Перейти к содержанию
инструкция 21 января 2029 По состоянию на 21 января 2029

DATUM по медицине: 5 услуг

Медицинские организации обрабатывают специальные категории персональных данных — сведения о состоянии здоровья пациентов по ст. 10 ФЗ-152. Их утечка или неправомерная обработка влечёт штраф от 3 до 15 млн рублей по ч. 12–14 ст. 13.11 КоАП.
DATUM специализируется на сопровождении медорганизаций: МИС, ЕГИСЗ, информированные согласия пациентов, подключение к телемедицинским сервисам, взаимодействие с Роскомнадзором. С 30.05.2025 за повторную утечку применяется оборотный штраф до 500 млн рублей по ч. 15 ст. 13.11 КоАП.
→ Если вы главный врач и клиника подключена к ЕГИСЗ или использует МИС — проверьте соответствие 152-ФЗ по пяти направлениям ниже.

Медицинская организация — это оператор персональных данных с повышенной ответственностью. Данные пациентов относятся к специальным категориям по ст. 10 ФЗ-152: их обработка допускается только при наличии письменного согласия или в силу прямых исключений закона. Роскомнадзор планово проверяет медорганизации по индикаторам риска — отсутствие уведомления в реестре, жалобы пациентов, публичные инциденты. DATUM выработал пять направлений работы, покрывающих основные риски клиники в 2026 году.

Шаг 1. Аудит соответствия 152-ФЗ: что проверять в медорганизации?

Аудит в клинике отличается от стандартного. Помимо общего чек-листа из 38 пунктов, проверяются специфические основания обработки: информированное добровольное согласие (ИДС) по ст. 20 Федерального закона от 21.11.2011 № 323-ФЗ и согласие на обработку ПДн по ст. 9 ФЗ-152 — это два разных документа с разными реквизитами и правовыми основаниями.

«Ст. 10 ФЗ-152 — специальные категории ПДн, включая сведения о состоянии здоровья, по общему правилу запрещены к обработке. Исключение — письменное согласие субъекта или осуществление оператором медицинской деятельности в целях охраны здоровья (п. 4 ч. 2 ст. 10 ФЗ-152).»

В ходе аудита проверяется: основание обработки для каждой цели (лечение, хранение в МИС, передача в ЕГИСЗ, страховым организациям, работодателю пациента), наличие отдельных согласий по требованиям с 01.09.2025 (ФЗ-156), соответствие состава обрабатываемых данных заявленным целям, порядок обращения с данными уволенных сотрудников и выписанных пациентов. Отдельно оценивается уровень защищённости информационной системы — медицинские данные при числе субъектов свыше 100 000 требуют не ниже УЗ-2 по ПП РФ № 1119.

Результат аудита — отчёт с приоритизированными нарушениями и планом устранения. Критичные позиции (нет согласий, нет уведомления в реестре РКН, нет политики) устраняются первыми — они дают основания для штрафа при любой проверке.

Хотите понять, что именно проверит Роскомнадзор в вашей клинике?

Если вы главный врач и клиника никогда не проходила аудит 152-ФЗ — риск штрафа по ч. 1 ст. 13.11 КоАП составляет от 150 000 до 300 000 рублей только за одно нарушение. При наличии МИС и передачи данных в ЕГИСЗ сумма кратно выше. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 2. Комплект ОРД: какие документы обязательны для клиники?

Организационно-распорядительная документация для медорганизации включает общий пакет плюс специфические документы, учитывающие обработку спецкатегорий и структуру информационных систем.

Обязательные документы ОРД для медицинской организации

  • Политика обработки персональных данных с разделами по ч. 2 ст. 18.1 ФЗ-152 — публикуется на сайте клиники
  • Согласия пациентов на обработку ПДн — отдельный документ (не часть ИДС) с обязательными реквизитами по ст. 9 ФЗ-152 в редакции ФЗ-156 с 01.09.2025
  • Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152
  • Регламент взаимодействия с МИС и передачи данных в ЕГИСЗ с описанием оснований и объёма передачи
  • Регламент реагирования на инциденты с ПДн — порядок уведомления РКН за 24 и 72 часа по ч. 3.1 ст. 21 ФЗ-152

Согласие на обработку ПДн и информированное добровольное согласие — разные документы с разными правовыми основаниями. ИДС регулируется ст. 20 323-ФЗ и подтверждает согласие пациента на медицинское вмешательство. Согласие на ПДн по ст. 9 ФЗ-152 даёт правовое основание для внесения данных в МИС, передачи страховой организации, хранения и иных действий с персональными данными. Смешение документов — типичное нарушение, выявляемое при проверках РКН.

С 01.09.2025 согласие на обработку ПДн не может быть включено в текст договора, ИДС или другого документа — это требование ФЗ-156 от 24.06.2025. Клиники, использующие согласия до этой даты, обязаны переоформить их при очередном обращении пациента или заранее в рамках плановой работы.

Шаг 3. Как правильно передавать данные пациентов в ЕГИСЗ?

Единая государственная информационная система здравоохранения (ЕГИСЗ) — это централизованная система Минздрава. Передача данных пациентов в ЕГИСЗ осуществляется в рамках исполнения обязательных требований — на основании п. 2 ч. 2 ст. 10 ФЗ-152 (исполнение нормативных правовых актов) без отдельного согласия пациента. Однако объём передаваемых данных должен строго соответствовать установленному составу.

«Ст. 13 Федерального закона № 323-ФЗ — сведения о состоянии здоровья составляют врачебную тайну. Их разглашение допускается только в случаях, прямо предусмотренных законом. Передача данных в ЕГИСЗ — один из таких случаев при соблюдении установленного порядка.»

Типичные нарушения при взаимодействии с ЕГИСЗ: передача данных сверх установленного состава, отсутствие документированного основания для каждого потока данных, использование незащищённых каналов связи. Последнее критично: МИС должна обеспечивать защиту данных при передаче в соответствии с уровнем защищённости, определённым по ПП РФ № 1119.

При использовании телемедицины данные пациента могут передаваться за пределы основной информационной системы — к внешним платформам. Если платформа расположена за рубежом, возникает вопрос трансграничной передачи данных по ст. 12 ФЗ-152 и требования локализации по ч. 5 ст. 18 ФЗ-152: первичные записи о российских пациентах должны храниться в базах данных на территории Российской Федерации.

Если в клинике используется МИС с облачным хранилищем или телемедицинский сервис — проверьте, где физически хранятся данные пациентов. Нарушение локализации по ч. 8 ст. 13.11 КоАП с 30.05.2025 — от 1 до 6 млн рублей. Повторное — от 6 до 18 млн рублей.

Подготовиться к проверке РКН

Шаг 4. Сопровождение проверки Роскомнадзора в медорганизации

Роскомнадзор проводит плановые и внеплановые проверки. Медицинские организации попадают в план по индикаторам риска: жалобы пациентов, отсутствие в реестре операторов ПДн, публичные инциденты с данными. Внеплановая проверка назначается в течение 24 часов после регистрации жалобы или инцидента.

При получении уведомления о проверке главный врач должен действовать по чёткому порядку: уведомить юриста, собрать документы (уведомление в реестре, политику, журналы согласий, регламенты), подготовить ответственного сотрудника для общения с инспектором. Отсутствие любого документа из пакета ОРД — основание для составления протокола по соответствующей части ст. 13.11 КоАП.

Юристы DATUM при сопровождении проверки действуют по следующей схеме: предварительный экспресс-аудит за 48 часов, формирование пакета документов для инспектора, участие в проверке, ответы на запросы РКН, обжалование предписания при необходимости. Ключевое — подключаться до начала проверки, а не в момент составления протокола.

Шаг 5. Реагирование на утечку медицинских данных за 24/72 часа

Утечка данных пациентов — это утечка спецкатегорий по ст. 10 ФЗ-152. Штраф по ч. 12–14 ст. 13.11 КоАП зависит от числа субъектов: от 1 000 до 10 000 пациентов — от 3 до 5 млн рублей, свыше 100 000 — от 10 до 15 млн рублей. При повторном инциденте применяется оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, не менее 20 млн рублей и не более 500 млн рублей.

«Ч. 3.1 ст. 21 ФЗ-152 — при выявлении утечки оператор обязан уведомить Роскомнадзор в течение 24 часов. Через 72 часа — направить отчёт о результатах внутреннего расследования. Порядок уведомления установлен Приказом РКН № 187 от 14.11.2022.»

24-часовой срок не восстанавливается. Неуведомление или несвоевременное уведомление — дополнительный штраф по ч. 11 ст. 13.11 КоАП от 1 до 3 млн рублей. Итого: сам факт утечки плюс нарушение срока уведомления — два самостоятельных состава правонарушения.

В медицинской организации источником утечки чаще всего становятся МИС (уязвимость в ПО или настройках), электронная почта (фишинг), действия сотрудников (несанкционированный доступ к картам пациентов). Регламент реагирования должен определять, кто и как фиксирует инцидент, кто направляет уведомление, кто проводит расследование.

Типовые ситуации: как это работает для главного врача

Ситуация 1. МИС без актуального уведомления в реестре РКН. Клиника ввела в эксплуатацию новую МИС, однако уведомление в реестре операторов ПДн не обновлялось два года. Состав обрабатываемых данных расширился — добавились диагнозы, результаты анализов, видеозаписи консультаций. Инспектор РКН при проверке фиксирует расхождение между реестром и реальной обработкой. Протокол по ч. 1 ст. 13.11 КоАП (150 000–300 000 рублей) плюс предписание об устранении. Стратегия: обновить уведомление до проверки через pd.rkn.gov.ru, привести ОРД в соответствие с реальным составом обработки.

Ситуация 2. Согласие пациента включено в ИДС. Клиника использует единый документ, где в одном тексте совмещены ИДС по 323-ФЗ и согласие на обработку ПДн по 152-ФЗ. С 01.09.2025 это нарушение требований ФЗ-156: согласие на ПДн должно быть отдельным документом. Штраф по ч. 2 ст. 13.11 — от 300 000 до 700 000 рублей. При повторном нарушении — от 1 до 1,5 млн рублей по ч. 2.1. Стратегия: разработать отдельную форму согласия, провести инструктаж регистратуры, организовать переоформление при следующем визите пациента.

Ситуация 3. Утечка через подрядчика IT-обслуживания. Компания, обслуживающая серверное оборудование клиники, допустила утечку данных 8 000 пациентов. Данные появились в открытом доступе. Роскомнадзор возбудил дело по ч. 12 ст. 13.11 — от 3 до 5 млн рублей. Ответственность несёт клиника как оператор, а не подрядчик. Принцип ответственности оператора за действия обработчика — устойчивая позиция надзорной практики. Стратегия: договор с подрядчиком должен содержать поручение на обработку по п. 3 ст. 6 ФЗ-152 с обязательствами по обеспечению безопасности; направить уведомление в РКН за 24 часа.

Частые вопросы

1. Чем отличается ИДС от согласия на обработку ПДн?

Информированное добровольное согласие (ИДС) по ст. 20 Федерального закона № 323-ФЗ — это согласие пациента на конкретное медицинское вмешательство. Оно регулирует медицинские правоотношения и не даёт правового основания для обработки персональных данных по 152-ФЗ. Согласие на обработку ПДн по ст. 9 ФЗ-152 — самостоятельный документ, который должен содержать цели обработки, перечень данных, срок действия и способ отзыва. С 01.09.2025 согласие на ПДн не может быть включено в текст ИДС или любого другого документа (ФЗ-156 от 24.06.2025). Это два разных документа с разными юридическими функциями.

2. Можно ли публиковать фото «до-после» с согласия пациента?

Фотография человека с медицинским контекстом (диагноз, процедура, результат лечения) — это одновременно биометрические данные по ст. 11 ФЗ-152 (изображение лица) и специальные категории по ст. 10 ФЗ-152 (сведения о состоянии здоровья). Для публикации требуется отдельное согласие на распространение по ст. 10.1 ФЗ-152 — оно не может быть получено «по умолчанию» или включено в общее согласие. Если пациент не давал явного согласия на распространение — публикация является нарушением, которое влечёт штраф и возможный иск о компенсации морального вреда.

3. Кто отвечает за утечку через МИС?

Ответственность перед Роскомнадзором и пациентами несёт оператор персональных данных — медицинская организация, которая приняла решение об обработке в МИС. Даже если МИС предоставляется как облачный сервис или обслуживается внешним подрядчиком — ответственность оператора не переходит на подрядчика. Подрядчик выступает лицом, осуществляющим обработку по поручению оператора по п. 3 ст. 6 ФЗ-152, и обязан обеспечивать безопасность данных по условиям договора. При утечке штраф по ч. 12–14 ст. 13.11 КоАП предъявляется клинике как оператору.

4. Какие данные передавать в ЕГИСЗ?

Объём и состав данных, передаваемых в ЕГИСЗ, определяются нормативными актами Минздрава России в соответствии с регламентами функционирования конкретных подсистем ЕГИСЗ. Передача сверх установленного состава является нарушением принципа минимизации данных по ст. 5 ФЗ-152 и может быть квалифицирована как обработка, несовместимая с целями (ч. 1 ст. 13.11 КоАП, штраф 150 000–300 000 рублей). Основание для передачи — исполнение нормативных правовых актов (п. 2 ч. 2 ст. 10 ФЗ-152), а не согласие пациента.

5. Что грозит клинике за утечку данных пациентов?

Размер штрафа зависит от числа пострадавших субъектов. При утечке от 1 000 до 10 000 пациентов — от 3 до 5 млн рублей по ч. 12 ст. 13.11 КоАП. От 10 000 до 100 000 — от 5 до 10 млн рублей по ч. 13. Свыше 100 000 — от 10 до 15 млн рублей по ч. 14. Если клиника уже привлекалась к ответственности по этим составам — при повторной утечке применяется оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн рублей. Дополнительно — штраф за несвоевременное уведомление РКН по ч. 11 (1–3 млн рублей). Физические лица могут быть привлечены по ст. 272.1 УК РФ, действующей с 11.12.2024.

6. Нужно ли уведомлять РКН о намерении использовать телемедицину?

Если клиника начинает использовать телемедицинский сервис и при этом расширяется состав обрабатываемых данных или меняются цели обработки — необходимо обновить уведомление в реестре операторов ПДн по ст. 22 ФЗ-152. Неуведомление или несвоевременное уведомление о намерении обрабатывать ПДн влечёт штраф по ч. 10 ст. 13.11 КоАП от 100 000 до 300 000 рублей. Если платформа телемедицины расположена за рубежом — дополнительно проверяется соответствие требованиям трансграничной передачи по ст. 12 ФЗ-152.

Итог

Медицинские организации работают со специальными категориями персональных данных пациентов, что автоматически означает повышенную ответственность и внимание со стороны Роскомнадзора. Пять направлений DATUM — аудит, ОРД, порядок взаимодействия с ЕГИСЗ, сопровождение проверок, реагирование на утечки — покрывают ключевые риски клиники при действующей редакции ст. 13.11 КоАП с 30.05.2025.

DATUM сопровождает медицинские организации в вопросах 152-ФЗ: от разработки форм согласий пациентов и комплекта ОРД до участия в проверках РКН и реагирования на инциденты за 24/72 часа. Специализация по медицине — в структуре практики «Ветров и партнёры».

Услуги DATUM по теме

Смотрите также

ОН
Ольга Нечаева
Аналитик · Медицина и образование
Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна.

21 января 2029 года