инструкция 13 января 2029 По состоянию на 13 января 2029

DATUM-консультация главврача по 152-ФЗ

Медицинская организация обрабатывает данные пациентов — это спецкатегория по ст. 10 ФЗ-152. Утечка из МИС с 30.05.2025 влечёт штраф от 3 до 15 млн рублей плюс уголовную ответственность по ст. 272.1 УК.

Главврач несёт персональную ответственность за организацию защиты ПДн пациентов: согласия, ЕГИСЗ, телемедицина, передача подрядчикам МИС — каждый процесс требует отдельного правового основания по ст. 6 и ст. 10 ФЗ-152.

→ Если клиника не прошла аудит по 152-ФЗ или получила запрос РКН — разберём ситуацию и дадим план действий.

С 30.05.2025 действует обновлённая редакция ст. 13.11 КоАП с 18 частями. Медицинские данные — это спецкатегория по ст. 10 ФЗ-152 и врачебная тайна по ст. 13 Федерального закона «Об основах охраны здоровья граждан». Одна утечка МИС затрагивает тысячи пациентов и автоматически переводит дело в состав по ч. 12–14 ст. 13.11 КоАП. Ниже — пошаговый порядок, который позволяет главврачу привести клинику к соответствию за 4–6 недель.

Шаг 1. Какие данные пациентов относятся к спецкатегории?

«Ст. 10 ФЗ-152 — спецкатегории: сведения о состоянии здоровья, диагнозах, назначениях, интимной жизни, национальной принадлежности. Обработка запрещена без явного согласия пациента, за исключением случаев, прямо предусмотренных законом.»

Медицинская организация ежедневно формирует данные, которые закон относит к спецкатегории: диагноз, анамнез, назначения, результаты анализов, сведения о хирургических вмешательствах. Сюда же входят фото- и видеоматериалы, связанные с лечением. Фотографии «до и после» операции — это биометрические и медицинские ПДн одновременно, что требует отдельных правовых оснований для каждого вида обработки.

Помимо спецкатегории, клиника обрабатывает стандартные ПДн: контактные данные, паспортные данные, сведения о страховке. Важно разграничить эти потоки в системе, потому что правовые основания для них разные. Смешение в одном согласии — типичная ошибка, которую РКН фиксирует при проверке.

Шаг 2. Как правильно оформить согласие пациента на обработку ПДн?

С 01.09.2025 согласие на обработку ПДн — отдельный документ (ФЗ-156 от 24.06.2025). Оно не может быть частью договора на оказание медицинских услуг, не может быть включено в информированное добровольное согласие на медицинское вмешательство. Это два разных документа с разными реквизитами и разными правовыми основаниями.

«Ст. 9 ФЗ-152 в редакции с 01.09.2025 — согласие должно содержать: ФИО субъекта, контактные данные, наименование оператора, цель обработки, перечень ПДн, перечень действий с ними, срок действия, способ отзыва. Отдельный документ — обязательно.»

Для спецкатегории требуется письменное согласие. Для передачи данных в ЕГИСЗ — отдельное основание: ст. 10 ч. 2 п. 5 ФЗ-152 позволяет обрабатывать без согласия в целях охраны здоровья, если обработку осуществляет медицинская организация с обязанностью соблюдать врачебную тайну. Но передача третьим лицам, включая государственные системы, требует отдельного анализа.

На практике клинике нужно три документа при первом обращении пациента: информированное добровольное согласие на медицинское вмешательство (ст. 20 ФЗ № 323-ФЗ), согласие на обработку ПДн (ст. 9 ФЗ-152), согласие на передачу сведений в ЕГИСЗ при необходимости.

Согласия пациентов оформлены до 01.09.2025?

Если клиника использует формы согласий, которые включены в договор или в карту пациента как часть другого документа — с 01.09.2025 они не соответствуют требованиям ФЗ-156. Каждый такой документ создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 тыс. рублей. Юристы DATUM проведут аудит пакета согласий медорганизации и подготовят актуальные формы.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Что нужно сделать по МИС и технической защите?

Медицинская информационная система — это информационная система персональных данных, которая обрабатывает спецкатегорию. По ПП РФ № 1119 уровень защищённости такой системы — не ниже УЗ-3, а при числе субъектов свыше 100 000 — УЗ-2. Это обязывает клинику выполнить базовый набор мер по Приказу ФСТЭК № 21: идентификацию и аутентификацию пользователей, разграничение доступа, защиту носителей, резервное копирование, регистрацию событий безопасности.

«ПП РФ № 1119 — уровень защищённости ИСПДн определяется категорией ПДн, типом актуальных угроз и числом субъектов. Медицинские данные — спецкатегория. При угрозах 2-го типа и числе субъектов до 100 000 — УЗ-3. При числе более 100 000 или угрозах 1-го типа — УЗ-2 или УЗ-1.»

Если МИС поставляет внешний подрядчик, клиника обязана заключить договор поручения обработки ПДн по ст. 6 п. 3 ФЗ-152 и ч. 5 ст. 6 ФЗ-152. В договоре нужно зафиксировать: цель обработки, перечень действий, обязанность соблюдать конфиденциальность, право оператора проводить проверки подрядчика. Без такого договора оператор отвечает за утечку через подрядчика как за собственную.

Доступ к МИС следует разграничить по ролям: регистратура видит контакты и расписание, врач — медицинскую карту своего пациента, главврач — административные данные. Отсутствие ролевой модели — основание для предписания по ст. 19 ФЗ-152.

Шаг 4. Как передавать данные в ЕГИСЗ и при телемедицине?

ЕГИСЗ — государственная информационная система в сфере здравоохранения. Передача данных в неё осуществляется на основании федерального законодательства о здравоохранении, что образует правовое основание по ст. 6 ч. 1 п. 2 ФЗ-152 (исполнение обязанности оператора, возложенной законом). Согласие пациента для этой передачи в общем случае не требуется, но информировать пациента о факте передачи — обязанность клиники.

При телемедицинской консультации пациент находится вне клиники, что означает передачу ПДн через каналы связи. Требования: шифрование канала, идентификация пациента через ЕСИА или иным образом, фиксация факта согласия на телемедицинскую консультацию. Если консультация проводится через иностранную платформу — это трансграничная передача, требующая уведомления РКН по ст. 12 ФЗ-152.

«Ст. 12 ФЗ-152 — до передачи ПДн в страну, не обеспечивающую адекватную защиту, оператор обязан уведомить РКН. Перечень стран с адекватной защитой — актуальный приказ РКН. Нарушение влечёт штраф по ч. 1 ст. 13.11 КоАП.»

Если клиника использует телемедицинский сервис или МИС с зарубежными серверами — это потенциальная трансграничная передача. РКН проверяет этот вопрос при плановых и внеплановых проверках медорганизаций.

Подготовиться к проверке РКН

Шаг 5. Что делать при утечке медицинских данных?

Утечка медицинских данных — это одновременно нарушение ФЗ-152 и врачебной тайны по ст. 13 Федерального закона «Об основах охраны здоровья граждан». С 30.05.2025 порядок реагирования жёстко регламентирован: 24 часа на первичное уведомление РКН, 72 часа на отчёт о результатах внутреннего расследования (ч. 3.1 ст. 21 ФЗ-152, Приказ РКН № 187).

«Ст. 13.11 ч. 12–14 КоАП — штраф за утечку медицинских данных от 1 000 субъектов: от 3 до 5 млн рублей. От 10 000 субъектов — 5–10 млн. Свыше 100 000 субъектов — 10–15 млн. При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн рублей, не более 500 млн.»

Неуведомление РКН об утечке в 24 часа — отдельный состав по ч. 11 ст. 13.11 КоАП: штраф 1–3 млн рублей. Это независимый штраф, который прибавляется к штрафу за саму утечку. На практике клиника, допустившая утечку и не уведомившая РКН в срок, получает два протокола одновременно.

С 11.12.2024 действует ст. 272.1 УК РФ (ФЗ-421). Незаконное использование или передача компьютерной информации, содержащей ПДн, наказывается лишением свободы. При тяжких последствиях — до 10 лет (ч. 5 ст. 272.1 УК). Должностное лицо, виновное в утечке медицинских данных, может быть привлечено к уголовной ответственности.

Как это выглядит на практике в медицинских организациях

Кейс 1. Многопрофильная клиника (Сибирский ФО, осень 2025) получила внеплановую проверку РКН после жалобы пациента на несогласованное размещение его фотографии в социальной сети клиники. При проверке выявлено: согласие на обработку ПДн включено в договор на оказание услуг, отдельного документа нет, фотографии «до и после» размещались как «согласованные» без письменного согласия на распространение по ст. 10.1 ФЗ-152. РКН возбудил дела по ч. 2 и ч. 3 ст. 13.11 КоАП. Совокупный штраф составил несколько сотен тысяч рублей. Клиника переоформила пакет согласий и опубликовала актуальную политику обработки ПДн.

Кейс 2. Региональная стоматологическая сеть (Центральный ФО, начало 2026) допустила утечку медицинских карт через незакрытую уязвимость в МИС — данные более 12 000 пациентов попали в открытый доступ. Сеть уведомила РКН в течение 20 часов, через 68 часов направила отчёт о расследовании. При рассмотрении дела в арбитражном суде региона учтена оперативность реагирования и первичность нарушения. Штраф назначен ближе к нижней границе диапазона по ч. 13 ст. 13.11 КоАП. Без заблаговременно разработанного регламента реагирования уведомить РКН в 24-часовой срок не удалось бы.

Что подготовить главврачу

Отдельные согласия пациентов на обработку ПДн по форме ст. 9 ФЗ-152 в редакции с 01.09.2025 — не включённые в договор или медицинскую карту
Договор поручения обработки ПДн с поставщиком МИС по ст. 6 п. 3 ФЗ-152 с перечнем действий и правом проведения проверок
Уведомление РКН о намерении обрабатывать ПДн (реестр операторов на pd.rkn.gov.ru) с актуальным перечнем систем, включая МИС и телемедицину
Политику обработки ПДн с разделом о спецкатегориях и порядке работы с медицинскими данными — опубликованную по ч. 2 ст. 18.1 ФЗ-152
Регламент реагирования на утечку: кто фиксирует факт, кто подаёт уведомление в РКН в течение 24 часов, кто готовит отчёт за 72 часа

Типовые ситуации главврача при проверке РКН

Ситуация 1. Плановая проверка РКН, согласия в договоре. Инспектор запрашивает отдельные согласия пациентов. Клиника предъявляет договоры, в которые вшито согласие на ПДн. После 01.09.2025 такой формат не соответствует требованиям ФЗ-156. Доказательство нарушения — сам документ. Вероятный исход — протокол по ч. 2 ст. 13.11 КоАП, штраф 300–700 тыс. рублей. Стратегия: немедленно перейти на отдельные согласия, при наличии протокола — подать возражения с указанием на добровольное устранение нарушения до вынесения постановления.

Ситуация 2. Внеплановая проверка после жалобы пациента на публикацию фото. Клиника разместила фото пациента в Instagram-аккаунте с подписью «результат операции» на основании устного согласия. Ст. 10.1 ФЗ-152 требует отдельного письменного согласия на распространение спецкатегории. Устное согласие не является допустимым. Вероятный исход — штраф по ч. 2 ст. 13.11 плюс требование удалить фото. Стратегия: не публиковать медицинские фото без письменного согласия на распространение с прямым указанием площадки и срока.

Ситуация 3. Утечка через МИС подрядчика. Подрядчик, обслуживающий МИС, допустил утечку базы пациентов. Договора поручения обработки нет. По позиции РКН и судебной практике оператор отвечает за действия подрядчика как за собственные. Клиника получает протокол по ч. 12–14 ст. 13.11 КоАП независимо от вины подрядчика. Стратегия: заключить договор поручения до начала любой передачи данных подрядчику, зафиксировать его обязанности по защите, предусмотреть регрессные требования в договоре.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка согласий, МИС, ОРД медорганизации по чек-листу из 38 пунктов
Комплект ОРД под ключ — политика, согласия пациентов, договор с подрядчиком МИС, регламент реагирования
Сопровождение проверок РКН — подготовка, представление интересов, обжалование предписаний

Частые вопросы

1. Чем отличается информированное добровольное согласие (ИДС) от согласия на обработку ПДн?

ИДС — это согласие на медицинское вмешательство по ст. 20 Федерального закона «Об основах охраны здоровья граждан». Оно подтверждает, что пациент понимает характер лечения и его последствия. Согласие на обработку ПДн — документ по ст. 9 ФЗ-152, который разрешает клинике записывать, хранить и использовать персональные данные пациента в указанных целях. С 01.09.2025 согласие на ПДн обязательно оформляется отдельным документом и не может быть частью ИДС, договора или карты пациента. Отсутствие разделения — самостоятельное нарушение по ч. 2 ст. 13.11 КоАП.

2. Можно ли публиковать фотографии «до и после» с согласия пациента?

Публикация медицинских фото — это распространение спецкатегории ПДн по ст. 10.1 ФЗ-152. Для этого нужно отдельное письменное согласие на распространение, в котором прямо указаны: площадка публикации, состав размещаемых данных, срок размещения, право отозвать согласие. Общее согласие на обработку ПДн, даже подписанное пациентом, не охватывает публикацию в открытых источниках. Устное согласие не является допустимым основанием. Нарушение — протокол по ч. 2 ст. 13.11 КоАП, штраф 300–700 тыс. рублей за юрлицо.

3. Кто отвечает за утечку через МИС, если систему предоставляет подрядчик?

По ст. 6 ФЗ-152 оператор остаётся ответственным перед субъектами ПДн даже при поручении обработки третьему лицу. РКН возбуждает дело против оператора — медицинской организации — независимо от того, кто технически допустил утечку. Подрядчик отвечает перед оператором на основании договора. Если договора поручения обработки нет вообще — это самостоятельное нарушение ст. 6 ФЗ-152. Наличие надлежащего договора с фиксированными обязанностями подрядчика является смягчающим обстоятельством при рассмотрении дела.

4. Какие данные клиника обязана передавать в ЕГИСЗ и нужно ли для этого согласие пациента?

Состав данных для ЕГИСЗ определяется законодательством о здравоохранении и нормативными актами Минздрава. Передача осуществляется в рамках исполнения обязанности, возложенной законом, что образует самостоятельное основание по ст. 6 ФЗ-152 — без отдельного согласия пациента. Однако клиника обязана информировать пациента о факте передачи данных в государственные системы. Если данные передаются за пределы ЕГИСЗ, например в страховую компанию или иную организацию, требуется отдельное согласие или иное законное основание.

5. Что грозит клинике за утечку медицинских данных пациентов?

При утечке данных от 1 000 до 10 000 субъектов — штраф 3–5 млн рублей по ч. 12 ст. 13.11 КоАП. От 10 000 до 100 000 субъектов — 5–10 млн рублей (ч. 13). Свыше 100 000 субъектов — 10–15 млн рублей (ч. 14). При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн рублей. Дополнительно — штраф 1–3 млн рублей за неуведомление РКН в 24 часа по ч. 11. С 11.12.2024 должностное лицо может быть привлечено к уголовной ответственности по ст. 272.1 УК РФ.

6. С чего начать приведение клиники в соответствие с 152-ФЗ?

Первый шаг — проверить, включена ли клиника в реестр операторов ПДн на pd.rkn.gov.ru. Если нет — подать уведомление по ст. 22 ФЗ-152, штраф за отсутствие уведомления по ч. 10 ст. 13.11 КоАП составляет 100–300 тыс. рублей. Второй шаг — провести аудит согласий и ОРД: политика обработки ПДн, согласия пациентов в новом формате, договор с поставщиком МИС, регламент реагирования на утечку. Третий шаг — оценить уровень защищённости МИС по ПП РФ № 1119 и реализовать недостающие меры по Приказу ФСТЭК № 21.

Итог

Медицинская организация обрабатывает спецкатегорию ПДн — это наиболее чувствительный тип данных с самыми строгими требованиями по ФЗ-152. Требования охватывают форму согласий, технические меры защиты МИС, порядок передачи данных в ЕГИСЗ и подрядчикам, а также регламент реагирования на утечку в 24 и 72 часа. Нарушение любого из этих требований с 30.05.2025 влечёт штраф от сотен тысяч до десятков миллионов рублей.

Практика DATUM сопровождает медицинские организации — от районных стоматологий до многопрофильных сетей — в приведении обработки ПДн пациентов к требованиям законодательства. Специализация по 152-ФЗ с 2014 года в составе сети «Ветров и партнёры».

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, ПДн несовершеннолетних.

13 января 2029 года