Перейти к содержанию
инструкция 10 декабря 2028 По состоянию на 10 декабря 2028

МИС и ПДн пациентов: правовые требования

Медицинская информационная система обрабатывает данные о здоровье — специальную категорию по ст. 10 ФЗ-152, для которой действует прямой запрет обработки без явного правового основания.
С 30.05.2025 утечка данных более 100 000 пациентов влечёт штраф 10–15 млн ₽ по ч. 14 ст. 13.11 КоАП; повторная утечка — оборотный штраф до 500 млн ₽ по ч. 15. Подключение МИС к ЕГИСЗ добавляет требования по составу и форматам передаваемых сведений.
Если вы главный врач и МИС в клинике уже работает, но согласия пациентов оформлялись вместе с ИДС — проверьте соответствие каждому шагу этой инструкции.

С 01.09.2025 согласие на обработку персональных данных оформляется отдельным документом (ФЗ-156 от 24.06.2025): вложить его в медицинскую карту или объединить с информированным добровольным согласием на вмешательство нельзя. Для главного врача это означает полный пересмотр форм, регламентов МИС и порядка передачи сведений в ЕГИСЗ. Инструкция ниже охватывает шесть практических шагов — от правовой классификации данных до реагирования на инцидент.

Шаг 1. Какие данные в МИС относятся к специальным категориям?

Данные о состоянии здоровья, диагнозах, назначенном лечении и результатах анализов — специальная категория по ст. 10 ФЗ-152. Их обработка по умолчанию запрещена: чтобы она была законной, необходимо одно из оснований п. 2 ст. 10 ФЗ-152. Для медицинской организации основные из них — письменное согласие пациента и необходимость защиты жизни или здоровья при невозможности получить согласие.

Помимо данных о здоровье, МИС, как правило, хранит биометрию (фотографию пациента, иногда — изображение для идентификации), контактные и паспортные данные, сведения о страховом полисе. Каждая из этих категорий имеет собственный правовой режим: биометрия требует отдельного письменного согласия по ст. 11 ФЗ-152, контактные данные — согласия по ст. 9.

«Ст. 10 ФЗ-152 — обработка данных о состоянии здоровья допускается только при наличии письменного согласия субъекта либо при невозможности его получения в целях охраны жизни и здоровья.»

Практически значимый вопрос для главного врача: МИС нередко содержит поля, которые формально не являются медицинскими, но в совокупности позволяют установить диагноз. Например, код МКБ, назначенный препарат и номер страхового случая вместе образуют сведения о здоровье — даже если каждое поле отдельно таковым не считается. Такие записи также подпадают под ст. 10 ФЗ-152.

Шаг 2. Как правильно оформить согласие пациента с 01.09.2025?

С 01.09.2025 согласие на обработку персональных данных — отдельный документ с обязательными реквизитами по ст. 9 ФЗ-152: ФИО пациента, контактные данные, наименование и адрес медицинской организации, цель обработки, перечень данных, перечень действий с ними, срок действия согласия, способ его отзыва. Объединять согласие с ИДС на медицинское вмешательство или с договором на оказание услуг запрещено.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — согласие субъекта оформляется в виде отдельного документа; включение его в состав иных документов не допускается.»

Важно разграничить два документа, которые в медицинской практике нередко путают. Информированное добровольное согласие на медицинское вмешательство регулируется ст. 20 ФЗ-323 «Об основах охраны здоровья граждан» и касается самой медицинской процедуры. Согласие на обработку ПДн — самостоятельный документ по ст. 9 ФЗ-152. Один пациент при первичном обращении подписывает оба документа, но это разные бланки с разными реквизитами и разными сроками хранения.

Отдельно потребуется согласие на распространение данных по ст. 10.1 ФЗ-152 — если клиника публикует результаты лечения, фотографии до-после или истории болезней в маркетинговых целях. Молчание пациента означает запрет распространения.

Что подготовить для корректного оформления согласия

  • Отдельный бланк согласия на обработку ПДн с реквизитами по ст. 9 ФЗ-152 (не объединять с ИДС)
  • Отдельный бланк согласия на биометрические ПДн — если МИС хранит фотографию пациента (ст. 11 ФЗ-152)
  • Отдельное согласие на распространение ПДн — если публикуются фото до-после или кейсы лечения (ст. 10.1 ФЗ-152)
  • Журнал регистрации согласий с датой подписания и отзыва
  • Регламент действий МИС при отзыве согласия: блокировка, уничтожение в установленные сроки

Согласия пациентов в МИС оформлены до 01.09.2025?

Если главный врач не обновил формы согласий после вступления в силу ФЗ-156 от 24.06.2025, каждая анкета в МИС создаёт риск штрафа по ч. 2 ст. 13.11 КоАП — до 700 000 ₽ за нарушение требований к составу согласия. Изменения обратной силы не имеют: ранее полученные согласия переоформлять не нужно, но все новые — строго по новым правилам. Юристы DATUM проведут аудит форм МИС и соберут корректный пакет документов.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Шаг 3. Что нужно знать о подключении МИС к ЕГИСЗ?

ЕГИСЗ (единая государственная информационная система в сфере здравоохранения) — федеральная система, к которой медицинские организации обязаны передавать сведения об оказанной помощи. Передача данных в ЕГИСЗ — самостоятельное основание обработки ПДн: согласие пациента на эту передачу получать не требуется, поскольку она предусмотрена ФЗ-323 и подзаконными актами Минздрава. Однако оператор МИС обязан отразить эту обработку в уведомлении о намерении обрабатывать ПДн, которое подаётся в РКН по ст. 22 ФЗ-152.

Состав передаваемых в ЕГИСЗ сведений регулируется приказами Минздрава. Медицинская организация передаёт обезличенные или персонифицированные данные в зависимости от вида подсистемы. В подсистеме персонифицированного учёта сведения о пациентах передаются с идентификаторами — это полноценная обработка спецкатегорий. Главному врачу важно понимать: ответственность оператора за утечку из МИС не снимается от того, что данные были переданы в ЕГИСЗ.

«Ст. 22 ФЗ-152 — оператор обязан уведомить РКН о намерении обрабатывать ПДн до начала обработки; при изменении состава обрабатываемых данных или целей — подать уточнение.»

Типичная ошибка при подключении к ЕГИСЗ: медицинская организация не обновляет уведомление в реестре РКН, хотя фактически начинает передавать данные в новую подсистему. Это нарушение ч. 10 ст. 13.11 КоАП — штраф для юрлица 100 000–300 000 ₽.

Шаг 4. Какой уровень защищённости ИСПДн требуется для МИС?

Уровень защищённости информационной системы персональных данных определяется по ПП РФ №1119 от 01.11.2012. Для медицинской организации ключевые параметры: категория данных (специальные — данные о здоровье), тип угроз (определяется самостоятельно с привлечением специалистов по ИБ) и число субъектов (порог 100 000 человек разграничивает УЗ-3 и УЗ-2).

Большинство клиник с базой пациентов менее 100 000 человек и угрозами 2-го типа должны обеспечить УЗ-3. Клиники крупных городов, федеральные медицинские центры с базой более 100 000 субъектов и угрозами 2-го типа обязаны выполнять требования УЗ-2. Конкретный набор организационных и технических мер для каждого уровня — в Приказе ФСТЭК №21 от 18.02.2013.

«ПП РФ №1119 — при обработке специальных категорий ПДн (ст. 10 ФЗ-152) и угрозах 2-го типа: число субъектов до 100 000 — УЗ-3, свыше 100 000 — УЗ-2.»

Практически значимый вопрос: МИС в облаке. Если медицинская организация использует облачную МИС, провайдер которой располагает серверами за рубежом, — это нарушение требования локализации по ч. 5 ст. 18 ФЗ-152. Первичные сведения о пациентах — гражданах РФ обязаны записываться, систематизироваться и храниться в базах данных на территории России.

Если главный врач не уверен в уровне защищённости МИС и актуальности уведомления в РКН — это две самостоятельные зоны риска, каждая с отдельным составом нарушения. Юристы DATUM проверят реестр и соответствие УЗ за одну сессию аудита.

Подготовиться к проверке РКН

Шаг 5. Что делать при утечке данных из МИС?

Порядок реагирования на утечку закреплён в ч. 3.1 ст. 21 ФЗ-152 и Приказе РКН №187 от 14.11.2022. Первичное уведомление РКН — в течение 24 часов с момента обнаружения инцидента. Через 72 часа — отчёт о результатах внутреннего расследования. Оба срока не восстанавливаются.

«Ч. 3.1 ст. 21 ФЗ-152 и Приказ РКН №187 — при выявлении утечки: 24 часа на первичное уведомление, 72 часа на отчёт о расследовании. Сроки не восстанавливаются.»

Неуведомление или несвоевременное уведомление влечёт штраф 1 000 000–3 000 000 ₽ по ч. 11 ст. 13.11 КоАП. Это самостоятельный состав: он применяется независимо от того, назначен ли штраф за саму утечку по ч. 12–14 ст. 13.11.

Для медицинской организации утечка данных о здоровье — двойной риск: помимо административного штрафа, возможна уголовная ответственность по ст. 272.1 УК РФ (введена ФЗ-421, действует с 11.12.2024). Незаконное использование или передача компьютерной информации, содержащей ПДн, — состав ч. 1–5 ст. 272.1 УК с максимальным наказанием до 10 лет лишения свободы по ч. 5 при тяжких последствиях.

Как это применяется на практике

Кейс 1. Многопрофильная клиника (Приволжский ФО, осень 2025) подключила облачную МИС с хранением данных на серверах в Нидерландах. После плановой проверки РКН выявил нарушение ч. 5 ст. 18 ФЗ-152 (локализация) и ч. 10 ст. 13.11 КоАП (уведомление не обновлено). Суд назначил штраф в диапазоне сотен тысяч рублей по каждому составу. Главный врач был привлечён к административной ответственности как должностное лицо. Клинике потребовалось перенести базу на российский сервер и повторно уведомить РКН — всё это заняло четыре месяца и потребовало дополнительных расходов на миграцию данных.

Кейс 2. Стоматологическая клиника (Центральный ФО, начало 2026) получила жалобу пациента в РКН: клиника опубликовала фотографии до-после лечения в социальных сетях без отдельного согласия на распространение ПДн по ст. 10.1 ФЗ-152. РКН возбудил дело по ч. 1 ст. 13.11 КоАП. Поскольку клиника являлась малым предприятием и нарушение было первичным, арбитражный суд рассмотрел возможность применения ст. 4.1.1 КоАП. При своевременном обращении к юристам удалось представить доказательства отсутствия умысла и минимизировать последствия. Публикации пришлось удалить, а форму согласия на распространение — разработать и внедрить.

Услуги DATUM по теме

Частые вопросы

1. Чем отличается ИДС от согласия на ПДн?

Информированное добровольное согласие на медицинское вмешательство регулируется ст. 20 ФЗ-323 «Об основах охраны здоровья граждан» и фиксирует согласие пациента на конкретную процедуру или операцию. Согласие на обработку персональных данных — самостоятельный документ по ст. 9 ФЗ-152 с обязательными реквизитами: цель обработки, перечень данных, действия с ними, срок, способ отзыва. С 01.09.2025 объединять эти документы запрещено (ФЗ-156 от 24.06.2025): пациент подписывает два отдельных бланка при первичном обращении.

2. Можно ли публиковать фото до-после с согласия?

Публикация фотографий результатов лечения — это распространение персональных данных, в том числе данных о здоровье (спецкатегория по ст. 10 ФЗ-152). Для этого требуется отдельное согласие на распространение по ст. 10.1 ФЗ-152. Молчание пациента или общее согласие на обработку данных в карте не дают права на публикацию. Если согласие по ст. 10.1 отдельно не подписано — публиковать нельзя независимо от наличия иных согласий.

3. Кто отвечает за утечку через МИС?

Медицинская организация как оператор персональных данных несёт ответственность по ст. 13.11 КоАП вне зависимости от того, произошла ли утечка через её собственную систему или через систему подрядчика, которому она поручила обработку. Практика ВС РФ закрепляет принцип: оператор отвечает за действия лица, осуществляющего обработку по поручению (ст. 6 ФЗ-152). Главный врач как должностное лицо может быть привлечён к ответственности отдельно. При наличии умысла возможна уголовная ответственность по ст. 272.1 УК РФ.

4. Какие данные передавать в ЕГИСЗ?

Состав сведений, передаваемых в ЕГИСЗ, определяется приказами Минздрава по каждой подсистеме. В подсистеме персонифицированного учёта оказанной медицинской помощи передаются идентифицированные сведения о пациентах, включая диагнозы и виды вмешательств. Согласие пациента на эту передачу получать не нужно — она основана на законе. Однако медицинская организация обязана отразить эту цель обработки в уведомлении, поданном в РКН по ст. 22 ФЗ-152, и обеспечить соответствующий уровень защищённости МИС по ПП РФ №1119.

5. Что грозит клинике за утечку?

Размер санкций зависит от числа затронутых субъектов. Утечка 1 000–10 000 пациентов — штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП; 10 000–100 000 — 5–10 млн ₽ по ч. 13; более 100 000 — 10–15 млн ₽ по ч. 14. Дополнительно: за неуведомление РКН в 24 часа — до 3 млн ₽ по ч. 11. Повторная утечка влечёт оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. Утечка биометрических данных (например, фотографии в МИС) — 15–20 млн ₽ по ч. 17 ст. 13.11 КоАП.

6. Нужно ли переоформлять старые согласия после 01.09.2025?

Нет: ФЗ-156 от 24.06.2025 обратной силы не имеет, и согласия, полученные до 01.09.2025, переоформлять не требуется. Все новые согласия — после этой даты — должны оформляться отдельным документом по требованиям ст. 9 ФЗ-152. Медицинской организации следует обновить форму первичного приёма пациента и проинструктировать регистратуру о новом порядке.

Итог

МИС обрабатывает данные о здоровье — наиболее чувствительную категорию по ст. 10 ФЗ-152. Шесть шагов этой инструкции охватывают полный цикл: от классификации данных и оформления согласий до подключения к ЕГИСЗ, обеспечения уровня защищённости и реагирования на инцидент. Каждый из шагов имеет собственный состав нарушения со штрафом от 100 000 до 15 000 000 ₽ и выше.

DATUM сопровождает медицинские организации по всем этапам приведения МИС в соответствие с 152-ФЗ: аудит, комплект ОРД, обновление форм согласий, подготовка к проверке РКН и реагирование на инциденты.

Смотрите также

ОН
Ольга Нечаева
Аналитик · Медицина и образование
Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна.

10 декабря 2028 года