Перейти к содержанию
инструкция 11 января 2029 По состоянию на 11 января 2029

Договор поручения с разработчиком МИС

Разработчик медицинской информационной системы — это лицо, осуществляющее обработку персональных данных пациентов по поручению клиники. Без надлежащего договора клиника несёт полную ответственность за утечку через МИС.
С 30.05.2025 утечка данных от 1 000 до 10 000 пациентов влечёт штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП. Данные пациентов — спецкатегория по ст. 10 ФЗ-152: состояние здоровья и врачебная тайна по ст. 13 323-ФЗ. Разработчик МИС без договора поручения автоматически становится нарушителем-оператором без правовых оснований.
Если вы главный врач и МИС обслуживает внешний разработчик — проверьте, есть ли договор поручения с правильными разделами. Инструкция ниже — пошаговый порядок его оформления. → ОРД под ключ для медорганизации

С ноября 2024 года к привычным административным санкциям добавилась уголовная ответственность по ст. 272.1 УК РФ — до 10 лет лишения свободы за незаконное использование компьютерной информации с персональными данными. Главный врач, допустивший подключение разработчика МИС без оформленного договора поручения, рискует не только штрафом клиники, но и личной ответственностью. Ниже — шесть шагов, которые переводят сотрудничество с разработчиком МИС в правовое поле.

Шаг 1. Установите правовой статус разработчика МИС

Разработчик МИС может выступать в двух ролях: как самостоятельный оператор персональных данных или как лицо, осуществляющее обработку по поручению клиники. Путаница в роли — это отдельное нарушение, за которым следуют разные составы по ст. 13.11 КоАП.

По общему правилу п. 3 ст. 6 ФЗ-152 оператор вправе передать обработку ПДн стороннему лицу — но только на основании договора или государственного задания. Разработчик МИС, который имеет технический доступ к базе данных пациентов, однозначно обрабатывает ПДн. Если такого договора нет, разработчик либо является незаконным самостоятельным оператором, либо клиника нарушает требования к передаче обработки.

Перед составлением договора определите: разработчик только поддерживает программный код без доступа к реальным данным пациентов, или у него есть техническая возможность читать, копировать, изменять записи? Если второе — договор поручения обязателен.

«Ст. 6 ФЗ-152 — обработка ПДн третьим лицом допустима только на основании договора, в котором третье лицо обязано соблюдать принципы и правила обработки ПДн, установленные ФЗ-152. Ответственность перед субъектом ПДн несёт оператор.»

Шаг 2. Проверьте правовое основание обработки спецкатегорий

Данные о состоянии здоровья пациентов — специальные категории по ст. 10 ФЗ-152. По общему правилу их обработка запрещена, кроме случаев, перечисленных в п. 2 той же статьи. Для медицинской организации основное исключение — необходимость обработки в целях установления диагноза, оказания медицинской помощи при условии соблюдения медицинской тайны.

Однако это исключение действует для самой клиники, а не для разработчика МИС. Разработчику нужно отдельное правовое основание: договор поручения с клиникой плюс письменное согласие пациента, в котором прямо указана передача данных для технического обслуживания информационной системы. Либо — если разработчик не видит реальных данных пациентов, а работает только с обезличенными или тестовыми записями — можно ограничиться договором без дополнительных согласий.

Проверьте, как организована тестовая среда МИС: используются ли в ней реальные данные пациентов. Если да — это самостоятельный риск по ч. 1 ст. 13.11 КоАП (обработка без надлежащего основания): штраф для юрлица 150–300 тыс. ₽.

«Ст. 10 ФЗ-152 — специальные категории (состояние здоровья, интимная жизнь) обрабатываются по общему правилу только с письменного согласия субъекта. Исключения — исчерпывающий перечень п. 2 ст. 10, в том числе медицинская помощь при условии обязанности медицинской тайны.»

У разработчика МИС есть доступ к данным пациентов, а договора поручения нет?

Если в клинике МИС с внешней поддержкой и письменного договора поручения не оформлено — это нарушение ч. 1 ст. 13.11 КоАП уже сейчас. При утечке через разработчика ответственность полностью ложится на клинику. Юристы DATUM оценят ситуацию и помогут оформить договор поручения с правильными разделами по требованиям ФЗ-152 и 323-ФЗ.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Составьте обязательные разделы договора поручения

Договор поручения обработки ПДн — это не стандартный договор на разработку программного обеспечения с добавленной «оговоркой о конфиденциальности». Ст. 6 ФЗ-152 прямо называет обязательное содержание такого договора. Отсутствие любого из перечисленных ниже разделов даёт РКН основание квалифицировать отношения с разработчиком как ненадлежащую передачу обработки.

Обязательные разделы договора поручения с разработчиком МИС

  • Перечень действий с ПДн (доступ, хранение, изменение, тестирование) — с указанием, что разработчик не вправе совершать иные действия без письменного согласия клиники.
  • Цели обработки ПДн разработчиком — строго ограничены технической поддержкой и развитием МИС; запрет использования в коммерческих целях третьих лиц.
  • Обязанность разработчика соблюдать конфиденциальность и не передавать ПДн третьим лицам без согласия клиники; ссылка на врачебную тайну по ст. 13 323-ФЗ.
  • Обязанность разработчика обеспечить уровень защищённости, соответствующий требованиям ПП РФ № 1119 и Приказа ФСТЭК № 21 (для медицинских ПДн — как правило, УЗ-3 или выше).
  • Порядок уведомления клиники о признаках инцидента в МИС — срок не позже 4 часов с момента обнаружения, чтобы клиника успела направить первичное уведомление в РКН за 24 часа.

Отдельно включите раздел об уничтожении или возврате ПДн после расторжения договора. Ст. 21 ФЗ-152 обязывает уничтожить данные при достижении целей обработки; договор должен зафиксировать, что разработчик выполняет это требование и подтверждает факт уничтожения актом.

Шаг 4. Синхронизируйте договор поручения с уведомлением в РКН

Клиника как оператор ПДн обязана состоять в реестре РКН по ст. 22 ФЗ-152 до начала обработки. При передаче обработки разработчику МИС нужно убедиться, что уведомление охватывает именно те действия, которые разработчик будет совершать с данными пациентов.

Типовая ошибка: клиника уведомила РКН о хранении и систематизации данных в собственной инфраструктуре, а разработчик МИС работает с облачным сервером за рубежом. В этом случае возникает одновременно нарушение требования локализации по ч. 5 ст. 18 ФЗ-152 (штраф по ч. 8 ст. 13.11 КоАП — 1–6 млн ₽) и нарушение уведомления РКН о трансграничной передаче по ст. 12 ФЗ-152.

После подписания договора поручения подайте в РКН уведомление об изменении сведений по форме Приказа РКН № 180 от 28.10.2022. Укажите наименование и реквизиты разработчика как лица, осуществляющего обработку по поручению, и адрес расположения серверов МИС.

«Ст. 22 ФЗ-152 — оператор обязан уведомить РКН об изменении сведений, указанных в уведомлении, в течение 10 дней с момента изменения. Неуведомление — штраф 100–300 тыс. ₽ по ч. 10 ст. 13.11 КоАП в редакции с 30.05.2025.»

Если клиника уже работает с разработчиком МИС, а уведомление в РКН не обновлялось — это длящееся нарушение. Срок включения в реестр после подачи уведомления — 30 дней. Юристы DATUM подготовят актуализированное уведомление и синхронизируют его с договором поручения.

Подготовиться к проверке РКН

Шаг 5. Настройте порядок реагирования на инцидент через разработчика МИС

По ч. 3.1 ст. 21 ФЗ-152 клиника как оператор обязана уведомить РКН об утечке в течение 24 часов с момента обнаружения. Через 72 часа — направить отчёт о результатах внутреннего расследования по Приказу РКН № 187 от 14.11.2022. Срок не восстанавливается.

Разработчик МИС — внешняя организация, и клиника узнаёт об инциденте от него. Если в договоре нет раздела об экстренном оповещении, разработчик может затянуть уведомление на несколько дней — и клиника нарушит 24-часовой срок. Неуведомление или просрочка уведомления — штраф 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП.

В договоре поручения зафиксируйте: разработчик уведомляет ответственного сотрудника клиники не позже чем через 4 часа после обнаружения признаков инцидента. Контактные данные ответственного — приложение к договору с обязанностью обновлять при смене сотрудника. Кроме того, включите обязанность разработчика предоставить клинике все необходимые технические сведения для заполнения 72-часового отчёта в РКН.

Шаг 6. Убедитесь в соответствии МИС требованиям к уровню защищённости

Медицинские данные пациентов — специальные категории ПДн по ст. 10 ФЗ-152. По ПП РФ № 1119 от 01.11.2012 для информационных систем, обрабатывающих спецкатегории, требуется как минимум уровень защищённости УЗ-3, а при числе субъектов более 100 000 — УЗ-2. Конкретный уровень определяет сама клиника на основании актуальной модели угроз.

Договор поручения должен прямо указывать, какой уровень защищённости разработчик обязан обеспечить и поддерживать. Для этого в договоре или приложении к нему описывают конкретные меры: разграничение доступа, регистрация событий безопасности, антивирусная защита, шифрование каналов передачи данных — по номенклатуре Приказа ФСТЭК № 21 от 18.02.2013.

Включите в договор право клиники проводить аудит соответствия разработчика не реже одного раза в год и право отказаться от договора в случае выявленных нарушений без уплаты неустойки. Это стандартная клаузула в договорах поручения обработки ПДн в медицинском секторе.

«ПП РФ № 1119 — для информационных систем, обрабатывающих спецкатегории ПДн, минимальный уровень защищённости — УЗ-3. При числе субъектов более 100 000 и угрозах 1-го или 2-го типа — УЗ-1 или УЗ-2. Приказ ФСТЭК № 21 определяет базовый набор мер по каждому уровню.»

Типовые ситуации: как это применяется на практике

Ситуация 1. Региональная частная клиника (Приволжский ФО, осень 2025) заключила с разработчиком МИС договор на техническую поддержку без раздела о поручении обработки ПДн. При плановой проверке РКН инспектор установил, что разработчик имеет административный доступ к базе данных с историями болезней около 15 000 пациентов. Клинике выдано предписание об устранении нарушения, возбуждено дело по ч. 1 ст. 13.11 КоАП (обработка без надлежащего основания). Параллельно рассматривается вопрос о нарушении ч. 10 ст. 13.11 — уведомление в РКН не содержало сведений о разработчике как лице, обрабатывающем ПДн по поручению. Штраф для юрлица по этим двум составам в совокупности — несколько сотен тысяч рублей.

Ситуация 2. Медицинская лаборатория (Центральный ФО, начало 2026) столкнулась с утечкой данных через МИС стороннего разработчика. Договор поручения существовал, однако в нём отсутствовал раздел об экстренном оповещении клиники. Разработчик уведомил клинику через 31 час после обнаружения инцидента — клиника нарушила 24-часовой срок направления первичного уведомления в РКН по ч. 3.1 ст. 21 ФЗ-152. Применена ч. 11 ст. 13.11 КоАП. Штраф составил сумму в нижнем диапазоне (1–3 млн ₽). Регресс к разработчику клиника предъявила в арбитражном суде — и частично взыскала убытки, поскольку нарушение условий договора о конфиденциальности было доказано. Этот кейс показывает, что даже при наличии договора отсутствие конкретного процедурного раздела влечёт реальный штраф.

Услуги DATUM по теме

Частые вопросы

1. Чем отличается информированное добровольное согласие пациента от согласия на обработку персональных данных?

Информированное добровольное согласие (ИДС) — медицинский документ по ст. 20 Федерального закона № 323-ФЗ, подтверждающий согласие пациента на медицинское вмешательство. Согласие на обработку персональных данных — самостоятельный юридический документ по ст. 9 ФЗ-152, дающий клинике основание обрабатывать данные о здоровье. Это два разных документа с разными реквизитами и разными правовыми последствиями. ИДС не заменяет согласие на ПДн и не может объединяться с ним в один документ — с 01.09.2025 по ФЗ-156 согласие на ПДн должно быть отдельным документом.

2. Можно ли публиковать фотографии «до и после» лечения с согласия пациента?

Публикация фотографий пациента, из которых можно установить факт обращения за медицинской помощью или состояние здоровья, — это распространение специальных категорий ПДн по ст. 10.1 ФЗ-152. Для этого требуется отдельное согласие на распространение ПДн с прямым указанием: для каких целей, на каких платформах, в течение какого срока. Общее согласие на обработку ПДн для оказания медицинской помощи не охватывает публикацию в социальных сетях и на сайте клиники.

3. Кто отвечает за утечку данных пациентов через МИС — клиника или разработчик?

Перед субъектами ПДн и РКН ответственность несёт клиника как оператор — независимо от того, произошла ли утечка по вине разработчика МИС. Это прямо следует из п. 3 ст. 6 ФЗ-152: передача обработки третьему лицу не освобождает оператора от ответственности перед субъектом. Клиника вправе предъявить регрессный иск к разработчику в арбитражном суде при наличии соответствующих условий в договоре поручения, однако административный штраф по ст. 13.11 КоАП клиника несёт в полном объёме.

4. Какие данные пациентов передаются в ЕГИСЗ и нужно ли на это отдельное согласие?

Передача сведений о медицинской помощи в Единую государственную информационную систему в сфере здравоохранения (ЕГИСЗ) предусмотрена Федеральным законом № 323-ФЗ и соответствующими подзаконными актами. Обработка в целях, установленных федеральным законом, является самостоятельным основанием по п. 2 ч. 2 ст. 10 ФЗ-152 и не требует отдельного согласия пациента. Вместе с тем клиника обязана отразить передачу в ЕГИСЗ как цель обработки в политике конфиденциальности и в уведомлении, поданном в реестр РКН.

5. Что грозит клинике за утечку данных пациентов по новым нормам?

С 30.05.2025 действует обновлённая ст. 13.11 КоАП. За утечку данных от 1 000 до 10 000 пациентов — штраф 3–5 млн ₽ (ч. 12). От 10 000 до 100 000 — 5–10 млн ₽ (ч. 13). Более 100 000 — 10–15 млн ₽ (ч. 14). При повторной утечке применяется оборотный штраф по ч. 15: 1–3% совокупной выручки за предшествующий год, но не менее 20 млн ₽ и не более 500 млн ₽. Если данные биометрические — ч. 17, штраф 15–20 млн ₽. Кроме того, с 11.12.2024 действует ст. 272.1 УК РФ: уголовная ответственность за незаконное использование компьютерной информации с персональными данными, до 10 лет лишения свободы.

6. Как часто нужно пересматривать договор поручения с разработчиком МИС?

Договор поручения следует пересматривать при каждом существенном изменении: смена версии МИС с новыми функциями обработки данных, переезд серверов в другой дата-центр или другую страну, изменение законодательства. Минимальный рекомендуемый цикл — ежегодная проверка актуальности договора в рамках внутреннего аудита соответствия 152-ФЗ. В 2025 году вступило в силу несколько изменений (ФЗ-420, ФЗ-156, ужесточение локализации), поэтому договоры, составленные до 2025 года, требуют актуализации.

Итог

Договор поручения с разработчиком МИС — не формальность, а элемент системы защиты клиники от административной и уголовной ответственности. Шесть шагов, описанных выше, охватывают: определение статуса разработчика, правовое основание для спецкатегорий, обязательное содержание договора, синхронизацию с уведомлением РКН, порядок реагирования на инцидент и требования к уровню защищённости МИС.

Юристы DATUM сопровождают медицинские организации по комплексу вопросов 152-ФЗ и 323-ФЗ: от составления договора поручения с разработчиком МИС до подготовки клиники к проверке Роскомнадзора и защиты в арбитраже при штрафе по ст. 13.11 КоАП.

Смотрите также

ОН
Ольга Нечаева
Аналитик · Медицина и образование
Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, обработка ПДн несовершеннолетних.

11 января 2029 года