Перейти к содержанию
инструкция 14 апреля 2028 По состоянию на 14 апреля 2028

Один документ или два для согласий пациента

Медицинская организация обязана получить от пациента два разных согласия: информированное добровольное согласие на медицинское вмешательство по ст. 20 323-ФЗ и согласие на обработку персональных данных по ст. 9 ФЗ-152. Это разные документы с разными реквизитами и разной правовой природой.
С 01.09.2025 ст. 9 ФЗ-152 в редакции ФЗ-156 запрещает включать согласие на ПДн в состав другого документа — договора, карты, ИДС или оферты. Данные пациента относятся к специальным категориям по ст. 10 ФЗ-152, за утечку которых штраф по ч. 13–14 ст. 13.11 КоАП составляет от 5 до 15 млн ₽.
Если вы главный врач и пациент подписывает одну бумагу на приёме — проверьте структуру документа до проверки Роскомнадзора. → Ниже пошаговый порядок разграничения двух согласий.

Вопрос «одна форма или две» возникает в каждой клинике: хочется не перегружать пациента бумагами. Но смешение информированного добровольного согласия (ИДС) и согласия на обработку персональных данных создаёт нарушение сразу по двум законам — 323-ФЗ и ФЗ-152. С 01.09.2025 это нарушение стало автоматическим: ФЗ-156 от 24.06.2025 прямо запретил объединять согласие на ПДн с любым другим документом. В этой инструкции — шесть шагов, которые помогут главному врачу выстроить корректный документооборот согласий, не нарушив ни нормы Минздрава, ни требования Роскомнадзора.

Шаг 1. Разберите правовую природу двух согласий

Информированное добровольное согласие на медицинское вмешательство регулируется ст. 20 Федерального закона № 323-ФЗ «Об основах охраны здоровья граждан». Его предмет — разрешение пациента на конкретное вмешательство с пониманием его цели, методов, рисков и альтернатив. ИДС удостоверяет дееспособность, информированность и добровольность пациента.

Согласие на обработку персональных данных регулируется ст. 9 ФЗ-152. Его предмет — разрешение оператору совершать конкретные действия с конкретным перечнем данных в конкретных целях. Данные пациента — диагноз, анамнез, результаты анализов, история болезни — относятся к специальным категориям ПДн по ст. 10 ФЗ-152: их обработка по умолчанию запрещена и допускается только по исключениям п. 2 ст. 10 ФЗ-152, в том числе при наличии явного письменного согласия субъекта.

«Ст. 10 ФЗ-152 — обработка специальных категорий персональных данных, касающихся состояния здоровья, допускается лишь в случаях, прямо предусмотренных законом, либо при наличии письменного согласия субъекта.»

Эти два документа защищают разные права пациента — право на медицинскую автономию и право на информационное самоопределение. Объединить их в одном листе без утраты юридической силы невозможно: реквизиты, сроки хранения и последствия отзыва у них принципиально разные.

Шаг 2. Проверьте, что изменил ФЗ-156 с 01.09.2025

До 01.09.2025 ФЗ-152 допускал включение согласия на ПДн в состав иного документа — например, в договор об оказании медицинских услуг или в типовую карту пациента. Многие клиники пользовались этим: один лист, одна подпись, минимум бумаг.

ФЗ-156 от 24.06.2025 внёс изменения в ч. 1 ст. 9 ФЗ-152: с 01.09.2025 согласие на обработку персональных данных должно быть оформлено отдельным документом и не может объединяться с другими документами. Это означает, что включение согласия на ПДн в текст договора об оказании услуг, в ИДС или в медицинскую карту нарушает закон.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — согласие субъекта персональных данных на обработку его данных оформляется отдельным документом, не совмещённым с иными документами.»

Ранее полученные согласия переоформлять в принудительном порядке закон не требует: поправки обратной силы не имеют. Но все новые согласия, собираемые после 01.09.2025, обязаны соответствовать новым требованиям. Если клиника использует унифицированные формы приёма — их необходимо было пересмотреть до 01.09.2025.

Пациенты подписывают один лист на приёме?

Если в клинике ИДС и согласие на ПДн объединены в одном документе, с 01.09.2025 это нарушение ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156. Штраф по ч. 2 ст. 13.11 КоАП — до 700 000 ₽ за нарушение требований к составу согласия. Юристы DATUM проверят действующие формы и соберут корректный комплект документов для медицинской организации.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Определите обязательный состав каждого документа

Информированное добровольное согласие по ст. 20 323-ФЗ должно содержать: наименование вмешательства, цели и методы лечения, риски и ожидаемые результаты, сведения об альтернативных методах, данные о враче, дату и подпись пациента или его законного представителя. Форма ИДС утверждается приказами Минздрава для отдельных видов вмешательств.

Согласие на обработку ПДн по ст. 9 ФЗ-152 обязано включать: фамилию, имя, отчество субъекта и его контактные данные; наименование и адрес оператора; цель обработки; перечень персональных данных, на обработку которых даётся согласие; перечень действий с ПДн; срок действия согласия; способ его отзыва. Для специальных категорий по ст. 10 ФЗ-152 согласие должно быть письменным.

Что включить в согласие на ПДн для пациента

  • Полное наименование клиники как оператора ПДн и её адрес
  • Цель обработки: оказание медицинской помощи, ведение медицинской документации, взаимодействие с ЕГИСЗ
  • Исчерпывающий перечень данных: ФИО, дата рождения, СНИЛС, полис ОМС/ДМС, диагноз, анамнез, результаты исследований
  • Перечень действий: сбор, запись, хранение, передача в ЕГИСЗ, передача страховой организации
  • Срок действия и порядок отзыва: письменное заявление в регистратуру

Передача данных в ЕГИСЗ — отдельное основание для обработки. Если клиника подключена к ЕГИСЗ, в согласии на ПДн необходимо прямо указать передачу данных в государственную информационную систему как самостоятельное действие и цель. Отсутствие этого пункта при фактической передаче данных — нарушение ст. 6 ФЗ-152.

Как организовать подпись двух документов, не перегружая пациента?

Разделение на два документа не означает удвоение времени приёма. Оптимальная схема — последовательная подача обоих документов в регистратуре перед первичным приёмом. Пациент подписывает оба листа одновременно, но они физически разделены и имеют разные реквизиты.

При использовании МИС с функцией электронного документооборота оба согласия могут быть оформлены в электронном виде — при наличии усиленной квалифицированной электронной подписи пациента или иных механизмов, предусмотренных договором с МИС и требованиями ЕГИСЗ. Бумажный экземпляр при этом не обязателен, если электронный формат соответствует требованиям Приказа Минздрава о ведении медицинской документации в электронном виде.

Для телемедицинских консультаций порядок тот же: оба согласия оформляются до начала консультации. При дистанционном формате клиника обязана обеспечить техническую возможность подписания документов — через личный кабинет МИС или защищённый канал связи.

Шаг 5. Проверьте хранение и порядок отзыва

Сроки хранения двух документов различаются. ИДС как часть медицинской документации хранится в течение срока, установленного приказами Минздрава, — как правило, 25 лет для амбулаторной карты. Согласие на ПДн хранится в течение срока действия и дополнительно три года после его окончания или отзыва — это общая практика для подтверждения правомерности обработки.

Порядок отзыва также различен. Отзыв ИДС — право пациента отказаться от вмешательства в любое время до его начала (ст. 20 323-ФЗ). Отзыв согласия на ПДн — право субъекта потребовать прекращения обработки и уничтожения данных (ст. 9 ФЗ-152), однако оператор вправе продолжить обработку при наличии иных законных оснований — например, для исполнения требований законодательства об архивном деле.

«Ст. 9 ФЗ-152 — субъект вправе отозвать согласие на обработку персональных данных в любое время. Оператор обязан прекратить обработку либо обеспечить её прекращение, если иное не предусмотрено федеральным законом.»

Клинике необходимо вести реестр полученных согласий с датами подписания, датами отзыва и отметками о способе хранения. Это снизит риски при проверке Роскомнадзора и позволит доказать соблюдение требований ст. 18.1 ФЗ-152.

Если главный врач готовится к проверке РКН или получил запрос об обработке данных пациентов — у вас 10 рабочих дней на ответ субъекту по ст. 20 ФЗ-152. Юристы DATUM подготовят клинику к проверке и разработают корректные формы согласий под требования ФЗ-156.

Подготовиться к проверке РКН

Шаг 6. Учтите специфику ЕГИСЗ и передачи данных третьим лицам

Подключение к ЕГИСЗ предполагает передачу данных пациентов в федеральную государственную информационную систему. Эта передача требует отдельного указания в согласии на ПДн: цель — взаимодействие с ЕГИСЗ, получатель — Министерство здравоохранения как оператор ЕГИСЗ, перечень передаваемых данных. Без этого пункта передача данных в ЕГИСЗ не имеет правового основания по ст. 6 ФЗ-152.

Передача данных страховой медицинской организации по полису ОМС или ДМС — ещё одно самостоятельное действие, которое должно быть отражено в согласии. Если клиника работает одновременно по ОМС и ДМС — в согласии указываются оба получателя или даётся отдельное согласие под каждый вид страхования.

При подключении МИС к сторонним сервисам (лабораторные информационные системы, РМИС, телемедицинские платформы) клиника выступает оператором, а сторонний сервис — лицом, осуществляющим обработку по поручению в соответствии с п. 3 ст. 6 ФЗ-152. Поручение на обработку оформляется отдельным договором или дополнением к договору с МИС-провайдером. Пациент дополнительного согласия для передачи данных обработчику не подписывает, но перечень действий оператора, указанный в его согласии, должен охватывать передачу данных третьим лицам.

Как применяется это на практике

Кейс 1. Многопрофильная клиника (Приволжский ФО, осень 2025) использовала единую форму «Согласие пациента», включавшую одновременно ИДС на первичный осмотр и блок об обработке ПДн. После вступления в силу ФЗ-156 от 24.06.2025 форма не была обновлена. При плановой проверке Роскомнадзора инспектор квалифицировал ситуацию как нарушение ч. 1 ст. 9 ФЗ-152 в новой редакции и составил протокол по ч. 2 ст. 13.11 КоАП. Главный врач обратился к юристам до вынесения постановления. Клинике удалось документально подтвердить оперативное переоформление форм и частично снизить сумму штрафа в диапазоне до 500 000 ₽.

Кейс 2. Стоматологическая сеть (Центральный ФО, начало 2026) получила жалобу пациента в РКН: клиника передала данные о лечении в страховую организацию без указания этого действия в согласии на ПДн. Согласие содержало цель «оказание стоматологических услуг», но не включало передачу третьим лицам. РКН возбудил дело по ч. 1 ст. 13.11 КоАП (обработка, несовместимая с заявленными целями). Штраф по ч. 1 ст. 13.11 для юрлица составляет 150 000 — 300 000 ₽. После консультации с юристами сеть обновила форму согласия и направила повторное уведомление субъекту.

Частые вопросы

1. Чем отличается ИДС от согласия на ПДн?

Информированное добровольное согласие (ИДС) регулируется ст. 20 323-ФЗ и удостоверяет, что пациент понял суть медицинского вмешательства, его риски и альтернативы. Согласие на обработку персональных данных регулируется ст. 9 ФЗ-152 и разрешает клинике совершать конкретные действия с конкретным перечнем данных в конкретных целях. Это два независимых документа с разными реквизитами, сроками хранения и последствиями отзыва. С 01.09.2025 объединять их в один документ запрещено по ФЗ-156.

2. Можно ли публиковать фото «до-после» с согласия пациента?

Публикация фотоизображений пациента — это распространение персональных данных по ст. 10.1 ФЗ-152. Для неё требуется отдельное согласие на распространение, которое не может быть совмещено ни с ИДС, ни с общим согласием на обработку ПДн. В согласии на распространение указываются конкретные площадки (сайт, Instagram, буклет), перечень публикуемых данных и изображений, срок публикации и порядок удаления. Отсутствие отдельного согласия — нарушение ст. 10.1 ФЗ-152 и основание для штрафа по ч. 1 ст. 13.11 КоАП.

3. Кто отвечает за утечку через МИС?

Медицинская организация как оператор персональных данных несёт ответственность за утечку независимо от того, произошла она через собственную инфраструктуру или через МИС-провайдера. Согласно принципу ответственности оператора за действия обработчика по поручению (п. 3 ст. 6 ФЗ-152), клиника обязана заключить с провайдером МИС договор поручения на обработку ПДн, предусматривающий требования к защите данных. При утечке через МИС РКН предъявляет претензии к клинике как оператору. Штраф за утечку от 1 000 до 10 000 субъектов — от 3 до 5 млн ₽ по ч. 12 ст. 13.11 КоАП.

4. Какие данные передавать в ЕГИСЗ?

Состав передаваемых в ЕГИСЗ данных определяется требованиями Минздрава к интеграции медицинских информационных систем. Как правило, это: идентификационные данные пациента (ФИО, дата рождения, СНИЛС, полис), данные о визитах и оказанных услугах, диагноз по МКБ, назначения. Каждое из этих действий должно быть отражено в согласии пациента на обработку ПДн — передача в ЕГИСЗ указывается как самостоятельный получатель и самостоятельная цель. Передача данных без указания в согласии нарушает ст. 6 и ст. 9 ФЗ-152.

5. Что грозит клинике за утечку данных пациентов?

Данные пациентов — специальная категория по ст. 10 ФЗ-152 (сведения о состоянии здоровья). За их утечку предусмотрена повышенная ответственность. По ч. 12 ст. 13.11 КоАП (утечка от 1 000 до 10 000 субъектов) штраф для юрлица составляет 3 — 5 млн ₽; по ч. 13 (от 10 000 до 100 000 субъектов) — 5 — 10 млн ₽; по ч. 14 (более 100 000 субъектов) — 10 — 15 млн ₽. При повторной утечке применяется оборотный штраф по ч. 15 ст. 13.11 КоАП: 1 — 3% совокупной годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽. Помимо этого, сотрудник, виновный в утечке, может быть привлечён к уголовной ответственности по ст. 272.1 УК РФ.

6. Нужно ли отдельное согласие для телемедицинской консультации?

Для телемедицины действуют те же требования, что и для очного приёма: ИДС на медицинское вмешательство (в данном случае — на дистанционное наблюдение или консультацию) и отдельное согласие на обработку ПДн. Дополнительно клиника обязана обеспечить защищённый канал передачи данных и подтвердить личность пациента. Если консультация проводится из другой страны — возникает вопрос трансграничной передачи ПДн по ст. 12 ФЗ-152, требующей уведомления Роскомнадзора.

Итог

С 01.09.2025 медицинская организация обязана собирать два отдельных документа: ИДС по ст. 20 323-ФЗ и согласие на обработку ПДн по ст. 9 ФЗ-152. Объединять их в одном листе запрещено. Согласие на ПДн должно содержать исчерпывающий перечень данных, действий, целей и получателей — включая ЕГИСЗ и страховые организации.

DATUM сопровождает медицинские организации в части соответствия требованиям ФЗ-152: разработка форм согласий с учётом специфики МИС и ЕГИСЗ, аудит документооборота, подготовка к проверкам Роскомнадзора и защита при штрафах по ст. 13.11 КоАП.

Услуги DATUM по теме

Смотрите также

ОН
Ольга Нечаева
Аналитик · Медицина и образование
Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна.

14 апреля 2028 года