Перейти к содержанию
инструкция 22 января 2029 По состоянию на 22 января 2029

Договор поручения с лабораторией

Договор поручения с лабораторией — это соглашение, по которому медицинская организация передаёт обработку специальных категорий персональных данных пациентов третьему лицу по п. 3 ст. 6 ФЗ-152.
Без корректного договора поручения клиника несёт ответственность за утечку лабораторных данных как оператор: штраф по ч. 12–14 ст. 13.11 КоАП — от 3 до 15 млн ₽, при повторности — оборотный до 500 млн ₽.
Если вы главный врач и клиника передаёт биоматериалы или результаты анализов во внешнюю лабораторию — проверьте договор по этой инструкции прямо сейчас. → Аудит соответствия 152-ФЗ

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: штрафы за утечку медицинских данных выросли многократно. Клиника, передающая анализы во внешнюю лабораторию без правильно оформленного договора поручения, фактически обрабатывает специальную категорию ПДн без законного основания по ст. 10 ФЗ-152. Ниже — пошаговая инструкция для главного врача: от анализа правовых оснований до контроля исполнения договора.

Шаг 1. Определите правовой статус лаборатории как обработчика ПДн

Прежде чем составлять договор, установите правовой режим передачи данных. Внешняя лаборатория может занимать одну из двух позиций: самостоятельный оператор (если устанавливает цели обработки сама) или лицо, осуществляющее обработку по поручению оператора (если действует строго в рамках ваших инструкций). Во втором случае применяется п. 3 ст. 6 ФЗ-152 и требуется полноценный договор поручения.

Критерий разграничения прост: если лаборатория определяет, что делать с данными пациента после получения биоматериала — она оператор. Если действует только по вашему заданию (провести конкретный анализ, передать результат обратно, уничтожить биоматериал) — обработчик по поручению. Большинство аутсорсинговых лабораторий попадают во вторую категорию.

«Ст. 6 п. 3 ФЗ-152: обработка ПДн по поручению оператора допускается на основании договора. Поручение должно определять перечень действий с ПДн, цели обработки, обязанности соблюдать конфиденциальность и меры защиты по ст. 19.»

Если лаборатория ведёт собственный реестр пациентов, формирует базы для своих целей или передаёт данные третьим лицам без вашего согласия — она самостоятельный оператор. В этом случае пациент должен дать отдельное согласие непосредственно лаборатории.

Шаг 2. Проверьте согласие пациента на передачу специальных категорий ПДн

Медицинские данные (диагнозы, результаты анализов, сведения о состоянии здоровья) относятся к специальным категориям ПДн по ст. 10 ФЗ-152. Их обработка по общему правилу запрещена. Исключение — письменное согласие субъекта по п. 4 ч. 2 ст. 10 либо исполнение договора об оказании медицинской помощи.

Информированное добровольное согласие (ИДС) по ст. 20 Федерального закона № 323-ФЗ «Об основах охраны здоровья граждан» не заменяет согласие на обработку ПДн. Это два самостоятельных документа с разными реквизитами и целями. ИДС даёт право на медицинское вмешательство; согласие по ст. 9 ФЗ-152 — право на обработку данных о состоянии здоровья, включая передачу лаборатории.

«Ст. 13 ФЗ-323: сведения о факте обращения за медицинской помощью, состоянии здоровья, диагнозе составляют врачебную тайну. Разглашение допускается только с письменного согласия гражданина или в случаях, прямо указанных в законе.»

С 01.09.2025 согласие на обработку ПДн по ФЗ-156 от 24.06.2025 оформляется отдельным документом — не включается в ИДС, не объединяется с договором возмездного оказания услуг. Если у вас в клинике согласие вшито в общую форму договора с пациентом — это нарушение, которое фиксирует РКН при проверке.

Согласие на передачу ПДн лаборатории должно содержать: наименование лаборатории как получателя, конкретный перечень передаваемых данных (ФИО, дата рождения, результаты биоматериала, диагностические коды), цель передачи, срок обработки, способ отзыва согласия.

Согласия пациентов оформлены до 01.09.2025 или вшиты в договор?

Если в вашей клинике согласие на обработку ПДн объединено с ИДС или договором услуг — это нарушение ФЗ-156, которое фиксирует РКН при первой проверке. Штраф по ч. 2 ст. 13.11 КоАП — до 700 000 ₽ за каждый выявленный факт. Времени мало: каждая новая форма с пациентом создаёт дополнительный риск.

Юристы DATUM проведут аудит согласий и договорной базы клиники, выдадут отчёт с перечнем нарушений и готовые формы под подпись.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Включите обязательные условия в договор поручения

Договор поручения обработки ПДн — не стандартный гражданско-правовой договор возмездного оказания услуг. Это специальный документ, структура которого определяется п. 3 ст. 6 ФЗ-152. Отсутствие любого обязательного элемента превращает передачу данных лаборатории в незаконную обработку.

Обязательные условия договора поручения:

  • Исчерпывающий перечень действий, которые лаборатория вправе совершать с ПДн (сбор, хранение, анализ, передача результатов — конкретно, не «любые необходимые действия»)
  • Цели обработки (проведение лабораторных исследований по заявке медорганизации)
  • Категории ПДн и категории субъектов (пациенты, направленные клиникой)
  • Обязанность лаборатории соблюдать конфиденциальность ПДн
  • Обязанность применять технические и организационные меры защиты по ст. 19 ФЗ-152 и ПП РФ № 1119
  • Запрет передавать ПДн третьим лицам без письменного согласия клиники
  • Обязанность уведомить клинику об инциденте (утечке) в течение 24 часов с момента обнаружения
  • Право клиники проводить проверки соблюдения лабораторией требований договора
  • Порядок уничтожения ПДн по истечении срока обработки или по требованию клиники
  • Ответственность лаборатории за убытки клиники, возникшие вследствие нарушения условий договора
«Ст. 19 ФЗ-152: оператор обязан принять меры для защиты ПДн. При обработке по поручению оператор несёт ответственность перед субъектом, а лицо, осуществляющее обработку по поручению, — перед оператором.»

Шаг 4. Согласуйте уровень защищённости и технические требования

Медицинские данные относятся к специальным категориям ПДн. По ПП РФ № 1119 от 01.11.2012 для информационных систем, обрабатывающих спецкатегории, устанавливается уровень защищённости не ниже УЗ-3 (при числе субъектов свыше 100 000 — УЗ-2). Лаборатория как лицо, обрабатывающее данные по вашему поручению, обязана соответствовать тому же уровню защищённости, что и ваша МИС.

В договоре следует зафиксировать:

  • Применимый уровень защищённости информационной системы лаборатории (УЗ-3 или выше)
  • Обязанность лаборатории применять меры защиты по Приказу ФСТЭК № 21 в части идентификации и аутентификации, управления доступом, регистрации событий, защиты носителей
  • Порядок подтверждения соответствия (предоставление актов, аттестационных свидетельств, результатов внутреннего аудита)
  • Требования к шифрованию при передаче результатов анализов через защищённые каналы

Если лаборатория подключена к ЕГИСЗ, дополнительно применяются требования Минздрава к защите медицинских информационных систем. Проверьте, что в договоре предусмотрено соответствие требованиям ЕГИСЗ и порядок взаимодействия с системой мониторинга инцидентов.

Шаг 5. Выстройте порядок реагирования на инцидент

Независимо от того, где произошла утечка — в МИС клиники или в информационной системе лаборатории — ответственным перед РКН остаётся оператор, то есть медицинская организация. По ч. 3.1 ст. 21 ФЗ-152 клиника обязана уведомить РКН в течение 24 часов с момента обнаружения инцидента. Через 72 часа — подать отчёт о результатах внутреннего расследования по Приказу РКН № 187 от 14.11.2022.

Если лаборатория обнаружила утечку первой и не уведомила клинику вовремя — это нарушение договора поручения. Но за пропуск 24-часового срока уведомления РКН клиника всё равно получит штраф по ч. 11 ст. 13.11 КоАП: от 1 до 3 млн ₽.

«Ч. 11 ст. 13.11 КоАП (в ред. с 30.05.2025): неуведомление или несвоевременное уведомление РКН об инциденте — штраф для юридического лица от 1 000 000 до 3 000 000 ₽.»

В договор обязательно включите: срок уведомления лабораторией клиники об инциденте (не позднее 4 часов с момента обнаружения — чтобы клиника успела уложиться в 24-часовой норматив РКН), форму уведомления, контактные данные ответственного лица лаборатории, обязанность лаборатории содействовать расследованию и предоставлять документы по запросу клиники в течение 72 часов.

Если главный врач получил уведомление от лаборатории об инциденте — у клиники не более 20 часов до истечения 24-часового норматива РКН. Каждая минута промедления сужает возможности защиты. Юристы DATUM возьмут реагирование с первого звонка: первичное уведомление, координация расследования, отчёт за 72 часа.

Реагировать на утечку

Как это применяется на практике

Кейс 1. Клиника в Приволжском федеральном округе (осень 2025) передала обработку биохимических анализов внешней лаборатории по договору возмездного оказания услуг без раздела о поручении обработки ПДн. При плановой проверке РКН выявил отсутствие правовых оснований передачи данных пациентов и несоответствие форм согласия требованиям ст. 9 ФЗ-152 в редакции с 01.09.2025. Клинике выдано предписание об устранении нарушений и составлен протокол по ч. 2 ст. 13.11 КоАП. Штраф — в сотнях тысяч рублей. После привлечения юристов клиника оперативно переоформила договор, разработала отдельные формы согласий и добилась снижения суммы при рассмотрении дела. ⚠️ Конкретный номер дела и точная сумма — менеджер уточняет при публикации.

Кейс 2. Многопрофильный медицинский центр (Центральный федеральный округ, начало 2026) заключил договор поручения с лабораторией, но не включил в него требования к уровню защищённости и порядок уведомления об инцидентах. Лаборатория обнаружила признаки несанкционированного доступа к результатам анализов и сообщила клинике только на вторые сутки. Клиника нарушила 24-часовой норматив уведомления РКН. Арбитражный суд региона рассмотрел дело по ч. 11 ст. 13.11 КоАП. Применение смягчающих обстоятельств (первичность нарушения, оперативное устранение) позволило снизить штраф до нижней границы диапазона. ⚠️ Точные реквизиты дела — менеджер уточняет при публикации.

Что подготовить до подписания договора с лабораторией

  • Отдельная форма согласия пациента на передачу ПДн лаборатории с реквизитами по ст. 9 ФЗ-152 (в редакции ФЗ-156 от 24.06.2025)
  • Договор поручения обработки ПДн с перечнем действий, целями, мерами защиты, порядком уведомления об инциденте и условием об уничтожении данных
  • Подтверждение уровня защищённости МИС лаборатории (акт, аттестация или заключение по ПП РФ № 1119)
  • Внутренний регламент реагирования на инциденты с указанием контактного лица лаборатории и цепочки уведомления (лаборатория → клиника → РКН за 24 ч)
  • Актуальная запись в реестре операторов ПДн (pd.rkn.gov.ru) с указанием лаборатории как лица, осуществляющего обработку по поручению

Типовые ситуации и риски для главного врача

Ситуация 1: договор с лабораторией есть, но в нём нет раздела о ПДн. Передача данных пациентов идёт фактически, но правовое основание отсутствует. РКН при проверке квалифицирует это как обработку без законного основания по ч. 1 ст. 13.11 КоАП (штраф 150 000–300 000 ₽). Если данные относятся к спецкатегории — дополнительный риск по ч. 2 (до 700 000 ₽). Стратегия: немедленно дополнить договор приложением о поручении обработки или заключить отдельный документ.

Ситуация 2: лаборатория утверждает, что сама является оператором, и отказывается подписывать договор поручения. Пациент дал согласие только клинике. Лаборатория не имеет самостоятельного основания для обработки его данных. Стратегия: либо получить от пациента отдельное согласие непосредственно лаборатории, либо настоять на квалификации отношений как поручения с подписанием соответствующего договора. При отказе лаборатории — юридический риск несёт клиника как оператор.

Ситуация 3: клиника работает с несколькими лабораториями, и часть из них подключена к ЕГИСЗ. Передача данных через ЕГИСЗ имеет отдельные правовые основания по нормативным актам Минздрава. Вместе с тем требования ФЗ-152 (согласие, договор поручения, меры защиты) не отменяются наличием подключения к федеральной системе. Стратегия: параллельно вести договорную базу поручений и базу согласий пациентов на взаимодействие с ЕГИСЗ.

Услуги DATUM по теме

Частые вопросы

1. Чем отличается ИДС от согласия на обработку ПДн?

Информированное добровольное согласие по ст. 20 ФЗ-323 даёт право на медицинское вмешательство и регулирует отношения в сфере охраны здоровья. Согласие на обработку ПДн по ст. 9 ФЗ-152 — отдельный документ, определяющий правовые основания для работы с данными о здоровье пациента. С 01.09.2025 (ФЗ-156) согласие на ПДн не может объединяться с ИДС, договором или любым другим документом. Реквизиты согласия на ПДн: ФИО пациента, наименование оператора, перечень данных, цель, срок, способ отзыва.

2. Можно ли публиковать фото до-после с согласия пациента?

Публикация фотографий пациента (до и после лечения) является распространением ПДн по ст. 10.1 ФЗ-152 и требует отдельного согласия именно на распространение — оно не включается в общее согласие на обработку. Дополнительно следует учитывать: изображение лица является биометрическими ПДн по ст. 11 ФЗ-152, если используется для идентификации. Обработка биометрии без письменного согласия влечёт ответственность по ч. 16 ст. 13.11 КоАП.

3. Кто отвечает за утечку через МИС?

Ответственность перед субъектами ПДн и РКН несёт оператор — медицинская организация, независимо от того, где произошла утечка: в собственной МИС, в системе лаборатории или в облачном сервисе подрядчика. Это подтверждается сложившейся судебной практикой по принципу ответственности оператора за действия обработчика. Одновременно лаборатория несёт ответственность перед клиникой по договору поручения. Штраф по ч. 12–14 ст. 13.11 КоАП клиника получает как оператор; взыскание убытков с лаборатории — отдельный гражданский иск.

4. Какие данные передавать в ЕГИСЗ?

Состав сведений, передаваемых в ЕГИСЗ, определяется приказами Минздрава России и зависит от вида медицинской деятельности и типа медицинской документации (СЭМД). Общее правило: передаются сведения, необходимые для обеспечения преемственности медицинской помощи, — диагнозы, назначения, результаты исследований в стандартизированных форматах. Согласие пациента на обработку ПДн в ЕГИСЗ оформляется отдельно от договора с лабораторией.

5. Что грозит клинике за утечку медицинских данных?

Утечка специальных категорий ПДн пациентов (данных о здоровье) влечёт ответственность по нескольким нормам одновременно. По ч. 12 ст. 13.11 КоАП (утечка от 1 000 до 10 000 субъектов) — штраф 3–5 млн ₽; по ч. 13 (10 000–100 000 субъектов) — 5–10 млн ₽; по ч. 14 (свыше 100 000 субъектов) — 10–15 млн ₽. При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. С 11.12.2024 для физических лиц, причастных к утечке, действует ст. 272.1 УК РФ — до 10 лет лишения свободы по ч. 5.

6. Что делать, если лаборатория уже работает без договора поручения?

Прекращать передачу данных до урегулирования правовых оснований не обязательно, если лаборатория готова подписать договор поручения. Приоритетный порядок: разработать и подписать договор поручения обработки ПДн (это занимает 3–7 рабочих дней), параллельно ввести обновлённые формы согласий пациентов, проверить запись в реестре операторов РКН и при необходимости обновить уведомление по ст. 22 ФЗ-152. Подача актуализированного уведомления после выявления нарушения снижает риск штрафа по ч. 10 ст. 13.11 КоАП (100 000–300 000 ₽).

Итог

Договор поручения с лабораторией — не формальность, а единственное законное основание для передачи медицинских данных пациентов по п. 3 ст. 6 ФЗ-152. Без него клиника обрабатывает спецкатегорию ПДн без правового основания, несёт полную ответственность за любой инцидент на стороне лаборатории и лишается возможности снизить штраф в арбитраже. С 30.05.2025 цена ошибки — от 3 до 500 млн ₽.

Практика DATUM сопровождает медицинские организации в разработке договоров поручения, форм согласий и регламентов реагирования на инциденты. Понимаем специфику взаимодействия МИС, ЕГИСЗ и требований РКН к обработке спецкатегорий в медицине.

Смотрите также

ОН
Ольга Нечаева
Аналитик · Медицина и образование
Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, обработка ПДн несовершеннолетних.

22 января 2029 года