инструкция 17 февраля 2029 По состоянию на 17 февраля 2029

Кейс штрафа клиники по 13.11 в 2026

Данные пациентов — специальная категория по ст. 10 ФЗ-152. За их утечку клиника платит от 3 до 15 млн ₽ по ч. 12–14 ст. 13.11 КоАП.

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420: 18 частей, оборотный штраф при повторности — до 500 млн ₽. Медицинские организации под особым риском: МИС, ЕГИСЗ, телемедицина создают множество точек утечки.

Если вы главный врач и в клинике произошёл инцидент с данными пациентов — у вас 24 часа на уведомление РКН. Ниже — пошаговый разбор реального сценария и алгоритм действий.

В 2026 году медицинская организация Центрального федерального округа столкнулась с утечкой данных через медицинскую информационную систему (МИС). Затронуто более 12 000 пациентов — диагнозы, контактные данные, результаты анализов. Регулятор возбудил дело по ч. 13 ст. 13.11 КоАП. Ниже — пошаговый анализ: где возникла ошибка, как развивались события и что нужно сделать иначе.

Шаг 1. Как данные пациентов квалифицируются по 152-ФЗ?

Диагнозы, сведения о состоянии здоровья, назначения и результаты исследований — специальная категория персональных данных по ст. 10 ФЗ-152. Их обработка по общему правилу запрещена, кроме случаев, прямо предусмотренных законом: прежде всего — медицинская деятельность на основании письменного согласия субъекта или в рамках врачебной тайны по ст. 13 ФЗ-323.

Информированное добровольное согласие (ИДС) по ст. 20 ФЗ-323 и согласие на обработку ПДн по ст. 9 ФЗ-152 — разные документы с разными реквизитами. ИДС подтверждает согласие на медицинское вмешательство. Согласие по ст. 9 ФЗ-152 — правовое основание для обработки персональных данных. Отсутствие второго при наличии первого не освобождает клинику от ответственности.

«Ст. 10 ФЗ-152 — сведения о состоянии здоровья, диагнозы, назначения образуют специальную категорию ПДн. Обработка допустима только при наличии письменного согласия субъекта или в рамках медицинской деятельности (п. 4 ч. 2 ст. 10). Ст. 13 ФЗ-323 — врачебная тайна охраняется даже после смерти пациента.»

Контактные данные (телефон, email, адрес) — общие ПДн. Однако в медицинской карте они неотделимы от диагноза: сам факт посещения клиники с определённым профилем уже раскрывает состояние здоровья. Суды и РКН квалифицируют такие записи как спецкатегорию в совокупности.

Шаг 2. Что произошло в клинике и где возникла уязвимость?

В разобранном кейсе утечка произошла через МИС: у одного из врачей были украдены учётные данные методом фишинга. Злоумышленник получил доступ к записям 12 400 пациентов — имена, даты рождения, диагнозы, телефоны, результаты анализов. База появилась на одном из теневых форумов.

Клиника обнаружила факт утечки спустя 11 дней — после обращения пациента, получившего от третьих лиц информацию о своём диагнозе. К этому моменту 24-часовой срок первичного уведомления РКН по ч. 3.1 ст. 21 ФЗ-152 был давно пропущен.

«Ч. 3.1 ст. 21 ФЗ-152 — при выявлении утечки оператор обязан уведомить РКН в течение 24 часов. Ещё через 48 часов (итого 72 часа) — направить отчёт о результатах внутреннего расследования. Порядок — Приказ РКН №187 от 14.11.2022.»

Дополнительно проверка РКН выявила: политика конфиденциальности клиники не обновлялась с 2021 года, согласия пациентов не содержали обязательных реквизитов по ч. 4 ст. 9 ФЗ-152, МИС не была включена в уведомление об обработке ПДн (ст. 22 ФЗ-152). Каждый из этих фактов — самостоятельный состав нарушения.

Клиника получила запрос РКН или есть признаки инцидента?

Если главный врач обнаружил нештатный доступ к МИС или ЕГИСЗ — у клиники 24 часа на первичное уведомление РКН. Этот срок не восстанавливается. Ошибка в первичном уведомлении сужает возможности защиты при последующем рассмотрении дела.

Подготовиться к проверке РКН

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Как РКН квалифицировал нарушения и какие части ст. 13.11 применил?

По итогам проверки регулятор составил протоколы по четырём составам:

Ч. 2 ст. 13.11 КоАП — обработка ПДн без надлежащего письменного согласия (нарушение требований к составу согласия по ст. 9 ФЗ-152). Штраф для юрлица — 300 000–700 000 ₽.
Ч. 3 ст. 13.11 КоАП — политика обработки ПДн не соответствовала требованиям ч. 2 ст. 18.1 ФЗ-152 (устаревшая редакция). Штраф — 30 000–60 000 ₽.
Ч. 11 ст. 13.11 КоАП — неуведомление РКН об утечке в установленный 24-часовой срок. Штраф для юрлица — 1 000 000–3 000 000 ₽.
Ч. 13 ст. 13.11 КоАП — утечка ПДн от 10 000 до 100 000 субъектов. Штраф — 5 000 000–10 000 000 ₽.

Совокупная санкция по всем четырём протоколам могла составить от 6,3 до 13,8 млн ₽. Клиника не имела истории предыдущих нарушений, что исключало применение оборотного штрафа по ч. 15, однако не освобождало от базовых санкций.

Шаг 4. Как клиника защищалась и что снизило штраф?

После составления протоколов клиника обратилась за юридическим сопровождением. Защита строилась на нескольких аргументах.

Первый аргумент: оперативное устранение нарушений. В течение недели после проверки клиника обновила политику обработки ПДн, переоформила согласия пациентов по актуальным требованиям, направила уведомление об изменении сведений в реестре операторов. Суд учёл это как смягчающее обстоятельство.

Второй аргумент: технические меры после инцидента. Клиника задокументировала внедрение двухфакторной аутентификации в МИС, журналирования доступа и сегментации сети. Это подтверждало, что организация приняла меры по недопущению повторного нарушения.

Третий аргумент: характер нарушения по ч. 11. Пропуск 24-часового срока был вызван объективной неопределённостью: клиника до 11-го дня не квалифицировала событие как утечку. Защита представила внутреннюю переписку и журналы МИС, подтверждающие момент обнаружения. Суд принял это как частичное смягчение по ч. 11, снизив штраф к нижней границе диапазона.

Итоговые штрафы по всем четырём составам составили около 6,5 млн ₽ — ближе к нижней границе по каждой части. Апелляция по ч. 13 не изменила результата: суд указал, что масштаб утечки (12 400 субъектов) не оставляет оснований для дальнейшего снижения.

Если в клинике МИС подключена к ЕГИСЗ, а согласия пациентов оформлены по старым шаблонам — это два самостоятельных основания для штрафа до 700 тыс. ₽ и 3 млн ₽. Проверьте документы до проверки РКН.

Заказать аудит 152-ФЗ

Шаг 5. Что нужно было сделать иначе: пошаговый алгоритм для клиники

Что подготовить главному врачу

Отдельное согласие пациента на обработку ПДн по ст. 9 ФЗ-152 с обязательными реквизитами — отличное от ИДС по ст. 20 ФЗ-323.
Актуальную политику обработки ПДн с разделами по ч. 2 ст. 18.1 ФЗ-152, опубликованную на сайте клиники.
Уведомление в реестре РКН (ст. 22 ФЗ-152) с указанием МИС как информационной системы и ЕГИСЗ как получателя ПДн.
Регламент реагирования на инциденты с ПДн: порядок фиксации, ответственный за уведомление РКН, шаблон первичного уведомления по Приказу РКН №187.
Технические меры в МИС: двухфакторная аутентификация, журналирование доступа к записям пациентов, ролевая модель с минимальными привилегиями.

Регламент реагирования — ключевой документ. Без него момент обнаружения инцидента не фиксируется, и клиника не может доказать, что 24-часовой отсчёт начался позже даты фактической утечки. В разобранном кейсе именно отсутствие регламента стоило клинике полного штрафа по ч. 11.

Передача данных в ЕГИСЗ — отдельная правовая ситуация. Согласие пациента на интеграцию с государственными информационными системами должно быть получено явно, а цели передачи — отражены в уведомлении РКН. Если клиника подключила МИС к ЕГИСЗ после подачи первоначального уведомления — потребуется обновление сведений в реестре.

Как это применяется на практике

Кейс 1. Частная клиника (Приволжский ФО, осень 2025): утечка записей 8 000 пациентов через взломанный личный кабинет врача в МИС. Клиника уведомила РКН через 19 часов после обнаружения, через 71 час направила отчёт. Штраф по ч. 12 ст. 13.11 (3–5 млн ₽) применён к нижней границе с учётом оперативности реагирования. Штраф по ч. 11 не назначен: сроки соблюдены. Главный врач инициировал процедуру замены наказания по ч. 1 ст. 4.1.2 КоАП, однако организация не относилась к микропредприятиям — ходатайство отклонено.

Кейс 2. Стоматологическая сеть (Уральский ФО, начало 2026): проверка РКН по индикатору риска — жалоба пациента. Выявлено: согласие на обработку ПДн включено в текст договора на оказание услуг, что с 01.09.2025 нарушает требования ФЗ-156 об отдельном документе. Протокол по ч. 2 ст. 13.11 (штраф 300–700 тыс. ₽). Юрист клиники переоформил согласия до рассмотрения дела. Суд снизил штраф к нижней границе, учитывая устранение нарушения до вынесения постановления.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка МИС, согласий пациентов, политики и реестра РКН по 38 пунктам
Комплект ОРД под ключ — согласия, политика, регламент реагирования, приказы для медицинской организации
Сопровождение проверок РКН — подготовка, представление интересов, обжалование предписания

Частые вопросы

1. Чем отличается ИДС от согласия на обработку ПДн?

Информированное добровольное согласие (ИДС) по ст. 20 ФЗ-323 — разрешение пациента на конкретное медицинское вмешательство. Согласие на обработку ПДн по ст. 9 ФЗ-152 — правовое основание для работы с персональными данными: сбора, хранения, передачи третьим лицам. Это разные документы с разными реквизитами. ИДС не заменяет согласие по 152-ФЗ и не освобождает клинику от ответственности по ст. 13.11 КоАП при его отсутствии.

2. Можно ли публиковать фото «до-после» с согласия пациента?

Публикация фото пациента — распространение персональных данных по ст. 10.1 ФЗ-152. Для этого нужно отдельное согласие на распространение — оно не объединяется с согласием на обработку и не может быть частью договора. Согласие должно содержать перечень ПДн, способы распространения, срок и указание на то, что дефолт молчания означает запрет публикации. Без такого согласия публикация фото — нарушение ч. 1 ст. 13.11 КоАП.

3. Кто отвечает за утечку через МИС — клиника или разработчик системы?

Ответственность оператора ПДн несёт клиника как организация, обрабатывающая данные пациентов. Если МИС предоставлена по договору поручения обработки (ст. 6 ФЗ-152), разработчик несёт ответственность перед клиникой по договору, но перед РКН и субъектами отвечает оператор — то есть клиника. Это подтверждается устоявшейся практикой: суды исходят из того, что оператор несёт ответственность за утечку через подрядчика.

4. Какие данные передавать в ЕГИСЗ и нужно ли на это отдельное согласие?

Состав данных для ЕГИСЗ определяется Приказом Минздрава о порядке ведения системы. Как правило, передаются данные о посещениях, диагнозах, назначениях и результатах исследований. Согласие пациента на передачу в государственные информационные системы здравоохранения должно быть отражено в согласии на обработку ПДн в качестве отдельного основания с указанием получателя. Если в уведомлении РКН ЕГИСЗ не указан как получатель — это нарушение ст. 22 ФЗ-152.

5. Что грозит клинике за утечку данных пациентов в 2026 году?

Размер штрафа зависит от числа затронутых субъектов: от 1 000 до 10 000 — 3–5 млн ₽ (ч. 12 ст. 13.11 КоАП), от 10 000 до 100 000 — 5–10 млн ₽ (ч. 13), свыше 100 000 — 10–15 млн ₽ (ч. 14). Дополнительно — штраф за неуведомление РКН в 24 часа: 1–3 млн ₽ по ч. 11. При повторном нарушении применяется оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽. Все нормы действуют в редакции ФЗ-420 от 30.11.2024 с 30.05.2025.

6. Когда применяется замена штрафа на предупреждение для клиники?

Замена штрафа на предупреждение по ст. 4.1.1 КоАП возможна для субъектов малого и среднего предпринимательства при первичном нарушении, отсутствии вреда и устранении нарушения. Не применяется к оборотным составам (ч. 15 и ч. 18 ст. 13.11). Для медицинских организаций, включённых в реестр МСП, это реальный инструмент: суды в 2025–2026 годах выносили предупреждения при первичных нарушениях по ч. 1–3 ст. 13.11 при условии исправления до рассмотрения дела.

Итог

Кейс клиники 2026 года демонстрирует типовую цепочку: уязвимость в МИС — утечка спецкатегории ПДн — пропуск 24-часового срока уведомления — совокупность штрафов на 6,5 млн ₽. Каждое звено этой цепочки устранимо до инцидента: отдельное согласие по ст. 9 ФЗ-152, актуальная политика, регламент реагирования, двухфакторная аутентификация в МИС.

Юристы DATUM сопровождают медицинские организации при проверках РКН, помогают оформить документацию под требования 152-ФЗ и защищают интересы клиник при оспаривании протоколов по ст. 13.11 КоАП.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, согласия пациентов, врачебная тайна, телемедицина.

17 февраля 2029 года