инструкция 18 февраля 2029 года По состоянию на 18 февраля 2029 года

DATUM-аудит МИС на соответствие 152-ФЗ

МИС обрабатывает специальные категории персональных данных пациентов — состояние здоровья, диагнозы, сведения об интимной жизни. По ст. 10 ФЗ-152 это наиболее защищённая категория, а утечка через МИС квалифицируется по ч. 12–14 ст. 13.11 КоАП: штраф от 3 до 15 млн ₽ за однократный инцидент.

С 30.05.2025 действуют новые части ст. 13.11 КоАП (ФЗ-420 от 30.11.2024). За повторную утечку — оборотный штраф до 500 млн ₽ по ч. 15. Медицинские организации, подключённые к ЕГИСЗ, несут двойные обязательства: по 152-ФЗ и по ст. 91 323-ФЗ (врачебная тайна).

Если вы главный врач и не проводили аудит МИС — проверьте за 7 шагов, какие нарушения уже накоплены, и устраните их до визита инспектора РКН.

Медицинская информационная система — не просто база данных. Это точка концентрации спецкатегорий ПДн: диагнозы, результаты анализов, сведения о лечении, данные о психическом состоянии. Роскомнадзор в 2024 году зафиксировал более 135 случаев компрометации баз данных, и медицина входит в число наиболее уязвимых отраслей. Инструкция ниже структурирует проверку МИС по 7 шагам: от реестра операторов до технических мер защиты по Приказу ФСТЭК №21.

Шаг 1. Проверьте статус в реестре операторов ПДн

По ст. 22 ФЗ-152 медицинская организация обязана уведомить Роскомнадзор о намерении обрабатывать персональные данные до начала обработки. Отсутствие в реестре — нарушение по ч. 10 ст. 13.11 КоАП: штраф от 100 000 до 300 000 ₽. Проверка занимает две минуты на сайте pd.rkn.gov.ru.

«Ч. 10 ст. 13.11 КоАП — неуведомление или несвоевременное уведомление РКН о намерении осуществлять обработку персональных данных. Штраф для юридического лица — от 100 000 до 300 000 ₽ (в редакции с 30.05.2025).»

Проверьте три вещи: организация числится в реестре, сведения в уведомлении совпадают с фактической обработкой (состав данных, цели, категории), уведомление содержит сведения о МИС и ЕГИСЗ как инструментах обработки. Расхождение между уведомлением и реальностью — самостоятельное основание для протокола при плановой проверке.

Шаг 2. Проверьте правовые основания обработки данных пациентов

Медицинские данные — специальная категория по ст. 10 ФЗ-152. По общему правилу их обработка запрещена. Допустимые основания исчерпывающим образом перечислены в п. 2 этой статьи: письменное согласие субъекта, необходимость для защиты жизни и здоровья, исполнение судебного акта и ряд других. Для большинства медицинских организаций основное основание — согласие пациента по ст. 9 ФЗ-152.

«Ст. 10 ФЗ-152 — обработка специальных категорий ПДн (состояние здоровья, интимная жизнь, судимость и др.) по общему правилу запрещена. Разрешена только в случаях, прямо названных в п. 2 ст. 10 ФЗ-152.»

Типичная ошибка: клиника использует информированное добровольное согласие (ИДС) на медицинское вмешательство как основание для обработки ПДн. ИДС регулируется ст. 20 323-ФЗ и решает иную задачу — согласие пациента на конкретное медицинское вмешательство. Оно не заменяет согласие на обработку ПДн по ст. 9 ФЗ-152. Требуются два отдельных документа с разным составом реквизитов.

С 01.09.2025 согласие на обработку ПДн по ФЗ-156 от 24.06.2025 оформляется отдельным документом — его нельзя объединять с договором, офертой или ИДС. Старые комбинированные формы, применявшиеся до этой даты, подлежат пересмотру в части новых пациентов.

Согласия пациентов объединены с ИДС?

Если в вашей клинике согласие на обработку ПДн включено в карту пациента или ИДС — с 01.09.2025 это нарушение ч. 2 ст. 13.11 КоАП. Штраф для юрлица — до 700 000 ₽ за каждый факт. Юристы DATUM проверят ваши формы согласий и приведут их в соответствие с ФЗ-156 и ст. 9 ФЗ-152.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Проверьте организационно-распорядительную документацию

Ст. 18.1 ФЗ-152 обязывает оператора принять внутренние документы, определяющие политику обработки ПДн. Для медицинской организации минимальный пакет включает: политику обработки ПДн (обязательна к публикации на сайте), положение о порядке обработки ПДн пациентов, положение об обработке ПДн работников, приказ о назначении ответственного по ст. 22.1 ФЗ-152, регламент реагирования на инциденты (с указанием порядка уведомления РКН за 24/72 часа), журнал учёта обращений субъектов ПДн.

Документы для аудита МИС

Политика обработки ПДн — опубликована на сайте (ч. 2 ст. 18.1 ФЗ-152)
Отдельные согласия пациентов на обработку ПДн (ст. 9 ФЗ-152, ред. с 01.09.2025)
Приказ о назначении ответственного за обработку ПДн (ст. 22.1 ФЗ-152)
Договоры поручения с вендором МИС, провайдером ЕГИСЗ-интеграции (п. 3 ст. 6 ФЗ-152)
Регламент реагирования на инциденты с указанием сроков 24 и 72 часов (Приказ РКН №187)

Отсутствие политики на сайте — нарушение по ч. 3 ст. 13.11 КоАП: штраф от 30 000 до 60 000 ₽. Незначительная сумма не означает низкий риск: отсутствие политики — индикатор системного нарушения, который при плановой проверке открывает путь к протоколам по более тяжким частям.

Как проверить передачу данных вендору МИС и в ЕГИСЗ?

МИС как правило поставляется сторонней организацией. Передача данных вендору — это поручение обработки по п. 3 ст. 6 ФЗ-152. Для законной передачи необходим договор поручения, в котором прямо перечислены: состав передаваемых ПДн, цели обработки, обязанность вендора соблюдать конфиденциальность, запрет передачи третьим лицам без согласия оператора, обязанность уничтожить данные по завершении поручения.

ЕГИСЗ — Единая государственная информационная система в сфере здравоохранения — отдельная история. Передача сведений в ЕГИСЗ осуществляется во исполнение обязанностей медицинской организации по ст. 91 323-ФЗ. Правовое основание — подп. 2 п. 2 ст. 10 ФЗ-152 (обработка для целей, предусмотренных федеральным законом). Согласие пациента для этой передачи не требуется, но пациент вправе запретить передачу сведений третьим лицам (кроме случаев обязательной передачи по закону).

«П. 3 ст. 6 ФЗ-152 — оператор вправе поручить обработку ПДн другому лицу на основании договора. Ответственность перед субъектом несёт оператор. Вендор МИС и провайдер интеграции с ЕГИСЗ — обработчики по поручению.»

Если договор с вендором МИС не содержит условий поручения обработки ПДн — это нарушение, которое при утечке через МИС усугубляет позицию клиники: суды исходят из того, что оператор отвечает за утечку через подрядчика.

Если вендор МИС не подписал договор поручения обработки ПДн — клиника несёт ответственность за утечку через его инфраструктуру. РКН принимает жалобы онлайн. На ответ субъекту — 10 рабочих дней (ст. 20 ФЗ-152). Проверьте договорную базу сейчас.

Подготовиться к проверке РКН

Шаг 5. Проверьте технические меры защиты МИС

Медицинские данные — спецкатегория, и МИС с высокой вероятностью относится к уровню защищённости УЗ-3 или выше по ПП РФ №1119 от 01.11.2012. Уровень определяется пересечением трёх параметров: тип угроз (1–3), категория данных (специальные), число субъектов (порог 100 000). Клиника с базой более 100 000 пациентов и угрозами 2-го типа попадает в УЗ-2.

Требования к техническим мерам для каждого уровня защищённости установлены Приказом ФСТЭК №21 от 18.02.2013. Базовый набор включает: идентификацию и аутентификацию пользователей (ИАФ), управление доступом (УПД), регистрацию событий безопасности (РСБ), антивирусную защиту (АВЗ), обнаружение вторжений (СОВ), защиту от несанкционированного доступа к носителям (ЗНИ).

На практике типичные пробелы в МИС: совместный логин для нескольких пользователей (нарушение ИАФ), отсутствие журнала доступа к данным пациентов (нарушение РСБ), хранение резервных копий базы на незашифрованном внешнем диске (нарушение ЗНИ). Каждый пробел — самостоятельное нарушение при проверке ФСТЭК.

Шаг 6. Проверьте готовность к инциденту: 24 и 72 часа

По ч. 3.1 ст. 21 ФЗ-152 при обнаружении утечки оператор обязан направить первичное уведомление в РКН в течение 24 часов. Через 72 часа — отчёт о результатах внутреннего расследования по Приказу РКН №187 от 14.11.2022. Оба срока не восстанавливаются. Неуведомление — штраф от 1 000 000 до 3 000 000 ₽ по ч. 11 ст. 13.11 КоАП.

«Ч. 3.1 ст. 21 ФЗ-152 — оператор обязан уведомить РКН о произошедшей утечке в течение 24 часов с момента обнаружения. Через 72 часа — уведомление о результатах внутреннего расследования. Порядок — Приказ РКН №187 от 14.11.2022.»

Реализм ситуации: 24 часа — это меньше одного рабочего дня. Если в клинике нет заранее подготовленного регламента, назначенного ответственного и доступа к личному кабинету на портале РКН — уведомление с высокой вероятностью будет направлено с опозданием. Проверьте: кто в организации физически отправляет уведомление, через какую учётную запись, и есть ли у этого сотрудника доступ в нерабочее время.

Шаг 7. Проверьте обработку ПДн при телемедицине

Телемедицинские консультации порождают специфические риски. Первый — трансграничная передача: если платформа для видеоконсультаций зарегистрирована за рубежом или хранит данные на иностранных серверах, возникают обязательства по ст. 12 и ст. 18 ч. 5 ФЗ-152 (локализация). Все ПДн граждан РФ при первичном сборе обязаны записываться в базы данных на территории РФ.

Второй риск — запись консультации. Видеозапись, содержащая изображение пациента и сведения о состоянии его здоровья, одновременно является биометрическими ПДн (ст. 11 ФЗ-152) и спецкатегорией (ст. 10 ФЗ-152). Для её обработки нужно отдельное письменное согласие. Третий риск — согласие через интерфейс приложения: с 01.09.2025 согласие на обработку ПДн должно быть отдельным документом (ФЗ-156), а не галочкой в пользовательском соглашении.

Как это применяется на практике

Кейс 1. Многопрофильная клиника (Сибирский федеральный округ, осень 2025) получила внеплановую проверку РКН после жалобы пациента на несанкционированную рассылку данных об анализах. Проверка выявила: согласие на обработку ПДн включено в ИДС единым документом, договор поручения с вендором МИС не содержит условий конфиденциальности, регламент реагирования на инциденты отсутствует. Протоколы составлены по ч. 2 и ч. 3 ст. 13.11 КоАП. Главный врач лично привлечён к ответственности как должностное лицо.

Кейс 2. Частная стоматологическая сеть (Центральный федеральный округ, начало 2026) прошла плановую проверку без штрафов — единственная клиника в регионе с нулевым протоколом по итогам проверочного квартала. Аудит МИС был проведён за три месяца до проверки: переоформлены согласия пациентов, заключён договор поручения с вендором МИС, назначен ответственный по ст. 22.1, опубликована политика обработки ПДн, создан регламент на 24/72 часа. Инспектор запросил документы — комплект был предоставлен в день запроса.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка МИС по 38-пунктному чек-листу, включая спецкатегории и ЕГИСЗ
Комплект ОРД под ключ — согласия пациентов, политика, регламент инцидента, договор поручения с вендором
Сопровождение проверок РКН — подготовка, присутствие на проверке, обжалование предписания

Частые вопросы

1. Чем отличается ИДС от согласия на обработку персональных данных?

Информированное добровольное согласие (ИДС) на медицинское вмешательство регулируется ст. 20 Федерального закона №323-ФЗ «Об основах охраны здоровья граждан». Его предмет — согласие пациента на конкретную медицинскую процедуру. Согласие на обработку персональных данных регулируется ст. 9 ФЗ-152 и содержит иные обязательные реквизиты: перечень данных, цели обработки, перечень действий, срок и способ отзыва. С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие на обработку ПДн оформляется исключительно отдельным документом — его нельзя включать в ИДС, карту пациента или оферту.

2. Можно ли публиковать фото пациента «до и после» с его письменного согласия?

Фотография, по которой можно идентифицировать пациента, — это биометрические персональные данные (ст. 11 ФЗ-152). Если на фото видны следы медицинского вмешательства, сведения о состоянии здоровья — дополнительно спецкатегория по ст. 10 ФЗ-152. Для публикации потребуется отдельное согласие на обработку биометрических ПДн (письменная форма), отдельное согласие на распространение ПДн по ст. 10.1 ФЗ-152 (дефолт — запрет распространения), а также согласие на использование изображения по ст. 152.1 ГК РФ. Трёх документов меньше не станет.

3. Кто отвечает за утечку через МИС — клиника или вендор?

По ст. 6 ФЗ-152 оператор несёт ответственность перед субъектом персональных данных даже если обработка ведётся по поручению. Это значит: если МИС взломана через уязвимость вендора — административная ответственность по ст. 13.11 КоАП наступает для клиники как оператора. Клиника в свою очередь вправе предъявить регрессные требования к вендору по договору поручения — при условии, что такой договор заключён и содержит условие об ответственности обработчика за нарушения.

4. Какие данные медицинская организация обязана передавать в ЕГИСЗ?

Состав сведений, передаваемых в ЕГИСЗ, установлен ст. 91 Федерального закона №323-ФЗ и подзаконными актами Минздрава. В общем случае — сведения об оказанной медицинской помощи, диагнозы, результаты обследований, назначения. Правовое основание для обработки — обязанность, возложенная федеральным законом (подп. 2 п. 2 ст. 10 ФЗ-152), поэтому согласия пациента для передачи в ЕГИСЗ не требуется. Вместе с тем клиника обязана информировать пациента о передаче и разъяснить право ограничить передачу сведений третьим лицам в случаях, когда закон это допускает.

5. Что грозит клинике за утечку данных пациентов в 2025–2026 году?

Ответственность зависит от масштаба инцидента. Утечка от 1 000 до 10 000 субъектов — штраф от 3 000 000 до 5 000 000 ₽ по ч. 12 ст. 13.11 КоАП. От 10 000 до 100 000 субъектов — от 5 000 000 до 10 000 000 ₽ по ч. 13. Более 100 000 субъектов — от 10 000 000 до 15 000 000 ₽ по ч. 14. При повторном инциденте — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 000 000 ₽, не более 500 000 000 ₽. Если данные включают биометрию — дополнительно до 20 000 000 ₽ по ч. 17. Уголовная ответственность по ст. 272.1 УК РФ (введена с 11.12.2024) — до 10 лет лишения свободы при тяжких последствиях.

6. С какой периодичностью нужно проводить аудит МИС по 152-ФЗ?

ФЗ-152 не устанавливает обязательной периодичности аудита. На практике аудит необходим в трёх случаях: при первичном развёртывании или смене МИС, при изменении нормативной базы (ФЗ-420 с 30.05.2025, ФЗ-156 с 01.09.2025), перед плановой проверкой РКН. Роскомнадзор публикует план проверок — организация, находящаяся в плане, должна инициировать аудит минимум за три месяца до даты проверки. Для высокорисковых операторов (спецкатегории, более 100 000 пациентов) — рекомендуемая периодичность: один раз в год.

Итог

МИС как система обработки спецкатегорий ПДн — зона повышенного регуляторного внимания. Семь шагов аудита охватывают: реестр РКН, правовые основания, ОРД, договоры с вендорами, технические меры, готовность к инциденту и телемедицину. Пропуск любого шага создаёт самостоятельное основание для протокола при проверке.

Юристы DATUM сопровождают медицинские организации по 152-ФЗ: аудит МИС по чек-листу из 38 пунктов, разработка пакета ОРД, представление интересов при проверке РКН, реагирование на утечки за 24/72 часа.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, обработка ПДн несовершеннолетних.