инструкция 16 января 2029 По состоянию на 16 января 2029

Информированное добровольное согласие vs согласие на ПДн

Информированное добровольное согласие (ИДС) и согласие на обработку персональных данных — два разных документа с разными правовыми основаниями, сроками и реквизитами.

Смешение этих документов в одну форму создаёт нарушения сразу по двум законам: ст. 20 ФЗ-323 (врачебная тайна и ИДС) и ст. 9 ФЗ-152 (согласие на ПДн). Утечка медицинских данных из МИС квалифицируется как спецкатегория по ст. 10 ФЗ-152 — штраф от 3 до 15 млн ₽ по ч. 12–14 ст. 13.11 КоАП.

Если в вашей клинике одна форма на медицинский кабинет и на обработку ПДн — это нарушение ст. 9 ФЗ-152 в редакции с 01.09.2025. Читайте пошаговую инструкцию по разграничению.

С 01.09.2025 согласие на обработку персональных данных оформляется отдельным документом — его нельзя включать в договор, медицинскую карту или ИДС (ФЗ-156 от 24.06.2025). Для главного врача это означает пересмотр всего пакета документов, которые пациент подписывает при первом визите. Данная инструкция разбирает шесть шагов: от разграничения оснований до настройки МИС и порядка передачи данных в ЕГИСЗ.

Шаг 1. Разберитесь, чем ИДС отличается от согласия на ПДн

Информированное добровольное согласие регулируется ст. 20 ФЗ-323 «Об основах охраны здоровья граждан». Его цель — подтвердить, что пациент понял суть медицинского вмешательства и отказался от права не знать прогноз. ИДС не является документом о персональных данных — это медицинский документ с юридическими последствиями для лечебного процесса.

Согласие на обработку персональных данных регулируется ст. 9 ФЗ-152. Его цель — зафиксировать разрешение пациента на конкретные действия с его данными (сбор, хранение, передача третьим лицам) в конкретных целях. С 01.09.2025 это согласие не может быть частью другого документа.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025: согласие субъекта персональных данных оформляется отдельным документом. Включение согласия в договор, заявление или иной документ не допускается.»

Два документа подписываются одновременно при первичном приёме, но это разные листы с разными реквизитами. ИДС можно хранить в медицинской карте — согласие на ПДн хранится отдельно и относится к ОРД оператора персональных данных.

ИДС: основание — ст. 20 ФЗ-323; хранится в медкарте; регулирует медицинское вмешательство.
Согласие на ПДн: основание — ст. 9 ФЗ-152; хранится в пакете ОРД; регулирует обработку данных о пациенте.
Спецкатегория: сведения о состоянии здоровья — ст. 10 ФЗ-152; требуют отдельного согласия или иного законного основания из п. 2 ст. 10.

Шаг 2. Определите правовые основания для обработки медицинских данных

Данные о здоровье пациента относятся к специальным категориям по ст. 10 ФЗ-152. Их обработка по умолчанию запрещена — кроме случаев, прямо указанных в п. 2 той же статьи. Для медицинской организации актуальны два законных основания: письменное согласие пациента (подп. 1 п. 2 ст. 10) и необходимость охраны жизни или здоровья при невозможности получить согласие (подп. 5 п. 2 ст. 10).

Важно: обработка в целях установления диагноза и оказания медицинской помощи лицами, обязанными хранить врачебную тайну, также является самостоятельным основанием (подп. 4 п. 2 ст. 10 ФЗ-152). Это означает, что для ведения медицинской карты отдельное согласие на ПДн в части диагноза формально не требуется — достаточно основания из ст. 10. Однако согласие всё равно нужно для тех действий, которые выходят за рамки непосредственного лечения: передача в МИС, обмен данными с ЕГИСЗ, рассылки и напоминания.

«Ст. 13 ФЗ-323: сведения о факте обращения за медицинской помощью, состоянии здоровья и диагнозе составляют врачебную тайну. Разглашение допускается с письменного согласия пациента или на иных основаниях, прямо предусмотренных законом.»

Типовая ошибка — считать, что ИДС автоматически покрывает передачу данных в МИС или третьим лицам. Это не так: ИДС регулирует согласие на медицинское вмешательство, а не на обработку данных о нём.

В клинике одна форма «на всё» — согласие и ИДС совмещены?

С 01.09.2025 такая форма нарушает ст. 9 ФЗ-152. При проверке РКН это основание для протокола по ч. 2 ст. 13.11 КоАП — штраф до 700 000 ₽. Юристы DATUM проведут аудит документации клиники и соберут раздельный пакет ОРД по новым требованиям ФЗ-156.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Составьте отдельное согласие на ПДн с обязательными реквизитами

Согласие на обработку персональных данных пациента должно содержать реквизиты, установленные ч. 4 ст. 9 ФЗ-152: полное наименование медицинской организации, ФИО и контактные данные пациента, цели обработки, перечень персональных данных, перечень действий с данными, срок действия согласия, способ его отзыва. Для спецкатегорий по ст. 10 ФЗ-152 согласие оформляется в письменной форме.

Согласие на распространение персональных данных — например, публикация фото «до и после» на сайте клиники — регулируется ст. 10.1 ФЗ-152 и требует отдельного документа. Молчание пациента по умолчанию означает запрет на распространение. Отсутствие такого отдельного согласия при публикации фото влечёт нарушение ст. 10.1 и может квалифицироваться по ч. 1 ст. 13.11 КоАП.

Что подготовить: минимальный пакет для клиники

Отдельное согласие на обработку ПДн пациента (ст. 9 ФЗ-152, обязательные реквизиты по ч. 4)
Отдельное согласие на обработку спецкатегорий — данных о здоровье (подп. 1 п. 2 ст. 10 ФЗ-152, письменная форма)
ИДС по форме, установленной Минздравом (ст. 20 ФЗ-323) — отдельный медицинский документ
При публикации фото — отдельное согласие на распространение (ст. 10.1 ФЗ-152)
Политика обработки персональных данных клиники (ч. 2 ст. 18.1 ФЗ-152) — размещается на сайте

Срок хранения согласий на ПДн определяется целями обработки. По окончании цели данные уничтожаются или обезличиваются — требование ст. 21 ФЗ-152. Медицинская карта хранится по срокам, установленным Минздравом (обычно 25 лет для взрослых), но это не означает, что согласие на ПДн действует столь же долго автоматически.

Шаг 4. Как настроить МИС и передачу данных в ЕГИСЗ?

Медицинская информационная система (МИС) является информационной системой персональных данных (ИСПДн). Для неё определяется уровень защищённости по ПП РФ №1119 от 01.11.2012. Данные о здоровье — специальные категории; при числе субъектов свыше 100 000 МИС переходит в УЗ-2 или УЗ-1. Меры технической защиты — по Приказу ФСТЭК №21.

Передача данных в ЕГИСЗ (Единую государственную информационную систему в сфере здравоохранения) является обработкой ПДн. Правовое основание — ФЗ-323 и ведомственные приказы Минздрава. Пациент должен быть уведомлён о передаче данных в ЕГИСЗ: включите это в цели обработки в согласии на ПДн и в политику конфиденциальности клиники.

«Ч. 5 ст. 18 ФЗ-152: запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных граждан РФ осуществляются с использованием баз данных, расположенных на территории России.»

Если МИС работает через облачный сервис зарубежного поставщика или данные синхронизируются с иностранным сервером — это нарушение требования локализации ч. 5 ст. 18 ФЗ-152. Штраф по ч. 8 ст. 13.11 КоАП — от 1 до 6 млн ₽, при повторном нарушении — от 6 до 18 млн ₽ (ч. 9 ст. 13.11 КоАП).

Если в клинике МИС подключена к облачному сервису — проверьте локализацию до проверки РКН. Штраф за нарушение ч. 5 ст. 18 ФЗ-152 начинается от 1 млн ₽ по ч. 8 ст. 13.11 КоАП. Юристы DATUM подготовят клинику к проверке и проверят договоры с поставщиком МИС.

Подготовиться к проверке РКН

Шаг 5. Что делать при телемедицине и дистанционном приёме?

Телемедицинские консультации создают дополнительный слой обработки данных: видеозапись, история переписки, диагностические материалы. Каждый из этих элементов — персональные данные, часть из них — специальные категории. Согласие на ПДн должно прямо предусматривать обработку данных при телемедицинском приёме: видеосвязь, хранение записей, передача заключений.

При телемедицинском приёме пациент, находящийся за рубежом, инициирует передачу своих данных из другой страны. Если клиника хранит эти данные в российской базе — локализация соблюдена. Если для сессии используется иностранная платформа (хранение на зарубежных серверах) — возникает вопрос трансграничной передачи по ст. 12 ФЗ-152.

Для пациентов-несовершеннолетних согласие на ПДн подписывает законный представитель. Это касается как очного, так и телемедицинского приёма. В МИС фиксируйте данные представителя как лица, давшего согласие.

Шаг 6. Как реагировать на утечку из МИС?

Утечка данных из МИС — это инцидент с персональными данными спецкатегории. С момента обнаружения у клиники есть 24 часа на первичное уведомление РКН (ч. 3.1 ст. 21 ФЗ-152, Приказ РКН №187 от 14.11.2022). Через 72 часа — отчёт о результатах внутреннего расследования. Срок не восстанавливается.

Неуведомление или несвоевременное уведомление — отдельный состав по ч. 11 ст. 13.11 КоАП: штраф от 1 до 3 млн ₽. Утечка данных о здоровье от 1 000 до 10 000 пациентов — ч. 12 ст. 13.11 КоАП: от 3 до 5 млн ₽. При повторном нарушении — оборотный штраф по ч. 15 ст. 13.11 КоАП: 1–3% совокупной годовой выручки, не менее 20 млн ₽, не более 500 млн ₽.

«Ст. 272.1 УК РФ (введена ФЗ-421, действует с 11.12.2024): незаконные сбор, хранение, использование или передача компьютерной информации с персональными данными — до 10 лет лишения свободы (ч. 5, тяжкие последствия).»

При обнаружении признаков атаки на МИС: немедленно зафиксируйте время и характер инцидента, ограничьте доступ к скомпрометированному сегменту, уведомьте РКН в течение 24 часов, привлеките юристов для координации расследования и подготовки 72-часового отчёта.

Как применяется на практике

Кейс 1. Медицинская клиника (Центральный ФО, начало 2026) использовала единую форму, в которой ИДС и согласие на обработку ПДн были объединены в один документ. При плановой проверке РКН установил нарушение ч. 2 ст. 9 ФЗ-152 (отдельный документ) и отсутствие согласия на спецкатегорию по ст. 10 ФЗ-152. Клиника получила протокол по ч. 2 ст. 13.11 КоАП. До назначения штрафа клиника подготовила раздельные формы и предъявила их в суд — это стало основанием для снижения санкции до минимального значения. Урок: разделение документов до проверки существенно снижает итоговый размер штрафа.

Кейс 2. Сеть частных медицинских центров (Сибирский ФО, осень 2025) использовала МИС через облачного поставщика с серверами в Европе. Данные пациентов автоматически синхронизировались в зарубежное хранилище. По итогам внеплановой проверки РКН возбудил дело по ч. 8 ст. 13.11 КоАП о нарушении локализации. Главный врач обратился к юристам DATUM до заседания. Мигрировали МИС на российский хостинг, представили суду договор с российским поставщиком и акт о завершении миграции — штраф снижен до минимального диапазона.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка документации клиники по 38 пунктам, включая ИДС и согласия на ПДн
Комплект ОРД под ключ — раздельные согласия на ПДн и спецкатегорию, политика конфиденциальности, приказы для медицинской организации
Сопровождение проверок РКН — представление интересов при проверке, обжалование предписания

Частые вопросы

1. Чем отличается ИДС от согласия на ПДн?

ИДС — медицинский документ по ст. 20 ФЗ-323, подтверждающий осведомлённость пациента о медицинском вмешательстве. Согласие на ПДн — юридический документ по ст. 9 ФЗ-152, разрешающий клинике обрабатывать данные пациента в определённых целях. С 01.09.2025 они не могут быть объединены в одну форму. Это два разных документа с разными реквизитами, сроками и условиями отзыва.

2. Можно ли публиковать фото «до–после» с согласия пациента?

Публикация фото относится к распространению персональных данных по ст. 10.1 ФЗ-152. Для этого требуется отдельное согласие — оно не входит в ИДС и не входит в стандартное согласие на обработку ПДн. Согласие на распространение должно прямо указывать: площадку публикации, состав данных (фото, описание случая), цель (маркетинг, обучение) и срок действия. Молчание пациента — запрет на распространение.

3. Кто отвечает за утечку через МИС?

Ответственность несёт оператор персональных данных — медицинская организация, а не поставщик МИС. Поставщик может быть лицом, осуществляющим обработку по поручению (ст. 6 ФЗ-152), но перед субъектом и РКН отвечает оператор. Отсутствие надлежащего договора поручения с поставщиком МИС отягощает позицию клиники. По ч. 12–14 ст. 13.11 КоАП штраф составляет от 3 до 15 млн ₽ в зависимости от числа затронутых пациентов.

4. Какие данные передавать в ЕГИСЗ?

Состав данных для передачи в ЕГИСЗ определяется ФЗ-323 и приказами Минздрава. Как правило, это данные о медицинских вмешательствах, диагнозах, назначениях и выданных документах (справки, листки нетрудоспособности). Клиника обязана уведомить пациента о передаче данных в ЕГИСЗ — включите это в перечень целей обработки и в текст согласия на ПДн. Самостоятельно расширять состав передаваемых данных сверх установленного нельзя: это нарушение ст. 5 ФЗ-152 (принцип минимизации данных).

5. Что грозит клинике за утечку данных пациентов?

За утечку данных о здоровье — спецкатегории по ст. 10 ФЗ-152 — клинике грозят: штраф по ч. 12 ст. 13.11 КоАП (от 1 000 до 10 000 субъектов — 3–5 млн ₽), по ч. 13 (10 000–100 000 субъектов — 5–10 млн ₽), по ч. 14 (свыше 100 000 — 10–15 млн ₽). За несвоевременное уведомление РКН — дополнительно 1–3 млн ₽ по ч. 11. При повторной утечке — оборотный штраф по ч. 15: 1–3% выручки, не менее 20 млн ₽. Руководитель клиники рискует также уголовной ответственностью по ст. 272.1 УК при наличии умысла.

6. Нужно ли переоформлять старые согласия пациентов после 01.09.2025?

Согласия, полученные до 01.09.2025 в составе иного документа (договора, медкарты), остаются в силе, если они содержали все обязательные реквизиты ст. 9 ФЗ-152 на момент подписания. ФЗ-156 не имеет обратной силы в части ранее полученных согласий. Однако при переоформлении документации или при новом приёме пациента согласие нужно получить уже на отдельном бланке по новым требованиям.

Итог

ИДС и согласие на ПДн — самостоятельные документы с разными правовыми основаниями, реквизитами и последствиями нарушения. Их объединение в одну форму с 01.09.2025 является нарушением ст. 9 ФЗ-152 и основанием для штрафа до 700 000 ₽ по ч. 2 ст. 13.11 КоАП. Утечка медицинских данных из МИС — спецкатегория, штраф начинается от 3 млн ₽ и при повторном нарушении превращается в оборотный.

Практика DATUM включает аудит документации медицинских организаций, разработку раздельного пакета ОРД с учётом требований ФЗ-152, ФЗ-323 и подзаконных актов Минздрава, а также сопровождение проверок РКН в клиниках.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, обработка ПДн несовершеннолетних.

16 января 2029 года