аналитика 4 февраля 2027 По состоянию на 4 февраля 2027

Информированное согласие (323-ФЗ) vs согласие на ПДн (152-ФЗ)

Два согласия — разные правовые режимы с разными последствиями за смешение.

Информированное добровольное согласие пациента регулируется ст. 20 323-ФЗ и защищает право на медицинское вмешательство. Согласие на обработку персональных данных — ст. 9 152-ФЗ и охраняет право на неприкосновенность частной жизни. Документы преследуют разные цели, имеют разные реквизиты и самостоятельны по юридической силе. С 01.09.2025 согласие на ПДн не может включаться в другие документы (ФЗ-156 от 24.06.2025). Смешение двух форм в одном бланке — основание для штрафа по ч. 2 ст. 13.11 КоАП в размере до 700 тыс. ₽.

→ Если в вашей клинике пациент подписывает единый бланк на медицинское вмешательство и обработку ПДн — это нарушение с 01.09.2025.

Юрист медицинской организации сталкивается с практической проблемой: в каком документе какое согласие брать, как их соотносить и что проверять при аудите. Ситуацию обострили поправки ФЗ-156 от 24.06.2025, действующие с 01.09.2025: требование об отдельном документе для согласия на ПДн разрушило привычную практику совместных бланков. В этом материале — нормативный разбор двух режимов, их отличия и практические сценарии для юриста, сопровождающего медицинскую организацию.

Что регулирует каждый из двух законов?

Федеральный закон 323-ФЗ «Об основах охраны здоровья граждан» устанавливает право пациента на информированное добровольное согласие на медицинское вмешательство. Ст. 20 323-ФЗ определяет: вмешательство допустимо только после добровольного согласия гражданина, полученного на основе полной информации о характере вмешательства, его рисках и альтернативах. Это согласие — разрешение на физическое действие в отношении человека.

Федеральный закон 152-ФЗ «О персональных данных» регулирует обработку сведений, относящихся к определённому или определяемому физическому лицу. Согласно ст. 3 152-ФЗ, персональные данные — любая информация о субъекте, а обработка включает сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление и уничтожение таких данных. Ст. 9 152-ФЗ устанавливает требования к согласию субъекта как одному из оснований для законной обработки.

«Ст. 9 152-ФЗ в редакции ФЗ-156 от 24.06.2025 (с 01.09.2025): согласие субъекта на обработку персональных данных оформляется отдельным документом, не объединённым с иными гражданско-правовыми документами, включая договоры, оферты, политики и медицинские формы. Обязательные реквизиты: ФИО и контактные данные субъекта, наименование оператора, цель обработки, перечень ПДн, перечень действий, срок действия согласия, способ отзыва.»

Ст. 10 152-ФЗ относит сведения о состоянии здоровья к специальным категориям персональных данных. Обработка специальных категорий по общему правилу запрещена — допускается только при наличии одного из оснований п. 2 ст. 10, в том числе явного согласия субъекта или необходимости оказания медицинской помощи. Это означает, что медицинская организация обрабатывает сведения о диагнозе, лечении и анамнезе пациента как спецкатегорию — и требования к правовому основанию для такой обработки строже, чем для общих ПДн.

В чём принципиальные отличия двух согласий?

Предмет согласия различается кардинально. Согласие по 323-ФЗ — разрешение на медицинское вмешательство: осмотр, обследование, операцию, введение препарата. Согласие по 152-ФЗ — разрешение на информационную операцию: обработку сведений о человеке. Первое касается тела пациента, второе — его данных.

Правовые последствия нарушения также разные. Отсутствие согласия по 323-ФЗ при проведении медицинского вмешательства влечёт уголовную и гражданско-правовую ответственность. Нарушение требований к согласию по 152-ФЗ — административную ответственность по ст. 13.11 КоАП. С 30.05.2025 ч. 2 ст. 13.11 КоАП в редакции ФЗ-420 устанавливает для юридических лиц штраф от 300 тыс. до 700 тыс. ₽ за обработку ПДн без согласия или с нарушением его реквизитов.

Срок действия согласий также не совпадает. Согласие по 323-ФЗ, как правило, оформляется на каждое вмешательство или курс лечения. Согласие на ПДн по 152-ФЗ действует до момента отзыва или до истечения указанного в нём срока. Отзыв согласия на обработку ПДн не прекращает медицинских обязательств организации и не отменяет уже проведённого лечения.

Возможность отзыва — ещё одно различие. Ст. 9 ч. 2 152-ФЗ предоставляет субъекту право отозвать согласие в любой момент. Медицинская организация обязана прекратить обработку или обезличить данные — за исключением случаев, когда обработка необходима для исполнения договора, для защиты жизни или законных интересов, для выполнения требований законодательства. Согласие по 323-ФЗ также отзываемо, однако последствия для пациента иные: он вправе отказаться от лечения, но принимает ответственность за последствия такого отказа.

Согласия пациентов объединены с медицинской формой?

Если в вашей клинике действуют бланки, где согласие на ПДн включено в согласие на медицинское вмешательство или в договор на оказание услуг, — с 01.09.2025 это нарушение ст. 9 152-ФЗ в редакции ФЗ-156. Штраф по ч. 2 ст. 13.11 КоАП для юридического лица — от 300 до 700 тыс. ₽. Срок для исправления не установлен, но проверка может начаться после первой же жалобы.

Заказать аудит 152-ФЗ

+7 (383) 310-38-76 · info@vitveteam.ru · Telegram

Как правильно выстроить систему согласий в медицинской организации?

С 01.09.2025 медицинская организация обязана иметь минимум два отдельных документа для пациента: форму информированного добровольного согласия по ст. 20 323-ФЗ и отдельную форму согласия на обработку ПДн по ст. 9 152-ФЗ. Объединение этих форм в один документ — нарушение требования об отдельном документе, введённого ФЗ-156.

При этом согласие на ПДн не заменяет и не дублирует медицинское. Они регулируют разные правоотношения и подписываются независимо друг от друга. Пациент вправе подписать согласие по 323-ФЗ, но отозвать согласие на ПДн — и организация обязана разграничить последствия каждого из этих действий.

Принципы обработки персональных данных по ст. 5 152-ФЗ требуют, чтобы цели обработки были конкретными и заявлены заранее, а объём обрабатываемых данных соответствовал этим целям. Медицинская организация как оператор ПДн обязана в форме согласия указать: цель — оказание медицинской помощи; перечень данных — ФИО, дату рождения, контакты, сведения о здоровье; действия — сбор, хранение, использование при лечении, передача в ЕГИСЗ при наличии подключения.

Что подготовить для разграничения двух согласий

Отдельный бланк согласия на обработку ПДн с обязательными реквизитами по ст. 9 152-ФЗ: ФИО, контакты пациента, наименование организации, цели, перечень ПДн, перечень действий, срок, способ отзыва.
Отдельная форма информированного добровольного согласия на медицинское вмешательство по ст. 20 323-ФЗ — с описанием вмешательства, рисков и альтернатив.
Политика обработки ПДн в свободном доступе (стенд, сайт) с разделом о спецкатегориях ПДн пациентов по ст. 10 152-ФЗ.
Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 152-ФЗ.
Регламент отзыва согласия пациентом с описанием последствий для каждого из двух документов.

Какие правовые основания для обработки ПДн пациентов кроме согласия?

Ст. 6 152-ФЗ устанавливает одиннадцать оснований для обработки ПДн. Согласие субъекта — лишь одно из них. Медицинская организация вправе обрабатывать ПДн без согласия пациента, если обработка необходима для исполнения договора на оказание медицинских услуг, стороной которого является пациент (п. 5 ч. 1 ст. 6 152-ФЗ), либо если обработка требуется для защиты жизни и здоровья при невозможности получить согласие (п. 6 ч. 1 ст. 6 152-ФЗ).

Для специальных категорий ПДн — сведений о состоянии здоровья — перечень оснований в п. 2 ст. 10 152-ФЗ строже. Одним из оснований служит обработка медицинскими организациями в целях профилактики, диагностики и лечения при условии соблюдения врачебной тайны по ст. 13 323-ФЗ. Это означает: медицинская организация может обрабатывать диагноз и историю болезни пациента без его отдельного согласия на ПДн — при условии, что обработка ведётся исключительно для медицинских целей и данные не передаются третьим лицам.

Однако на практике большинство медицинских организаций предпочитает брать согласие на ПДн вне зависимости от наличия иных оснований. Это создаёт доказательную базу при проверке РКН и снижает риски жалоб пациентов. Ключевое требование с 01.09.2025 — согласие оформляется отдельно, даже если оно не является единственным основанием для обработки.

Если юрист клиники выявил, что согласие на ПДн встроено в договор или медицинскую форму — это нарушение действует с 01.09.2025. Штраф по ч. 2 ст. 13.11 КоАП — от 300 до 700 тыс. ₽, повторно — от 1 до 1,5 млн ₽ по ч. 2.1. Аудит ОРД выявит все точки риска.

Заказать аудит 152-ФЗ

Типичные сценарии нарушений и стратегия действий

Сценарий 1. Единый бланк до и после 01.09.2025. Клиника использует форму, где раздел «Согласие на обработку персональных данных» расположен внутри информированного согласия на медицинское вмешательство. До 01.09.2025 это было формально допустимо при наличии всех реквизитов по ст. 9 152-ФЗ. После 01.09.2025 — нарушение требования об отдельном документе по ФЗ-156. Стратегия: разделить бланки, переоформить согласия от новых пациентов начиная с 01.09.2025. Ранее полученные согласия переоформлять не требуется — ФЗ-156 обратной силы не имеет.

Сценарий 2. Отзыв согласия на ПДн при продолжении лечения. Пациент подписал оба документа, затем отозвал согласие на обработку ПДн, ссылаясь на ч. 2 ст. 9 152-ФЗ. Клиника продолжает лечение на основании договора и ст. 20 323-ФЗ. Возникает вопрос: можно ли вести медицинскую карту? Ответ: да — обработка в рамках медицинской деятельности допускается по основанию п. 2 ст. 10 152-ФЗ без согласия. Согласие на ПДн в данном случае не является единственным правовым основанием, поэтому его отзыв не обязывает прекратить ведение медицинской документации.

Сценарий 3. Передача данных в ЕГИСЗ без отдельного согласия. Медицинская организация подключена к ЕГИСЗ и передаёт сведения о посещениях пациентов. Пациент не давал отдельного согласия на передачу. Основание для передачи — п. 4 ч. 1 ст. 6 152-ФЗ (исполнение полномочий органов власти) и нормы ФЗ о государственных информационных системах здравоохранения. Согласие пациента на такую передачу не требуется, если передача ведётся в объёме, установленном законом. Стратегия: проверить, что форма согласия на ПДн содержит только те цели и действия, за которые клиника несёт самостоятельную ответственность; передачу в ЕГИСЗ обосновать отдельным правовым основанием в политике.

Кейс 1. Частная клиника (Центральный ФО, осень 2025): при плановой проверке РКН инспектор установил, что форма согласия на ПДн была включена в раздел договора на оказание медицинских услуг. Организация получила предписание об устранении нарушения и протокол по ч. 2 ст. 13.11 КоАП. Штраф составил сотни тысяч рублей. Юрист клиники провёл разделение форм, представил обновлённый пакет ОРД — при рассмотрении дела суд учёл оперативность как смягчающее обстоятельство.

Кейс 2. Региональная медицинская сеть (Приволжский ФО, начало 2026): пациент обратился с жалобой в РКН на то, что его отзыв согласия на ПДн был проигнорирован — клиника продолжала обработку для маркетинговых рассылок. РКН возбудил дело по ч. 5 ст. 13.11 КоАП (невыполнение требования субъекта об уничтожении ПДн). Штраф — в диапазоне от 50 до 90 тыс. ₽. Юрист организации установил, что рассылки велись отдельным подрядчиком без актуального поручения на обработку. Нарушение связано с отсутствием разграничения целей в согласии: цель «маркетинговые коммуникации» не была выделена в отдельное согласие по ст. 10.1 152-ФЗ.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка пакета согласий, политики и ОРД медицинской организации
Комплект ОРД под ключ — подготовка отдельных форм согласий по ст. 9 и ст. 10.1 152-ФЗ
DPO-аутсорсинг — функция ответственного за обработку ПДн по ст. 22.1 на абонентском обслуживании

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 152-ФЗ обработка персональных данных — это любое действие или совокупность действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Для медицинской организации это означает: ведение медицинской карты, запись на приём, хранение результатов анализов, передача данных в страховую компанию — всё это обработка, требующая правового основания по ст. 6 или ст. 10 152-ФЗ.

2. На основании чего можно обрабатывать ПДн пациентов без согласия?

Ст. 10 ч. 2 п. 4 152-ФЗ допускает обработку специальных категорий ПДн (сведений о здоровье) медицинскими организациями в целях профилактики, диагностики и лечения при соблюдении врачебной тайны по ст. 13 323-ФЗ. Дополнительно ст. 6 ч. 1 п. 5 152-ФЗ допускает обработку для исполнения договора с пациентом. Согласие в таких случаях не является единственным основанием, однако на практике его продолжают брать для доказательной базы.

3. Что грозит за нарушение 152-ФЗ медицинской организации?

За обработку ПДн без надлежащего согласия или с нарушением его реквизитов — штраф по ч. 2 ст. 13.11 КоАП от 300 до 700 тыс. ₽ для юридического лица. При повторном нарушении — ч. 2.1 ст. 13.11, штраф от 1 до 1,5 млн ₽. За утечку специальных категорий ПДн (медицинских данных) — ч. 12–14 ст. 13.11 КоАП в зависимости от объёма субъектов: от 3 до 15 млн ₽. При повторной утечке — оборотный штраф по ч. 15 ст. 13.11: 1–3% годовой выручки, но не менее 20 млн ₽.

4. Нужно ли уведомлять РКН малому медицинскому бизнесу?

Да, если организация обрабатывает ПДн пациентов. Уведомление по ст. 22 152-ФЗ обязательно для всех операторов, кроме прямо указанных исключений. Медицинская организация как таковая в перечень исключений не включена. Уведомление подаётся через pd.rkn.gov.ru до начала обработки. Отсутствие уведомления — штраф по ч. 10 ст. 13.11 КоАП от 100 до 300 тыс. ₽ для юридического лица.

5. С какого возраста нужно согласие на ПДн пациента?

По общему правилу — с 18 лет. До достижения совершеннолетия согласие на обработку ПДн пациента подписывает законный представитель (родитель, опекун). Параллельно по ст. 20 323-ФЗ информированное согласие на медицинское вмешательство несовершеннолетний вправе подписывать самостоятельно с 15 лет (в ряде случаев — с 16) в соответствии с ч. 2 ст. 20 323-ФЗ. Таким образом, для пациента 15–17 лет согласие по 323-ФЗ подписывает он сам, а согласие на ПДн — его законный представитель.

Итог

Информированное согласие по 323-ФЗ и согласие на обработку ПДн по 152-ФЗ — самостоятельные правовые инструменты с разными субъектами защиты, разными реквизитами и разной ответственностью за нарушения. С 01.09.2025 их объединение в одном документе прямо запрещено ФЗ-156. Медицинская организация обязана вести два параллельных пакета документов и чётко разграничивать основания для каждого вида обработки.

Практика DATUM по сопровождению медицинских организаций в части 152-ФЗ включает разработку раздельных форм согласий, аудит пакета ОРД по новым требованиям ФЗ-156, а также сопровождение при проверках РКН, инициированных жалобами пациентов.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, обработка ПДн несовершеннолетних.

4 февраля 2027 года