Перейти к содержанию
инструкция 16 февраля 2029 По состоянию на 16 февраля 2029

Кейс Гемотест: штраф 60 000 ₽ за утечку

Штраф 60 000 ₽ по ч. 1 ст. 13.11 КоАП — это уровень санкций до реформы ФЗ-420. С 30.05.2025 за утечку медицинских спецданных от 1 000 субъектов грозит от 3 до 20 млн ₽.
Кейс Гемотест 2022 года показал: лабораторные данные пациентов — это спецкатегория по ст. 10 ФЗ-152 и врачебная тайна по ст. 13 323-ФЗ одновременно. Несовпадение режимов создаёт двойной риск для медорганизации.
Если вы главный врач и МИС вашей клиники подключена к ЕГИСЗ — пройдите 6 шагов ниже до следующей плановой проверки РКН. →

В 2022 году лаборатория Гемотест столкнулась с утечкой данных пациентов. Мировой суд назначил штраф 60 000 ₽ по ч. 1 ст. 13.11 КоАП в редакции, действовавшей до ФЗ-420. Сумма кажется небольшой — но дело не в цифре. Дело в том, что медицинские данные относятся к специальным категориям, и с 30.05.2025 за их утечку действуют принципиально иные санкции. Эта инструкция — пошаговый разбор того, что нужно сделать главному врачу, чтобы не оказаться в ситуации Гемотеста, но с оборотным штрафом.

Почему медицинские данные опаснее обычных персональных?

Состояние здоровья пациента — специальная категория персональных данных по ст. 10 ФЗ-152. Это означает, что её обработка по умолчанию запрещена, кроме прямо указанных исключений: письменное согласие субъекта, защита жизни при невозможности получить согласие, медицинская деятельность при соблюдении врачебной тайны.

«Ст. 10 ФЗ-152 — специальные категории ПДн, включая сведения о состоянии здоровья. Обработка запрещена, кроме случаев, предусмотренных ч. 2 этой же статьи.»

Параллельно действует ст. 13 Федерального закона № 323-ФЗ «Об основах охраны здоровья граждан»: сведения о факте обращения за медицинской помощью, диагнозе и результатах обследования — врачебная тайна. Её разглашение влечёт уголовную ответственность по ст. 137 УК РФ (до двух лет лишения свободы по базовому составу) и гражданско-правовую ответственность перед пациентом.

В кейсе Гемотест утекли данные о пациентах лаборатории: ФИО, даты рождения, адреса, информация о заказанных анализах. Это одновременно и ПДн по 152-ФЗ, и медицинская информация по 323-ФЗ. Мировой суд квалифицировал нарушение по ч. 1 ст. 13.11 КоАП (старая редакция) и назначил 60 000 ₽. В редакции с 30.05.2025 тот же объём утечки (если затронуто более 1 000 субъектов) квалифицируется по ч. 12 ст. 13.11 — штраф от 3 до 5 млн ₽.

Шаг 1. Определите, какие категории ПДн вы обрабатываете

Медорганизация, как правило, работает с тремя категориями одновременно. Первая — общие ПДн: ФИО, дата рождения, адрес, телефон, СНИЛС, полис ОМС. Вторая — специальные категории по ст. 10 ФЗ-152: диагнозы, результаты анализов, сведения о лечении. Третья — биометрические ПДн по ст. 11 ФЗ-152: фотография лица (в карточке пациента), отпечаток пальца (в СКУД), генетические данные (в лабораторных исследованиях).

Что подготовить на этом шаге

  • Реестр информационных систем, где хранятся ПДн пациентов (МИС, ЕГИСЗ, 1С, CRM, почта)
  • Перечень категорий ПДн для каждой системы — общие, специальные, биометрические
  • Матрицу ролей доступа: кто из персонала видит медицинские данные
  • Действующие формы согласий пациентов с датами последнего обновления

Практический ориентир: если в МИС хранится хотя бы один диагноз или результат анализа — вы работаете со спецкатегорией. Режим защиты для неё строже: письменное согласие с обязательными реквизитами по ст. 9 ФЗ-152, уровень защищённости не ниже УЗ-3 по ПП РФ № 1119.

Шаг 2. Проверьте основания обработки спецкатегорий

Для специальных категорий ПДн не достаточно общего основания «исполнение договора» по п. 5 ч. 1 ст. 6 ФЗ-152. Требуется одно из оснований, перечисленных в ч. 2 ст. 10 ФЗ-152. Для медорганизации актуальны два: письменное согласие субъекта (п. 1) и осуществление медицинской деятельности при условии соблюдения врачебной тайны (п. 4).

Согласие на обработку медицинских ПДн — это не то же самое, что информированное добровольное согласие (ИДС) на медицинское вмешательство по ст. 20 323-ФЗ. Это два разных документа с разными реквизитами и разными правовыми режимами. ИДС регулирует допуск к лечению; согласие на ПДн — обработку персональных данных. Объединять их в один документ — ошибка, которую РКН фиксирует при проверках.

«С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие на обработку ПДн оформляется отдельным документом. Его нельзя включать в договор, политику или ИДС.»

Проверьте действующие формы: если согласие на ПДн является частью договора на медицинские услуги или ИДС — это нарушение требований ст. 9 ФЗ-152 в редакции с 01.09.2025, которое влечёт штраф по ч. 2 ст. 13.11 КоАП от 300 000 до 700 000 ₽.

Согласия пациентов объединены с договором на услуги?

С 01.09.2025 это нарушение ст. 9 ФЗ-152 (ФЗ-156). Штраф по ч. 2 ст. 13.11 КоАП — от 300 000 до 700 000 ₽ за каждый факт. Юристы DATUM проведут аудит форм и подготовят отдельные согласия под требования закона.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Установите уровень защищённости МИС по ПП РФ № 1119

Уровень защищённости информационной системы персональных данных (ИСПДн) определяется пересечением трёх параметров: категории ПДн, типа актуальных угроз и числа субъектов. Для медорганизации, обрабатывающей спецкатегории более чем 100 000 пациентов, минимальный уровень — УЗ-2. Для меньшего числа пациентов — УЗ-3.

УЗ-3 требует назначения ответственного за обработку ПДн, разработки модели угроз, внедрения не менее 14 организационных и технических мер из Приказа ФСТЭК № 21, а также ведения журнала событий безопасности. Разрыв между тем, что формально написано в политике, и реальным состоянием МИС — основная причина, по которой проверки РКН заканчиваются предписаниями.

В кейсе с Гемотест данные утекли из производственной системы. Вопрос о соответствии уровня защищённости заявленному в документах — это первое, что проверяет инспектор при внеплановом визите после инцидента.

Шаг 4. Проверьте подключение к ЕГИСЗ и основания передачи данных

Единая государственная информационная система в сфере здравоохранения (ЕГИСЗ) обязывает медорганизации передавать ряд сведений о пациентах в федеральные регистры. Перечень передаваемых данных закреплён подзаконными актами Минздрава. Важно: передача данных в ЕГИСЗ — это отдельное действие по обработке ПДн, требующее собственного правового основания.

Если медорганизация получила согласие пациента на обработку ПДн «в целях оказания медицинской помощи», но не указала явно передачу данных в государственные информационные системы — у неё нет основания для этой конкретной операции. Суды при разборе подобных дел квалифицируют такую передачу как нарушение ч. 1 ст. 13.11 КоАП.

«Ст. 6 ФЗ-152 — обработка ПДн допустима при наличии одного из 11 оснований, в том числе согласия (п. 1) или исполнения обязанностей оператора, предусмотренных законодательством РФ (п. 2).»

Телемедицина создаёт дополнительный риск: при консультации пациента из-за рубежа видеозапись и медицинские данные могут уйти на зарубежные серверы. Это трансграничная передача спецкатегорий, требующая уведомления РКН по ст. 12 ФЗ-152 и наличия отдельного правового основания.

Шаг 5. Выстройте процедуру реагирования на инцидент

Если в МИС произошла утечка — у медорганизации есть 24 часа на первичное уведомление РКН (ч. 3.1 ст. 21 ФЗ-152) и 72 часа на отчёт о результатах внутреннего расследования по Приказу РКН № 187 от 14.11.2022. Оба срока отсчитываются с момента обнаружения факта инцидента, а не с момента подтверждения его масштаба. Срок не восстанавливается.

Неуведомление или несвоевременное уведомление — штраф от 1 до 3 млн ₽ по ч. 11 ст. 13.11 КоАП. Это отдельный состав, он накапливается поверх штрафа за саму утечку.

В первичном уведомлении необходимо указать: дату и время обнаружения инцидента, предварительную оценку числа затронутых субъектов, категорию данных, предположительные причины и принятые меры. Типичная ошибка — ждать завершения внутреннего расследования, прежде чем уведомлять. Закон не требует полной картины для первичного уведомления.

Если главный врач обнаружил признаки утечки из МИС — 24 часа на уведомление РКН. Срок не восстанавливается. Юристы DATUM возьмут реагирование на себя: уведомление, расследование, отчёт за 72 часа.

Реагировать на утечку

Шаг 6. Подготовьте ОРД для медорганизации

Организационно-распорядическая документация (ОРД) по 152-ФЗ для медорганизации включает не менее 12 обязательных документов: политику обработки ПДн с разделами о спецкатегориях, отдельные согласия пациентов по ст. 9, приказ о назначении ответственного по ст. 22.1, регламент реагирования на инциденты, модель угроз, журнал учёта запросов субъектов, приказ об уровнях доступа к МИС и другие. Отсутствие любого из них — самостоятельное основание для протокола.

Политика конфиденциальности на сайте клиники — отдельный документ. Она должна быть опубликована и содержать разделы, предусмотренные ч. 2 ст. 18.1 ФЗ-152. Отсутствие политики или её неполнота — штраф по ч. 3 ст. 13.11 КоАП от 30 000 до 60 000 ₽. Штраф небольшой, но инспектор РКН видит его как индикатор общего уровня комплаенса.

Как применяются эти шаги на практике

Кейс 1. Частная клиника (Приволжский ФО, осень 2025) прошла внеплановую проверку РКН после жалобы пациента на передачу его данных страховой компании без согласия. Инспектор обнаружил три нарушения: согласие на ПДн было встроено в договор на медицинские услуги (нарушение ч. 2 ст. 13.11), передача данных в страховую не имела отдельного основания (ч. 1 ст. 13.11), политика на сайте отсутствовала (ч. 3 ст. 13.11). Общий штраф составил несколько сотен тысяч рублей. После подключения юристов на стадии обжалования два протокола были прекращены в связи с устранением нарушений.

Кейс 2 (Гемотест, публичный, case_02_gemotest). Лаборатория Гемотест получила штраф 60 000 ₽ в 2022 году по ч. 1 ст. 13.11 КоАП в редакции, действовавшей до ФЗ-420. Та же утечка, случившаяся после 30.05.2025, при числе пострадавших субъектов от 10 000 квалифицировалась бы по ч. 13 ст. 13.11 — штраф от 5 до 10 млн ₽. При повторности — оборотный штраф по ч. 15: от 1 до 3% совокупной годовой выручки, но не менее 20 млн ₽.

Услуги DATUM по теме

Частые вопросы

1. Чем отличается ИДС от согласия на ПДн?

Информированное добровольное согласие (ИДС) на медицинское вмешательство регулируется ст. 20 Федерального закона № 323-ФЗ и допускает проведение конкретной медицинской процедуры. Согласие на обработку персональных данных регулируется ст. 9 ФЗ-152 и разрешает оператору совершать определённые действия с ПДн субъекта. С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие на ПДн оформляется отдельным документом. Объединять ИДС и согласие на ПДн в один документ запрещено — это разные режимы с разными реквизитами и разными правовыми последствиями.

2. Можно ли публиковать фото «до — после» с согласия пациента?

Публикация фотографий «до — после» затрагивает одновременно несколько режимов: изображение лица — биометрические ПДн по ст. 11 ФЗ-152, а публикация — распространение ПДн, требующее отдельного согласия по ст. 10.1 ФЗ-152. Кроме того, если на фото угадываются сведения о состоянии здоровья — это ещё и спецкатегория по ст. 10 ФЗ-152. Нужны три отдельных основания: согласие на обработку биометрии (письменное), согласие на распространение по ст. 10.1, и согласие на распространение спецкатегорий. Дефолтное молчание по ст. 10.1 означает запрет публикации.

3. Кто отвечает за утечку через МИС?

Оператором ПДн является медорганизация — клиника, больница, лаборатория. Она несёт административную ответственность по ст. 13.11 КоАП независимо от того, произошла ли утечка через её собственные серверы или через подрядчика, обслуживающего МИС. Если МИС предоставляет сторонняя компания, должен быть заключён договор поручения обработки ПДн по п. 3 ст. 6 ФЗ-152 с детальным описанием мер защиты. Отсутствие такого договора — самостоятельное нарушение.

4. Какие данные передавать в ЕГИСЗ?

Перечень сведений, передаваемых в ЕГИСЗ, определяется подзаконными актами Минздрава России по каждому федеральному регистру. Общий принцип: передаётся ровно тот объём данных, который необходим для конкретной цели конкретного регистра. Передача сверх установленного перечня — нарушение принципа минимизации по ст. 5 ФЗ-152. Важно: каждая операция передачи данных в ЕГИСЗ должна быть поименована в уведомлении РКН и в согласии пациента либо опираться на законное основание по п. 2 ч. 1 ст. 6 ФЗ-152 (исполнение обязанности, установленной законом).

5. Что грозит клинике за утечку медицинских данных?

С 30.05.2025 ответственность определяется масштабом утечки. Утечка от 1 000 до 10 000 субъектов — штраф от 3 до 5 млн ₽ (ч. 12 ст. 13.11 КоАП). От 10 000 до 100 000 субъектов — от 5 до 10 млн ₽ (ч. 13). Более 100 000 субъектов — от 10 до 15 млн ₽ (ч. 14). При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽, не более 500 млн ₽. Дополнительно — неуведомление РКН об инциденте в 24 часа влечёт отдельный штраф от 1 до 3 млн ₽ по ч. 11 ст. 13.11.

6. Нужно ли уведомлять РКН о МИС как об информационной системе?

Оператор обязан уведомить РКН о намерении осуществлять обработку ПДн до её начала — ст. 22 ФЗ-152. МИС, обрабатывающая данные пациентов, является информационной системой персональных данных, сведения о которой должны быть внесены в уведомление. Неуведомление или подача неполных сведений — штраф по ч. 10 ст. 13.11 КоАП от 100 000 до 300 000 ₽.

Итог

Кейс Гемотест — это не про 60 000 ₽. Это про то, что медицинские данные находятся на пересечении трёх режимов защиты одновременно: 152-ФЗ, 323-ФЗ и УК РФ. С 30.05.2025 финансовые последствия утечки выросли в 50–150 раз по сравнению с санкциями, которые получил Гемотест. Шесть шагов из этой инструкции — минимальный периметр защиты для любой медорганизации.

Юристы DATUM сопровождают медицинские организации в вопросах соответствия 152-ФЗ: от аудита МИС и формирования ОРД до подготовки к проверкам РКН и защиты при инцидентах с данными пациентов.

Смотрите также

ОН
Ольга Нечаева
Аналитик · Медицина и образование
Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна.

16 февраля 2029 года