Перейти к содержанию
инструкция 14 января 2029 По состоянию на 14 января 2029

Чек-лист соответствия 152-ФЗ для клиники

Клиника обрабатывает данные о здоровье пациентов — спецкатегорию по ст. 10 ФЗ-152. За утечку от 1 000 субъектов штраф начинается от 3 млн ₽ по ч. 12 ст. 13.11 КоАП.
С 30.05.2025 действуют 18 частей ст. 13.11 КоАП в редакции ФЗ-420. Повторная утечка — оборотный штраф до 500 млн ₽. Для медорганизации особую роль играют МИС, ЕГИСЗ, телемедицина и информированное добровольное согласие.
→ Если вы главный врач и не уверены, что документация клиники соответствует 152-ФЗ — пройдите чек-лист и проверьте пять обязательных блоков.

Медицинская организация работает с данными, за которые закон предусматривает максимальную ответственность. Диагноз, анамнез, результаты анализов — всё это спецкатегория, обработка которой по умолчанию запрещена и допускается только при строгом соблюдении условий ст. 10 ФЗ-152 и ст. 13 Федерального закона № 323-ФЗ о врачебной тайне. Ниже — пять шагов, которые позволяют главному врачу проверить соответствие клиники требованиям 152-ФЗ без привлечения внешних консультантов на первичном этапе.

Шаг 1. Проверьте регистрацию в реестре операторов РКН

Каждая клиника, которая обрабатывает персональные данные пациентов с использованием средств автоматизации (МИС, электронная медицинская карта, портал записи), обязана уведомить Роскомнадзор до начала обработки. Требование закреплено в ст. 22 ФЗ-152. Включение в реестр занимает до 30 дней с момента подачи уведомления.

Проверьте три пункта. Первый — клиника числится в реестре операторов на pd.rkn.gov.ru. Второй — уведомление содержит актуальные сведения: перечень категорий ПДн совпадает с тем, что фактически обрабатывается. Третий — если клиника подключилась к ЕГИСЗ или запустила телемедицину после подачи уведомления, изменения направлены в РКН в установленном порядке.

«Ст. 22 ФЗ-152 — оператор обязан уведомить уполномоченный орган о намерении осуществлять обработку ПДн до начала такой обработки.»

Типичная ошибка: клиника уведомила РКН при открытии, но спустя год внедрила МИС с новыми модулями и не скорректировала сведения в реестре. Неуведомление об изменениях — состав по ч. 10 ст. 13.11 КоАП, штраф для юридического лица 100–300 тыс. ₽.

Шаг 2. Проверьте согласия пациентов на обработку ПДн

Данные о здоровье — спецкатегория по ст. 10 ФЗ-152. Их обработка допускается только при наличии письменного согласия субъекта либо при условиях, прямо указанных в ч. 2 ст. 10 (например, для защиты жизни и здоровья). На практике клиника получает два разных документа: информированное добровольное согласие на медицинское вмешательство по ст. 20 323-ФЗ и согласие на обработку персональных данных по ст. 9 ФЗ-152. Это не одно и то же.

С 01.09.2025 согласие на обработку ПДн оформляется отдельным документом и не может быть частью договора на оказание медицинских услуг, карты пациента или политики клиники. Требование введено ФЗ-156 от 24.06.2025.

«Ст. 9 ФЗ-152 (в ред. ФЗ-156 от 24.06.2025) — согласие субъекта ПДн должно быть оформлено отдельным документом. Обязательные реквизиты: ФИО и контактные данные субъекта, наименование оператора, цели обработки, перечень ПДн, перечень действий, срок, способ отзыва.»

Проверьте три пункта. Первый — согласие на ПДн существует как отдельная форма, не совмещённая с ИДС. Второй — в согласии перечислены все категории данных, которые клиника реально обрабатывает: диагноз, анамнез, результаты исследований, изображения (если есть), данные для записи через сайт. Третий — согласие содержит все обязательные реквизиты по ст. 9 ФЗ-152, включая цели передачи третьим лицам (лаборатории, страховые компании, ЕГИСЗ).

Согласия пациентов совмещены с ИДС или договором?

Если в клинике согласие на обработку ПДн включено в карту пациента или договор — с 01.09.2025 такой документ не соответствует требованиям ФЗ-156. Каждая форма создаёт самостоятельное основание для штрафа по ч. 2 ст. 13.11 КоАП: 300–700 тыс. ₽ за обработку без надлежащего согласия. Юристы DATUM проведут аудит документации клиники и приведут согласия в соответствие.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Проверьте защиту медицинской информационной системы

МИС — центральная точка риска для клиники. В ней сосредоточены данные о здоровье пациентов: диагнозы, назначения, лабораторные результаты. Это спецкатегория ПДн, что автоматически влечёт повышенный уровень защищённости информационной системы. Согласно ПП РФ № 1119 от 01.11.2012, для спецкатегории ПДн и числа субъектов более 100 000 требуется не ниже УЗ-2; для меньшего числа субъектов — не ниже УЗ-3.

Организационные и технические меры защиты определяются Приказом ФСТЭК № 21 от 18.02.2013. Набор мер привязан к установленному уровню защищённости.

«Ст. 19 ФЗ-152 — оператор обязан принять организационные и технические меры, обеспечивающие защиту ПДн от неправомерного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения. Конкретный состав мер — ПП РФ № 1119 и Приказ ФСТЭК № 21.»

Проверьте четыре пункта. Первый — для МИС определён уровень защищённости в соответствии с ПП РФ № 1119 и оформлен актом. Второй — реализованы меры защиты базового набора по Приказу ФСТЭК № 21 соответствующего УЗ. Третий — доступ к МИС разграничен по ролям: врач видит данные своих пациентов, администратор — только необходимый минимум. Четвёртый — МИС не имеет открытого доступа из внешней сети без средств аутентификации.

Как клиника должна взаимодействовать с ЕГИСЗ по требованиям 152-ФЗ?

Передача данных в ЕГИСЗ — обязанность медицинской организации по законодательству о здравоохранении. Одновременно это операция с ПДн пациентов, включая спецкатегорию, что требует правового основания по ст. 6 и ст. 10 ФЗ-152.

Согласие пациента на обработку ПДн должно прямо указывать на цель передачи данных в ЕГИСЗ и на то, что получателем является Министерство здравоохранения и уполномоченные операторы системы. Без этого передача данных в ЕГИСЗ не имеет надлежащего правового основания с точки зрения 152-ФЗ, даже если она предусмотрена отраслевым законодательством.

Проверьте два пункта. Первый — в тексте согласия пациента на обработку ПДн есть отдельная цель: передача сведений в ЕГИСЗ. Второй — если клиника использует телемедицину, согласие охватывает дистанционные консультации и технические платформы, через которые они проводятся.

Что подготовить для проверки Роскомнадзора

  • Выписка из реестра операторов ПДн с pd.rkn.gov.ru с актуальными сведениями об обрабатываемых категориях данных
  • Отдельные согласия пациентов на обработку ПДн по форме, соответствующей ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025, с указанием ЕГИСЗ и третьих лиц
  • Политика обработки ПДн с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152, опубликованная на сайте клиники
  • Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152
  • Акт об определении уровня защищённости МИС по ПП РФ № 1119 и документация по реализованным мерам ФСТЭК № 21

Шаг 5. Проверьте порядок реагирования на утечку

Для клиники утечка из МИС — это не просто административное нарушение. Данные о здоровье пациентов относятся к спецкатегории, и их компрометация затрагивает охраняемую врачебную тайну по ст. 13 323-ФЗ. С точки зрения КоАП — это утечка ПДн с повышенным размером штрафа по ч. 12–14 ст. 13.11.

При обнаружении инцидента оператор обязан в течение 24 часов направить первичное уведомление в РКН, а через 72 часа — отчёт о результатах внутреннего расследования. Порядок уведомления регулируется ч. 3.1 ст. 21 ФЗ-152 и Приказом РКН № 187 от 14.11.2022.

«Ч. 3.1 ст. 21 ФЗ-152 — при выявлении факта неправомерной или случайной передачи ПДн оператор в течение 24 часов уведомляет РКН. Через 72 часа — уведомление о результатах расследования. Неуведомление — штраф 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП.»

Проверьте три пункта. Первый — в клинике утверждён регламент реагирования на инциденты с ПДн, включающий ответственного, порядок фиксации и алгоритм уведомления РКН. Второй — ответственный за обработку ПДн знает, как подать уведомление через pd.rkn.gov.ru в течение 24 часов. Третий — в клинике ведётся журнал учёта инцидентов и обращений субъектов.

Типовые сценарии нарушений в медицинских организациях

Сценарий 1. МИС без надлежащего уровня защищённости. Клиника внедрила коммерческую МИС, но не провела классификацию информационной системы по ПП РФ № 1119. Уровень защищённости не определён, меры ФСТЭК № 21 частично не реализованы. При проверке РКН выявит нарушение ст. 19 ФЗ-152. Стратегия: провести классификацию, составить акт, зафиксировать реализованные меры. Документация снижает риск до предупреждения при первичном нарушении.

Сценарий 2. Согласие пациента объединено с договором на услуги. Согласие на обработку ПДн включено в текст договора о медицинском обслуживании, подписанного до 01.09.2025. После вступления в силу ФЗ-156 такая форма не соответствует требованиям ст. 9 ФЗ-152. При получении жалобы пациента РКН вправе возбудить дело по ч. 2 ст. 13.11, штраф 300–700 тыс. ₽. Стратегия: разработать отдельную форму согласия и получить её от пациентов при следующем визите или дистанционно.

Сценарий 3. Утечка через подрядчика — IT-компанию, обслуживающую МИС. Оператором ПДн является клиника, а не подрядчик. Ответственность за утечку через лицо, осуществляющее обработку по поручению, несёт оператор. Размер штрафа определяется числом субъектов: от 3 млн ₽ при утечке от 1 000 человек (ч. 12 ст. 13.11). Стратегия: проверить договор с подрядчиком — он должен содержать обязательства по обеспечению конфиденциальности и защите ПДн, а также условия о праве клиники проводить аудит.

Если в клинике нет регламента реагирования на утечку — у вас нет 24 часов на его разработку после инцидента. Юристы DATUM подготовят полный пакет ОРД для медицинской организации, включая регламент реагирования и формы согласий по ФЗ-156.

Собрать ОРД под ключ

Частые вопросы

1. Чем отличается ИДС от согласия на обработку ПДн?

Информированное добровольное согласие на медицинское вмешательство (ИДС) регулируется ст. 20 Федерального закона № 323-ФЗ и касается согласия пациента на конкретную медицинскую процедуру или лечение. Согласие на обработку персональных данных — отдельный документ по ст. 9 ФЗ-152, в котором пациент разрешает клинике собирать, хранить и передавать его данные третьим лицам. С 01.09.2025 согласие на ПДн не может быть частью ИДС или любого другого документа — оно оформляется как самостоятельный документ согласно ФЗ-156 от 24.06.2025.

2. Можно ли публиковать фото «до и после» с согласия пациента?

Фотография, идентифицирующая пациента, относится к биометрическим персональным данным по ст. 11 ФЗ-152, а снимок, связанный с состоянием здоровья, — к спецкатегории по ст. 10. Для публикации требуется отдельное согласие на распространение ПДн по ст. 10.1 ФЗ-152. Форма молчания или общее согласие на обработку не считаются разрешением на публикацию. В согласии на распространение должен быть прямо указан способ распространения (сайт, социальные сети) и возможность пациента запретить конкретные элементы публикации.

3. Кто отвечает за утечку через МИС, если систему обслуживает подрядчик?

Ответственность несёт оператор — клиника, а не подрядчик. Лицо, осуществляющее обработку ПДн по поручению оператора (п. 3 ст. 6 ФЗ-152), не отвечает перед РКН напрямую. Штраф предъявляют оператору. Размер зависит от числа субъектов: от 3 млн ₽ при утечке 1 000–10 000 человек (ч. 12 ст. 13.11 КоАП). Риск снижается, если договор с подрядчиком содержит обязательства по защите ПДн и право клиники на аудит.

4. Какие данные клиника обязана передавать в ЕГИСЗ?

Состав сведений, подлежащих передаче в ЕГИСЗ, определяется отраслевым законодательством о здравоохранении и нормативными актами Минздрава. С точки зрения 152-ФЗ важно, чтобы согласие пациента прямо предусматривало цель передачи данных в государственные информационные системы здравоохранения. Без этого передача не имеет надлежащего правового основания как операция с ПДн, даже если она обязательна по отраслевым нормам.

5. Что грозит клинике за утечку данных пациентов?

Размер штрафа зависит от числа пострадавших субъектов. При утечке от 1 000 до 10 000 пациентов — ч. 12 ст. 13.11 КоАП, штраф 3–5 млн ₽. От 10 000 до 100 000 — ч. 13, штраф 5–10 млн ₽. Более 100 000 пациентов — ч. 14, штраф 10–15 млн ₽. Повторная утечка — оборотный штраф по ч. 15 ст. 13.11: 1–3% годовой выручки, не менее 20 млн ₽, не более 500 млн ₽. Дополнительно возможна ответственность по ст. 137 УК РФ за нарушение неприкосновенности частной жизни и по ст. 272.1 УК РФ за незаконное использование компьютерной информации с ПДн.

6. Как часто нужно проводить аудит соответствия 152-ФЗ для клиники?

Обязательной периодичности аудита 152-ФЗ в законе не установлено. На практике аудит проводят при значимых изменениях: внедрение новой МИС или модуля, подключение к ЕГИСЗ, запуск телемедицины, изменение организационной структуры (слияние, открытие филиала). Внеплановый аудит целесообразен при получении жалобы пациента или запроса РКН. Рекомендуемый плановый интервал — один раз в два года.

Итог

Соответствие 152-ФЗ для клиники держится на пяти блоках: регистрация в реестре РКН, корректные согласия пациентов по новым требованиям ФЗ-156, защита МИС на уровне не ниже УЗ-3, правомерная передача данных в ЕГИСЗ и отлаженный регламент реагирования на инциденты. Отсутствие любого из этих блоков при проверке РКН означает протокол по ст. 13.11 КоАП с минимальным штрафом от 150 тыс. ₽ и реальным риском в несколько миллионов рублей при утечке.

DATUM сопровождает медицинские организации по 152-ФЗ: аудит, разработка пакета ОРД под клинику, подготовка к проверке РКН. Практика по персональным данным в медицине ведётся с учётом требований 323-ФЗ, ЕГИСЗ и актуальной редакции ст. 13.11 КоАП.

Услуги DATUM по теме

Смотрите также

ОН
Ольга Нечаева
Аналитик · Медицина и образование
Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна.

14 января 2029 года