Перейти к содержанию
аналитика 3 декабря 2026 По состоянию на 3 декабря 2026

Кейс проверки РКН в медицинской клинике

Медицинские данные пациентов — специальная категория по ст. 10 ФЗ-152, и Роскомнадзор проверяет клиники с повышенным вниманием: нарушение влечёт штраф от 3 до 15 млн ₽ по ч. 12–14 ст. 13.11 КоАП.
С 30.05.2025 действует обновлённая редакция ст. 13.11 КоАП (ФЗ-420 от 30.11.2024): 18 частей вместо семи, оборотный штраф при повторной утечке — от 1 до 3% выручки, не менее 20 млн ₽.
→ Если вы юрист клиники или медицинской сети и получили уведомление о проверке РКН — разберём порядок действий, типичные нарушения и исход реального кейса.

Роскомнадзор проводит плановые и внеплановые проверки медицинских организаций с 2021 года нарастающей интенсивностью. В 2024 году РКН зафиксировал 135 случаев компрометации баз данных с суммарным объёмом свыше 710 млн записей. Медицина устойчиво входит в топ отраслей по числу инцидентов: МИС, ЕГИСЗ, телемедицинские платформы, лаборатории с онлайн-результатами — каждая точка потенциально уязвима. В 2025 году появились новые инструменты давления: индикаторы риска, профилактические визиты и обязательный мораторий, который распространяется не на все виды проверок. Юрист, сопровождающий клинику, должен понимать каждый из этих инструментов до того, как инспектор появился на пороге.

Какие виды проверок РКН проводит в клиниках и чем они различаются?

Роскомнадзор проверяет операторов персональных данных в четырёх форматах: плановая документарная проверка, плановая выездная проверка, внеплановая проверка и профилактический визит.

Плановая проверка включается в ежегодный план, публикуемый на сайте РКН. Клиника вправе заблаговременно увидеть свой номер в реестре и подготовиться. Однако с 2022 года действует мораторий на плановые проверки для большинства субъектов МСП — он продлевался ежегодно. Крупные медицинские сети и федеральные клиники под мораторий не подпадают.

Внеплановая проверка назначается по жалобе субъекта персональных данных, по индикатору риска или по поручению прокуратуры. Именно она представляет наибольший практический интерес: уведомление поступает за 24 часа, времени на подготовку почти нет.

«Ст. 19.1 ФЗ-152 наделяет Роскомнадзор полномочиями по проведению государственного контроля в области обработки персональных данных, в том числе посредством документарных и выездных проверок, а также систематического наблюдения.»

Профилактический визит — относительно новый инструмент. Инспектор приходит без составления акта и протокола: цель — выявить нарушения и рекомендовать их устранение. Клиника вправе отказаться от визита, направив уведомление за три рабочих дня. Но отказ фиксируется и нередко становится триггером внеплановой проверки. Практика показывает: медицинские организации, принявшие визит и устранившие замечания, реже сталкиваются с последующим протоколом.

Индикаторы риска — перечень формальных признаков, при наступлении которых РКН вправе назначить внеплановую проверку без жалобы субъекта. Для медицинских организаций к таким индикаторам относятся: отсутствие в реестре операторов при наличии публичного сайта с формой сбора данных, публикация в открытом доступе информации, содержащей сведения о пациентах, несоответствие политики конфиденциальности требованиям ч. 2 ст. 18.1 ФЗ-152.

Получили уведомление о проверке РКН в клинике?

У медицинской организации после получения уведомления о внеплановой проверке есть менее суток на первичную подготовку. Отсутствие приказа об ответственном, устаревшая политика конфиденциальности или несогласованные согласия пациентов — каждый из этих фактов становится отдельным составом по ст. 13.11 КоАП. Юристы DATUM подготовят клинику к проверке, составят возражения на акт и при необходимости обжалуют предписание.

Подготовиться к проверке РКН

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Какие нарушения РКН выявляет при проверке медицинской организации?

Анализ проверочной практики 2023–2025 годов позволяет выделить шесть устойчивых нарушений, которые инспектор находит почти в каждой клинике.

Согласие пациента не соответствует ст. 9 ФЗ-152. Типичная ситуация: согласие встроено в договор на оказание медицинских услуг одним документом. С 01.09.2025 это прямое нарушение ФЗ-156: согласие на обработку персональных данных оформляется отдельным документом, не совмещается с договором, офертой или политикой. Нарушение квалифицируется по ч. 2 ст. 13.11 КоАП — штраф для юридического лица от 300 000 до 700 000 ₽.

Отсутствие уведомления в реестре операторов. Клиника обязана уведомить РКН о намерении обрабатывать персональные данные до начала обработки (ст. 22 ФЗ-152, Приказ РКН №180 от 28.10.2022). Форма подаётся через pd.rkn.gov.ru с УКЭП или через ЕСИА. Включение в реестр — в течение 30 дней. Неуведомление — ч. 10 ст. 13.11, штраф 100 000–300 000 ₽.

Политика конфиденциальности не соответствует ч. 2 ст. 18.1. В ней должны быть указаны: цели, правовые основания, состав обрабатываемых данных, порядок уничтожения, права субъекта, данные ответственного лица. Отсутствие хотя бы одного раздела — ч. 3 ст. 13.11, штраф 30 000–60 000 ₽. Незначительная сумма, но протокол фиксируется в деле и учитывается при повторных нарушениях.

Отсутствие приказа о назначении ответственного. По ст. 22.1 ФЗ-152 каждый оператор-юрлицо обязан назначить лицо, ответственное за организацию обработки персональных данных. Клиники регулярно забывают об этом требовании — или назначают ответственного устно, без приказа.

Передача данных в МИС и ЕГИСЗ без надлежащего поручения. Если клиника использует внешнюю МИС (медицинскую информационную систему) или передаёт данные в ЕГИСЗ, требуется договор-поручение на обработку персональных данных по п. 3 ст. 6 ФЗ-152 с фиксацией перечня действий, целей и требований к защите.

Обработка биометрических данных без письменного согласия. Ряд клиник использует системы контроля доступа по лицу (СКУД) или идентификацию пациентов по фотографии. Это биометрические персональные данные по ст. 11 ФЗ-152. Без письменного согласия каждого субъекта — нарушение ч. 16 ст. 13.11 КоАП.

Что подготовить перед проверкой РКН в клинике

  • Выписку из реестра операторов ПДн с pd.rkn.gov.ru с актуальными сведениями об обрабатываемых категориях данных и целях
  • Приказ о назначении ответственного за обработку ПДн (ст. 22.1 ФЗ-152) с подписью руководителя
  • Политику конфиденциальности со всеми обязательными разделами по ч. 2 ст. 18.1 ФЗ-152, опубликованную на сайте
  • Отдельные согласия пациентов на обработку персональных данных — в редакции с 01.09.2025 (ФЗ-156), не совмещённые с договором
  • Договоры-поручения с МИС, лабораториями, телемедицинскими платформами и иными обработчиками по п. 3 ст. 6 ФЗ-152

Как разворачивался кейс: внеплановая проверка частной клиники в 2025 году

Приведём обобщённое описание ситуации, типичной для практики DATUM в 2025 году.

Кейс 1. Многопрофильная частная клиника (Сибирский федеральный округ, весна 2025, ~15 000 пациентов в базе МИС). Поводом для внеплановой проверки стала жалоба пациента: он обнаружил свои анализы в открытом доступе через поиск — МИС допускала индексацию персональных страниц результатов без авторизации. РКН уведомил клинику за 24 часа. На момент проверки в организации: уведомление в реестре подано корректно; политика конфиденциальности опубликована, но не обновлялась с 2021 года; согласие пациента — единым документом вместе с договором на медицинские услуги; договора-поручения с МИС не существовало. По итогам проверки составлено три протокола: по ч. 1 ст. 13.11 (несовместимая обработка — индексация), по ч. 2 ст. 13.11 (ненадлежащее согласие), по ч. 3 ст. 13.11 (устаревшая политика). Юристы DATUM подключились после получения протоколов: представили возражения, доказали факт немедленного устранения нарушений и оперативного закрытия доступа. Суд снизил штраф по ч. 1 и ч. 3, применив смягчающие обстоятельства; по ч. 2 назначен штраф в нижней части диапазона. Совокупные санкции составили сумму в несколько сотен тысяч рублей вместо первоначально возможного максимума.

Кейс 2. Лабораторная сеть (Центральный федеральный округ, осень 2025, более 50 филиалов). Плановая выездная проверка по реестру — клиника не подпадала под мораторий. Проверялась вся цепочка обработки: от сайта с формой записи до передачи результатов в ЕГИСЗ. Выявлено: отсутствие письменных согласий на обработку биометрии в СКУД (камеры идентификации на входе), передача данных в ЕГИСЗ без зафиксированного поручения, журнал обращений субъектов не велся. По итогам выдано предписание об устранении в 30-дневный срок и составлены протоколы по ч. 2 (биометрия без письменного согласия) и ч. 5 ст. 13.11 (неисполнение требований субъекта, обратившегося с запросом ранее). Предписание исполнено в срок — повторная проверка не назначалась.

Если вы юрист клиники и получили акт проверки РКН — у вас 10 рабочих дней на возражения. Срок восстановлению не подлежит. Юристы DATUM оспорят протокол и снизят штраф в арбитраже.

Защитить от штрафа 13.11

Как применяются индикаторы риска и мораторий: что знать юристу клиники?

С 2023 года Роскомнадзор использует систему индикаторов риска для отбора субъектов к внеплановым проверкам. Перечень индикаторов для надзора в сфере персональных данных утверждён подзаконным актом РКН. Для медицинских организаций ключевые индикаторы: публичная доступность информации, содержащей сведения о здоровье; несоответствие политики обработки ПДн на сайте требованиям ст. 18.1; наличие сообщений в открытых источниках о компрометации базы данных.

Мораторий на плановые проверки, действовавший с 2022 года, ограничивает только плановые проверки субъектов МСП. На внеплановые проверки по жалобам, по индикаторам риска и по поручению прокуратуры мораторий не распространяется. Федеральные клинические центры, крупные сети и организации, работающие с государственными информационными системами (ЕГИСЗ, ЕМИАС), в реестр МСП не входят — для них плановые проверки проводятся в штатном режиме.

Приказ РКН №187 от 14.11.2022 регулирует порядок уведомления об инцидентах с персональными данными. Если в клинике произошла утечка — первичное уведомление направляется в РКН в течение 24 часов, отчёт о результатах внутреннего расследования — в течение 72 часов. Неуведомление квалифицируется по ч. 11 ст. 13.11 КоАП — штраф 1 000 000–3 000 000 ₽. Этот состав не охвачен мораторием и применяется независимо от размера организации.

«Ч. 11 ст. 13.11 КоАП (в ред. с 30.05.2025): неуведомление или несвоевременное уведомление РКН об инциденте с персональными данными — штраф для юридического лица от 1 000 000 до 3 000 000 ₽.»

Матрица сценариев: три ситуации для юриста медицинской организации

Сценарий 1. Жалоба пациента — внеплановая проверка назначена. Ситуация: пациент направил жалобу в РКН на то, что его диагноз был передан работодателю без согласия. РКН направил уведомление о внеплановой проверке за 24 часа. Доказательства: передача данных работодателю действительно была — по устной просьбе HR-отдела. Вероятный исход: протокол по ч. 1 ст. 13.11 (обработка в случаях, не предусмотренных законом) — штраф 150 000–300 000 ₽; протокол по ч. 2 (отсутствие согласия на такую передачу) — 300 000–700 000 ₽. Стратегия: до проверки — задокументировать факт прекращения передачи данных и уничтожения ранее переданных сведений; подготовить возражения с акцентом на однократность нарушения и устранение до составления акта; при наличии статуса МСП — рассмотреть применение ст. 4.1.1 КоАП (замена штрафа на предупреждение при первичности).

Сценарий 2. Публикация данных пациентов в открытом доступе — индикатор риска сработал. Ситуация: поисковик индексировал страницы с результатами анализов, доступными без авторизации. РКН выявил это через систему мониторинга и назначил внеплановую проверку по индикатору риска. Доказательства: сканирование поиска фиксирует кэшированные страницы. Вероятный исход: протокол по ч. 1 ст. 13.11, а при объёме более 1 000 субъектов — по ч. 12 ст. 13.11 (штраф 3 000 000–5 000 000 ₽). При повторном нарушении — оборотный штраф по ч. 15. Стратегия: немедленно закрыть доступ и направить требование поисковику об удалении из кэша; зафиксировать дату устранения; оценить число затронутых субъектов до получения акта — от этого зависит квалифицирующий состав.

Сценарий 3. Плановая проверка — предписание об устранении нарушений. Ситуация: клиника получила предписание с требованием в течение 30 дней переработать согласия пациентов, обновить политику и заключить договор-поручение с МИС. Нарушения не повлекли утечки. Доказательства: акт проверки с перечнем нарушений. Вероятный исход: при невыполнении предписания — ч. 5 ст. 13.11 КоАП (50 000–90 000 ₽), при повторном невыполнении — ч. 5.1 (300 000–500 000 ₽). Стратегия: выполнить предписание в срок и направить в РКН отчёт об устранении с приложением документов; если часть нарушений невозможно устранить за 30 дней — направить мотивированный запрос о продлении срока до истечения предписания; обжаловать предписание в арбитражном суде, если нарушения оспоримы по существу.

Услуги DATUM по теме

Частые вопросы

1. Как подготовиться к проверке РКН в медицинской клинике?

Начать нужно с проверки реестра операторов на pd.rkn.gov.ru: уведомление по ст. 22 ФЗ-152 должно быть подано, а сведения в нём — актуальны (состав данных, цели, сроки). Далее — проверить наличие приказа об ответственном по ст. 22.1, политики конфиденциальности с обязательными разделами по ч. 2 ст. 18.1, отдельных согласий пациентов по ФЗ-156 (с 01.09.2025) и договоров-поручений с МИС и иными обработчиками. Практика показывает, что клиники, устранившие ключевые нарушения до проверки, получают минимальные санкции или предписание без протокола.

2. Какие индикаторы риска применяет РКН к медицинским организациям?

Перечень индикаторов риска утверждён подзаконным актом РКН. Для медицины наиболее актуальны: публичная доступность сведений о пациентах через поисковые системы; несоответствие политики обработки ПДн на сайте организации требованиям ст. 18.1 ФЗ-152; отсутствие клиники в реестре операторов при наличии формы сбора данных на сайте; сообщения в открытых источниках о компрометации базы данных. Срабатывание индикатора — основание для внеплановой проверки без жалобы субъекта.

3. Можно ли отказаться отвечать на запрос РКН или не пустить инспектора?

От профилактического визита можно отказаться, направив уведомление за три рабочих дня. Отказ от внеплановой проверки, назначенной в установленном порядке, недопустим: воспрепятствование проведению проверки является самостоятельным административным нарушением по ст. 19.4.1 КоАП. Запросы РКН, направленные в рамках систематического наблюдения или документарной проверки, подлежат исполнению в установленный срок — как правило, 10 рабочих дней.

4. Что грозит за невыполнение предписания РКН?

Невыполнение требования РКН об уточнении, блокировании или уничтожении персональных данных в установленный срок квалифицируется по ч. 5 ст. 13.11 КоАП — штраф для юрлица 50 000–90 000 ₽. Повторное невыполнение — ч. 5.1 ст. 13.11, штраф 300 000–500 000 ₽. Помимо административной ответственности, неисполнение предписания может стать основанием для внеплановой проверки и усиленного контроля.

5. Куда обжаловать постановление РКН о назначении административного штрафа?

С 28.12.2025 (ФЗ-508) дела по ст. 13.11 КоАП рассматривают мировые судьи. Постановление обжалуется в районный суд в течение 10 суток с момента получения. При обжаловании имеет смысл заявить доводы о применении ст. 4.1 КоАП (инвестиции в ИБ ≥ 0,1% выручки за три года снижают оборотный штраф до 1/10 минимума) или ст. 4.1.1 КоАП (замена на предупреждение при первичности и отсутствии вреда для микропредприятий и СМП — не применяется к ч. 15 и ч. 18).

Итог

Проверка РКН в медицинской клинике — это прежде всего документарный аудит: инспектор сверяет уведомление в реестре операторов, согласия пациентов, политику конфиденциальности и договоры с обработчиками. Устранение этих четырёх блоков до проверки снижает риск протокола с нескольких сотен тысяч рублей до предписания. Если протокол уже составлен — профессиональное сопровождение на стадии возражений и судебного обжалования позволяет существенно снизить итоговую санкцию.

Практика DATUM включает сопровождение проверок РКН в медицинских организациях, подготовку полного пакета ОРД под требования ФЗ-152 и защиту интересов клиники в суде при оспаривании постановлений по ст. 13.11 КоАП.

Смотрите также

ОН
Ольга Нечаева
Аналитик · Медицина и образование
Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, ПДн несовершеннолетних.

3 декабря 2026 года