инструкция 10 февраля 2028 По состоянию на 10 февраля 2028

ЕГИСЗ и оператор клиники: ответственность

Медицинская организация, подключённая к ЕГИСЗ, является оператором персональных данных — включая спецкатегорию по ст. 10 ФЗ-152.

С 30.05.2025 утечка данных пациентов влечёт штраф от 3 до 15 млн ₽ по ч. 12–14 ст. 13.11 КоАП, а повторная утечка — оборотный штраф до 500 млн ₽ по ч. 15. Ст. 272.1 УК РФ с 11.12.2024 допускает лишение свободы до 10 лет за незаконное использование компьютерной информации с ПДн.

→ Если вы главный врач и клиника работает с МИС или ЕГИСЗ — проверьте, оформлены ли согласия пациентов, назначен ли ответственный по ст. 22.1 ФЗ-152, и соответствует ли ваша МИС требованиям к уровню защищённости.

Клиника одновременно выполняет обязательства по ст. 13 Федерального закона № 323-ФЗ «Об основах охраны здоровья граждан» (врачебная тайна) и требования ФЗ-152 «О персональных данных». Данные о диагнозах, назначениях и состоянии здоровья — специальная категория по ст. 10 ФЗ-152. Передача этих данных в ЕГИСЗ без корректно оформленных документов создаёт основания для проверки Роскомнадзора и протокола по ст. 13.11 КоАП. Эта инструкция описывает шесть шагов, которые главный врач должен пройти, чтобы привести клинику в соответствие.

Шаг 1. Определите, какие роли клиника выполняет при обработке ПДн

Клиника может выступать в разных ролях в зависимости от ситуации. При сборе данных на приёме и их хранении в МИС — клиника является оператором ПДн по ст. 3 ФЗ-152. При передаче сведений в ЕГИСЗ клиника действует в рамках поручения, закреплённого нормативно. При работе со страховой организацией или лабораторией-подрядчиком возникает поручение обработки по п. 3 ст. 6 ФЗ-152, которое должно быть оформлено договором с исчерпывающим перечнем допустимых действий.

Определение роли критично для построения правового основания обработки. Спецкатегория данных — сведения о состоянии здоровья — обрабатывается только по основаниям п. 2 ст. 10 ФЗ-152: прежде всего по письменному согласию пациента или в целях охраны здоровья и оказания медицинской помощи лицензированной медицинской организацией.

«Ст. 10 ФЗ-152 — обработка специальных категорий ПДн, включая сведения о состоянии здоровья, по общему правилу запрещена. Исключение — согласие субъекта или осуществление обработки в целях охраны здоровья медицинской организацией, имеющей лицензию.»

Проверьте, по каким основаниям клиника обрабатывает каждую из категорий данных пациентов: диагнозы, назначения, лабораторные результаты, сведения о страховании. Если основание не закреплено документально — это нарушение ч. 1 ст. 13.11 КоАП (штраф 150–300 тыс. ₽).

Шаг 2. Проверьте согласия пациентов — ИДС и согласие на ПДн

Информированное добровольное согласие (ИДС) по ст. 20 323-ФЗ и согласие на обработку ПДн по ст. 9 ФЗ-152 — два разных документа с разными реквизитами. ИДС подтверждает согласие на медицинское вмешательство. Согласие на обработку ПДн определяет, кто, что и как делает с персональными данными пациента.

С 01.09.2025 согласие на обработку ПДн оформляется отдельным документом — не включается в договор, ИДС или иной документ (ФЗ-156 от 24.06.2025). Ранее выданные согласия, встроенные в договор оказания услуг или ИДС, юридически уязвимы при проверке РКН: они не нарушают закон автоматически, но создают риск квалификации как нарушение требований к составу согласия по ч. 2 ст. 13.11 КоАП (штраф 300–700 тыс. ₽).

«Ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156): согласие субъекта на обработку ПДн — отдельный документ. Обязательные реквизиты: ФИО и контакт субъекта, наименование оператора, цель обработки, перечень ПДн, перечень действий с ними, срок действия, способ отзыва.»

Проверьте, что согласие на ПДн содержит все обязательные реквизиты. Отдельно убедитесь, что согласие на распространение ПДн (публикация фото, отзывов, историй лечения) оформлено по ст. 10.1 ФЗ-152 — это третий, самостоятельный документ.

Согласия пациентов ещё в составе договора или ИДС?

Если главный врач не перевёл согласия на отдельные документы после 01.09.2025 — каждый старый бланк создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП (300–700 тыс. ₽). Юристы DATUM проведут аудит согласий и ОРД медицинской организации, выявят пробелы и подготовят пакет документов под требования ФЗ-156.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Оцените, какие данные передаются в ЕГИСЗ и на каком основании

ЕГИСЗ объединяет федеральные и региональные государственные информационные системы в сфере здравоохранения. Клиника передаёт в систему сведения об оказанных медицинских услугах, диагнозах, назначениях, листках нетрудоспособности и иных медицинских документах. Состав передаваемых данных определяется нормативными актами Минздрава и порядком подключения к соответствующему компоненту ЕГИСЗ.

Правовое основание для передачи данных в государственную информационную систему — исполнение обязанности, предусмотренной законодательством (п. 2 ч. 1 ст. 6 ФЗ-152), и цели охраны здоровья граждан (пп. 3 п. 2 ст. 10 ФЗ-152). Однако это не освобождает клинику от обязанности указать передачу в ЕГИСЗ в согласии на обработку ПДн и в политике обработки ПДн.

На практике проверяйте три момента: перечень данных в МИС, который реально передаётся в ЕГИСЗ, совпадает с тем, что указано в документах клиники; сведения о передаче в ЕГИСЗ отражены в политике обработки ПДн, опубликованной на сайте клиники (ч. 2 ст. 18.1 ФЗ-152); настройки МИС позволяют отследить, когда и какие данные были переданы — это нужно для ответа на запрос субъекта по ст. 20 ФЗ-152.

Шаг 4. Назначьте ответственного и приведите ОРД в соответствие

Медицинская организация как юридическое лицо обязана назначить лицо, ответственное за организацию обработки ПДн, по ст. 22.1 ФЗ-152. Отсутствие такого лица — самостоятельное нарушение, которое фиксируется при плановой проверке РКН. Ответственным может быть штатный сотрудник (юрист, ИТ-специалист, заместитель главного врача) или внешний DPO-аутсорсер.

Минимальный пакет организационно-распорядительной документации (ОРД) для клиники включает: политику обработки ПДн (опубликованную на сайте), приказ о назначении ответственного, приказ об утверждении перечня обрабатываемых ПДн, инструкцию для сотрудников, имеющих доступ к МИС, регламент реагирования на обращения пациентов, регламент реагирования на инциденты с ПДн, журнал учёта обращений субъектов.

«Ст. 18.1 ФЗ-152 — оператор обязан принять меры для обеспечения исполнения обязанностей по закону: назначить ответственного, утвердить политику и локальные акты, провести ознакомление работников, оценить вред субъектам при обработке. Политика публикуется в открытом доступе.»

Отдельно нужен документ, определяющий уровень защищённости ИСПДн клиники по ПП РФ № 1119. Медицинские данные относятся к специальным категориям — при числе субъектов свыше 100 тысяч и угрозах 2-го типа минимальный уровень защищённости составляет УЗ-2, что влечёт конкретный состав технических мер по Приказу ФСТЭК № 21.

Как выявляются нарушения: три типичных сценария для клиники

Сценарий 1. Жалоба пациента в РКН. Пациент запросил у клиники перечень обрабатываемых ПДн по ст. 20 ФЗ-152 — клиника не ответила в течение 10 рабочих дней. Пациент направил жалобу в РКН. Инспектор затребовал политику обработки ПДн и согласие — согласие оказалось включено в договор услуг. РКН возбудил дело по ч. 4 ст. 13.11 (штраф 40–80 тыс. ₽) и ч. 2 ст. 13.11 (штраф 300–700 тыс. ₽). Стратегия: вести журнал обращений субъектов, отвечать в срок, хранить доказательства отправки ответа.

Сценарий 2. Утечка через МИС после кибератаки. Злоумышленники получили доступ к базе данных МИС, содержащей диагнозы и контактные данные пациентов. Число пострадавших — 15 тысяч человек. Клиника обнаружила инцидент через сутки после взлома. РКН уведомлён на 26-й час — нарушен 24-часовой срок по ч. 3.1 ст. 21 ФЗ-152. Штраф по ч. 13 ст. 13.11 КоАП составил 5–10 млн ₽; дополнительно назначен штраф по ч. 11 ст. 13.11 (неуведомление в срок — 1–3 млн ₽). Стратегия: внедрить регламент реагирования на инциденты с фиксированным порядком первых действий и шаблоном уведомления по Приказу РКН № 187.

Сценарий 3. Телемедицина с пациентом, находящимся за рубежом. Клиника проводит онлайн-консультации с пациентами, временно находящимися в других странах. ПДн пациентов обрабатываются через облачную платформу с серверами вне России. Это квалифицируется как трансграничная передача по ст. 12 ФЗ-152 и нарушение локализации по ч. 5 ст. 18 ФЗ-152. Штраф по ч. 8 ст. 13.11 КоАП — 1–6 млн ₽. Стратегия: перевести первичную обработку ПДн на серверы в России; для трансграничной передачи оформить уведомление РКН и оценить страну на наличие адекватной защиты.

Если в клинике произошёл инцидент с данными пациентов — у вас 24 часа на первичное уведомление РКН (ч. 3.1 ст. 21 ФЗ-152). Срок не восстанавливается. Опоздание — штраф 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП дополнительно к основному.

Подготовиться к проверке РКН

Шаг 5. Проверьте уведомление в реестре операторов РКН

Каждая медицинская организация, обрабатывающая ПДн пациентов в информационной системе, обязана уведомить Роскомнадзор о намерении обрабатывать ПДн до начала обработки — по ст. 22 ФЗ-152. Подача уведомления осуществляется через pd.rkn.gov.ru с использованием ЕСИА или УКЭП. Форма уведомления утверждена Приказом РКН № 180 от 28.10.2022.

Отсутствие уведомления или несвоевременное уведомление влечёт штраф 100–300 тыс. ₽ по ч. 10 ст. 13.11 КоАП. Если уведомление подано, но сведения в реестре устарели (изменился состав ПДн, появились новые цели обработки или новые МИС), клиника обязана направить уведомление об изменении сведений.

Проверьте реестр по ИНН на pd.rkn.gov.ru. Сравните указанные в реестре категории ПДн и цели обработки с тем, что фактически происходит в МИС. Расхождение — основание для претензий РКН при плановой или внеплановой проверке.

Шаг 6. Обеспечьте технические меры защиты МИС

Медицинские информационные системы, обрабатывающие специальные категории ПДн, подпадают под требования ПП РФ № 1119 и Приказа ФСТЭК № 21. Уровень защищённости определяется комбинацией категории данных, типа актуальных угроз и числа субъектов. Клиника с базой от 100 тысяч пациентов и угрозами 2-го типа обязана обеспечить УЗ-2 — это подразумевает расширенный набор мер: идентификацию и аутентификацию, управление доступом, регистрацию событий безопасности, контроль съёмных носителей, антивирусную защиту и ряд других групп мер по Приказу ФСТЭК № 21.

На практике проверяйте: ведётся ли журнал событий в МИС и кто имеет к нему доступ; разграничены ли права пользователей (врач не должен видеть данные чужих пациентов); шифруются ли данные при передаче в ЕГИСЗ и при хранении на резервных носителях; есть ли регламент уничтожения ПДн по истечении срока хранения.

«ПП РФ № 1119 от 01.11.2012 — устанавливает 4 уровня защищённости ИСПДн. Специальные категории ПДн при угрозах 2-го типа и числе субъектов свыше 100 тыс. требуют уровня УЗ-2. Приказ ФСТЭК № 21 определяет конкретный состав мер защиты для каждого уровня.»

Отдельно зафиксируйте в модели угроз, актуальны ли угрозы 1-го типа (недекларированные возможности в системном ПО МИС). Если актуальны — уровень защищённости повышается до УЗ-1, что существенно расширяет перечень обязательных мер.

Что подготовить главному врачу

Выписка из реестра операторов ПДн с pd.rkn.gov.ru — актуальная, со всеми категориями и целями обработки
Политика обработки ПДн, опубликованная на сайте клиники, с разделами по ч. 2 ст. 18.1 ФЗ-152
Отдельные согласия пациентов на обработку ПДн по ст. 9 ФЗ-152 в редакции с 01.09.2025 (отдельно от ИДС и договора)
Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 и регламент реагирования на инциденты
Документ о присвоении уровня защищённости ИСПДн (УЗ-1...УЗ-4) по ПП РФ № 1119 с обоснованием выбора

Что грозит клинике за нарушения: таблица рисков

Риски разделяются на административные и уголовные. По ст. 13.11 КоАП в редакции с 30.05.2025 (ФЗ-420 от 30.11.2024) основные составы для медицинских организаций:

Обработка без правового основания или несовместимая с целями — ч. 1 ст. 13.11 КоАП, штраф 150–300 тыс. ₽
Обработка спецкатегорий без письменного согласия или с нарушением его состава — ч. 2 ст. 13.11, штраф 300–700 тыс. ₽
Неопубликованная или неполная политика обработки ПДн — ч. 3 ст. 13.11, штраф 30–60 тыс. ₽
Непредоставление пациенту информации о его ПДн в срок — ч. 4 ст. 13.11, штраф 40–80 тыс. ₽
Утечка данных от 1 000 до 10 000 субъектов — ч. 12 ст. 13.11, штраф 3–5 млн ₽
Утечка от 10 000 до 100 000 субъектов — ч. 13 ст. 13.11, штраф 5–10 млн ₽
Утечка более 100 000 субъектов — ч. 14 ст. 13.11, штраф 10–15 млн ₽
Повторная утечка — ч. 15 ст. 13.11, оборотный штраф 1–3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽
Неуведомление РКН об утечке в 24 часа — ч. 11 ст. 13.11, штраф 1–3 млн ₽

По ст. 272.1 УК РФ (действует с 11.12.2024) незаконное использование, передача или хранение компьютерной информации с ПДн пациентов грозит сотрудникам клиники лишением свободы. Ч. 5 ст. 272.1 (тяжкие последствия) предусматривает до 10 лет лишения свободы. Уголовная ответственность наступает для конкретных физических лиц — как правило, сотрудников, имевших доступ к МИС.

Кейс 1. Многопрофильная клиника (Центральный ФО, лето 2025) не направила уведомление РКН об утечке данных 8 тысяч пациентов в течение 24 часов — инцидент был выявлен службой ИБ, но сообщение о нём до руководства дошло с задержкой. Дело возбуждено по ч. 12 и ч. 11 ст. 13.11 КоАП одновременно. Суд назначил штрафы в диапазоне нескольких миллионов рублей. После внедрения регламента реагирования и разграничения зон ответственности клиника прошла последующую плановую проверку РКН без замечаний.

Кейс 2. Сеть стоматологических клиник (Северо-Западный ФО, осень 2025) при аудите, проведённом накануне плановой проверки РКН, обнаружила, что согласия на ПДн были встроены в текст договора оказания услуг и не содержали обязательного перечня действий с данными. Кроме того, часть данных пациентов передавалась в облачный сервис управления записью с серверами вне России без уведомления РКН о трансграничной передаче. После работы с юристами клиника переоформила документы, подала уведомление и прошла проверку с предписанием об устранении выявленных нарушений — без штрафа по существу.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка ОРД, согласий, МИС, реестра РКН по 38 пунктам
Комплект ОРД под ключ — политика, согласия, приказы, регламенты для медицинской организации
Сопровождение проверок РКН — подготовка, представительство, обжалование предписания

Частые вопросы

1. Чем отличается ИДС от согласия на обработку ПДн?

Информированное добровольное согласие по ст. 20 Федерального закона № 323-ФЗ подтверждает согласие пациента на конкретное медицинское вмешательство. Согласие на обработку ПДн по ст. 9 ФЗ-152 — отдельный документ, определяющий, кто, какие данные и с какими целями обрабатывает. С 01.09.2025 оба документа обязательно оформляются раздельно. Объединять их в одном бланке больше нельзя.

2. Можно ли публиковать фото до-после с согласия пациента?

Публикация фотографий пациента — это распространение ПДн по смыслу ст. 10.1 ФЗ-152. Для неё требуется отдельное согласие на распространение — третий документ помимо ИДС и согласия на обработку ПДн. В согласии должно быть прямо указано, что фотографии будут опубликованы, где именно, с какой целью и в течение какого срока. Молчание пациента не является согласием на распространение.

3. Кто отвечает за утечку через МИС?

Ответственность несёт клиника как оператор ПДн, независимо от того, произошла утечка через её инфраструктуру или через подрядчика. Если утечка случилась по вине поставщика МИС, клиника отвечает перед РКН и субъектами, а затем вправе предъявить регрессное требование к поставщику. Это обязывает клинику тщательно прописывать ответственность в договоре с разработчиком и подрядчиком по поручению ст. 6 ФЗ-152.

4. Какие данные пациентов передавать в ЕГИСЗ?

Состав данных, передаваемых в ЕГИСЗ, определяется нормативными актами Минздрава России и регламентом конкретного компонента системы (ИЭМК, ФРМО, ФРМР и другие). Как правило, это данные об оказанных медицинских услугах, диагнозах по МКБ, назначениях, сведениях о враче. Клиника обязана указать передачу в ЕГИСЗ в политике обработки ПДн и в согласии пациента на обработку ПДн.

5. Что грозит клинике за утечку данных пациентов?

По ст. 13.11 КоАП в редакции с 30.05.2025: за утечку от 1 000 до 10 000 субъектов — штраф 3–5 млн ₽ (ч. 12), от 10 000 до 100 000 — 5–10 млн ₽ (ч. 13), более 100 000 — 10–15 млн ₽ (ч. 14). Повторная утечка — оборотный штраф до 500 млн ₽ (ч. 15). Опоздание с уведомлением РКН в 24 часа добавляет ещё 1–3 млн ₽ (ч. 11). Для физических лиц — сотрудников клиники — с 11.12.2024 действует ст. 272.1 УК РФ с максимальным сроком до 10 лет лишения свободы (ч. 5).

6. Нужно ли переоформлять согласия для пациентов, которые наблюдаются давно?

Ранее выданные согласия обратной силы не лишаются: ФЗ-156 от 24.06.2025 не требует их переоформления. Однако при следующем контакте с пациентом — очной консультации, подписании нового договора, обновлении медицинской документации — рекомендуется предложить ему подписать актуальную форму согласия. Это снижает риск при проверке РКН, если инспектор запросит образцы согласий по конкретным пациентам.

Итог

Медицинская организация — оператор спецкатегорий ПДн по ст. 10 ФЗ-152 с повышенными требованиями к правовым основаниям обработки, техническим мерам защиты МИС и оформлению согласий пациентов. С 30.05.2025 санкции за утечку данных пациентов начинаются от 3 млн ₽ и достигают оборотного штрафа 500 млн ₽ при повторности. Несоответствие требованиям не является делом далёкого будущего — РКН планово проверяет медицинские организации, а жалобы пациентов запускают внеплановые проверки.

DATUM сопровождает медицинские организации по полному периметру соответствия 152-ФЗ: от аудита МИС и согласий до представительства при проверке РКН и защиты в арбитраже по ст. 13.11 КоАП.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, ПДн несовершеннолетних.