инструкция 24 февраля 2027 По состоянию на 24 февраля 2027

Чем согласие отличается от информированного согласия в медицине

Согласие на обработку персональных данных и информированное добровольное согласие пациента — два разных документа с разными правовыми основаниями, формой и последствиями нарушения.

Медицинская организация обязана получить оба документа: информированное согласие — по ст. 20 Федерального закона № 323-ФЗ «Об основах охраны здоровья граждан», согласие на обработку ПДн — по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025. Смешение этих форм создаёт основания для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 рублей.

Если вы юрист клиники и сомневаетесь, правильно ли оформлены оба документа, — ниже пошаговый разбор различий и требований к каждому.

С 01.09.2025 требования к согласию на обработку ПДн изменились: по ФЗ-156 от 24.06.2025 оно должно быть оформлено отдельным документом и не может объединяться ни с договором, ни с медицинской картой, ни с информированным добровольным согласием. Клиники, которые по-прежнему включают обработку ПДн в общую форму согласия пациента, нарушают ст. 9 ФЗ-152. Роскомнадзор проверяет это при плановых и внеплановых проверках. Инструкция ниже разбирает оба документа по существу — для юриста, который отвечает за комплаенс медицинской организации.

Шаг 1. Разберитесь в правовой природе каждого документа

Информированное добровольное согласие пациента регулируется ст. 20 ФЗ-323. Это медико-правовой документ: пациент соглашается на конкретное медицинское вмешательство после того, как врач объяснил цели, методы, риски и альтернативы. Правовое последствие отсутствия — врач не вправе провести вмешательство. Ответственность — дисциплинарная, гражданско-правовая, уголовная по ст. 124 УК РФ.

Согласие на обработку персональных данных регулируется ст. 9 ФЗ-152. Это документ защиты данных: субъект разрешает оператору совершать конкретные действия с конкретными категориями его данных. Правовое последствие отсутствия — обработка без правового основания. Ответственность — административная по ст. 13.11 КоАП, в случае утечки — до 15 млн рублей по ч. 14 ст. 13.11 и до 10 лет лишения свободы по ч. 5 ст. 272.1 УК за незаконное использование персональных данных.

«Ст. 9 ФЗ-152 устанавливает обязательные реквизиты согласия на обработку ПДн: наименование оператора, цель обработки, перечень ПДн, перечень действий с ними, срок действия, способ отзыва. С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие оформляется исключительно отдельным документом.»

Медицинские данные пациента — специальная категория ПДн по ст. 10 ФЗ-152: сведения о состоянии здоровья. Для их обработки требуется письменное согласие субъекта. Это отдельное основание сверх общего согласия по ст. 9 — смешивать их нельзя.

Форма согласия клиники составлена до 01.09.2025?

Если юрист работает с формами, утверждёнными до вступления в силу ФЗ-156, они не соответствуют актуальным требованиям ст. 9 ФЗ-152. Каждая форма, объединяющая согласие на обработку ПДн с другим документом, — основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 рублей. Срок для переработки — до ближайшей проверки РКН, которая может быть объявлена в любой момент.

Собрать ОРД под ключ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 2. Проверьте обязательные реквизиты каждого документа

У каждого документа — собственный закрытый перечень реквизитов. Отсутствие любого из них делает документ дефектным.

Информированное добровольное согласие (ст. 20 ФЗ-323) содержит:

наименование медицинской организации;
ФИО пациента (или его законного представителя);
наименование медицинского вмешательства;
описание возможных рисков, последствий и альтернатив;
подпись пациента и дату;
подпись медицинского работника.

Согласие на обработку ПДн (ст. 9 ФЗ-152) содержит:

ФИО субъекта и его контактные данные;
наименование и адрес оператора;
цель обработки (конкретная, а не «в соответствии с договором»);
перечень персональных данных, на обработку которых даётся согласие;
перечень действий с ПДн и описание способов обработки;
срок действия согласия или условие его прекращения;
порядок отзыва согласия.

«Ст. 10 ФЗ-152 относит сведения о состоянии здоровья к специальным категориям ПДн. Их обработка по общему правилу запрещена, если субъект не дал письменное согласие на основании п. 4 ч. 2 ст. 10. Это согласие должно явно называть категорию — «данные о состоянии здоровья» — и цель, для которой клиника их обрабатывает.»

Частая ошибка: в форме информированного согласия добавляют строку «в том числе даю согласие на обработку ПДн». Такая строка не удовлетворяет требованиям ст. 9 ФЗ-152 ни по составу реквизитов, ни по принципу отдельного документа, введённому ФЗ-156.

Что проверить юристу медицинской организации

Согласие на обработку ПДн оформлено отдельным документом — не включено в форму 003-у, договор или информированное согласие по ФЗ-323.
В согласии перечислены все категории ПДн, которые реально обрабатываются (включая данные о здоровье как специальную категорию по ст. 10 ФЗ-152).
Указаны конкретные цели обработки и перечень действий с ПДн, а не общие формулировки.
Предусмотрен порядок отзыва согласия и документально зафиксирован срок его действия.
Форма утверждена после 01.09.2025 или переработана с учётом требований ФЗ-156.

Шаг 3. Установите, кто подписывает каждый документ

Субъект подписания у обоих документов различается в случаях с несовершеннолетними и недееспособными.

Информированное согласие по ФЗ-323 подписывает сам пациент с 15 лет (для наркологии и психиатрии — с 16 лет). За детей до этого возраста и за недееспособных — законный представитель.

Согласие на обработку ПДн по ст. 9 ФЗ-152 даёт субъект ПДн лично либо его уполномоченный представитель. За несовершеннолетних до 18 лет — родитель или опекун. Подпись ребёнка в возрасте 15+ по медицинскому согласию не равнозначна его согласию на обработку ПДн: разные правовые режимы, разные лица, уполномоченные подписать документ.

Практическое следствие: для несовершеннолетнего пациента клиника оформляет два документа с родителем — информированное согласие на вмешательство и отдельное согласие на обработку ПДн, где данные ребёнка являются предметом обработки, а согласие даёт законный представитель.

Шаг 4. Определите, как каждый документ отзывается

Отзыв информированного согласия означает отказ от медицинского вмешательства. Процедура — ст. 20 ФЗ-323: письменный отказ с подписью пациента и медработника, разъяснение последствий. Отказ от вмешательства не влечёт прекращение обработки ПДн.

Отзыв согласия на обработку ПДн по ч. 2 ст. 9 ФЗ-152 — право субъекта в любой момент. После получения отзыва оператор обязан прекратить обработку и уничтожить ПДн в установленные сроки, если нет иного законного основания продолжать обработку. Для медицинской организации такое основание есть: обработка ПДн в рамках медицинской деятельности допускается без согласия при исполнении обязанностей медработника, то есть по ст. 6 ч. 1 п. 2 ФЗ-152. Но только в той части, которая необходима для оказания медицинской помощи. Маркетинговые рассылки, передача контактов партнёрским лабораториям, обзвон для «повторных визитов» — требуют отдельного согласия, и отзыв блокирует эти действия немедленно.

«Ст. 21 ФЗ-152: при отзыве согласия оператор обязан прекратить обработку и уничтожить ПДн в течение 30 дней, если нет иного правового основания. Срок хранения медицинской документации по законодательству об охране здоровья — отдельное правовое основание, не зависящее от наличия согласия.»

Если в клинике не разграничены основания обработки — маркетинг, медицинская помощь и передача третьим лицам идут в одном документе — проверка РКН зафиксирует нарушения ст. 9 и ст. 18.1 ФЗ-152 одновременно. Юристы DATUM проведут аудит и пересоберут пакет ОРД с разграничением оснований по каждой цели обработки.

Заказать аудит 152-ФЗ

Шаг 5. Выстройте документооборот с учётом обоих документов

На практике медицинская организация работает с двумя независимыми потоками документов. Их нужно связать процессуально, но не объединять в один бланк.

Рекомендуемая последовательность при первом визите пациента:

Пациент подписывает согласие на обработку ПДн (отдельный документ по ст. 9 ФЗ-152) до передачи любых данных — при регистрации.
Врач оформляет информированное добровольное согласие на конкретное вмешательство перед его началом — это медицинский документ по ст. 20 ФЗ-323.
Если планируется передача ПДн третьим лицам (лаборатория, страховая, телемед-платформа) — отдельное согласие или поручение на обработку по ст. 6 ч. 1 п. 3 ФЗ-152.
Если клиника использует ПДн для маркетинга или рассылок — согласие на распространение по ст. 10.1 ФЗ-152, отдельным документом.

Назначение ответственного за обработку ПДн по ст. 22.1 ФЗ-152 — организационная мера, без которой документооборот не будет работать. Ответственный обеспечивает контроль за формами, журналом обращений субъектов и своевременным уничтожением данных при отзыве согласий.

«Ст. 18.1 ФЗ-152 обязывает оператора принять локальные акты и обеспечить их выполнение. Политика обработки ПДн публикуется в открытом доступе и содержит цели, категории субъектов и ПДн, сроки обработки, порядок реализации прав субъектов. Ст. 22.1 обязывает назначить ответственное лицо и установить его полномочия внутренним приказом.»

Как это применяется на практике

Ситуация 1. Частная клиника в Сибирском ФО (весна 2026) получила внеплановую проверку РКН после жалобы пациента. Форма «согласие на медицинское вмешательство» содержала строку о согласии на обработку ПДн. РКН квалифицировал это как нарушение требований к составу и форме согласия по ч. 2 ст. 13.11 КоАП. Клиника устранила нарушение до вынесения постановления — оформила отдельный документ по ст. 9 ФЗ-152 и утвердила политику конфиденциальности по ст. 18.1. Штраф назначен в нижней части диапазона.

Ситуация 2. Медицинский центр в Центральном ФО (осень 2025) передал базу пациентов телемедицинскому партнёру без отдельного согласия субъектов. Обработка осуществлялась на основании информированного согласия, которое не содержало реквизитов согласия на обработку ПДн. РКН возбудил дело по ч. 1 ст. 13.11 КоАП — обработка в случаях, не предусмотренных законом. Отсутствие уведомления в реестре операторов дополнительно квалифицировано по ч. 10 ст. 13.11. Юрист организации не смог обосновать правовое основание передачи данных третьему лицу, поскольку поручение на обработку по ст. 6 ФЗ-152 оформлено не было.

Услуги DATUM по теме

Комплект ОРД под ключ — разработка всех форм согласий, политики и локальных актов для медицинской организации.
Аудит соответствия 152-ФЗ — проверка текущих форм, оснований обработки и документооборота по чек-листу.
DPO-аутсорсинг — ответственный по ст. 22.1 на абонентском обслуживании, включая контроль форм и ответы субъектам.

Частые вопросы

1. Какие документы должны быть у оператора ПДн в медицинской организации?

Минимальный пакет включает: политику обработки ПДн (ст. 18.1 ФЗ-152) в открытом доступе, приказ о назначении ответственного лица (ст. 22.1 ФЗ-152), уведомление в реестре РКН (ст. 22 ФЗ-152, форма по Приказу РКН № 180), отдельные формы согласий по ст. 9 ФЗ-152 для каждой цели обработки, поручения на обработку для третьих лиц (ст. 6 ч. 1 п. 3 ФЗ-152), журнал обращений субъектов, регламент реагирования на инциденты.

2. Как составить политику обработки ПДн для клиники?

Политика обработки ПДн по ч. 2 ст. 18.1 ФЗ-152 должна содержать: наименование и контакты оператора, цели и правовые основания обработки, категории субъектов и их ПДн, перечень действий с данными, сроки обработки и уничтожения, порядок реализации прав субъектов, сведения о мерах защиты. Для медицинской организации отдельно выделяются специальные категории ПДн по ст. 10 ФЗ-152 — данные о состоянии здоровья — с указанием основания их обработки.

3. Кого назначить ответственным по ст. 22.1 ФЗ-152?

Ответственным может быть штатный сотрудник с достаточной квалификацией или внешний аутсорсер. Главное требование — лицо должно обладать знаниями в области защиты ПДн, иметь доступ к документации и полномочия проводить внутренние проверки. Функции ответственного включают контроль за соблюдением ФЗ-152, ответы на запросы субъектов в 10 рабочих дней (ст. 20 ФЗ-152), организацию расследования при инцидентах и уведомление РКН в 24 часа (ч. 3.1 ст. 21 ФЗ-152).

4. Можно ли использовать шаблон политики из интернета?

Шаблон — отправная точка, но не готовое решение. Политика обработки ПДн должна отражать реальные процессы конкретного оператора: фактические цели, категории данных, перечень третьих лиц, которым передаются ПДн, и технические меры защиты по Приказу ФСТЭК № 21 или ПП РФ № 1119. Шаблон из интернета не знает ни вашей МИС, ни ваших подрядчиков, ни вашего уровня защищённости. РКН при проверке сопоставляет политику с реальной обработкой — несоответствие фиксируется как нарушение ст. 18.1 ФЗ-152.

5. Какие согласия нужны после 01.09.2025?

После вступления в силу ФЗ-156 от 24.06.2025 согласие на обработку ПДн — отдельный документ, не объединяемый с договором, медицинской картой, информированным согласием по ФЗ-323 или любым другим документом. Если клиника обрабатывает ПДн для нескольких несовместимых целей (лечение, маркетинг, передача партнёрам), для каждой из них требуется отдельное согласие. Согласия, полученные до 01.09.2025, не имеют обратной силы в части недействительности, однако при проверке РКН оценивает текущий порядок — новые пациенты должны подписывать уже корректные формы.

6. Нужно ли отдельное согласие для передачи данных в лабораторию?

Зависит от правового основания. Если лаборатория является обработчиком по поручению клиники (ст. 6 ч. 1 п. 3 ФЗ-152) и заключён договор с условиями, соответствующими ч. 3 ст. 6 ФЗ-152, согласие субъекта на эту передачу не требуется отдельно — достаточно того, что в согласии на обработку ПДн указан перечень действий, включающий передачу третьим лицам. Если лаборатория является самостоятельным оператором — необходимо или отдельное согласие субъекта, или иное законное основание по ст. 6 ФЗ-152.

Итог

Информированное добровольное согласие пациента и согласие на обработку персональных данных — документы с разными правовыми основаниями, разными реквизитами и разными последствиями нарушений. Объединение их в одной форме после 01.09.2025 нарушает ст. 9 ФЗ-152 в редакции ФЗ-156 и создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 рублей.

DATUM сопровождает медицинские организации по вопросам соответствия 152-ФЗ: разрабатывает пакет ОРД с учётом медицинского законодательства, проводит аудит действующих форм согласий и обеспечивает функцию ответственного лица по ст. 22.1 в формате аутсорсинга.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, обработка ПДн несовершеннолетних.