Перейти к содержанию
инструкция 9 февраля 2029 По состоянию на 9 февраля 2029

Наркология: особый режим

Наркологическая клиника обрабатывает сведения о диагнозах, назначениях и постановке на учёт — это специальные категории персональных данных по ст. 10 ФЗ-152, обработка которых по общему правилу запрещена.
С 30.05.2025 утечка данных тысячи пациентов грозит штрафом от 3 до 15 млн ₽ по ч. 12–14 ст. 13.11 КоАП; при повторном инциденте — оборотный штраф до 500 млн ₽. Данные о наркологическом учёте дополнительно охраняются ст. 13 Закона № 323-ФЗ как врачебная тайна.
Если вы главный врач наркологической клиники или МРЦ — ниже пошаговый порядок приведения обработки ПДн в соответствие с 152-ФЗ с учётом специфики отрасли.

Наркологические организации занимают отдельное место в системе медицинских операторов персональных данных. Диагнозы, сведения о постановке на учёт, данные о лечении психоактивными веществами — всё это спецкатегория, запрет на обработку которой снимается только при наличии письменного согласия пациента или прямого указания закона. Параллельно клиника обязана передавать сведения в ЕГИСЗ и региональные наркологические регистры, что создаёт зоны риска при каждой интеграции. Роскомнадзор с 2025 года фиксирует нарушения в медицине как приоритетную отрасль для проверок. Этот материал — пошаговая инструкция для главного врача, который хочет выстроить законный режим обработки до визита инспектора.

Шаг 1. Определите состав данных и правовые основания обработки

Первое, что проверяет инспектор РКН, — соответствие фактически обрабатываемых данных тому, что указано в уведомлении и политике. В наркологии состав шире, чем кажется.

Сформируйте перечень категорий ПДн пациентов: ФИО, дата рождения, СНИЛС, паспортные данные — общие категории по ст. 3 ФЗ-152. Диагноз (МКБ-код), сведения об употреблении ПАВ, данные о постановке на наркологический учёт, результаты анализов — специальные категории по ст. 10 ФЗ-152. Биометрические данные (фото для СКУД, отпечатки при идентификации) — отдельная категория по ст. 11 ФЗ-152.

«Ст. 10 ФЗ-152 — обработка специальных категорий ПДн, в том числе данных о состоянии здоровья, по общему правилу запрещена. Исключение — явно выраженное согласие субъекта или случаи, когда обработка необходима для защиты жизни и здоровья и субъект физически неспособен дать согласие.»

Для каждой категории определите правовое основание из ст. 6 и ст. 10 ФЗ-152. Оказание медицинской помощи по договору — п. 5 ч. 1 ст. 6 ФЗ-152. Передача в ЕГИСЗ — исполнение обязанности по закону (п. 2 ч. 1 ст. 6 ФЗ-152, ч. 2 ст. 91.1 Закона № 323-ФЗ). Постановка на наркологический учёт без согласия — возможна только по основаниям, предусмотренным Законом № 3185-1 «О психиатрической помощи» и профильными приказами Минздрава.

Сведения, составляющие врачебную тайну, выделите отдельно: ст. 13 Закона № 323-ФЗ запрещает разглашение без согласия пациента, кроме ограниченного перечня случаев (следственные органы, военкомат, в целях расследования несчастного случая на производстве и ряда других). Режим врачебной тайны и режим ПДн действуют параллельно — нарушение одного не отменяет нарушение другого.

Не уверены, какие данные относятся к спецкатегории в вашей клинике?

Состав специальных категорий в наркологии зависит от профиля — амбулатория, стационар, детокс-центр, телемедицинская платформа. Юристы DATUM проводят аудит обработки ПДн по чек-листу из 38 пунктов с учётом отраслевой специфики и выдают отчёт с приоритизированным планом устранения нарушений. Пока нарушения не зафиксированы — есть время подготовиться.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 2. Разграничьте информированное добровольное согласие и согласие на обработку ПДн

Главный источник нарушений в медицине — смешение двух разных документов в одном бланке. Инспектор РКН квалифицирует это как отсутствие согласия на обработку ПДн.

Информированное добровольное согласие (ИДС) на медицинское вмешательство регулируется ст. 20 Закона № 323-ФЗ. Его цель — подтвердить, что пациент понимает суть лечения. Согласие на обработку ПДн регулируется ст. 9 ФЗ-152 и с 01.09.2025 (ФЗ-156 от 24.06.2025) обязано быть оформлено отдельным документом — его нельзя включать в текст договора, ИДС или пользовательского соглашения.

«Ст. 9 ФЗ-152 (в редакции ФЗ-156 от 24.06.2025) — согласие на обработку ПДн с 01.09.2025 оформляется как самостоятельный документ. Обязательные реквизиты: ФИО субъекта, контактные данные, наименование оператора, конкретные цели, перечень ПДн, перечень действий с ними, срок действия и порядок отзыва.»

Для наркологической клиники потребуется не одно, а несколько согласий на обработку ПДн. Первое — на обработку общих категорий для оказания медицинских услуг и расчётов. Второе — на обработку специальных категорий (диагноз, сведения о лечении) по ч. 2 ст. 10 ФЗ-152, с явным указанием цели. Третье — если клиника планирует направлять рекламные рассылки или передавать данные страховщику — отдельное согласие по каждому направлению. Если планируется обмен с региональным наркологическим регистром вне обязательных интеграций с ЕГИСЗ — ещё одно основание или согласие.

Согласия, объединённые с ИДС до 01.09.2025, не требуют принудительного переоформления — ФЗ-156 обратной силы не имеет. Но для новых пациентов и при пересмотре форм — только раздельные документы.

Как правильно настроить передачу данных в ЕГИСЗ и МИС?

Интеграция МИС с ЕГИСЗ — обязанность медицинской организации, но каждая точка передачи данных — потенциальный вектор утечки и нарушения локализации.

Проверьте три параметра по каждому информационному потоку. Первый — основание передачи: передача в ФГИС ЕГИСЗ осуществляется во исполнение п. 11 ч. 2 ст. 91.1 Закона № 323-ФЗ, согласие пациента не требуется, но пациент должен быть уведомлён. Второй — локализация: серверы МИС и хранилища, где фактически накапливаются данные пациентов — граждан РФ, обязаны находиться в России согласно ч. 5 ст. 18 ФЗ-152. Облачная МИС с серверами за рубежом нарушает это требование и влечёт штраф по ч. 8 ст. 13.11 КоАП от 1 до 6 млн ₽. Третий — поручение обработки: если МИС поставляет внешний вендор, с ним необходимо заключить договор-поручение по п. 3 ст. 6 ФЗ-152, в котором перечислены допустимые действия с данными.

«Ч. 5 ст. 18 ФЗ-152 — запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан РФ осуществляются с использованием баз данных, расположенных на территории России. Применяется ко всем операторам независимо от юрисдикции.»

Региональный наркологический регистр — отдельный информационный поток. Уточните, на каком основании клиника передаёт данные: если это обязательная интеграция по нормативному акту субъекта РФ — основание есть. Если передача добровольная или предусмотрена только соглашением с региональным органом здравоохранения — проверьте, является ли это достаточным основанием по ст. 6 ФЗ-152 или нужно согласие пациента.

Телемедицина добавляет трансграничный риск: если видеосервис или мессенджер для консультаций хранит данные за рубежом, возникает обязанность уведомить РКН о трансграничной передаче по ст. 12 ФЗ-152 до начала передачи. Уведомление подаётся через pd.rkn.gov.ru.

Если главный врач уже получил предписание РКН или запрос на проверку — у вас ограниченное время на подготовку документов. Юристы DATUM специализируются на сопровождении проверок медицинских организаций и знают, какие документы инспектор запросит в первую очередь.

Подготовиться к проверке РКН

Шаг 4. Назначьте ответственного и выстройте организационно-распорядительную документацию

Юридическое лицо обязано назначить лицо, ответственное за организацию обработки ПДн, по ст. 22.1 ФЗ-152. В медицинской организации это может быть заместитель главного врача по правовым вопросам, начальник отдела ИБ или иной сотрудник с достаточной квалификацией.

Минимальный пакет организационно-распорядительных документов для наркологической клиники включает: политику обработки персональных данных (ч. 2 ст. 18.1 ФЗ-152) — должна быть опубликована на сайте и выдаваться пациентам по запросу; приказ о назначении ответственного; перечень информационных систем ПДн с указанием уровня защищённости; регламент реагирования на инциденты (порядок действий за 24 и 72 часа); журнал учёта обращений субъектов; договоры-поручения с вендорами МИС и лабораторных систем; согласия пациентов в актуальных формах.

Уровень защищённости ИСПДн определяется по ПП РФ № 1119. Для клиники, обрабатывающей специальные категории более чем 100 000 пациентов, актуален УЗ-3 или выше в зависимости от типа угроз. Конкретный состав технических мер — по Приказу ФСТЭК № 21.

Что подготовить к проверке РКН в наркологической клинике

  • Выписка из реестра операторов ПДн на pd.rkn.gov.ru с актуальными сведениями об обрабатываемых категориях
  • Политика обработки ПДн, опубликованная на сайте, с разделами по ч. 2 ст. 18.1 ФЗ-152 — включая специальные категории
  • Отдельные согласия пациентов по ст. 9 ФЗ-152 (общие ПДн) и по ч. 2 ст. 10 ФЗ-152 (спецкатегория), разграниченные с ИДС
  • Договоры-поручения с вендором МИС и другими обработчиками с перечнем допустимых действий
  • Приказ о назначении ответственного по ст. 22.1 ФЗ-152 и регламент реагирования на инциденты

Шаг 5. Настройте реагирование на инциденты за 24 и 72 часа

Утечка данных наркологических пациентов — худший сценарий для репутации и один из наиболее тяжёлых по санкциям. Спецкатегория при утечке квалифицируется по ч. 12–14 ст. 13.11 КоАП в зависимости от числа субъектов.

С момента обнаружения инцидента у клиники есть 24 часа на первичное уведомление РКН согласно ч. 3.1 ст. 21 ФЗ-152 и Приказу РКН № 187 от 14.11.2022. В первичном уведомлении указываются: факт инцидента, предположительные причины, категории и примерное число затронутых субъектов, принятые меры. Через 72 часа подаётся отчёт о результатах внутреннего расследования: подтверждённые причины, полный объём ПДн, меры по устранению и предотвращению повторения.

«Ч. 11 ст. 13.11 КоАП — неуведомление или несвоевременное уведомление РКН об инциденте с ПДн влечёт штраф для юридического лица от 1 000 000 до 3 000 000 ₽. Срок не восстанавливается.»

Регламент реагирования должен существовать до инцидента. Он описывает: кто принимает решение о квалификации события как утечки, кто направляет уведомление в РКН, кто координирует техническое расследование, кто уведомляет пациентов. В наркологии уведомление пациентов об утечке их данных несёт повышенный репутационный риск — способ и текст уведомления согласуйте с юристом заранее.

Несвоевременное уведомление при утечке от 1 000 до 10 000 субъектов: штраф по ч. 12 ст. 13.11 (3–5 млн ₽) плюс штраф по ч. 11 за нарушение срока уведомления (1–3 млн ₽). Итого — потенциально более 8 млн ₽ по одному инциденту без повторности.

Как это выглядит на практике: два сценария для наркологической клиники

Сценарий 1. Проверка РКН после жалобы пациента. Пациент наркологической клиники обнаружил, что его данные о постановке на учёт были переданы работодателю без его согласия. Он подал жалобу в территориальный орган РКН. Инспектор запросил журнал обращений субъектов, согласия пациента и договор с работодателем. Клиника предъявила ИДС, в котором одним пунктом было написано «согласен на обработку персональных данных». РКН составил протокол по ч. 2 ст. 13.11 КоАП (обработка ПДн без надлежащего согласия) — штраф для юридического лица от 300 тыс. до 700 тыс. ₽. Отдельное согласие на передачу третьему лицу отсутствовало, что добавило основание по ч. 1 ст. 13.11. Главный врач не мог объяснить, кто ответственный за обработку ПДн в организации — это квалифицировано как ненадлежащая организация обработки по ст. 18.1 ФЗ-152.

Сценарий 2. Утечка через МИС. В наркологическом реабилитационном центре (Приволжский ФО, осень 2025) хакеры получили доступ к МИС через уязвимость в веб-интерфейсе вендора. Данные около 3 500 пациентов — ФИО, диагнозы, телефоны — оказались в открытом доступе. Руководство зафиксировало инцидент в течение 4 часов, но не знало о 24-часовом сроке уведомления РКН. Уведомление было направлено на третий день. РКН возбудил дело по ч. 11 ст. 13.11 КоАП (несвоевременное уведомление) и по ч. 12 (утечка от 1 000 до 10 000 субъектов). Суммарный штраф составил более 4 млн ₽. Договора-поручения с вендором МИС не было — ответственность за действия вендора легла на клинику полностью.

Услуги DATUM по теме

Частые вопросы

1. Чем отличается ИДС от согласия на обработку ПДн?

Информированное добровольное согласие (ИДС) на медицинское вмешательство — документ по ст. 20 Закона № 323-ФЗ, подтверждающий, что пациент понял суть лечения и согласился с ним. Согласие на обработку персональных данных — документ по ст. 9 ФЗ-152, разрешающий оператору совершать конкретные действия с конкретными данными в конкретных целях. С 01.09.2025 (ФЗ-156) согласие на ПДн обязано быть отдельным документом. Объединение ИДС и согласия на ПДн в одном бланке — нарушение, за которое грозит штраф по ч. 2 ст. 13.11 КоАП от 300 тыс. до 700 тыс. ₽ для юридического лица.

2. Можно ли публиковать фотографии пациентов «до и после» с их согласия?

Публикация фотографий пациента — распространение персональных данных по ст. 10.1 ФЗ-152. Требует отдельного согласия на распространение, которое не объединяется ни с ИДС, ни с основным согласием на обработку ПДн. Согласие должно явно указывать: что именно публикуется, где и в каких целях. Фотографии, связанные с диагнозом или лечением (например, «до и после терапии зависимости»), затрагивают специальные категории — потребуется и согласие по ч. 2 ст. 10 ФЗ-152. Молчание пациента при публикации не означает согласие.

3. Кто отвечает за утечку данных через МИС?

Ответственность перед пациентами и РКН несёт оператор ПДн — медицинская организация, а не вендор МИС. Это следует из ст. 6 и ст. 19 ФЗ-152: оператор обязан обеспечить защиту данных, в том числе при передаче обработки по поручению. Если договор-поручение с вендором не заключён или не содержит требования по безопасности, оператор отвечает за действия вендора в полном объёме. После выплаты штрафа клиника вправе предъявить регрессные требования к вендору — но только при наличии надлежащего договора.

4. Какие данные передаются в ЕГИСЗ и нужно ли для этого согласие пациента?

Передача сведений в ФГИС ЕГИСЗ — обязанность медицинской организации по ч. 2 ст. 91.1 Закона № 323-ФЗ. Перечень передаваемых данных определяется приказами Минздрава. Согласие пациента для этой передачи не требуется — основание по п. 2 ч. 1 ст. 6 ФЗ-152 (исполнение обязанности, возложенной законом). Пациент, однако, вправе получить информацию о том, какие его данные переданы и куда — по запросу в порядке ст. 14 ФЗ-152. Срок ответа — 10 рабочих дней с возможностью продления ещё на 5 рабочих дней.

5. Что грозит клинике за утечку наркологических данных?

Утечка специальных категорий ПДн пациентов квалифицируется по ч. 12–14 ст. 13.11 КоАП в зависимости от числа субъектов: от 1 000 до 10 000 — штраф 3–5 млн ₽, от 10 000 до 100 000 — 5–10 млн ₽, свыше 100 000 — 10–15 млн ₽. Дополнительно: штраф 1–3 млн ₽ по ч. 11 ст. 13.11 за нарушение 24-часового срока уведомления РКН. При повторной утечке — оборотный штраф по ч. 15 ст. 13.11 от 1 до 3% годовой выручки, не менее 20 млн ₽. Уголовная ответственность по ст. 272.1 УК РФ (введена с 11.12.2024) — до 10 лет лишения свободы при тяжких последствиях.

Итог

Наркологическая клиника как оператор персональных данных работает в условиях тройного контроля: ФЗ-152 (спецкатегория и локализация), Закон № 323-ФЗ (врачебная тайна), отраслевые регуляторы (Минздрав, РКН). Каждый информационный поток — согласия пациентов, интеграция с ЕГИСЗ, МИС, телемедицина — требует отдельного правового основания и документального подтверждения. Инциденты в отрасли с 2025 года обходятся значительно дороже: законодатель существенно повысил санкции за утечки и ввёл уголовную ответственность.

Юристы DATUM сопровождают медицинские организации по ФЗ-152 с учётом специфики 323-ФЗ и отраслевых требований Минздрава — от аудита до защиты в случае претензии РКН.

Смотрите также

ОН
Ольга Нечаева
Аналитик · Медицина и образование
Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, обработка ПДн несовершеннолетних.

9 февраля 2029 года