Перейти к содержанию
инструкция 3 ноября 2028 По состоянию на 3 ноября 2028

Гид по 152-ФЗ для клиники 2026

Медицинские данные пациента — специальная категория по ст. 10 ФЗ-152. Утечка из МИС — штраф от 3 до 15 млн ₽ по ч. 12–14 ст. 13.11 КоАП в редакции с 30.05.2025.
Клиника одновременно работает с тремя правовыми режимами: ФЗ-152 об обработке ПДн, ст. 13 ФЗ-323 о врачебной тайне и требованиями ЕГИСЗ. Каждый формирует отдельный пласт документации и ответственности.
Если вы главврач и согласия пациентов вшиты в информированное добровольное согласие — этот гид покажет, что нужно разделить и что привести в порядок до прихода Роскомнадзора. → Оценить состояние документации

К 2026 году регуляторная нагрузка на медицинские организации по персональным данным существенно выросла. Оборотный штраф по ч. 15 ст. 13.11 КоАП за повторную утечку составляет от 1 до 3% годовой выручки, но не менее 20 млн ₽. Уголовная ответственность по ст. 272.1 УК РФ действует с 11.12.2024. При этом большинство клиник по-прежнему смешивают информированное добровольное согласие с согласием на обработку ПДн и хранят биометрию вне установленного порядка. Этот гид — пошаговый маршрут для главврача: от регистрации в реестре РКН до реагирования на утечку за 24 часа.

Шаг 1. Разберитесь: какие данные пациента относятся к спецкатегории?

Первый шаг — инвентаризация данных. Медицинская организация обрабатывает несколько категорий ПДн с разным правовым режимом.

Специальные категории по ст. 10 ФЗ-152 — состояние здоровья, диагнозы, история болезни, данные об интимной жизни. Обработка по общему правилу запрещена. Допускается только при наличии письменного согласия пациента или в случаях, прямо перечисленных в п. 2 ст. 10 ФЗ-152: защита жизни и здоровья лица, исполнение обязательного медицинского страхования, медико-профилактические цели при условии сохранения врачебной тайны.

«Ст. 10 ФЗ-152 — обработка данных о состоянии здоровья допускается исключительно в случаях, прямо указанных в законе. Общего "согласия на лечение" недостаточно.»

Биометрические ПДн — изображение лица пациента для идентификации, отпечатки пальцев при СКУД. Обработка — только с отдельного письменного согласия по ст. 11 ФЗ-152. Хранение биометрии для целей идентификации через ЕБС регулируется ФЗ-572.

Общие ПДн — ФИО, дата рождения, адрес, контакты, страховой номер. Обрабатываются на основании договора (п. 5 ч. 1 ст. 6 ФЗ-152) или согласия.

Категории данных в клинике — проверьте каждую

  • Медицинская карта и история болезни — специальная категория ст. 10 ФЗ-152
  • Диагнозы, назначения, результаты анализов — специальная категория
  • Фотографии пациентов для идентификации — биометрия по ст. 11 ФЗ-152
  • Контактные данные, ФИО, СНИЛС — общие ПДн по ст. 6 ФЗ-152
  • Данные о страховании (ОМС/ДМС) — общие ПДн с признаками медицинских

Шаг 2. Проверьте уведомление в реестре операторов РКН

До начала обработки ПДн оператор обязан уведомить Роскомнадзор по ст. 22 ФЗ-152. Клиника, которая ведёт медицинские карты хотя бы одного пациента в цифровом виде, является оператором ПДн и обязана состоять в реестре. Неуведомление или несвоевременное уведомление — штраф 100–300 тыс. ₽ по ч. 10 ст. 13.11 КоАП.

Проверить наличие в реестре можно на pd.rkn.gov.ru. Если клиника там не числится или сведения устарели (изменился перечень обрабатываемых данных, добавились новые системы), необходимо подать уведомление об изменении или первичное уведомление. Срок включения в реестр после подачи — 30 дней.

Обратите внимание: уведомление должно отражать фактическую обработку. Если клиника запустила телемедицину или подключилась к ЕГИСЗ после подачи уведомления — сведения нужно обновить.

Согласия пациентов оформлены в ИДС, а не отдельным документом?

Это типовая ошибка, которая создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП (до 700 тыс. ₽). С 01.09.2025 по ФЗ-156 согласие на обработку ПДн оформляется отдельным документом. Юристы DATUM проведут аудит документации клиники по чек-листу из 38 пунктов и выдадут план устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Разделите ИДС и согласие на обработку ПДн

Информированное добровольное согласие (ИДС) по ст. 20 ФЗ-323 — это документ, которым пациент соглашается на медицинское вмешательство. Согласие на обработку персональных данных по ст. 9 ФЗ-152 — это отдельный документ, которым пациент разрешает клинике собирать, хранить и использовать его данные.

До принятия ФЗ-156 от 24.06.2025 некоторые клиники объединяли оба согласия в одну форму. С 01.09.2025 это недопустимо: согласие на обработку ПДн должно быть отдельным документом, не объединённым с договором, офертой или ИДС.

«Ст. 9 ФЗ-152 в ред. ФЗ-156 от 24.06.2025 — с 01.09.2025 согласие субъекта на обработку его ПДн оформляется отдельным документом. Обязательные реквизиты: ФИО субъекта, контактные данные, наименование оператора, цель обработки, перечень ПДн, перечень действий, срок, способ отзыва.»

Ранее полученные согласия, оформленные до 01.09.2025, обратной силы не имеют: их переоформлять не требуется. Однако для новых пациентов с 01.09.2025 форма должна быть раздельной. Если клиника вносила изменения в шаблон ИДС после этой даты и включила туда пункт о ПДн — документ не соответствует требованиям.

Шаг 4. Настройте обработку данных в МИС и ЕГИСЗ

Медицинская информационная система (МИС) — основной инструмент обработки спецкатегорий ПДн в клинике. Требования к её защите определяются уровнем защищённости по ПП РФ №1119. Для МИС с данными о состоянии здоровья более 100 000 пациентов устанавливается УЗ-3 или выше. Конкретный уровень зависит от типа угроз и категории субъектов.

Для выполнения мер по Приказу ФСТЭК №21 клиника должна разработать модель угроз, реализовать технические меры защиты и вести журналы событий безопасности. Ответственный за организацию обработки ПДн назначается приказом по ст. 22.1 ФЗ-152.

ЕГИСЗ — государственная информационная система в сфере здравоохранения. Передача данных в ЕГИСЗ осуществляется в рамках исполнения обязанности оператора и не требует отдельного согласия пациента, если данные передаются в установленных законом целях охраны здоровья. Однако перечень передаваемых сведений должен быть зафиксирован в политике обработки ПДн и регламенте взаимодействия с ЕГИСЗ.

«Ст. 19 ФЗ-152 и ПП РФ №1119 — оператор обязан реализовать организационные и технические меры защиты ПДн, соответствующие установленному уровню защищённости. Для спецкатегорий — минимум УЗ-3.»

Если в клинике МИС подключена к ЕГИСЗ, а договора с вендором МИС об обработке ПДн по поручению нет — это нарушение п. 3 ст. 6 ФЗ-152. РКН фиксирует это при первой же проверке. Юристы DATUM подготовят полный пакет ОРД, включая договор с обработчиком и политику для ЕГИСЗ.

Собрать ОРД под ключ

Шаг 5. Подготовьте план реагирования на утечку

Если в МИС произошёл инцидент — несанкционированный доступ, кража базы, ошибочная рассылка медицинских данных — у клиники 24 часа на первичное уведомление Роскомнадзора. Это требование ч. 3.1 ст. 21 ФЗ-152 и Приказа РКН №187 от 14.11.2022. Через 72 часа — отчёт о результатах внутреннего расследования. Сроки не восстанавливаются.

Штраф за неуведомление об утечке — 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП. Штраф за саму утечку — от 3 до 15 млн ₽ в зависимости от числа пострадавших субъектов (ч. 12–14 ст. 13.11). При повторной утечке включается оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, не менее 20 млн ₽.

«Ч. 3.1 ст. 21 ФЗ-152 и Приказ РКН №187 — первичное уведомление об инциденте: 24 часа. Отчёт о расследовании: 72 часа. Оба срока отсчитываются с момента обнаружения инцидента.»

Регламент реагирования должен быть утверждён приказом и содержать: порядок обнаружения и фиксации инцидента, цепочку эскалации, шаблон первичного уведомления РКН, порядок взаимодействия с вендором МИС, критерии определения масштаба утечки.

Как это работает на практике: два сценария для клиники

Сценарий 1 — утечка через МИС. Частная клиника (Сибирский ФО, лето 2025) обнаружила, что база пациентов с диагнозами — около 15 000 записей — оказалась доступна через незакрытый API вендора МИС. Главврач был уведомлён IT-службой через 6 часов после обнаружения. Первичное уведомление в РКН направлено за 19 часов, отчёт — через 68 часов. РКН возбудил дело по ч. 13 ст. 13.11 КоАП (утечка от 10 000 до 100 000 субъектов — штраф 5–10 млн ₽). В арбитражном суде клиника представила доказательства оперативного реагирования и договор с вендором МИС с условием об ответственности за защиту данных. Штраф снижен до минимального предела. Уголовное дело по ст. 272.1 УК возбуждено в отношении сотрудника вендора.

Сценарий 2 — проверка РКН без утечки. Сеть стоматологических клиник (Центральный ФО, начало 2026) получила уведомление о плановой проверке РКН. Политика обработки ПДн на сайте отсутствовала (нарушение ч. 2 ст. 18.1 ФЗ-152). Согласия пациентов были оформлены совместно с ИДС. Ответственный за обработку ПДн не назначен. По итогам проверки — протоколы по ч. 3 (штраф 30–60 тыс. ₽), ч. 2 (штраф 300–700 тыс. ₽) и ч. 1 ст. 13.11 (штраф 150–300 тыс. ₽). Совокупная сумма штрафов оказалась сопоставима с годовым бюджетом на ИБ, которого в клинике не существовало.

Частые вопросы

1. Чем отличается ИДС от согласия на обработку ПДн?

Информированное добровольное согласие по ст. 20 ФЗ-323 — это согласие пациента на конкретное медицинское вмешательство. Согласие на обработку ПДн по ст. 9 ФЗ-152 — это разрешение клинике собирать, хранить и использовать персональные данные пациента. Это два разных документа с разными правовыми основаниями, разным перечнем обязательных реквизитов и разными последствиями отзыва. С 01.09.2025 по ФЗ-156 они не могут быть объединены в один документ.

2. Можно ли публиковать фотографии «до и после» с согласия пациента?

Фотография лица пациента — биометрические ПДн по ст. 11 ФЗ-152. Публикация в открытых источниках — распространение ПДн, требующее отдельного согласия по ст. 10.1 ФЗ-152. Если изображение раскрывает диагноз или медицинскую процедуру, оно также попадает под спецкатегорию по ст. 10 ФЗ-152. Необходимо отдельное письменное согласие с указанием конкретных платформ и способов использования. Общее согласие в договоре на оказание услуг недостаточно.

3. Кто отвечает за утечку через МИС — клиника или вендор?

Клиника как оператор ПДн несёт ответственность перед РКН и субъектами данных вне зависимости от того, где произошла утечка — в её инфраструктуре или у вендора МИС. Вендор действует как лицо, осуществляющее обработку по поручению оператора (п. 3 ст. 6 ФЗ-152), и обязан обеспечить защиту по условиям договора поручения. Если такого договора нет или он не содержит требований к защите — это самостоятельное нарушение со стороны клиники, фиксируемое РКН при проверке.

4. Какие данные клиника обязана передавать в ЕГИСЗ?

Перечень сведений, передаваемых в ЕГИСЗ, определяется нормативными актами Минздрава в рамках ФЗ-323. Обработка данных в государственных информационных системах здравоохранения осуществляется без отдельного согласия пациента, если это прямо предусмотрено законом. Однако клиника обязана указать ЕГИСЗ как получателя данных в политике обработки ПДн и уведомлении в реестре РКН. Передача сверх установленного перечня — нарушение принципа минимизации по ст. 5 ФЗ-152.

5. Что грозит клинике за утечку медицинских данных?

За утечку медицинских данных одновременно могут применяться несколько составов. Административная ответственность по ст. 13.11 КоАП: ч. 12–14 — от 3 до 15 млн ₽ в зависимости от числа субъектов; ч. 15 — оборотный штраф 1–3% выручки при повторном нарушении. Уголовная ответственность по ст. 272.1 УК РФ с 11.12.2024 — до 10 лет лишения свободы по ч. 5 при тяжких последствиях. Дополнительно — гражданские иски пациентов о компенсации морального вреда.

6. Обязательно ли назначать ответственного за обработку ПДн?

Да. Статья 22.1 ФЗ-152 обязывает каждого оператора-юрлицо назначить лицо, ответственное за организацию обработки ПДн. Назначение оформляется приказом руководителя. Ответственный не обязан быть штатным юристом, но должен разбираться в требованиях 152-ФЗ и иметь полномочия для взаимодействия с РКН. Отсутствие назначенного ответственного — самостоятельное нарушение, фиксируемое при проверке.

Итог

Медицинская организация работает одновременно с тремя правовыми режимами: ФЗ-152 (обработка ПДн), ФЗ-323 (врачебная тайна и ИДС), требования ЕГИСЗ. Каждый из них формирует отдельный пласт документации. Смешение ИДС и согласия на ПДн, отсутствие договора с вендором МИС, неактуальное уведомление в реестре РКН — это три наиболее частые точки входа для протокола по ст. 13.11 КоАП.

DATUM сопровождает медицинские организации по 152-ФЗ: от аудита документации и разработки пакета ОРД до представления интересов в РКН при проверке. Специализация аналитика практики по медицине — МИС, ЕГИСЗ, врачебная тайна, согласия пациентов.

Услуги DATUM по теме

Смотрите также

ОН
Ольга Нечаева
Аналитик · Медицина и образование
Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна.

3 ноября 2028 года