Перейти к содержанию
инструкция 22 января 2029 По состоянию на 22 января 2029

DATUM-сопровождение проверки РКН в клинике

Проверка Роскомнадзора в медицинской организации — это контроль обработки спецкатегорий персональных данных (ст. 10 ФЗ-152): диагнозов, результатов анализов, сведений об интимной жизни пациентов.
С 30.05.2025 за утечку от 10 000 до 100 000 субъектов клиника платит от 5 до 10 млн ₽ по ч. 13 ст. 13.11 КоАП; при повторности — оборотный штраф до 500 млн ₽ по ч. 15.
Если в клинику пришёл запрос РКН или назначена проверка — ниже пошаговый порядок действий и точки, где без юриста ошибаются чаще всего. → Сопровождение проверки РКН

Главврач, получивший уведомление о плановой или внеплановой проверке Роскомнадзора, как правило, не знает, что именно инспектор проверяет в клинике: МИС, ЕГИСЗ, согласия пациентов или организационно-распорядительную документацию. Ответ — всё перечисленное одновременно. Эта инструкция описывает восемь шагов подготовки и прохождения проверки, основана на требованиях ФЗ-152, 323-ФЗ и актуальной редакции ст. 13.11 КоАП.

Что проверяет Роскомнадзор в медицинской организации?

Предмет проверки РКН — соответствие обработки персональных данных требованиям ФЗ-152. В клинике это включает шесть направлений: правовые основания обработки ПДн (согласия и договоры), состав и актуальность ОРД, содержание информационных систем (МИС, ЕГИСЗ), меры технической защиты, порядок реагирования на запросы субъектов и уведомление в реестре операторов РКН.

«Ст. 10 ФЗ-152 устанавливает запрет на обработку данных о состоянии здоровья без явного правового основания. Для медицинской организации таким основанием служат: согласие пациента, необходимость оказания медицинской помощи (п. 4 ч. 2 ст. 10), а также исполнение обязанностей по обязательному медицинскому страхованию.»

Данные пациентов — спецкатегория по ст. 10 ФЗ-152 и врачебная тайна по ст. 13 323-ФЗ. Оба режима действуют одновременно: утечка из МИС создаёт основания как для административного штрафа по ст. 13.11 КоАП, так и для уголовного преследования по ст. 272.1 УК РФ (введена ФЗ-421, действует с 11.12.2024). Максимальное наказание по ч. 5 ст. 272.1 УК — до 10 лет лишения свободы при тяжких последствиях.

Плановые проверки РКН проводятся на основании ежегодного плана; внеплановые — по жалобе пациента, по индикатору риска (например, отсутствие клиники в реестре операторов или жалоба на публикацию фото «до — после» без согласия на распространение по ст. 10.1 ФЗ-152) или после зафиксированной утечки.

Шаг 1. Проверьте статус в реестре операторов ПДн

Первое, что запрашивает инспектор, — уведомление об обработке персональных данных по ст. 22 ФЗ-152 и запись в реестре на pd.rkn.gov.ru. Отсутствие в реестре или несоответствие задекларированных целей фактической обработке — самостоятельное нарушение по ч. 10 ст. 13.11 КоАП: штраф от 100 000 до 300 000 ₽.

Проверьте: совпадают ли категории ПДн в уведомлении (общие, специальные, биометрические) с тем, что реально обрабатывается в МИС. Если клиника подключилась к ЕГИСЗ после подачи уведомления — уведомление нужно актуализировать через форму на pd.rkn.gov.ru по Приказу РКН №180 от 28.10.2022.

Шаг 2. Соберите комплект ОРД до прихода инспектора

Инспектор РКН запрашивает организационно-распорядительную документацию: политику обработки ПДн (ст. 18.1 ФЗ-152), приказ о назначении ответственного (ст. 22.1 ФЗ-152), регламент реагирования на инциденты, журнал учёта обращений субъектов, договор-поручение с оператором МИС (если система внешняя).

Что подготовить к проверке РКН в клинике

  • Выписка из реестра операторов ПДн с pd.rkn.gov.ru с актуальными данными
  • Политика обработки ПДн с разделами по ч. 2 ст. 18.1 ФЗ-152, опубликованная на сайте клиники
  • Приказ о назначении ответственного за организацию обработки ПДн (ст. 22.1 ФЗ-152)
  • Согласия пациентов: ИДС по 323-ФЗ и отдельное согласие на ПДн по ст. 9 ФЗ-152 в редакции ФЗ-156 (с 01.09.2025 — отдельный документ)
  • Договор-поручение с вендором МИС и поставщиком ЕГИСЗ-интеграции (п. 3 ст. 6 ФЗ-152)

Отсутствие опубликованной политики обработки ПДн — штраф от 30 000 до 60 000 ₽ по ч. 3 ст. 13.11 КоАП. Невыдача информации субъекту по запросу в 10 рабочих дней (ст. 20 ФЗ-152) — ещё 40 000–80 000 ₽ по ч. 4.

Получили уведомление о проверке РКН — что делать в первые 48 часов?

Плановая проверка РКН объявляется за 3 рабочих дня, внеплановая — не позднее чем за 24 часа. Этого времени достаточно, чтобы выявить критические пробелы и закрыть их до прихода инспектора. Состав обязательного пакета ОРД в медицине включает специфику спецкатегорий по ст. 10 ФЗ-152 и требования 323-ФЗ — без понимания обеих норм документы будут оформлены неверно.

Подготовиться к проверке РКН

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Проверьте согласия пациентов — ИДС и ПДн это разные документы

Информированное добровольное согласие (ИДС) по ст. 20 323-ФЗ и согласие на обработку персональных данных по ст. 9 ФЗ-152 — два отдельных документа с разными реквизитами и разными правовыми последствиями. Объединение их в одну форму приводит к нарушению ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156 (с 01.09.2025 согласие на ПДн оформляется как отдельный документ).

Согласие на ПДн в медицинской организации должно содержать: ФИО и контактные данные пациента, наименование клиники, перечень обрабатываемых данных (диагноз, анамнез, результаты исследований), цель обработки, перечень действий, срок действия согласия и порядок его отзыва. Обработка без такого согласия или с согласием, не содержащим обязательных реквизитов, — штраф от 300 000 до 700 000 ₽ по ч. 2 ст. 13.11 КоАП.

Если клиника ведёт телемедицинские консультации с пациентами, находящимися за рубежом, — это трансграничная передача ПДн по ст. 12 ФЗ-152. До начала передачи в страну без адекватной защиты требуется уведомление РКН.

Шаг 4. Проверьте обработку ПДн в МИС и ЕГИСЗ

Медицинская информационная система — информационная система персональных данных (ИСПДн). Данные о состоянии здоровья — спецкатегория, поэтому для МИС по ПП РФ №1119 требуется определить уровень защищённости. При числе субъектов свыше 100 000 и спецкатегориях минимальный уровень — УЗ-3, что предполагает конкретный набор мер по Приказу ФСТЭК №21 от 18.02.2013.

Подключение МИС к ЕГИСЗ означает передачу ПДн в государственную систему. Объём передаваемых данных должен соответствовать минимально необходимому по ст. 5 ФЗ-152 (принцип соответствия объёма целям). Инспектор РКН проверит, есть ли у клиники договор-поручение с вендором МИС, в котором прописаны обязательства по защите ПДн согласно п. 3 ст. 6 ФЗ-152.

Если МИС хранит данные на серверах за пределами России — это нарушение ч. 5 ст. 18 ФЗ-152 о локализации. С 01.07.2025 требования локализации ужесточены: первичный сбор данных граждан РФ должен происходить в базах на территории России. Штраф по ч. 8 ст. 13.11 КоАП — от 1 000 000 до 6 000 000 ₽; при повторности — от 6 000 000 до 18 000 000 ₽.

Шаг 5. Проверьте готовность к реагированию на инциденты

Регламент реагирования на утечки ПДн — обязательный документ по ст. 18.1 ФЗ-152. При инциденте клиника обязана направить в РКН первичное уведомление в течение 24 часов с момента обнаружения (ч. 3.1 ст. 21 ФЗ-152), а через 72 часа — отчёт о результатах внутреннего расследования по Приказу РКН №187 от 14.11.2022. Неуведомление или нарушение сроков — штраф от 1 000 000 до 3 000 000 ₽ по ч. 11 ст. 13.11 КоАП.

Если регламента нет или он не исполнялся — инспектор это зафиксирует как нарушение ч. 1 ст. 18.1 ФЗ-152. Наличие регламента без фактических учений и журнала проверок также трактуется как формальное исполнение требований.

Если в клинике зафиксирован инцидент с ПДн пациентов — у вас 24 часа на первичное уведомление РКН. Срок не восстанавливается. Юристы DATUM возьмут реагирование: первичное уведомление, координация расследования, 72-часовой отчёт.

Реагировать на утечку

Шаг 6. Подготовьте ответы на типовые запросы инспектора

Инспектор РКН при документарной проверке запрашивает письменные пояснения: как клиника уведомляет пациентов об обработке ПДн, каков порядок уничтожения данных при отзыве согласия, как ограничен доступ сотрудников к МИС. Подготовьте письменные ответы заранее по каждому пункту программы проверки — она прилагается к уведомлению.

При выездной проверке инспектор вправе запросить демонстрацию работы МИС и журналы доступа. Обеспечьте присутствие ответственного за обработку ПДн (ст. 22.1 ФЗ-152) и ИТ-специалиста, знающего архитектуру системы.

Шаг 7. Зафиксируйте все действия инспектора и подпишите акт с оговорками

По результатам проверки составляется акт. Клиника вправе подписать акт с письменными возражениями — это не означает согласия с выявленными нарушениями и сохраняет право на обжалование предписания. Возражения подаются в течение 15 рабочих дней с даты получения акта.

Если инспектор выявил нарушения и составил протокол по ст. 13.11 КоАП — обжалование протокола в административном порядке или арбитражном суде остаётся возможным. Применение ст. 4.1.1 КоАП (замена штрафа на предупреждение) доступно для микропредприятий при первичном нарушении и отсутствии вреда; к оборотным составам ч. 15 и ч. 18 эта норма не применяется.

Шаг 8. Устраните нарушения в установленный срок и уведомите РКН

Предписание РКН об устранении нарушений содержит конкретный срок. Неисполнение предписания — отдельное основание для повторного протокола и квалификации нарушения как повторного, что переводит часть составов в более тяжкие (ч. 1.1, ч. 2.1, ч. 5.1 ст. 13.11 КоАП). После устранения нарушений клиника направляет в РКН отчёт об исполнении предписания с приложением подтверждающих документов.

Устранение нарушений до вынесения постановления — существенный смягчающий фактор по ст. 4.1 КоАП. Инвестиции в информационную безопасность в размере не менее 0,1% совокупной выручки за три предшествующих года снижают оборотный штраф по ч. 15 до одной десятой минимального размера, но не менее 15 млн ₽ (примечание 3.4-2 к ст. 4.1 КоАП, введено ФЗ-420).

Типовые сценарии проверки в клинике

Сценарий 1. Внеплановая проверка по жалобе пациента на публикацию фото. Пациент пожаловался в РКН на публикацию фотографий «до — после» на сайте клиники. Клиника представила согласие на ПДн, но оно не содержало отдельного согласия на распространение по ст. 10.1 ФЗ-152. Итог: протокол по ч. 2 ст. 13.11 (обработка без надлежащего согласия), штраф в диапазоне 300 000–700 000 ₽. Стратегия: с 01.09.2025 любое согласие на публикацию клинических результатов оформляется отдельным документом; проверьте архив публикаций за последние 3 года.

Сценарий 2. Плановая проверка: МИС на иностранном облаке. Региональная клиника (Приволжский ФО, 2025) использовала МИС с хранением данных на сервере европейского вендора. Инспектор зафиксировал нарушение ч. 5 ст. 18 ФЗ-152 о локализации. Протокол по ч. 8 ст. 13.11 — штраф от 1 до 6 млн ₽. Стратегия: до проверки — аудит инфраструктуры МИС, договор с вендором с требованием локализации или переход на российскую систему.

Сценарий 3. Выездная проверка после утечки из МИС. Клиника (Центральный ФО, осень 2025) не уведомила РКН об инциденте в течение 24 часов. К моменту проверки данные более 12 000 пациентов появились в даркнете. Квалификация: ч. 11 ст. 13.11 (неуведомление об утечке) + ч. 13 ст. 13.11 (утечка от 10 000 до 100 000 субъектов) — штрафы 1–3 млн и 5–10 млн ₽ соответственно. Стратегия: внедрить регламент реагирования до инцидента; назначить ответственного с правом немедленного уведомления РКН без согласования с руководством.

Услуги DATUM по теме

Частые вопросы

1. Чем отличается ИДС от согласия на обработку ПДн?

Информированное добровольное согласие (ИДС) регулируется ст. 20 Федерального закона №323-ФЗ и касается медицинского вмешательства: пациент соглашается на конкретную процедуру или лечение. Согласие на обработку персональных данных — отдельный документ по ст. 9 ФЗ-152, который фиксирует, какие данные, с какой целью и какими способами клиника обрабатывает. С 01.09.2025 согласие на ПДн не может быть включено в ИДС или договор — только отдельным документом (ФЗ-156). Оба документа хранятся в медицинской карте, но имеют разные правовые последствия при нарушении.

2. Можно ли публиковать фото «до — после» с согласия пациента?

Да, но требуется два самостоятельных согласия: на обработку ПДн (ст. 9 ФЗ-152) и на распространение ПДн в публичных источниках (ст. 10.1 ФЗ-152). Согласие на распространение оформляется только в виде отдельного документа — дефолт молчания по ст. 10.1 означает запрет распространения. Публикация без согласия на распространение или на основании общего согласия на ПДн — нарушение ч. 2 ст. 13.11 КоАП со штрафом от 300 000 до 700 000 ₽ для юрлица.

3. Кто отвечает за утечку через МИС — клиника или вендор?

Клиника как оператор ПДн несёт ответственность перед Роскомнадзором и субъектами вне зависимости от того, произошла утечка по вине вендора или в результате взлома. Такая позиция отражает принцип ответственности оператора за действия лица, осуществляющего обработку по поручению (п. 3 ст. 6 ФЗ-152). Клиника вправе предъявить регрессный иск к вендору МИС, если в договоре предусмотрены соответствующие условия. Поэтому договор-поручение с вендором должен содержать конкретные обязательства по защите ПДн и ответственность за инциденты.

4. Какие данные нужно передавать в ЕГИСЗ?

Состав данных, передаваемых в Единую государственную информационную систему в сфере здравоохранения, определяется регламентом ЕГИСЗ и приказами Минздрава. По общему правилу ст. 5 ФЗ-152, объём передаваемых ПДн должен соответствовать минимально необходимому для достижения конкретной цели — интеграция с ЕГИСЗ не может служить основанием для передачи данных сверх установленного регламентом перечня. Перед подключением МИС к ЕГИСЗ проверьте соответствие передаваемого состава данных декларируемым целям в уведомлении РКН.

5. Что грозит клинике за утечку данных пациентов?

Размер административного штрафа зависит от числа пострадавших субъектов: от 1 000 до 10 000 пациентов — 3–5 млн ₽ (ч. 12 ст. 13.11 КоАП), от 10 000 до 100 000 — 5–10 млн ₽ (ч. 13), свыше 100 000 — 10–15 млн ₽ (ч. 14). При повторной утечке — оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. Дополнительно — уголовная ответственность по ст. 272.1 УК РФ для должностных лиц, допустивших незаконную передачу данных пациентов.

6. Нужно ли переоформлять согласия пациентов после 01.09.2025?

Согласия, полученные до 01.09.2025, сохраняют силу — ФЗ-156 обратной силы не имеет. Переоформление требуется для новых пациентов и для тех случаев, когда клиника обновляет форму согласия или меняет цели обработки. Если прежние согласия были включены в текст договора или ИДС без выделения в отдельный документ — при любом обновлении этих форм согласие на ПДн должно быть вынесено в отдельный документ в соответствии с новыми требованиями.

Итог

Проверка РКН в клинике проверяет одновременно восемь направлений: реестр операторов, ОРД, согласия пациентов, МИС, ЕГИСЗ, меры технической защиты, реагирование на инциденты и исполнение предписаний. Ошибка в любом из них влечёт самостоятельный протокол по ст. 13.11 КоАП — несколько протоколов по итогам одной проверки суммируются. Специфика медицины — спецкатегории по ст. 10 ФЗ-152 и врачебная тайна по ст. 13 323-ФЗ — делает штрафы кратно выше, чем в отраслях без специальных категорий данных.

DATUM специализируется на сопровождении проверок РКН в медицинских организациях: от первичной оценки готовности до представительства на выездной проверке и обжалования предписания в арбитражном суде.

Смотрите также

ОН
Ольга Нечаева
Аналитик · Медицина и образование
Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, обработка ПДн несовершеннолетних.

22 января 2029 года