инструкция 3 апреля 2028 По состоянию на 3 апреля 2028

Договор поручения с маркетинговым агентством

Передача данных пациентов маркетинговому агентству без договора поручения на обработку ПДн — нарушение ч. 3 ст. 6 ФЗ-152 и основание для штрафа от 3 до 15 млн ₽ по ч. 12–14 ст. 13.11 КоАП.

Медицинские данные пациентов — специальная категория по ст. 10 ФЗ-152 и охраняются врачебной тайной по ст. 13 323-ФЗ. Любая передача агентству, включая email-адреса из МИС или номера телефонов из ЕГИСЗ, требует отдельного письменного согласия и оформленного договора поручения.

Если главный врач работает с агентством без договора поручения — это выявляется на первой же плановой проверке РКН. Ниже — пошаговый порядок оформления.

Маркетинговое агентство, которое ведёт рассылки, таргетированную рекламу или программы лояльности клиники, неизбежно получает доступ к персональным данным пациентов. Даже передача только email-адреса или номера телефона — это передача ПДн третьей стороне. Без договора поручения медорганизация нарушает ст. 6 ФЗ-152 и несёт полную ответственность за действия агентства как за собственные. Ниже — шесть шагов, которые необходимо пройти главному врачу или директору клиники до начала совместной работы.

Шаг 1. Определите, какие данные пациентов получит агентство

Прежде чем составлять договор, нужно точно понять объём передаваемых данных. Маркетинговые агентства работают с разными категориями информации: контактные данные (телефон, email), демографические сведения (возраст, пол), история обращений (даты визитов, профиль врача), данные программ лояльности, сегменты по диагнозам или видам услуг.

Сегменты по диагнозам и видам медицинских услуг — это уже специальная категория ПДн по ст. 10 ФЗ-152. Их обработка по общему правилу запрещена, кроме случаев, прямо предусмотренных п. 2 ст. 10. Передавать агентству сегменты «пациенты с диабетом» или «клиенты дерматологии» без отдельного письменного согласия с конкретной формулировкой цели нельзя.

Зафиксируйте перечень данных в приложении к договору. Агентство должно работать только с тем, что прямо указано — передача избыточных данных нарушает принцип минимизации по ст. 5 ФЗ-152.

«Ст. 5 ФЗ-152 — объём обрабатываемых ПДн должен соответствовать заявленным целям. Данные, превышающие этот объём, обрабатывать нельзя.»

Шаг 2. Проверьте согласие пациентов на передачу данных агентству

Согласие пациента на лечение и информированное добровольное согласие (ИДС) по ст. 20 323-ФЗ не охватывает передачу данных маркетинговому агентству. Это разные правовые основания. ИДС — согласие на медицинское вмешательство. Согласие на обработку ПДн по ст. 9 ФЗ-152 — отдельный документ.

С 01.09.2025 требования к согласию ужесточены: по ФЗ-156 от 24.06.2025 согласие на обработку ПДн оформляется только отдельным документом и не может быть объединено с договором оказания услуг, информированным согласием или иными документами. В согласии должны быть прямо указаны: наименование агентства как получателя, перечень передаваемых данных, цель передачи (например, «направление информационных рассылок об акциях клиники»), срок действия и порядок отзыва.

Если клиника передаёт агентству данные о маркетинговых сегментах, связанных с видом оказанных медуслуг, — это специальная категория. Согласие на обработку спецкатегории должно явно содержать формулировку о конкретном виде сведений и быть получено в письменной форме.

Что проверить в согласии пациента перед передачей данных агентству

Согласие оформлено отдельным документом (не включено в договор или ИДС)
В тексте прямо указано агентство как получатель и конкретная цель передачи
Перечень передаваемых данных совпадает с приложением к договору поручения
Если передаются сегменты по диагнозам — согласие содержит явное указание на спецкатегорию
Указан срок действия согласия и порядок отзыва

Согласия пациентов составлены до 01.09.2025?

Если клиника использует формы согласий, которые объединены с договором оказания услуг или ИДС, — они не соответствуют требованиям ФЗ-156, действующим с 01.09.2025. Каждое такое согласие — потенциальное основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 тыс. ₽. Юристы DATUM проведут аудит форм согласий и подготовят новый комплект документов.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Шаг 3. Составьте договор поручения на обработку ПДн

Договор поручения на обработку ПДн — это не дополнительное соглашение к маркетинговому договору, а самостоятельный документ с обязательными условиями по п. 3 ст. 6 ФЗ-152. Без него клиника не может законно передать данные агентству.

Обязательные условия договора поручения: исчерпывающий перечень действий агентства с ПДн, цель обработки, обязанность агентства соблюдать конфиденциальность, требование уничтожить данные после достижения цели, запрет на передачу данных субподрядчикам без письменного согласия клиники, обязанность немедленно уведомить клинику при обнаружении инцидента.

Клиника остаётся оператором ПДн и несёт ответственность за нарушения агентства перед субъектами и РКН. Агентство обрабатывает данные только в объёме и для целей, указанных в договоре. Расширение этого объёма агентством — нарушение, за которое отвечает клиника.

«П. 3 ст. 6 ФЗ-152 — оператор вправе поручить обработку ПДн другому лицу на основании договора. Ответственность перед субъектами несёт оператор. Лицо, осуществляющее обработку по поручению, отвечает перед оператором.»

Какие данные из МИС и ЕГИСЗ допустимо передавать агентству?

МИС хранит полный профиль пациента: диагнозы, назначения, историю посещений. Это спецкатегория ПДн по ст. 10 ФЗ-152 и сведения, составляющие врачебную тайну по ст. 13 323-ФЗ. Передача агентству данных из МИС допустима только в отношении сведений, на которые получено отдельное согласие с прямым указанием на маркетинговую цель.

На практике клиники передают агентствам: контактные данные пациентов, давших согласие на получение рекламных рассылок; сегменты по общим критериям (пол, возрастная группа, дата последнего визита) — без указания диагнозов и назначений; идентификаторы для программ лояльности.

ЕГИСЗ — федеральная система, передача данных из которой регулируется отдельными правилами Минздрава. Агентство не имеет доступа к ЕГИСЗ напрямую. Клиника не вправе передавать агентству сведения, полученные или обрабатываемые в рамках ЕГИСЗ, без специального правового основания — такого основания для маркетинга нет.

Телемедицинские консультации, проведённые через платформы с интеграцией в МИС, порождают отдельный объём ПДн. Если агентство получает доступ к данным пользователей телемедицины — это трансграничная передача, если платформа работает на зарубежных серверах, или отдельный договор поручения с платформой.

Если главный врач не уверен, какие данные из МИС агентство вправе получать, — это типичная ситуация перед проверкой РКН. Анализ объёма передаваемых данных входит в стандартный аудит DATUM. Запросить 24 часа на утечку ПДн не восстановить.

Подготовиться к проверке РКН

Шаг 4. Включите обязательные условия в маркетинговый договор

Маркетинговый договор (оказание услуг по рекламе, SMM, email-маркетингу) должен содержать ссылку на договор поручения или включать его как приложение. Без этой связки агентство технически работает с ПДн без правового основания.

Включите в маркетинговый договор: прямую ссылку на договор поручения с указанием реквизитов; запрет использования данных клиентов в собственных целях агентства; обязанность агентства уведомить клинику об инциденте в течение 24 часов — чтобы клиника успела выполнить требование ч. 3.1 ст. 21 ФЗ-152; требование уничтожения данных не позднее 10 рабочих дней с даты окончания договора; право клиники на проверку соблюдения условий обработки.

Если агентство отказывается включать эти условия — это сигнал о некомпетентности или недобросовестности. Работа с таким агентством создаёт для клиники прямой риск штрафа и предписания РКН.

Шаг 5. Обновите уведомление в реестре операторов РКН

По ст. 22 ФЗ-152 оператор обязан уведомить РКН о намерении обрабатывать ПДн. Если клиника уже состоит в реестре, но передача данных агентству не была отражена в уведомлении — необходимо подать уведомление об изменении сведений через pd.rkn.gov.ru.

В уведомлении должны быть отражены: цель обработки (маркетинг, информирование об услугах), категории субъектов (пациенты), перечень категорий ПДн, которые передаются агентству, наличие договора поручения, трансграничная передача — если агентство использует зарубежные платформы для рассылок (например, сервисы email-маркетинга с серверами за рубежом).

Неуведомление или несвоевременное уведомление — штраф по ч. 10 ст. 13.11 КоАП: от 100 000 до 300 000 ₽. При трансграничной передаче через зарубежный сервис рассылок — отдельное уведомление о трансграничной передаче по ст. 12 ФЗ-152.

«Ст. 22 ФЗ-152 — оператор до начала обработки ПДн уведомляет РКН. При изменении сведений — подаёт уведомление об изменении. Форма — Приказ РКН №180 от 28.10.2022.»

Шаг 6. Пропишите порядок реагирования на инциденты

Клиника как оператор несёт ответственность за инцидент, даже если данные утекли через системы агентства. По ч. 3.1 ст. 21 ФЗ-152 у клиники 24 часа на первичное уведомление РКН с момента обнаружения инцидента и 72 часа на отчёт о результатах внутреннего расследования по Приказу РКН №187 от 14.11.2022.

Чтобы выполнить этот срок, агентство должно уведомить клинику немедленно — фактически в течение нескольких часов. Пропишите это условие в договоре: агентство обязано сообщить об инциденте не позднее чем через 4 часа с момента обнаружения, предоставить описание инцидента (что произошло, какие данные затронуты, сколько субъектов), принять меры по локализации.

Неуведомление РКН об утечке — штраф по ч. 11 ст. 13.11 КоАП: от 1 000 000 до 3 000 000 ₽. Если утекло более 1 000 субъектов — дополнительно штраф по ч. 12–14 ст. 13.11 от 3 до 15 млн ₽ в зависимости от масштаба.

Типичные ситуации при работе с маркетинговым агентством

Ситуация 1. Агентство получило сегменты по диагнозам из МИС без согласия пациентов. Клиника передала агентству выгрузку «пациенты с заболеваниями опорно-двигательного аппарата» для настройки таргетированной рекламы. Согласие пациентов на обработку этих сведений в маркетинговых целях не получено. Это нарушение ст. 10 ФЗ-152 (спецкатегория) и ст. 13 323-ФЗ (врачебная тайна). При проверке РКН — штраф по ч. 2 ст. 13.11 КоАП: от 300 000 до 700 000 ₽ за отсутствие согласия на обработку спецкатегории, и отдельное предписание об устранении нарушения.

Ситуация 2. Агентство использует зарубежный сервис email-рассылок (серверы вне России). Клиника подписала договор с агентством, агентство использует платформу с серверами в ЕС. Данные пациентов — email, имя, дата рождения — передаются в эту платформу. Это трансграничная передача по ст. 12 ФЗ-152. Клиника как оператор обязана до начала передачи уведомить РКН. Если уведомление не подано — штраф по ч. 10 ст. 13.11. Если страна не включена в перечень стран с адекватной защитой — дополнительные требования к уведомлению.

Ситуация 3. Агентство сменило субподрядчика, не уведомив клинику. В ходе работы агентство передало базу контактов субподрядчику — колл-центру. В договоре поручения такая передача не была предусмотрена. Данные оказались у третьей стороны без правового основания. Клиника несёт ответственность как оператор. При утечке через субподрядчика — штраф по ч. 12–14 ст. 13.11 в зависимости от числа субъектов и возможная уголовная ответственность по ст. 272.1 УК для физических лиц.

Кейс 1. Многопрофильная клиника (Центральный ФО, осень 2025) передала маркетинговому агентству базу из 12 000 пациентов без договора поручения и без согласий на маркетинговые рассылки. При плановой проверке РКН инспектор запросил договор с агентством и формы согласий. Клинике выдали предписание, возбудили дело по ч. 2 ст. 13.11 КоАП. Юристы клиники подготовили договор поручения, переоформили согласия пациентов и частично смягчили размер санкции через арбитраж — итоговый штраф составил несколько сотен тысяч рублей. Без правовой поддержки клинике грозил максимальный штраф по ч. 2 ст. 13.11 (до 700 000 ₽) и требование прекратить передачу данных.

Кейс 2. Стоматологическая сеть (Северо-Западный ФО, начало 2026) использовала агентство для настройки таргетированной рекламы через зарубежную платформу. Уведомление о трансграничной передаче в РКН не подавалось. После жалобы одного из пациентов РКН инициировал внеплановую проверку. Клиника оперативно подала уведомление и заключила договор поручения, однако факт нарушения был зафиксирован. Арбитражный суд региона при рассмотрении дела учёл устранение нарушения и оперативность клиники как смягчающие обстоятельства. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка форм согласий, договоров с агентствами, уведомлений РКН
Комплект ОРД под ключ — договор поручения, согласия пациентов, политика обработки ПДн
Сопровождение проверок РКН — подготовка к проверке, представительство, обжалование предписаний

Частые вопросы

1. Чем отличается ИДС от согласия на обработку ПДн?

ИДС — информированное добровольное согласие на медицинское вмешательство по ст. 20 323-ФЗ. Это согласие пациента на конкретную медицинскую процедуру или лечение. Согласие на обработку ПДн по ст. 9 ФЗ-152 — отдельный документ, который даёт правовое основание для работы с персональными данными в определённых целях. С 01.09.2025 по ФЗ-156 они обязательно должны быть разными документами. Объединять их в одну форму нельзя.

2. Можно ли публиковать фото «до-после» с согласия пациента?

Публикация фото «до-после» — это распространение ПДн по ст. 10.1 ФЗ-152 (биометрические данные — изображение лица). Для этого необходимо отдельное согласие на распространение с явным указанием, что фотографии будут опубликованы в рекламных или информационных целях. Согласие на лечение и согласие на обработку ПДн такого права не дают. Если публикация производится через маркетинговое агентство — агентство должно быть указано в согласии как получатель.

3. Кто отвечает за утечку через МИС, если данные получил агент?

Ответственность перед субъектами ПДн и РКН несёт клиника как оператор — вне зависимости от того, в чьих системах произошла утечка. Это прямо следует из п. 3 ст. 6 ФЗ-152. Клиника может в порядке регресса предъявить требования к агентству по условиям договора поручения, но перед регулятором отвечает сама. Поэтому договор поручения должен содержать финансовую ответственность агентства за нарушения.

4. Какие данные из МИС можно передавать в ЕГИСЗ, а какие — только агентству?

ЕГИСЗ — федеральная государственная информационная система, передача данных в которую регулируется нормами Минздрава и не связана с маркетинговым договором. Агентству из МИС можно передавать только контактные данные и обезличенные сведения, на которые получено согласие. Диагнозы, назначения, результаты анализов — спецкатегория по ст. 10 ФЗ-152, их передача агентству требует явного согласия с указанием конкретных видов данных.

5. Что грозит клинике за утечку данных пациентов через агентство?

При утечке от 1 000 до 10 000 субъектов — штраф по ч. 12 ст. 13.11 КоАП: 3–5 млн ₽. При утечке 10 000–100 000 субъектов — по ч. 13: 5–10 млн ₽. Свыше 100 000 — по ч. 14: 10–15 млн ₽. Дополнительно — штраф по ч. 11 ст. 13.11 за неуведомление РКН об инциденте: 1–3 млн ₽. При повторной утечке — оборотный штраф по ч. 15 ст. 13.11: 1–3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽.

6. Нужно ли подписывать договор поручения, если агентство работает только с обезличенными данными?

Если агентство получает данные, по которым невозможно идентифицировать конкретного субъекта, — такие данные формально не являются ПДн по ст. 3 ФЗ-152. Однако обезличивание должно быть проведено в соответствии с методами, установленными приказом РКН (действующим с 01.09.2025). Если обезличивание не соответствует стандарту или данные можно деобезличить по совокупности признаков — они остаются ПДн и договор поручения необходим.

Итог

Договор поручения с маркетинговым агентством — обязательный документ для любой клиники, которая передаёт данные пациентов третьим лицам. Шесть шагов: определить объём данных, проверить согласия пациентов, составить договор поручения, включить условия в маркетинговый договор, обновить уведомление в РКН, прописать порядок реагирования на инциденты. Нарушение любого из этих шагов создаёт риск штрафа от 300 000 ₽ до 15 млн ₽ и более — в зависимости от масштаба.

DATUM сопровождает медицинские организации в подготовке договоров поручения, форм согласий пациентов, аудите передачи данных в МИС и ЕГИСЗ, а также представляет клиники при проверках РКН.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна.