Перейти к содержанию
инструкция 14 января 2029 По состоянию на 14 января 2029

ДНК-тест и ПДн

Результаты ДНК-теста — биометрические и одновременно специальные категории персональных данных по ст. 10 и ст. 11 ФЗ-152. Медицинская организация, проводящая генетическое исследование, обязана соблюдать двойной режим защиты.
За утечку данных от 1 000 до 10 000 пациентов клинике грозит штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП. Повторная утечка — оборотный штраф до 500 млн ₽ по ч. 15.
Если вы главный врач или руководитель лаборатории — у вас 6 шагов, чтобы привести обработку генетических ПДн в соответствие с законом до проверки Роскомнадзора. → Читайте инструкцию.

С 2024 года РКН проводит внеплановые проверки медицинских организаций, использующих генетические тесты. Данные ДНК содержат сведения о здоровье, национальной принадлежности и наследственности — это спецкатегория по ст. 10 ФЗ-152. Обработка без надлежащего согласия, хранение в МИС без уровня защищённости УЗ-3 и передача в зарубежные лаборатории без уведомления РКН — три типовых нарушения, которые обнаруживают инспекторы. Инструкция описывает шесть шагов для руководителя клиники или лаборатории, выполняющей или назначающей ДНК-тесты.

Шаг 1. Определите правовой режим генетических данных

Результаты ДНК-теста одновременно подпадают под два режима. Первый — спецкатегория по ст. 10 ФЗ-152: сведения о здоровье и национальной принадлежности. Второй — биометрические ПДн по ст. 11 ФЗ-152: данные, позволяющие установить личность биологическим методом. Из этого следует, что правовых оснований для обработки нужно не одно, а два.

«Ст. 10 ФЗ-152 запрещает обработку сведений о здоровье, национальной принадлежности и ряде других специальных категорий без письменного согласия субъекта — если не применяется одно из исчерпывающих исключений п. 2 той же статьи. Ст. 11 ФЗ-152 устанавливает, что биометрические ПДн обрабатываются только с письменного согласия, за исключением случаев, прямо перечисленных в ч. 2.»

Медицинское основание по п. 4 ч. 2 ст. 10 ФЗ-152 (обработка в целях охраны здоровья) освобождает от необходимости согласия на спецкатегорию, но не снимает требование письменного согласия на обработку биометрии по ст. 11. На практике это означает: информированное добровольное согласие пациента по ст. 20 Федерального закона № 323-ФЗ не заменяет согласие на обработку ПДн. Нужны оба документа — или одно согласие с двумя блоками при условии, что после 01.09.2025 оно оформлено отдельным документом по ФЗ-156.

Проверьте: если ДНК-тест назначается не для лечения конкретного пациента, а в исследовательских или коммерческих целях, медицинское основание из ст. 10 не работает. В этом случае письменное согласие обязательно по обоим основаниям без исключений.

Не уверены, какое основание применимо к вашим ДНК-тестам?

Главному врачу важно разграничить диагностические, исследовательские и коммерческие тесты до проверки РКН. Ошибка в правовом основании — это протокол по ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽) уже при первом визите инспектора. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

+7 (383) 310-38-76 · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 2. Оформите согласие пациента по требованиям ФЗ-152 и 323-ФЗ

С 01.09.2025 согласие на обработку ПДн оформляется отдельным документом и не может быть частью договора, карты пациента или ИДС по ФЗ-156. Это правило распространяется в том числе на клиники.

Чем отличается ИДС от согласия на ПДн: информированное добровольное согласие по ст. 20 ФЗ № 323-ФЗ — это согласие на медицинское вмешательство. Оно регулирует отношения «врач — пациент». Согласие на обработку ПДн по ст. 9 ФЗ-152 — это согласие на действия с персональными данными. Оба документа обязательны и не заменяют друг друга.

«Ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156 от 24.06.2025) устанавливает обязательные реквизиты согласия: ФИО и контактные данные субъекта, наименование и адрес оператора, цель обработки, перечень ПДн, перечень действий с ПДн, срок согласия, способ его отзыва. Согласие — отдельный документ.»

Для ДНК-тестов в согласии нужно прямо указать: вид данных (генетические данные, результаты секвенирования), цель (диагностика заболевания X / скрининг / исследование), действия (сбор, запись, систематизация, хранение, передача в лабораторию — с указанием конкретного наименования лаборатории), срок хранения результатов. Если лаборатория находится за рубежом — в согласии отдельно фиксируется трансграничная передача с указанием страны.

Как правильно передать данные в партнёрскую лабораторию?

Передача генетических данных в стороннюю лабораторию — это поручение обработки по п. 3 ст. 6 ФЗ-152. Клиника остаётся оператором и несёт ответственность за действия лаборатории перед пациентом и РКН.

Если лаборатория российская, достаточно договора на обработку ПДн по поручению с обязательными условиями: перечень допустимых действий, запрет субпоручения без согласования, обязанность обеспечить конфиденциальность, порядок уничтожения данных по завершении. Если лаборатория зарубежная — дополнительно требуется уведомление РКН о трансграничной передаче по ст. 12 ФЗ-152. Страны с адекватным уровнем защиты (Совет Европы, конвенция 108) — уведомление подаётся в информационном порядке. Остальные страны — уведомление с обоснованием мер и ожидание отсутствия запрета от РКН в течение 10 рабочих дней.

«Ст. 12 ФЗ-152 обязывает оператора уведомить РКН до начала трансграничной передачи ПДн в страну, не обеспечивающую адекватную защиту. Перечень стран с адекватной защитой публикует РКН. Штраф за нарушение локализации — ч. 8 ст. 13.11 КоАП, 1–6 млн ₽.»

Практика: если клиника передаёт биоматериал (слюну, кровь), а не данные — формально ФЗ-152 не применяется до момента, когда лаборатория создаёт файл с результатами. Но как только результат ДНК-теста привязан к идентификатору пациента (ФИО, номер карты, дата рождения) — это ПДн. Обезличить в момент передачи биоматериала и сопоставить с пациентом только при получении результата — законный способ снизить риски. При этом обезличивание должно соответствовать Приказу РКН о методах обезличивания (5 методов, введены в 2025 году).

Что подготовить главному врачу до проверки РКН

  • Отдельные согласия на обработку ПДн (не в составе ИДС или договора) с перечнем генетических данных, целями, лабораторией-получателем и сроком хранения.
  • Договор на поручение обработки с каждой лабораторией — российской и зарубежной — с закрытым перечнем допустимых действий.
  • Уведомление РКН о трансграничной передаче (при наличии зарубежных лабораторий) и подтверждение его подачи через pd.rkn.gov.ru.
  • Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 с актуальными данными сотрудника.
  • Сведения об уровне защищённости ИСПДн (УЗ-3 при обработке спецкатегорий менее 100 000 субъектов при угрозе 3-го типа) и акты об их выполнении.

Шаг 4. Настройте МИС и ЕГИСЗ под хранение генетических данных

Медицинская информационная система (МИС), в которой хранятся результаты ДНК-тестов, является информационной системой персональных данных (ИСПДн). Уровень защищённости определяется по ПП РФ № 1119. Для спецкатегорий (сведения о здоровье) при количестве субъектов менее 100 000 и угрозах 3-го типа — УЗ-3. При угрозах 2-го типа — УЗ-2.

«ПП РФ № 1119 от 01.11.2012 устанавливает 4 уровня защищённости в зависимости от категории ПДн, типа угроз и числа субъектов. Для специальных категорий — не ниже УЗ-3. Меры защиты по УЗ-3 определяет Приказ ФСТЭК № 21 от 18.02.2013.»

Передача данных в ЕГИСЗ: по действующим требованиям медицинская организация обязана передавать в ЕГИСЗ сведения об оказанной медицинской помощи. Генетические исследования, назначенные в рамках лечения, входят в эти сведения. Объём передаваемых данных — минимально необходимый для идентификации случая. Полные данные секвенирования в ЕГИСЗ не передаются; туда уходит код МКБ и факт проведения исследования.

Типовая ошибка: МИС настроена на экспорт всего профиля пациента, включая прикреплённые файлы с результатами ДНК-теста. Это нарушает принцип минимизации по ст. 5 ФЗ-152 — объём данных должен соответствовать цели обработки. Результат — протокол РКН по ч. 1 ст. 13.11 при плановой проверке.

Шаг 5. Установите сроки хранения и порядок уничтожения

ФЗ-152 требует уничтожать ПДн после достижения цели обработки. Для медицинских карт действует отраслевой срок — 25 лет по Приказу Минздрава. Генетические данные входят в состав медицинской документации и хранятся тот же срок.

Однако результаты коммерческих ДНК-тестов (не связанных с лечением конкретного пациента) не являются медицинской документацией. Для них срок хранения определяется целью, указанной в согласии. Если цель достигнута (пациент получил результат) и иные основания для хранения не установлены — данные подлежат уничтожению или обезличиванию в срок, указанный в согласии.

«Ст. 21 ФЗ-152 обязывает оператора уничтожить или обезличить ПДн после достижения целей обработки. Срок — 30 дней, если иное не установлено законодательством. За неуничтожение по требованию субъекта — ч. 5 ст. 13.11 КоАП, 50–90 тыс. ₽.»

Рекомендуемый порядок: в согласии пациента на коммерческий ДНК-тест указывается срок хранения — например, 1 год с даты выдачи результата. По истечении срока МИС автоматически переводит запись в статус «подлежит уничтожению». Ответственный за обработку ПДн ежеквартально подписывает акт об уничтожении с перечнем субъектов. Акт хранится 3 года.

Если главный врач получил предписание РКН или уведомление о внеплановой проверке — у вас от 5 до 20 рабочих дней на устранение нарушений. Юристы DATUM подготовят клинику к проверке, сформируют недостающие документы и представят интересы перед инспектором.

Подготовиться к проверке РКН

Шаг 6. Настройте реагирование на утечку генетических данных

Утечка генетических данных — это одновременно утечка спецкатегорий и биометрии. Последствия регулируются жёстче, чем для общих ПДн. При утечке от 1 000 субъектов — штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП. При повторной утечке — оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, не менее 20 млн ₽, не более 500 млн ₽.

Обязательные действия в первые 24 часа с момента обнаружения: зафиксировать факт инцидента (скриншоты, логи МИС, время обнаружения), ограничить доступ к скомпрометированным данным, направить первичное уведомление в РКН через pd.rkn.gov.ru по форме Приказа РКН № 187 от 14.11.2022. В уведомлении — дата и время, категории ПДн, предполагаемое число субъектов, предполагаемая причина.

«Ч. 3.1 ст. 21 ФЗ-152 и Приказ РКН № 187 от 14.11.2022: первичное уведомление об инциденте — в течение 24 часов с момента обнаружения. Результаты внутреннего расследования — через 72 часа. Срок не восстанавливается. Неуведомление — штраф 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП.»

Через 72 часа направляется отчёт о результатах внутреннего расследования: установленная причина, принятые меры, сведения о лицах, чьи данные скомпрометированы (с обезличиванием в документе), план корректирующих действий. Регламент реагирования должен быть закреплён в ОРД до инцидента — иначе 72 часа уходят на его согласование, а не на фактическую работу.

Типовые ситуации для главного врача

Ситуация 1. Коммерческий ДНК-тест без медицинской цели. Частная клиника предлагает ДНК-тесты на «предрасположенность к заболеваниям» без направления врача. Клиника собирает согласие в форме договора-оферты. После 01.09.2025 такое согласие не соответствует ст. 9 ФЗ-152 (ФЗ-156): медицинское основание по ст. 10 не применяется (нет цели лечения), биометрическое согласие по ст. 11 не оформлено. Вероятный исход при проверке: протокол по ч. 2 ст. 13.11 (300–700 тыс. ₽) за обработку биометрии без надлежащего согласия. Стратегия: переоформить согласие отдельным документом с двумя блоками (спецкатегория + биометрия), добавить в согласие точное наименование лаборатории-получателя.

Ситуация 2. Передача образцов в зарубежную лабораторию без уведомления РКН. Региональная клиника отправляет биоматериал в лабораторию в Германии. Уведомление о трансграничной передаче в РКН не подавалось — юристы клиники считали, что передаётся биоматериал, а не ПДн. Германия входит в перечень стран с адекватной защитой (Конвенция Совета Европы № 108). Тем не менее обязанность уведомления РКН по ст. 12 ФЗ-152 сохраняется даже для адекватных стран. Вероятный исход: предписание об устранении нарушения; при неустранении — штраф по ч. 8 ст. 13.11 (1–6 млн ₽) за нарушение порядка трансграничной передачи. Стратегия: подать уведомление через pd.rkn.gov.ru до следующей отправки биоматериала; заключить соглашение об обработке с немецкой лабораторией.

Ситуация 3. Утечка через МИС при кибератаке. Медицинская лаборатория (Приволжский ФО, осень 2025) подверглась ransomware-атаке. Зашифрованы базы данных МИС, включая результаты генетических исследований порядка 4 000 пациентов. Главный врач не знал о 24-часовом требовании и уведомил РКН на третьи сутки. Итог: штраф по ч. 11 ст. 13.11 (1–3 млн ₽) за нарушение срока уведомления — дополнительно к штрафу по ч. 12 за саму утечку. Стратегия: утвердить регламент реагирования на инциденты с ПДн, назначить ответственного с правом подачи уведомления в РКН в нерабочее время, провести учения по плану реагирования раз в год.

Услуги DATUM по теме

Частые вопросы

1. Чем отличается ИДС от согласия на ПДн?

Информированное добровольное согласие по ст. 20 ФЗ № 323-ФЗ — это согласие пациента на медицинское вмешательство. Оно подтверждает, что пациент понял цель, риски и последствия процедуры. Согласие на обработку ПДн по ст. 9 ФЗ-152 — это отдельный документ, регулирующий действия с персональными данными: сбор, хранение, передачу. С 01.09.2025 согласие на ПДн не может быть частью ИДС, договора или медицинской карты. Оба документа обязательны независимо друг от друга.

2. Можно ли публиковать фото до-после с согласия пациента?

Публикация изображения пациента — это распространение ПДн по ст. 10.1 ФЗ-152 и одновременно обработка биометрии по ст. 11 (фотографическое изображение). Требуется отдельное письменное согласие на распространение — оно не объединяется с согласием на лечение или на обработку ПДн для внутренних целей. Дефолт по ст. 10.1: молчание пациента означает запрет распространения. Без отдельного согласия публикация фото даже с «общего» согласия — нарушение ч. 2 ст. 13.11 КоАП (300–700 тыс. ₽).

3. Кто отвечает за утечку через МИС?

Ответственность несёт оператор ПДн — медицинская организация, которая заключила договор с пациентом. Если МИС предоставляется по договору SaaS или размещена у IT-подрядчика, клиника остаётся оператором. Подрядчик — обработчик по поручению по ст. 6 ФЗ-152. По сложившейся судебной практике ВС РФ, оператор отвечает за утечку через подрядчика перед субъектом и РКН в полном объёме. Регресс к подрядчику — отдельный иск.

4. Какие данные передавать в ЕГИСЗ?

В ЕГИСЗ передаётся информация об оказанной медицинской помощи: диагноз по МКБ, факт проведения исследования, дата. Полные результаты ДНК-секвенирования, файлы с расшифровкой генома, вероятностные оценки предрасположенностей — в ЕГИСЗ не передаются. Принцип минимизации по ст. 5 ФЗ-152 требует ограничить объём до минимально необходимого. Передача избыточных данных — нарушение ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽).

5. Что грозит клинике за утечку генетических данных?

Штраф зависит от числа пострадавших субъектов: от 1 000 до 10 000 — ч. 12 ст. 13.11 КоАП, 3–5 млн ₽; от 10 000 до 100 000 — ч. 13, 5–10 млн ₽; свыше 100 000 — ч. 14, 10–15 млн ₽. Если данные признаются биометрическими (генетические данные для идентификации личности), применяется ч. 17 ст. 13.11 — 15–20 млн ₽. При повторной утечке — оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, не менее 20 млн ₽, не более 500 млн ₽. Дополнительно возможна уголовная ответственность по ст. 272.1 УК (действует с 11.12.2024) — до 10 лет по ч. 5 при тяжких последствиях.

6. Нужно ли заново получать согласие у пациентов, давших его до 01.09.2025?

По ФЗ-156 от 24.06.2025 новые требования к форме согласия (отдельный документ) не имеют обратной силы. Согласия, полученные до 01.09.2025 в составе договора или карты пациента, остаются действительными на период их срока. Переоформлять их не требуется. Однако при продлении срока согласия, изменении цели или добавлении новых категорий ПДн — новое согласие оформляется уже по актуальным требованиям.

Итог

ДНК-тест создаёт двойной правовой режим: спецкатегория по ст. 10 ФЗ-152 и биометрия по ст. 11. Клиника обязана оформить согласие отдельным документом, заключить договор поручения с лабораторией, уведомить РКН о трансграничной передаче, обеспечить УЗ-3 в МИС и установить регламент реагирования на утечки с 24-часовым таймером.

DATUM сопровождает медицинские организации в части ПДн: аудит ИСПДн и МИС, подготовка согласий и ОРД под требования 323-ФЗ и 152-ФЗ, защита при проверках РКН и оспаривании протоколов по ст. 13.11 КоАП.

Смотрите также

ОН
Ольга Нечаева
Аналитик · Медицина и образование
Аналитик DATUM по медицине и образованию. ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, ПДн несовершеннолетних.

14 января 2029 года