных пациентов медицинской лаборатории (Центральный ФО, 2022 год, case_02_gemotest) нарушение квалифицировано по ст. 13.11 КоАП. По итогам мировой суд назначил штраф. Компания не имела отдельного регламента реагирования и не смогла подтвердить оперативность принятых мер. Этот кейс демонстрирует: при наличии заранее подготовленной документации и доказательств принятых мер суд учитывает смягчающие обстоятельства по ст. 4.1 КоАП.

Сводный расчёт бюджета соответствия 152-ФЗ для клиники

Ниже — ориентировочные диапазоны по статьям расходов. Конкретные цифры зависят от размера клиники, наличия телемедицины, числа МИС и региона.

Аудит соответствия 152-ФЗ — от 100 000 до 200 000 рублей: диагностика текущего состояния, отчёт с приоритизированным планом устранения, оценка уровня защищённости МИС.
Разработка ОРД под ключ — от 45 000 до 150 000 рублей: полный пакет 38 документов, включая отдельные согласия пациентов по ФЗ-156, регламент реагирования, инструкции для персонала.
Технические меры защиты МИС — от 80 000 до 600 000 рублей: зависит от текущего уровня зрелости инфраструктуры и требуемого УЗ по ПП РФ №1119.
Интеграция и юридическое сопровождение ЕГИСЗ — от 30 000 до 50 000 рублей на юридическую часть.
DPO-аутсорсинг (ответственный за обработку) — от 30 000 рублей в месяц при отсутствии штатного специалиста по ст. 22.1 ФЗ-152.
Резерв на реагирование при инциденте — от 200 000 рублей: юридическое сопровождение уведомления РКН за 24/72 часа.

Итоговый диапазон для клиники без телемедицины: 300 000–500 000 рублей единовременно плюс 30 000–50 000 рублей в месяц на поддержание. Для клиники с телемедицинским сервисом и зарубежным облаком — от 500 000 до 1 000 000 рублей единовременно. Для сравнения: штраф по ч. 14 ст. 13.11 КоАП за утечку данных более 100 000 пациентов — от 10 000 000 до 15 000 000 рублей.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — диагностика по чек-листу 38 пунктов с отчётом и планом
Комплект ОРД под ключ — 38 документов включая согласия пациентов по ФЗ-156
Сопровождение проверок РКН — подготовка, представление интересов, обжалование предписания

Частые вопросы

1. Чем отличается ИДС от согласия на обработку персональных данных?

Информированное добровольное согласие (ИДС) — медицинско-правовой документ по ст. 20 ФЗ-323 «Об охране здоровья»: пациент подтверждает, что ознакомлен с характером и рисками вмешательства. Согласие на обработку персональных данных — самостоятельный документ по ст. 9 ФЗ-152 с обязательными реквизитами (цель, состав ПДн, перечень действий, срок, способ отзыва). С 1 сентября 2025 года объединять эти документы нельзя: каждый оформляется отдельно.

2. Можно ли публиковать фото «до и после» с согласия пациента?

Публикация фотографий с медицинским контекстом — это распространение специальных категорий ПДн по ст. 10.1 ФЗ-152. Требуется отдельное согласие на распространение, оформленное по правилам ст. 10.1: дефолт молчания означает запрет на публикацию. Кроме того, публикация может нарушить врачебную тайну по ст. 13 ФЗ-323, даже при наличии согласия, если по снимку возможна идентификация диагноза. Перед публикацией необходима юридическая проверка обоих оснований.

3. Кто отвечает за утечку через МИС?

Оператором персональных данных является клиника, а не поставщик МИС. Если система развёрнута у вендора в облаке — клиника обязана заключить договор поручения обработки по п. 3 ст. 6 ФЗ-152 с перечнем допустимых действий и обязательством по защите данных. При утечке через МИС-поставщика ответственность по ст. 13.11 КоАП несёт клиника как оператор. Это подтверждается судебной практикой: оператор отвечает за действия лица, которому поручил обработку.

4. Какие данные передавать в ЕГИСЗ и нужно ли согласие пациента?

Состав сведений для ЕГИСЗ определён Приказом Минздрава: данные об оказанных медицинских услугах, диагнозах, назначениях лекарственных препаратов. Отдельного согласия пациента не требуется: передача в ЕГИСЗ — исполнение обязанности, возложенной законодательством (основание по п. 2 ч. 1 ст. 6 и ч. 2 ст. 10 ФЗ-152). Однако в политике обработки ПДн клиники необходимо указать ЕГИСЗ как получателя данных и описать состав передаваемых сведений.

5. Что грозит клинике за утечку данных пациентов?

Ответственность зависит от числа пострадавших субъектов. При утечке от 1 000 до 10 000 пациентов — штраф 3–5 млн рублей по ч. 12 ст. 13.11 КоАП (в редакции с 30.05.2025). При утечке от 10 000 до 100 000 — 5–10 млн рублей по ч. 13. Более 100 000 — 10–15 млн рублей по ч. 14. При повторном нарушении применяется оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн и не более 500 млн рублей. Дополнительно — риск уголовной ответственности по ст. 272.1 УК РФ, введённой ФЗ-421 от 30.11.2024.

6. Можно ли снизить расходы на соответствие, если клиника небольшая?

Для микропредприятий возможна замена штрафа на предупреждение по ст. 4.1.1 КоАП при первичном нарушении и отсутствии вреда — но только для составов, не связанных с повторными утечками (ч. 15, 18 ст. 13.11 не подпадают). При этом расходы на ОРД можно оптимизировать: приоритизировать документы с наибольшим риском (согласия пациентов, политика, регламент реагирования). Инвестиции в информационную безопасность в размере не менее 0,1% выручки за три года могут снизить оборотный штраф до одной десятой минимального размера по ст. 4.1 КоАП.

Итог

Бюджет соответствия 152-ФЗ для клиники складывается из пяти блоков: аудит, ОРД (включая отдельные согласия пациентов по ФЗ-156), технические меры защиты МИС по уровням УЗ, сопровождение интеграции с ЕГИСЗ и телемедицины, резерв на реагирование при инцидентах. Единовременные расходы для клиники среднего размера — 300 000–500 000 рублей, что в 10–30 раз ниже штрафов по ч. 12–14 ст. 13.11 КоАП.

Практика DATUM включает сопровождение медицинских организаций по ФЗ-152 и ФЗ-323: от разработки пакета ОРД с учётом специфики МИС и ЕГИСЗ до представления интересов при проверках Роскомнадзора.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, обработка ПДн несовершеннолетних.

14 января 2029 года