Перейти к содержанию
инструкция 14 января 2029 По состоянию на 14 января 2029

DATUM-аудит клиники по 152-ФЗ

Медицинские данные пациентов — спецкатегория по ст. 10 152-ФЗ. Утечка из МИС или ЕГИСЗ грозит клинике штрафом от 3 до 15 млн ₽ по ч. 12–14 ст. 13.11 КоАП.
С 30.05.2025 за повторную утечку введён оборотный штраф: 1–3% годовой выручки, не менее 20 млн ₽. Большинство частных клиник не выполняют минимальные требования 152-ФЗ в части ОРД, согласий пациентов и уведомления РКН.
Если вы главный врач и не уверены, соответствует ли клиника 152-ФЗ — этот материал описывает порядок аудита с конкретными шагами. →

Главный врач частной клиники несёт ответственность за обработку персональных данных пациентов: согласия, МИС, передача в ЕГИСЗ, телемедицина. С 30.05.2025 санкции по ст. 13.11 КоАП кардинально выросли. Ниже — пошаговая инструкция аудита клиники по 152-ФЗ: что проверять, в каком порядке и что делать по результатам.

Шаг 1. Проверьте статус клиники как оператора ПДн в реестре РКН

Любая медицинская организация, обрабатывающая данные пациентов, обязана уведомить Роскомнадзор до начала обработки по ст. 22 152-ФЗ. Исключения — узкий перечень (трудовые отношения внутри клиники с работниками без передачи третьим лицам). Для большинства клиник, передающих данные в ЕГИСЗ или страховым компаниям, исключение не работает.

«Ст. 22 152-ФЗ — оператор обязан уведомить РКН о намерении осуществлять обработку ПДн до начала такой обработки. Форма уведомления — Приказ РКН №180 от 28.10.2022.»

На аудите проверяется: включена ли клиника в реестр операторов на pd.rkn.gov.ru, соответствует ли заявленный перечень ПДн и целей обработки фактической практике. Расхождение фактической обработки с уведомлением — нарушение ч. 1 ст. 13.11 КоАП, штраф 150–300 тыс. ₽.

Неуведомление или несвоевременное уведомление квалифицируется по ч. 10 ст. 13.11 КоАП — штраф 100–300 тыс. ₽. Эта ошибка встречается примерно у половины частных клиник, проходивших аудит в нашей практике.

Шаг 2. Проверьте согласия пациентов — их три, и они разные

Главный врач, как правило, убеждён, что «информированное добровольное согласие» по ст. 20 323-ФЗ покрывает все требования по ПДн. Это ошибка: ИДС и согласие на обработку персональных данных — два самостоятельных документа с разными правовыми основаниями и реквизитами.

В медицинской клинике необходимы три типа документов:

  • Информированное добровольное согласие (ИДС) — по ст. 20 323-ФЗ, медицинский документ о вмешательстве.
  • Согласие на обработку ПДн — по ст. 9 152-ФЗ, отдельный документ с обязательными реквизитами (перечень ПДн, цели, действия, срок, способ отзыва). С 01.09.2025 — не может быть частью договора или ИДС (ФЗ-156 от 24.06.2025).
  • Согласие на обработку специальных категорий ПДн — медицинские данные относятся к спецкатегории по ст. 10 152-ФЗ, для их обработки требуется отдельное основание, как правило явное согласие пациента.
«Ст. 10 152-ФЗ — данные о состоянии здоровья относятся к специальным категориям ПДн. Их обработка по общему правилу запрещена, кроме случаев п. 2 ст. 10, в том числе при наличии согласия субъекта или при оказании медицинской помощи.»

На аудите проверяется: есть ли отдельное согласие на ПДн, содержит ли оно все реквизиты по ч. 4 ст. 9 152-ФЗ, не объединено ли оно с ИДС или договором на оказание услуг. Отсутствие или неполнота согласия — ч. 2 ст. 13.11 КоАП, штраф 300–700 тыс. ₽ за каждый факт.

Ваши согласия пациентов объединены с ИДС или договором?

С 01.09.2025 согласие на обработку ПДн не может быть частью другого документа — требование ФЗ-156. Если клиника использует старые формы, каждый новый пациент создаёт новое нарушение по ч. 2 ст. 13.11 КоАП. Штраф — до 700 тыс. ₽, а при повторности — до 1,5 млн ₽. Юристы DATUM проверят формы согласий и подготовят актуальный пакет.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Проверьте МИС и передачу данных в ЕГИСЗ

Медицинская информационная система — основной источник риска для клиники. В МИС хранятся диагнозы, результаты анализов, история приёмов — спецкатегория по ст. 10 152-ФЗ в сочетании с врачебной тайной по ст. 13 323-ФЗ.

На аудите проверяется по трём направлениям:

  • Договор с вендором МИС. Вендор обрабатывает ПДн пациентов по поручению клиники. По п. 3 ст. 6 152-ФЗ требуется договор поручения с обязательными условиями: перечень допустимых действий, обязанность конфиденциальности, право клиники на проверку. Большинство типовых договоров вендоров эти условия не содержат.
  • Локализация данных. МИС должна хранить ПДн российских пациентов на серверах в РФ по ч. 5 ст. 18 152-ФЗ. Если вендор — иностранная компания или использует облако AWS/Azure без российского региона — нарушение ч. 8 ст. 13.11 КоАП, штраф 1–6 млн ₽.
  • Передача в ЕГИСЗ. Интеграция с Единой государственной информационной системой здравоохранения требует проверки: включён ли ЕГИСЗ в уведомление в реестре РКН как получатель, есть ли правовое основание передачи по ст. 6 152-ФЗ (как правило — исполнение обязанностей по законодательству).
«Ч. 5 ст. 18 152-ФЗ — запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан РФ должны осуществляться с использованием баз данных, находящихся на территории Российской Федерации.»

Как проверить организационно-распорядительную документацию клиники?

ОРД — второй по частоте источник нарушений после согласий. Роскомнадзор при проверке запрашивает документы в первые часы. Их отсутствие само по себе является нарушением ст. 18.1 152-ФЗ.

Минимальный пакет ОРД для медицинской клиники

  • Политика обработки ПДн — опубликована на сайте клиники, содержит разделы по ч. 2 ст. 18.1 152-ФЗ (цели, правовые основания, сроки хранения по категориям)
  • Приказ о назначении ответственного за обработку ПДн по ст. 22.1 152-ФЗ — с перечнем обязанностей
  • Перечень лиц, допущенных к обработке ПДн, — по каждому подразделению (регистратура, врачи, бухгалтерия)
  • Договоры поручения с вендором МИС, лабораторией, страховой компанией — с условиями ст. 6 п. 3 152-ФЗ
  • Регламент реагирования на инцидент — описание действий за 24 и 72 часа по Приказу РКН №187

На аудите каждый документ проверяется по чек-листу из 38 пунктов. Типичная клиника имеет 2–3 документа из необходимых 10–12, и ни один не содержит полного перечня обязательных разделов.

Шаг 4. Проверьте уровень защищённости ИСПДн и технические меры

Информационная система персональных данных клиники обрабатывает спецкатегории — данные о здоровье. По ПП РФ №1119 от 01.11.2012 это означает как минимум УЗ-3, а при числе пациентов свыше 100 000 и угрозах первого типа — УЗ-1. Уровень защищённости определяет обязательный состав технических мер по Приказу ФСТЭК №21.

На аудите проверяется: определён ли уровень защищённости, составлен ли акт классификации ИСПДн, реализованы ли базовые меры из Приказа ФСТЭК №21 — управление доступом (УПД), защита носителей (ЗНИ), регистрация событий (РСБ), антивирусная защита (АВЗ). Большинство клиник не имеют акта классификации ИСПДн вовсе.

«ПП РФ №1119 от 01.11.2012 — устанавливает 4 уровня защищённости информационных систем ПДн. Обработка специальных категорий ПДн (данные о здоровье) требует не ниже УЗ-3. Приказ ФСТЭК №21 от 18.02.2013 — состав мер защиты для каждого УЗ.»

Шаг 5. Оцените риски телемедицины и фото «до-после»

Телемедицинские консультации — отдельный блок рисков. Если пациент находится за рубежом, видеозвонок фиксирует данные о здоровье, а платформа для видеосвязи (Zoom, Teams) использует серверы вне РФ — возникает трансграничная передача спецкатегорий ПДн. Для этого требуется уведомление РКН по ст. 12 152-ФЗ и оценка страны по перечню адекватной защиты.

Фото «до-после» в контексте пластической хирургии или дерматологии содержат биометрические ПДн (изображение лица) и сведения о здоровье одновременно. Публикация таких фото — даже с письменного согласия — требует отдельного согласия на распространение по ст. 10.1 152-ФЗ. Размещение в социальных сетях без него — нарушение ч. 1 ст. 13.11 КоАП.

Если клиника использует телемедицину или публикует клинические фото — Роскомнадзор рассматривает это как высокий индикатор риска. Уведомление о трансграничной передаче и отдельное согласие на распространение необходимы до следующей публикации. Юристы DATUM оценят ситуацию и подготовят документы.

Заказать аудит 152-ФЗ

Как применяются нормы 152-ФЗ в медицинских клиниках на практике?

Сценарий 1. Плановая проверка РКН без предупреждения. Клиника (Сибирский ФО, 2025 год) получила уведомление о внеплановой проверке за 24 часа. Инспектор запросил политику обработки ПДн, согласия пациентов и договоры с вендором МИС. Политика на сайте отсутствовала, согласия были объединены с ИДС, договор с вендором — без условий поручения. Протоколы составлены по ч. 2 и ч. 3 ст. 13.11 КоАП. Суммарный штраф составил несколько сотен тысяч рублей. Устранение заняло 3 недели.

Сценарий 2. Утечка через МИС и уведомление РКН за 24 часа. Многопрофильная клиника (Центральный ФО, начало 2026 года) обнаружила несанкционированный доступ к МИС, содержащей данные более 12 000 пациентов. Руководитель службы ИБ уведомил РКН через 20 часов после обнаружения, через 70 часов направил отчёт о расследовании. Квалификация — ч. 13 ст. 13.11 КоАП (утечка 10 000–100 000 субъектов, штраф 5–10 млн ₽). Оперативность уведомления и наличие регламента реагирования учтены при определении размера штрафа.

Сценарий 3. МИС вендора без договора поручения. Стоматологическая клиника (Приволжский ФО, 2025 год) использовала облачную МИС иностранного вендора без договора поручения. При проверке инспектор установил факт обработки ПДн третьим лицом без правового основания. Нарушение квалифицировано по ч. 1 ст. 13.11 КоАП. Договор поручения был оформлен в ходе проверки, что учтено как смягчающее обстоятельство по ст. 4.2 КоАП.

Услуги DATUM по теме

Частые вопросы

1. Чем отличается ИДС от согласия на ПДн?

Информированное добровольное согласие по ст. 20 323-ФЗ — медицинский документ, подтверждающий согласие пациента на медицинское вмешательство. Согласие на обработку персональных данных по ст. 9 152-ФЗ — отдельный юридический документ, регулирующий, какие данные клиника собирает, в каких целях и как долго хранит. С 01.09.2025 по ФЗ-156 оба документа не могут быть объединены. ИДС не заменяет согласие на ПДн — это два самостоятельных документа с разными реквизитами.

2. Можно ли публиковать фото «до-после» с согласия пациента?

Публикация фото, на которых идентифицируется пациент (лицо, особые приметы), требует отдельного согласия на распространение ПДн по ст. 10.1 152-ФЗ. Обычное согласие на обработку ПДн распространение не покрывает — по умолчанию оператор вправе обрабатывать данные только для себя. Если фото содержат сведения о состоянии здоровья (диагноз, область операции), это дополнительно спецкатегория по ст. 10 152-ФЗ. Согласие должно явно указывать площадку публикации и срок размещения.

3. Кто отвечает за утечку через МИС?

Ответственность несёт оператор — клиника, а не вендор МИС. По общему принципу, закреплённому в судебной практике, оператор отвечает за действия лица, которому поручил обработку ПДн. Если договор поручения с вендором не заключён, клиника несёт ответственность в полном объёме. Если договор есть и вендор нарушил его условия — возможно предъявление регрессного требования, но это не освобождает оператора от административной ответственности перед РКН.

4. Какие данные клиника обязана передавать в ЕГИСЗ?

Состав сведений, передаваемых в Единую государственную информационную систему здравоохранения, определён подзаконными актами в сфере охраны здоровья. Для целей 152-ФЗ важно: передача данных в ЕГИСЗ должна быть отражена в уведомлении оператора в реестре РКН как цель обработки и получатель. Правовое основание — исполнение обязанностей, предусмотренных законодательством (п. 2 ч. 1 ст. 6 152-ФЗ), что не требует отдельного согласия пациента, но требует корректного отражения в ОРД.

5. Что грозит клинике за утечку данных пациентов?

Санкции зависят от числа затронутых субъектов. Утечка данных 1 000–10 000 пациентов — ч. 12 ст. 13.11 КоАП, штраф 3–5 млн ₽. От 10 000 до 100 000 пациентов — ч. 13, штраф 5–10 млн ₽. Свыше 100 000 — ч. 14, штраф 10–15 млн ₽. При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽. Помимо административной — возможна уголовная ответственность по ст. 272.1 УК РФ (введена с 11.12.2024) для должностных лиц.

6. Нужен ли клинике штатный ответственный за обработку ПДн?

По ст. 22.1 152-ФЗ организация-оператор обязана назначить лицо, ответственное за организацию обработки ПДн. Это может быть штатный сотрудник или внешний специалист по договору аутсорсинга. Отсутствие назначенного ответственного фиксируется при проверке РКН и учитывается как отягчающее обстоятельство. Функцию DPO можно передать юридической фирме по абонентскому договору — это дешевле найма штатного специалиста и закрывает требование закона.

Итог

Аудит клиники по 152-ФЗ охватывает шесть блоков: статус в реестре РКН, согласия пациентов трёх видов, МИС и ЕГИСЗ, организационно-распорядительная документация, уровень защищённости ИСПДн, телемедицина и публикации. Каждый блок имеет конкретные нормы и конкретные санкции — от 150 тыс. до 500 млн ₽ при повторных нарушениях.

Юристы DATUM специализируются на аудите медицинских организаций по 152-ФЗ: клиники, лаборатории, телемедицинские платформы. Работаем в Москве и Новосибирске, сопровождаем проверки РКН и готовим полный пакет ОРД с учётом специфики 323-ФЗ.

Смотрите также

ОН
Ольга Нечаева
Аналитик · Медицина и образование
Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна.