Перейти к содержанию
инструкция 14 января 2029 По состоянию на 14 января 2029

Договор поручения с курьерской службой

Передача медицинских документов через курьерскую службу — это трансфер спецкатегорий персональных данных пациентов по ст. 10 ФЗ-152. Без договора поручения обработки клиника несёт полную ответственность за каждый инцидент на маршруте курьера.
С 30.05.2025 штраф за утечку от 1 000 до 10 000 субъектов составляет 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП. При повторном нарушении — оборотный штраф до 500 млн ₽ по ч. 15.
Если вы главный врач и курьерская служба возит биоматериалы, выписки или результаты анализов — у вас 6 шагов до рабочего договора поручения. Читайте инструкцию.

Медицинская организация, которая доставляет биоматериалы, результаты исследований или выписки через стороннюю курьерскую службу, автоматически передаёт обработку персональных данных пациентов третьему лицу. По ст. 6 ФЗ-152 такая передача требует отдельного правового основания — договора поручения обработки. Без него курьерская служба является нарушителем по умолчанию, а клиника — соучастником. Ниже — пошаговый порядок оформления договора с учётом требований ФЗ-152, ст. 13 Федерального закона № 323-ФЗ и позиции Роскомнадзора.

Шаг 1. Определите, какие данные пациентов передаёт курьер

Прежде чем составлять договор, установите точный состав персональных данных, которые оказываются у курьера. Это не всегда очевидно: помимо ФИО получателя и адреса доставки, курьер может работать с маркировкой образцов биоматериала, направлениями, содержащими диагноз, или упаковкой с логотипом медучреждения, из которой следует факт лечения. Все эти сведения — спецкатегории по ст. 10 ФЗ-152: они раскрывают состояние здоровья субъекта.

«Ст. 10 ФЗ-152 — специальные категории ПДн: данные о состоянии здоровья обрабатываются по общему правилу только при наличии письменного согласия субъекта либо в иных случаях, прямо предусмотренных законом.»

Зафиксируйте перечень данных в акте инвентаризации до подписания договора. Чем точнее перечень — тем проще ограничить объём обработки, который поручается курьерской службе, и тем меньше риск нарушения принципа минимизации по ст. 5 ФЗ-152.

Шаг 2. Проверьте правовое основание передачи данных пациента

Курьерская служба получит доступ к спецкатегориям ПДн. По ст. 6 ФЗ-152 обработка по поручению допускается, если это предусмотрено договором с оператором. Однако для спецкатегорий одного договора поручения недостаточно: нужно отдельное согласие субъекта (пациента) на передачу данных третьему лицу — курьерской службе.

«Ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156): согласие на обработку ПДн оформляется отдельным документом. Его нельзя объединять с информированным добровольным согласием на медицинское вмешательство, договором об оказании услуг или политикой конфиденциальности.»

Если клиника применяет согласие пациента на обработку ПДн, утверждённое до 01.09.2025, — проверьте его текст. Старая форма, включённая в договор на медуслуги или в ИДС, юридически уязвима. С момента вступления в силу ФЗ-156 согласие должно быть отдельным документом с перечислением конкретных действий и сведением о передаче данных курьерской службе как обработчику.

Согласие пациента на передачу данных курьеру оформлено до 01.09.2025?

Если главный врач использует форму согласия, встроенную в ИДС или договор на медуслуги, — каждая доставка биоматериала создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП (до 700 тыс. ₽). Юристы DATUM проведут аудит согласий пациентов и соберут пакет ОРД по новым требованиям ФЗ-156.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Шаг 3. Составьте договор поручения обработки персональных данных

Договор поручения — это не стандартный договор на курьерские услуги. Он регулирует именно обработку ПДн, которую оператор (клиника) поручает третьему лицу (курьерской службе). Состав обязательных условий определён ст. 6 и ст. 18.1 ФЗ-152.

Договор должен содержать:

  • исчерпывающий перечень ПДн, передаваемых для обработки;
  • конкретный перечень действий с ПДн (получение, хранение в пути, передача адресату, уничтожение после доставки);
  • цель обработки — исключительно доставка, без права использования данных в иных целях;
  • обязанность соблюдать конфиденциальность и меры защиты, соразмерные УЗ клиники;
  • запрет на передачу данных субподрядчикам без письменного согласия клиники;
  • порядок уведомления клиники об инцидентах в течение 24 часов;
  • условия уничтожения или возврата ПДн по завершении договора.
«П. 3 ст. 6 ФЗ-152 — обработчик обязан соблюдать принципы и правила обработки, установленные операторов; оператор несёт ответственность перед субъектом, даже если обработка поручена третьему лицу.»

Как связан договор поручения с требованиями МИС и ЕГИСЗ?

Медицинская информационная система (МИС) клиники и её интеграция с ЕГИСЗ создают дополнительный контекст. Если курьерская служба получает данные непосредственно из МИС (например, через печатную форму, QR-код или защищённую выгрузку), договор поручения должен описывать также технический способ доступа и меры защиты при таком получении.

ЕГИСЗ требует от клиники обеспечить защиту данных при их передаче внешним участникам. Договор с курьером, получающим данные из МИС, фактически становится частью периметра защиты, описанного в соглашении об информационном взаимодействии с ЕГИСЗ. Несоответствие этого периметра заявленным мерам защиты — основание для предписания Роскомнадзора.

Что подготовить главному врачу

  • Акт инвентаризации ПДн, передаваемых через курьерскую службу (категория, объём, адресат).
  • Отдельное согласие пациента на передачу данных курьерской службе как обработчику (по ст. 9 ФЗ-152 в ред. ФЗ-156 с 01.09.2025).
  • Договор поручения обработки ПДн с курьерской службой — с перечнем действий, мерами защиты и порядком уведомления об инцидентах.
  • Инструкция для персонала о правилах передачи документов и биоматериалов курьеру.
  • Запись о курьерской службе в уведомлении РКН (при необходимости обновление сведений по ст. 22 ФЗ-152).

Шаг 4. Установите требования к защите данных в пути

Спецкатегории ПДн при доставке должны быть защищены организационно и физически. Требования к уровню защищённости ИСПДн клиники установлены ПП РФ № 1119: для данных о здоровье при числе субъектов до 100 000 — как правило, УЗ-3. Это означает обязанность ограничить доступ к данным, вести учёт носителей и обеспечить защиту от несанкционированного доступа.

В договоре с курьером это транслируется в конкретные требования: опломбированные или запечатанные конверты с уникальной маркировкой, отсутствие у курьера права вскрывать упаковку, фиксация факта передачи с подписью в маршрутном листе, уничтожение документов сопровождения после доставки.

«Ст. 19 ФЗ-152 — оператор обязан применять организационные и технические меры, необходимые для защиты ПДн от несанкционированного доступа, уничтожения, изменения, блокирования, распространения и иных неправомерных действий.»

Шаг 5. Пропишите порядок реагирования на утечку через курьера

Если курьер потерял конверт с биоматериалом и направлением, открыл упаковку или передал данные не тому адресату — это инцидент с ПДн. По ч. 3.1 ст. 21 ФЗ-152 клиника обязана уведомить Роскомнадзор в течение 24 часов с момента обнаружения, а через 72 часа — представить отчёт о результатах внутреннего расследования.

Договор с курьерской службой должен обязывать её немедленно (но не позднее чем за 20 часов до истечения 24-часового срока) уведомить клинику об инциденте. Это даёт клинике достаточно времени для составления первичного уведомления в РКН по Приказу РКН № 187.

«Ч. 11 ст. 13.11 КоАП — неуведомление или несвоевременное уведомление РКН об инциденте с ПДн: штраф для юридического лица 1–3 млн ₽ (в ред. с 30.05.2025).»

Если курьерская служба потеряла пакет с биоматериалами или направлениями — у главного врача 24 часа на первичное уведомление РКН. Срок не восстанавливается. Юристы DATUM возьмут реагирование немедленно: уведомление, расследование, отчёт за 72 часа.

Реагировать на утечку

Шаг 6. Обновите уведомление в реестре операторов РКН

При появлении нового обработчика (курьерской службы) клиника обязана проверить, отражены ли изменения в её уведомлении в реестре Роскомнадзора. Форма уведомления об изменении сведений подаётся через портал pd.rkn.gov.ru по Приказу РКН № 180 от 28.10.2022. Если в уведомлении указаны категории ПДн и цели, но не отражён факт передачи обработки третьим лицам — это расхождение, которое РКН фиксирует при плановой проверке.

Неуведомление или несвоевременное уведомление РКН о намерении осуществлять обработку влечёт штраф 100–300 тыс. ₽ по ч. 10 ст. 13.11 КоАП. Актуализация уведомления — техническая процедура, но её отсутствие становится самостоятельным нарушением при любой проверке.

Как применяется договор поручения на практике

Кейс 1. Частная лаборатория (Уральский ФО, лето 2025) организовала доставку биоматериалов через курьерскую службу без договора поручения. При плановой проверке РКН установил передачу спецкатегорий ПДн третьему лицу без правового основания. Лаборатория получила предписание и штраф в сотни тысяч рублей по ч. 2 ст. 13.11 КоАП. Клиника обратилась за защитой при рассмотрении дела у мирового судьи и в итоге добилась снижения санкции, доказав принятие мер после обнаружения нарушения.

Кейс 2. Медицинский центр (Центральный ФО, начало 2026) получил жалобу пациента: его направление к специалисту с указанием диагноза было обнаружено в общем доступе после сбоя в логистической системе курьерской службы. Центр уведомил РКН о инциденте в течение 22 часов, через 70 часов представил отчёт с описанием мер. Поскольку договор поручения содержал обязанность курьера сообщать об инцидентах за 20 часов, клиника смогла уложиться в сроки. РКН вынес предупреждение без штрафа, учтя наличие договора и оперативность реагирования.

Услуги DATUM по теме

Частые вопросы

1. Чем отличается ИДС от согласия на обработку персональных данных?

Информированное добровольное согласие (ИДС) по ст. 20 Федерального закона № 323-ФЗ — это документ о медицинском вмешательстве: пациент соглашается на конкретную процедуру, лечение или диагностику. Согласие на обработку ПДн по ст. 9 ФЗ-152 — отдельный документ, регулирующий сбор, хранение, передачу персональных данных. С 01.09.2025 (ФЗ-156) они не могут быть объединены в одном документе. Клиника обязана иметь оба: ИДС для медицинских целей и отдельное согласие на ПДн для каждой цели обработки, включая передачу данных курьерской службе.

2. Можно ли публиковать фотографии пациентов «до и после» с их согласия?

Да, но согласие должно быть оформлено как отдельный документ на распространение ПДн по ст. 10.1 ФЗ-152. По умолчанию молчание или подпись в общей форме не означает разрешения на публикацию. Дефолт — обработка только внутри клиники. Если фотографии содержат косвенные медицинские данные (диагноз читается по ситуации «до»), это спецкатегория по ст. 10 ФЗ-152, и требования к согласию ужесточаются дополнительно.

3. Кто отвечает за утечку, произошедшую по вине курьерской службы?

Перед субъектом (пациентом) и Роскомнадзором ответственность несёт оператор — клиника. Это прямо следует из п. 3 ст. 6 ФЗ-152: поручение обработки не освобождает оператора от ответственности. Договор поручения позволяет клинике предъявить регрессное требование к курьерской службе за убытки, вызванные инцидентом, но административный штраф по ст. 13.11 КоАП клиника платит сама. Именно поэтому договор должен обязывать курьера уведомлять клинику об инцидентах с опережением — чтобы оператор успел в срок 24 часа.

4. Какие данные клиника обязана передавать в ЕГИСЗ и в каком объёме?

Состав сведений определён Порядком организации системы документооборота в сфере охраны здоровья. В ЕГИСЗ передаются данные об оказанных медицинских услугах, случаях лечения, результатах диспансеризации и другие сведения, предусмотренные законодательством о здравоохранении. Передача осуществляется через защищённые каналы МИС; доступ к данным строго разграничен. Персональные данные в ЕГИСЗ обрабатываются на основании ст. 6 ФЗ-152 (исполнение обязанностей оператора, установленных законом) — отдельное согласие пациента для этой цели не требуется.

5. Что грозит клинике за утечку медицинских данных через курьера?

Утечка данных пациентов — это одновременно нарушение ФЗ-152 и врачебной тайны по ст. 13 Федерального закона № 323-ФЗ. По ст. 13.11 КоАП штраф зависит от числа субъектов: от 1 000 до 10 000 — 3–5 млн ₽ (ч. 12), от 10 000 до 100 000 — 5–10 млн ₽ (ч. 13), свыше 100 000 — 10–15 млн ₽ (ч. 14). При повторном нарушении применяется оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. Кроме того, возможна уголовная ответственность по ст. 272.1 УК РФ (введена с 11.12.2024) — до 10 лет лишения свободы при тяжких последствиях.

6. Нужно ли переоформлять договор с курьером, если он уже существует?

Если действующий договор на курьерские услуги не содержит условий об обработке ПДн по перечню, установленному ст. 6 ФЗ-152, — он не является договором поручения. Его нужно дополнить отдельным соглашением об обработке ПДн или полностью переоформить. Срок не установлен законом, но пока надлежащего договора нет, каждая доставка медицинских документов — это нарушение правовых оснований обработки по ч. 1 ст. 13.11 КоАП.

Итог

Договор поручения с курьерской службой — обязательный элемент системы защиты ПДн в медицинской организации, а не опциональное дополнение к сервисному контракту. Он фиксирует правовое основание передачи спецкатегорий данных, распределяет ответственность за инциденты и обеспечивает соблюдение 24-часового срока уведомления РКН. Шесть шагов из этой инструкции закрывают наиболее типичные пробелы в документации клиник, работающих с курьерскими службами.

DATUM сопровождает медицинские организации в вопросах соответствия ФЗ-152: от составления договоров поручения и обновления согласий пациентов до представления интересов клиники при проверках Роскомнадзора.

Смотрите также

ОН
Ольга Нечаева
Аналитик · Медицина и образование
Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, обработка ПДн несовершеннолетних.