инструкция 21 января 2029 По состоянию на 21 января 2029

Лицензирование клиники и 152-ФЗ

Медицинская организация при получении лицензии обрабатывает данные о здоровье пациентов — специальную категорию по ст. 10 152-ФЗ. Нарушение влечёт штраф от 3 до 15 млн ₽ по ч. 12–14 ст. 13.11 КоАП.

Лицензирующий орган (Росздравнадзор, региональный орган) требует от клиники систему МИС, подключение к ЕГИСЗ и типовой пакет ОРД по 152-ФЗ. Отсутствие любого из элементов — основание для отказа в лицензии или предписания РКН.

→ Если вы главный врач и клиника готовится к лицензированию — проверьте соответствие 152-ФЗ до подачи документов, а не после первой проверки Роскомнадзора.

С 30.05.2025 нарушения в обработке ПДн пациентов стали финансово критичными: оборотный штраф за повторную утечку по ч. 15 ст. 13.11 КоАП — от 20 млн ₽. При этом лицензионные требования к медорганизациям фактически предполагают обработку спецкатегорий ПДн с первого дня работы. Ниже — пошаговый порядок приведения клиники в соответствие с 152-ФЗ в рамках процедуры лицензирования.

Шаг 1. Чем лицензирование клиники связано с 152-ФЗ?

Медицинская организация при оказании услуг собирает, хранит и передаёт данные о состоянии здоровья, диагнозах и курсе лечения пациентов. По ст. 10 152-ФЗ это специальная категория персональных данных. По общему правилу их обработка запрещена, кроме случаев, прямо перечисленных в ч. 2 ст. 10, — в частности, при наличии письменного согласия субъекта или при оказании медицинской помощи.

«Ст. 10 ФЗ-152 — специальные категории ПДн включают сведения о состоянии здоровья. Обработка допустима при наличии письменного согласия или в случаях, установленных законодательством об охране здоровья (ч. 2 п. 4).»

Лицензирующий орган при проверке документов для лицензии на медицинскую деятельность опосредованно затрагивает 152-ФЗ через требования к МИС и подключению к ЕГИСЗ. Роскомнадзор, в свою очередь, проводит самостоятельные плановые и внеплановые проверки операторов ПДн. Если клиника не внесена в реестр РКН или не имеет политики обработки — это отдельное нарушение, не зависящее от лицензионного статуса.

Ст. 13 Федерального закона № 323-ФЗ «Об основах охраны здоровья граждан» вводит понятие врачебной тайны — сведений о факте обращения за медицинской помощью, состоянии здоровья, диагнозе. Режим врачебной тайны и требования 152-ФЗ к специальным категориям ПДн действуют параллельно и не замещают друг друга.

Шаг 2. Как определить состав ПДн, которые обрабатывает клиника?

Перед подачей документов на лицензию и до регистрации в реестре РКН необходимо зафиксировать полный перечень обрабатываемых данных. Клиника, как правило, обрабатывает три уровня ПДн.

Первый уровень — общие категории: ФИО, дата рождения, адрес, телефон, данные документа, удостоверяющего личность, СНИЛС, полис ОМС/ДМС. Обработка на основании согласия по ст. 9 152-ФЗ или договора по п. 5 ч. 1 ст. 6 152-ФЗ.

Второй уровень — специальные категории по ст. 10 152-ФЗ: диагноз, анамнез, результаты исследований, карта вакцинации, медикаментозная терапия, психиатрический статус. Обработка — только при письменном согласии или на основании ч. 2 ст. 10 (медицинская помощь, обязательные медосмотры).

Третий уровень — биометрические ПДн по ст. 11 152-ФЗ: изображение лица для СКУД или телемедицины, голосовые данные при дистанционных консультациях. Обработка — только при письменном согласии, исключения ст. 11 не распространяются на добровольную биометрию вне ЕБС.

«Ст. 11 ФЗ-152 — биометрические ПДн обрабатываются исключительно при наличии письменного согласия субъекта, если иное не установлено федеральным законом.»

Клиника готовится к лицензированию — когда проверить 152-ФЗ?

Если главный врач подаёт документы на медицинскую лицензию, но состав ПДн и пакет ОРД ещё не проверены — любая последующая проверка РКН выявит нарушения, которые уже нельзя исправить задним числом. Юристы DATUM проведут аудит обработки ПДн клиники по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Что включить в пакет ОРД медицинской организации?

Организационно-распорядительная документация — обязательный элемент как для регистрации в реестре РКН, так и для прохождения лицензионной проверки. Отсутствие политики обработки ПДн на сайте клиники — самостоятельный состав по ч. 3 ст. 13.11 КоАП (штраф 30–60 тыс. ₽ для юрлица); при наличии у пациентов доступа через интернет-сервисы — основание для плановой проверки РКН.

Минимальный пакет ОРД для клиники включает: политику обработки ПДн с разделами по ч. 2 ст. 18.1 152-ФЗ (цели, основания, категории субъектов, меры защиты, передача третьим лицам); приказ о назначении ответственного за организацию обработки по ст. 22.1 152-ФЗ; отдельные согласия пациентов на обработку специальных категорий по ч. 1 ст. 10 152-ФЗ; отдельные согласия на распространение ПДн по ст. 10.1 152-ФЗ (если клиника публикует отзывы с именами); инструкции для сотрудников, имеющих доступ к МИС; договор поручения обработки ПДн с IT-подрядчиком (вендором МИС) по п. 3 ст. 6 152-ФЗ; регламент уведомления РКН об инциденте по Приказу РКН №187.

Что подготовить до регистрации в реестре РКН

Уведомление об обработке ПДн через pd.rkn.gov.ru (форма по Приказу РКН №180) с указанием спецкатегорий
Политику обработки ПДн с обязательными разделами по ч. 2 ст. 18.1 152-ФЗ — опубликовать на сайте клиники
Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 152-ФЗ
Шаблоны отдельных согласий на обработку спецкатегорий по ст. 10 и согласий по ст. 9 в редакции ФЗ-156 (с 01.09.2025 — отдельный документ)
Договор поручения обработки ПДн с вендором МИС и IT-подрядчиком

Шаг 4. Как подключить МИС и ЕГИСЗ без нарушения 152-ФЗ?

Медицинская информационная система (МИС) — основное место хранения ПДн пациентов. Подключение МИС к ЕГИСЗ (единой государственной информационной системе в сфере здравоохранения) предполагает передачу ПДн федеральному оператору — Минздраву России. С точки зрения 152-ФЗ это передача третьему лицу, которая должна быть обоснована правовым основанием.

Передача данных в ЕГИСЗ осуществляется на основании нормы законодательства об охране здоровья — ч. 2 п. 4 ст. 10 152-ФЗ (обработка в медицинских целях) и прямых требований 323-ФЗ о ведении медицинской документации. Тем не менее рекомендуется отразить факт передачи данных в ЕГИСЗ в политике обработки ПДн клиники и в информированном добровольном согласии (ИДС) пациента.

МИС, как правило, размещается на серверах вендора или в облачной инфраструктуре. Это означает поручение обработки ПДн третьему лицу по п. 3 ст. 6 152-ФЗ. Договор поручения должен содержать: перечень ПДн, цели и действия, обязанность соблюдать конфиденциальность, право клиники требовать уничтожения ПДн при расторжении, ответственность вендора за инциденты. При использовании облачной инфраструктуры за пределами РФ — дополнительно требуется уведомление РКН о трансграничной передаче по ст. 12 152-ФЗ.

«Ст. 12 ФЗ-152 — до начала трансграничной передачи ПДн в страну, не входящую в перечень стран с адекватной защитой, оператор обязан уведомить РКН и получить его решение об отсутствии запрета.»

Уровень защищённости ИСПДн медицинской организации по ПП РФ №1119 определяется категорией ПДн (специальные), типом угроз и числом субъектов. При числе субъектов более 100 000 и специальных категориях — УЗ-2 или выше, что требует реализации мер по Приказу ФСТЭК №21, включая ведение журналов событий, антивирусную защиту и управление доступом к МИС.

Если МИС размещена у вендора или в облаке — договор поручения обработки ПДн обязателен по п. 3 ст. 6 152-ФЗ. Без него клиника отвечает за все действия вендора с данными пациентов. Юристы DATUM подготовят пакет договорной документации и проверят соответствие МИС требованиям 152-ФЗ.

Заказать аудит 152-ФЗ

Шаг 5. Как оформить согласия пациентов с учётом 152-ФЗ и 323-ФЗ?

В медицинской практике существуют два разных правовых документа, которые часто путают. Первый — информированное добровольное согласие на медицинское вмешательство (ИДС) по ст. 20 323-ФЗ. Второй — согласие на обработку персональных данных по ст. 9 152-ФЗ. Это самостоятельные документы с разными реквизитами, целями и правовыми последствиями.

ИДС регулирует право пациента принять или отказаться от конкретного медицинского вмешательства. Согласие по 152-ФЗ регулирует право пациента разрешить клинике обрабатывать его персональные данные. После 01.09.2025 (ФЗ-156 от 24.06.2025) согласие на обработку ПДн не может быть включено в договор, политику или ИДС — оно оформляется отдельным документом.

Обязательные реквизиты согласия на обработку ПДн по ст. 9 152-ФЗ: ФИО субъекта, контактные данные, наименование оператора, цель обработки, перечень ПДн, перечень действий с ПДн, срок действия согласия, способ отзыва. Для спецкатегорий (данные о здоровье) — дополнительно письменная форма по ч. 1 ст. 10 152-ФЗ.

Если клиника намерена публиковать в интернете фотографии пациентов (например, результаты косметологических процедур), это распространение ПДн. По ст. 10.1 152-ФЗ для этого требуется отдельное согласие с прямым указанием на разрешение распространения. Молчание пациента при подписании общего согласия не означает разрешения на публикацию.

Как применяются нормы на практике: сценарии для главного врача

Сценарий 1. Телемедицинская консультация без уведомления РКН о трансгранике. Клиника подключила платформу телемедицины с серверами в европейском облаке. Данные пациентов — видеозаписи и медицинские карты — передаются за рубеж. Клиника не уведомила РКН по ст. 12 152-ФЗ. При плановой проверке РКН выявил передачу ПДн специальных категорий в страну без адекватной защиты. Штраф по ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽) плюс предписание прекратить передачу. Стратегия: до подключения зарубежного сервиса — уведомить РКН, получить решение об отсутствии запрета, зафиксировать основание в договоре с платформой.

Сценарий 2. Утечка МИС через уязвимость у вендора. Вендор МИС допустил уязвимость в API, через которую хакеры получили доступ к медицинским картам более 10 000 пациентов. Клиника не уведомила РКН в течение 24 часов, поскольку считала, что ответственность лежит на вендоре. Фактически оператором ПДн остаётся клиника. Штраф по ч. 11 ст. 13.11 КоАП за неуведомление об утечке — 1–3 млн ₽, плюс штраф по ч. 13 за саму утечку (5–10 млн ₽). Стратегия: регламент реагирования на инциденты закрепить в ОРД, обязать вендора уведомлять клинику о нарушениях немедленно, проверить договор поручения обработки.

Сценарий 3. Публикация фото «до-после» без отдельного согласия. Косметологическая клиника публиковала фотографии результатов процедур в социальных сетях. Согласие на обработку ПДн было включено в общую форму приёма пациента, без отдельного раздела о распространении. Пациентка потребовала удалить фотографии и подала жалобу в РКН. По ч. 2 ст. 13.11 КоАП (обработка без надлежащего согласия) — штраф 300–700 тыс. ₽. Стратегия: ввести отдельный бланк согласия на распространение ПДн по ст. 10.1 152-ФЗ с перечнем конкретных площадок.

Частые вопросы

1. Чем отличается ИДС от согласия на обработку ПДн?

ИДС (информированное добровольное согласие) регулируется ст. 20 323-ФЗ и касается права пациента на отказ от медицинского вмешательства. Согласие на обработку ПДн регулируется ст. 9 152-ФЗ и определяет правовые основания для сбора и хранения данных пациента. С 01.09.2025 по ФЗ-156 согласие на ПДн оформляется отдельным документом — его нельзя включать в ИДС, договор или другой документ. Оба согласия могут подписываться одновременно, но это должны быть два разных бланка.

2. Можно ли публиковать фото «до-после» с согласия пациента?

Да, но только при наличии отдельного согласия на распространение ПДн по ст. 10.1 152-ФЗ. Общее согласие на обработку ПДн не даёт клинике права публиковать изображения. В согласии на распространение необходимо указать конкретные площадки (сайт клиники, Instagram и т. д.), состав публикуемых данных и срок. Пациент вправе отозвать это согласие в любой момент — тогда публикацию необходимо удалить.

3. Кто отвечает за утечку через МИС?

Ответственность несёт клиника как оператор ПДн по 152-ФЗ, даже если утечка произошла по вине вендора МИС. Принцип установлен судебной практикой: оператор отвечает за действия лица, осуществляющего обработку по его поручению. Взыскать убытки с вендора можно только при наличии соответствующих условий в договоре поручения. Без договора поручения клиника несёт ответственность в полном объёме и без права регресса.

4. Какие данные передавать в ЕГИСЗ?

Состав данных, передаваемых в ЕГИСЗ, определяется Минздравом России в соответствии с 323-ФЗ и подзаконными актами о ведении медицинской документации в электронном виде. Как правило, это данные об оказанных услугах, диагнозах по МКБ, назначениях и результатах исследований. Правовое основание для передачи — нормы законодательства об охране здоровья, что соответствует ч. 2 ст. 10 152-ФЗ (обработка в медицинских целях). Этот факт необходимо отразить в политике обработки ПДн клиники.

5. Что грозит клинике за утечку данных пациентов?

Санкции зависят от объёма утечки. При утечке от 1 000 до 10 000 субъектов — штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП (в редакции с 30.05.2025). От 10 000 до 100 000 субъектов — 5–10 млн ₽ по ч. 13. Более 100 000 — 10–15 млн ₽ по ч. 14. Дополнительно: штраф 1–3 млн ₽ за неуведомление РКН в течение 24 часов (ч. 11 ст. 13.11). При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽. Поскольку данные пациентов — спецкатегория, суды, как правило, не применяют минимальные санкции.

6. Нужно ли клинике уведомлять РКН, если она обрабатывает только бумажные карты?

Уведомление РКН по ст. 22 152-ФЗ обязательно для большинства операторов, независимо от способа обработки. Исключения из ч. 2 ст. 22 152-ФЗ не распространяются на клиники, обрабатывающие спецкатегории ПДн: данные о здоровье пациентов не попадают под освобождение от уведомления. Неуведомление — штраф 100–300 тыс. ₽ по ч. 10 ст. 13.11 КоАП.

Итог

Лицензирование клиники и соответствие 152-ФЗ — параллельные процессы, которые требуют единого планирования. Данные о здоровье пациентов — специальная категория с повышенными санкциями; утечка от 10 000 субъектов влечёт штраф от 5 млн ₽, при повторности — оборотный от 20 млн ₽. Минимально необходимый результат: регистрация в реестре РКН, политика обработки ПДн на сайте, отдельные согласия пациентов, договор поручения с МИС-вендором и регламент реагирования на инциденты по Приказу РКН №187.

DATUM сопровождает медицинские организации на этапе лицензирования и при проверках РКН: от аудита состава ПДн до формирования полного пакета ОРД и представления интересов перед регулятором.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка обработки ПДн клиники по 38 пунктам
Комплект ОРД под ключ — политика, согласия пациентов, приказы, регламент реагирования
Сопровождение проверок РКН — подготовка, представительство, обжалование предписаний

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, ПДн несовершеннолетних.

21 января 2029 года