Перейти к содержанию
инструкция 4 июня 2026 По состоянию на 4 июня 2026

DATUM-реагирование на утечку в клинике

Данные пациентов — специальная категория по ст. 10 ФЗ-152. Утечка из МИС влечёт штраф от 3 до 15 млн ₽ по ч. 12–14 ст. 13.11 КоАП в редакции с 30.05.2025, а при повторности — оборотный штраф до 500 млн ₽.
С момента обнаружения инцидента у клиники 24 часа на первичное уведомление Роскомнадзора и 72 часа на отчёт о расследовании. Нарушение этих сроков добавляет штраф 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП.
→ Если вы главный врач и в вашей МИС зафиксирован инцидент — эта инструкция даёт пошаговый порядок действий в первые 72 часа.

Медицинские данные — диагнозы, результаты анализов, сведения о назначениях — обрабатываются как специальная категория персональных данных по ст. 10 ФЗ-152. Утечка такой информации из медицинской информационной системы или ЕГИСЗ создаёт одновременно несколько правовых рисков: административный штраф по ст. 13.11 КоАП, уголовную ответственность по ст. 272.1 УК РФ (введена с 11.12.2024) и иски пациентов о компенсации морального вреда. В этой инструкции — шесть шагов, которые главный врач должен выполнить с момента обнаружения инцидента до закрытия внутреннего расследования.

Шаг 1. Зафиксируйте факт инцидента и остановите распространение

Первое действие — формальная фиксация момента обнаружения. Именно от этой отметки отсчитываются 24 и 72 часа по ч. 3.1 ст. 21 ФЗ-152 и Приказу РКН №187 от 14.11.2022. Запишите дату и время, когда сигнал об инциденте поступил уполномоченному сотруднику клиники.

Параллельно ИТ-служба или системный администратор МИС обязаны изолировать скомпрометированный сегмент: отключить учётные записи с признаками несанкционированного доступа, заблокировать подозрительные соединения, создать резервную копию логов до их возможного перезаписывания. Спецкатегория данных пациентов требует приоритетного блокирования — остановите синхронизацию с ЕГИСЗ, если она идёт через поражённый узел.

Составьте внутренний акт фиксации инцидента: кто обнаружил, в каком компоненте системы, какие категории данных предположительно затронуты, предварительный масштаб. Этот документ станет основой первичного уведомления РКН.

«Ч. 3.1 ст. 21 ФЗ-152 — при выявлении факта неправомерной или случайной передачи, предоставления, распространения, доступа к персональным данным оператор обязан уведомить Роскомнадзор в течение 24 часов с момента выявления инцидента. Через 72 часа — направить сведения о результатах внутреннего расследования.»

Шаг 2. Направьте первичное уведомление в РКН за 24 часа

Уведомление подаётся через портал pd.rkn.gov.ru с использованием УКЭП руководителя или уполномоченного лица. Форма и состав сведений определены Приказом РКН №187 от 14.11.2022, действующим с 01.03.2023.

В первичном уведомлении укажите: наименование оператора и регистрационный номер в реестре РКН, дату и время обнаружения, предполагаемый характер инцидента (взлом МИС, утечка через подрядчика по обслуживанию системы, несанкционированный доступ сотрудника), категории затронутых данных — для медицинской организации это специальная категория по ст. 10 ФЗ-152 и, возможно, биометрия по ст. 11 ФЗ-152, предварительное число субъектов. Если точный масштаб неизвестен — указывайте диапазон с оговоркой «уточняется».

Срок 24 часа не восстанавливается. Неуведомление или просрочка — отдельный состав по ч. 11 ст. 13.11 КоАП с штрафом 1–3 млн ₽ для юридического лица.

Утечка обнаружена — как действовать прямо сейчас?

Если главный врач получил сообщение об инциденте в МИС или ЕГИСЗ — 24-часовой срок уведомления РКН начинает течь немедленно. Ошибки в первичном уведомлении сужают возможности защиты на последующих стадиях. Юристы DATUM возьмут реагирование на себя: подготовят первичное уведомление, скоординируют внутреннее расследование, направят 72-часовой отчёт.

Реагировать на утечку

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Проведите внутреннее расследование и подготовьте 72-часовой отчёт

К моменту истечения 72 часов клиника обязана направить в РКН сведения о результатах внутреннего расследования. Отчёт должен содержать: установленные причины инцидента, перечень скомпрометированных данных с уточнённым числом субъектов, принятые меры по устранению нарушения и предотвращению повторения, сведения о лицах, допустивших или совершивших инцидент (если установлены).

Для медицинской организации расследование затрагивает несколько уровней: техническая сторона (журналы МИС, точки входа, методы атаки или утечки), организационная (кто имел доступ к затронутым записям, как распределены права в системе) и договорная (если МИС обслуживает внешний подрядчик — условия договора поручения по п. 3 ст. 6 ФЗ-152 и его ответственность за инцидент).

Ключевое правило по практике судов: оператор отвечает за утечку через подрядчика наравне с ним. Если в клинике нет договора поручения с вендором МИС — это самостоятельное нарушение, которое будет квалифицировано отдельно.

Шаг 4. Оцените категорию нарушения и размер риска

Размер штрафа зависит от числа субъектов, чьи данные скомпрометированы. По ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024 (действует с 30.05.2025) для юридического лица действуют три диапазона:

  • от 1 000 до 10 000 субъектов — ч. 12 ст. 13.11: штраф 3–5 млн ₽;
  • от 10 000 до 100 000 субъектов — ч. 13 ст. 13.11: штраф 5–10 млн ₽;
  • более 100 000 субъектов — ч. 14 ст. 13.11: штраф 10–15 млн ₽.

Для клиники с МИС, интегрированной в ЕГИСЗ, масштаб нарушения нередко превышает 10 000 записей. Если клиника ранее уже привлекалась к ответственности по ч. 12–14 ст. 13.11, повторный инцидент квалифицируется по ч. 15 — оборотный штраф 1–3% совокупной годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽.

Дополнительный риск — утечка биометрических данных (фотографии из медицинской карты, если используется идентификация пациента). По ч. 17 ст. 13.11 штраф за утечку биометрии составляет 15–20 млн ₽.

Параллельно с административной ответственностью действует ст. 272.1 УК РФ, введённая с 11.12.2024: незаконные сбор, хранение, передача компьютерной информации с персональными данными. Тяжкие последствия — до 10 лет лишения свободы по ч. 5. Вопрос о возбуждении уголовного дела РКН передаёт в правоохранительные органы при масштабных инцидентах.

«Ст. 10 ФЗ-152 — специальные категории персональных данных, включая сведения о состоянии здоровья, по общему правилу запрещены к обработке. Исключения — п. 2 той же статьи, в частности: необходимость медицинской помощи, обязательное медицинское страхование. Ст. 13 ФЗ-323 — медицинская тайна. Сведения о факте обращения за медпомощью, состоянии здоровья, диагнозе охраняются законом.»

Что подготовить до начала реагирования

  • Выписка из реестра операторов ПДн с pd.rkn.gov.ru — актуальная на момент инцидента.
  • Договор поручения с вендором МИС или ЕГИСЗ-интегратором с разграничением ответственности.
  • Журналы доступа к МИС за период, предшествующий инциденту (минимум 90 дней).
  • Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152.
  • Политика обработки персональных данных пациентов с описанием специальных категорий.

Шаг 5. Уведомите пациентов и примите меры по устранению последствий

ФЗ-152 прямо не обязывает оператора уведомлять субъектов об утечке, однако практика РКН и судов показывает: добровольное уведомление пациентов снижает риск массовых исков о компенсации морального вреда и учитывается как смягчающее обстоятельство при назначении штрафа.

Уведомление пациентов целесообразно, если утекли данные, способные причинить реальный вред: диагнозы, сведения о психических расстройствах, онкологических заболеваниях, ВИЧ-статусе. В этих случаях разрыв между медицинской тайной по ст. 13 ФЗ-323 и правом субъекта знать об инциденте становится очевидным.

Одновременно необходимо заблокировать скомпрометированные учётные записи, сбросить пароли в МИС, проверить интеграционные шины с ЕГИСЗ и лабораторными системами, уведомить страховую медицинскую организацию при работе в системе ОМС — если утечка затронула сведения о застрахованных.

Если главный врач ещё не получил протокол РКН, но инцидент уже зафиксирован — есть возможность применить смягчающие обстоятельства. Оборотный штраф применяется только при повторности: до первого дела ещё можно повлиять на квалификацию.

Оценить риски по 152-ФЗ

Шаг 6. Устраните организационные нарушения и закройте расследование

По итогам расследования клиника должна принять документированные меры: обновить модель угроз по требованиям ПП РФ №1119 (уровни защищённости УЗ-1–4), привести технические меры защиты в соответствие с Приказом ФСТЭК №21, пересмотреть права доступа в МИС исходя из принципа минимальных привилегий.

Организационная часть: актуализировать политику обработки ПДн (ч. 2 ст. 18.1 ФЗ-152), обновить инструкции медицинского персонала по работе с ПДн пациентов, провести внеплановый инструктаж. Если согласия пациентов на обработку персональных данных не соответствуют требованиям ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156 от 24.06.2025) — это отдельное нарушение, которое будет выявлено при плановой или внеплановой проверке РКН.

Итоговый акт расследования подписывается руководителем клиники и ответственным за обработку ПДн по ст. 22.1 ФЗ-152. Документ хранится не менее трёх лет — на случай последующих проверок и судебных разбирательств.

Типовые ситуации при утечке в медицинской организации

Ситуация 1. Несанкционированный доступ через учётную запись уволенного сотрудника. Регистратор уволен, учётная запись в МИС не деактивирована. Через три месяца после увольнения зафиксирован вход и выгрузка базы пациентов. Число субъектов — около 15 000. Квалификация: ч. 13 ст. 13.11 КоАП (штраф 5–10 млн ₽) + ч. 11 (неуведомление, если пропущены сроки). Стратегия: немедленно уведомить РКН, провести технический аудит прав доступа, представить в качестве смягчающего обстоятельства факт немедленного блокирования учётной записи после обнаружения. Возможна ссылка на ст. 4.1 КоАП для снижения штрафа.

Ситуация 2. Утечка через вендора МИС. Поставщик медицинской информационной системы допустил утечку клиентской базы в ходе технических работ. Клиника — оператор ПДн по ст. 3 ФЗ-152; поставщик — лицо, осуществляющее обработку по поручению. Штраф назначается оператору. Если договор поручения отсутствует или составлен без требований ст. 6 ФЗ-152 — дополнительный состав по ч. 1 ст. 13.11. Стратегия: зафиксировать факт нарушения поставщиком, направить претензию, привлечь его к участию в расследовании, предъявить регрессный иск после вынесения постановления.

Ситуация 3. Публикация медицинских данных в открытом доступе. Фотографии документов пациентов попали в мессенджер-чат медперсонала, затем распространились далее. Данные о состоянии здоровья — спецкатегория ст. 10 ФЗ-152. Нарушение врачебной тайны по ст. 13 ФЗ-323 влечёт дисциплинарную и, при умысле, уголовную ответственность сотрудника. Для клиники как оператора — штраф по ч. 12–14 ст. 13.11 КоАП в зависимости от числа затронутых пациентов. Стратегия: немедленно установить и отстранить виновного, провести дисциплинарное расследование, зафиксировать принятые меры для РКН.

Как это применяется на практике

Кейс 1. Медицинский центр Центрального федерального округа (осень 2025) зафиксировал несанкционированный экспорт базы пациентов из МИС — около 8 000 записей с диагнозами. Главный врач в течение 4 часов после обнаружения передал дело юристам. Первичное уведомление РКН направлено за 19 часов, 72-часовой отчёт — в срок. Дело квалифицировано по ч. 12 ст. 13.11 КоАП (3–5 млн ₽). На стадии арбитражного рассмотрения суд учёл оперативность уведомления и отсутствие предыдущих нарушений как смягчающие обстоятельства, штраф назначен ближе к нижней границе диапазона.

Кейс 2 (case_S2). В деле о компрометации данных IT-платформы (Северо-Западный ФО, начало 2026) арбитражный суд применил ч. 14 ст. 13.11 КоАП (более 100 000 субъектов). Смягчающие обстоятельства — своевременное уведомление РКН и документированные меры по устранению нарушений — позволили снизить итоговый штраф относительно верхней границы. Принцип, выработанный в этом деле, применим для медицинских организаций: оперативность реагирования и документальная прозрачность снижают финансовые последствия.

Услуги DATUM по теме

Частые вопросы

1. Чем отличается информированное добровольное согласие (ИДС) от согласия на обработку персональных данных?

ИДС — медицинский документ по ст. 20 ФЗ-323, подтверждающий право пациента на медицинское вмешательство. Согласие на обработку ПДн — правовое основание по ст. 9 ФЗ-152 для работы с персональными данными пациента. Это два разных документа с разными реквизитами и целями. С 01.09.2025 по ФЗ-156 согласие на ПДн оформляется отдельно и не может быть включено в ИДС, договор на медицинские услуги или иной документ.

2. Можно ли публиковать фотографии результатов лечения («до и после») с согласия пациента?

Да, при наличии отдельного согласия на распространение персональных данных по ст. 10.1 ФЗ-152. Такое согласие должно прямо указывать на цель — публикация в рекламных или информационных целях, перечень передаваемых данных (фото, описание процедуры), каналы распространения. Молчание пациента означает запрет на распространение — дефолт по ст. 10.1 ФЗ-152 установлен в пользу субъекта.

3. Кто отвечает за утечку через МИС — клиника или вендор системы?

Клиника как оператор персональных данных по ст. 3 ФЗ-152 несёт ответственность перед РКН и пациентами вне зависимости от того, произошла ли утечка по вине вендора МИС. Вендор, осуществляющий обработку по поручению на основании п. 3 ст. 6 ФЗ-152, отвечает перед клиникой по договору поручения. Штраф по ст. 13.11 КоАП назначается оператору — клинике. Регрессный иск к вендору возможен в гражданском порядке.

4. Какие данные клиника обязана передавать в ЕГИСЗ и как это соотносится с 152-ФЗ?

Передача сведений в ЕГИСЗ осуществляется на основании ФЗ-323 и подзаконных актов Минздрава — это обязанность медицинской организации, не требующая отдельного согласия пациента по пп. 2 п. 2 ст. 10 ФЗ-152 (обработка в целях медицинской помощи). Однако техническая интеграция с ЕГИСЗ через МИС должна быть описана в уведомлении РКН по ст. 22 ФЗ-152 и в политике обработки персональных данных клиники.

5. Что грозит клинике за утечку данных пациентов по новым нормам с 30.05.2025?

При утечке от 1 000 до 10 000 субъектов — штраф 3–5 млн ₽ (ч. 12 ст. 13.11 КоАП); от 10 000 до 100 000 субъектов — 5–10 млн ₽ (ч. 13); свыше 100 000 субъектов — 10–15 млн ₽ (ч. 14). При повторной утечке — оборотный штраф 1–3% годовой выручки, не менее 20 млн ₽ (ч. 15). Отдельно: неуведомление РКН в течение 24 часов — 1–3 млн ₽ (ч. 11). С 11.12.2024 действует ст. 272.1 УК РФ — уголовная ответственность для конкретных виновных лиц.

6. Можно ли уменьшить штраф за утечку, если клиника вложила деньги в защиту информации?

Да. Согласно примечанию 3.4-2 к ст. 4.1 КоАП, если оператор инвестировал в информационную безопасность не менее 0,1% совокупной выручки за три предшествующих года, штраф по оборотным составам (ч. 15 и ч. 18 ст. 13.11) рассчитывается в размере 1/10 минимального, но не менее 15 млн ₽ и не более 50 млн ₽. Для применения льготы необходимо документально подтвердить расходы на ИБ — договоры, акты, платёжные документы.

Итог

Реагирование на утечку в клинике — это шесть последовательных шагов в строгих временных рамках: фиксация инцидента, первичное уведомление РКН за 24 часа, внутреннее расследование с отчётом за 72 часа, оценка категории нарушения, уведомление пациентов и устранение организационных нарушений. Ошибка на любом этапе добавляет самостоятельный состав правонарушения.

DATUM сопровождает медицинские организации при реагировании на инциденты с ПДн пациентов: от первичного уведомления РКН до представления интересов клиники в арбитраже при оспаривании постановления по ст. 13.11 КоАП.

Смотрите также

ОН
Ольга Нечаева
Аналитик · Медицина и образование
Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, ПДн несовершеннолетних.

4 июня 2026 года