инструкция 14 января 2029 По состоянию на 14 января 2029

Отказ пациенту в доступе: основания

Q: Что грозит клинике за утечку данных пациентов?

Утечка данных о состоянии здоровья влечёт повышенную ответственность. За утечку от 1 000 до 10 000 субъектов — штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП. От 10 000 до 100 000 субъектов — 5–10 млн ₽ по ч. 13. Более 100 000 субъектов — 10–15 млн ₽ по ч. 14. При повторной утечке применяется оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽. Неуведомление РКН об утечке в течение 24 часов добавляет штраф 1–3 млн ₽ по ч. 11.

Медицинская организация вправе ограничить доступ субъекта к его персональным данным — но только на основаниях, прямо предусмотренных законом.

Данные пациента относятся к специальным категориям по ст. 10 ФЗ-152. Немотивированный отказ влечёт штраф по ч. 4 ст. 13.11 КоАП до 80 000 ₽, а при повторном нарушении — до 90 000 ₽ по ч. 5. Утечка из МИС или ЕГИСЗ переводит дело в диапазон 3–15 млн ₽.

→ Если вы главный врач и получили запрос пациента на доступ к его ПДн — у вас 10 рабочих дней на ответ по ст. 20 ФЗ-152.

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420: 18 частей, оборотные штрафы за повторную утечку до 500 млн ₽. Медицинские организации попали в зону повышенного риска — данные пациентов составляют спецкатегорию по ст. 10 ФЗ-152, и любое нарушение порядка доступа либо обработки проверяется Роскомнадзором в первую очередь. Эта инструкция описывает, в каких случаях отказ правомерен, как его оформить и что делать, если пациент обжалует решение.

Шаг 1. Установите правовой статус запроса пациента

Пациент как субъект персональных данных вправе получить сведения об обработке своих ПДн на основании ст. 14 ФЗ-152. Право распространяется на состав данных, цели обработки, источники получения, сроки хранения и перечень третьих лиц, которым они переданы. Отдельно от этого действует право на доступ к медицинской документации по ст. 22 Федерального закона № 323-ФЗ «Об основах охраны здоровья граждан».

Прежде чем оформлять отказ, определите природу запроса: пациент требует выдать ему информацию о факте и составе обработки ПДн или хочет получить копию медицинской документации. Это два разных правовых режима с разными основаниями для ограничения доступа. Смешение оснований — типичная ошибка, которую инспектор РКН квалифицирует как нарушение ч. 4 ст. 13.11 КоАП.

«Ст. 14 ФЗ-152 — субъект вправе потребовать от оператора сведений о составе обрабатываемых ПДн, целях и основаниях обработки, перечне третьих лиц. Срок предоставления — 10 рабочих дней с возможностью продления до 5 рабочих дней при уведомлении субъекта.»

Если запрос касается медицинской документации — применяется ст. 22 323-ФЗ и внутренний регламент клиники. Если запрос касается персональных данных как таковых — ст. 14 и ст. 20 ФЗ-152. Оба права могут реализовываться одновременно, и на каждый ответ действует собственный срок.

Шаг 2. Проверьте, подпадает ли ситуация под закрытый перечень оснований для отказа

Перечень оснований для отказа в предоставлении ПДн субъекту является закрытым. ФЗ-152 устанавливает три группы случаев, когда оператор вправе не раскрывать запрошенную информацию.

Первая группа — обработка в целях обороны, безопасности или правопорядка. Если медицинская организация обрабатывает ПДн пациента в рамках государственного задания, связанного с обеспечением безопасности, — основание для ограничения доступа предусмотрено ч. 8 ст. 14 ФЗ-152. На практике это редкий случай для обычной клиники.

Вторая группа — обработка по судебному решению или в рамках исполнительного производства. Если ПДн обрабатываются во исполнение судебного акта и раскрытие состава обработки нарушит конфиденциальность судопроизводства — оператор вправе ограничить доступ.

Третья группа — данные обрабатываются в соответствии с законодательством о противодействии легализации доходов, налоговым или иным специальным законодательством, прямо предусматривающим ограничение раскрытия. Для медицинской организации это практически неприменимо.

«Ст. 10 ФЗ-152 — обработка данных о состоянии здоровья, диагнозах, медицинских вмешательствах относится к специальным категориям. По общему правилу запрещена без явного письменного согласия пациента, кроме исключений п. 2 ст. 10.»

Если ни одно из перечисленных оснований не применимо — отказ неправомерен. Медицинская организация обязана предоставить субъекту запрошенную информацию в установленный срок.

Получили запрос пациента и не знаете, отказывать или предоставить?

Неправильная квалификация запроса — самая частая причина штрафа по ч. 4 ст. 13.11 КоАП. Если главный врач не уверен в правовой природе требования пациента, последствия исправить сложнее, чем предотвратить. Юристы DATUM оценят ситуацию и дадут письменное заключение по конкретному запросу.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Оформите отказ в письменной форме с указанием нормы

Устный отказ или молчание по истечении 10 рабочих дней — это нарушение, а не реализованное право оператора. Даже правомерный отказ должен быть оформлен документально.

Ответ на запрос пациента составляется на фирменном бланке организации и содержит: дату получения запроса, суть требования, ссылку на конкретную норму ФЗ-152 или иного федерального закона, которая служит основанием для ограничения доступа, и разъяснение права обжалования в Роскомнадзоре или суде. Документ подписывает руководитель или уполномоченное лицо, ответственное за обработку ПДн по ст. 22.1 ФЗ-152.

Что подготовить для правомерного отказа

Входящий запрос пациента с датой регистрации — подтверждает соблюдение 10-рабочедневного срока по ст. 20 ФЗ-152
Письменный ответ с указанием конкретного основания из ч. 8 ст. 14 ФЗ-152 или иного федерального закона
Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 — подтверждает полномочия подписанта
Журнал учёта обращений субъектов с входящими запросами за последние 12 месяцев
Актуальная политика обработки ПДн по ч. 2 ст. 18.1 ФЗ-152 с разделом об ограничении доступа

Факт направления ответа фиксируется: заказным письмом с уведомлением, вручением под роспись или через МИС при наличии функции юридически значимого документооборота. Без подтверждения факта направления ответа доказать соблюдение срока при проверке РКН невозможно.

Шаг 4. Разграничьте доступ к ПДн и доступ к медицинской документации

Пациент нередко формулирует запрос обобщённо: «предоставьте мои данные». За этим может стоять требование выдать копию карты, результаты анализов или историю болезни. Это право регулируется ст. 22 Федерального закона № 323-ФЗ, а не ст. 14 ФЗ-152.

По ст. 22 323-ФЗ пациент вправе получить копии медицинских документов, отражающих состояние его здоровья. Отказ возможен только в одном случае: если ознакомление с документами может причинить вред здоровью пациента или создать угрозу безопасности третьих лиц. Это основание применяется ограничительно и должно быть обосновано медицинским заключением.

«Ст. 13 323-ФЗ — сведения о факте обращения гражданина за медицинской помощью, состоянии его здоровья и диагнозе составляют врачебную тайну. Передача третьим лицам без согласия пациента допускается только в случаях, прямо предусмотренных законом.»

Врачебная тайна и персональные данные о здоровье — пересекающиеся, но не тождественные правовые категории. Врачебную тайну регулирует 323-ФЗ, персональные данные о здоровье как спецкатегорию — ст. 10 ФЗ-152. Нарушение режима врачебной тайны влечёт ответственность по иным нормам, но при этом может одновременно квалифицироваться как нарушение ФЗ-152.

Если в клинике МИС подключена к ЕГИСЗ и пациент требует ограничить передачу данных — у вас 10 рабочих дней на ответ. Отсутствие ОРД по спецкатегориям ПДн делает любой ответ уязвимым при проверке РКН.

Подготовиться к проверке РКН

Шаг 5. Определите порядок передачи данных в ЕГИСЗ и смежные системы

Медицинские организации, работающие с государственными информационными системами в сфере здравоохранения, передают данные пациентов в ЕГИСЗ. Пациент не вправе запретить такую передачу, если она предусмотрена законодательством об охране здоровья: в этом случае основанием обработки служит не согласие, а выполнение обязанности, возложенной законом (п. 2 ч. 2 ст. 10 ФЗ-152).

Вместе с тем пациент вправе запросить сведения о том, в какие системы и с какой целью его данные переданы. Этот запрос квалифицируется по ст. 14 ФЗ-152 и подлежит ответу в общем порядке. Отказ предоставить информацию о факте передачи в ЕГИСЗ — самостоятельное нарушение.

Отдельного внимания требует телемедицина. При дистанционном консультировании данные пациента нередко обрабатываются на платформах, серверы которых могут находиться за рубежом. Трансграничная передача спецкатегории ПДн требует уведомления РКН до начала передачи по ст. 12 ФЗ-152. При запросе пациента о составе обработки организация обязана раскрыть факт такой передачи.

Как это применяется на практике

Кейс 1. Многопрофильная клиника (Центральный ФО, осень 2025) получила запрос пациента о предоставлении сведений об обработке его ПДн. Главный врач расценил запрос как требование выдать медицинскую карту и перенаправил его в медрегистратуру. Срок ответа по ст. 20 ФЗ-152 истёк без ответа. РКН по итогам внеплановой проверки возбудил дело по ч. 4 ст. 13.11 КоАП — штраф в десятки тысяч рублей. Нарушение было устранено; повторное нарушение грозило бы ч. 5.1 с диапазоном 300 000–500 000 ₽. Ситуацию осложнило отсутствие приказа о назначении ответственного по ст. 22.1 ФЗ-152. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Кейс 2. Стоматологическая сеть (Уральский ФО, начало 2026) публиковала фотографии пациентов «до и после» лечения в социальных сетях на основании общего согласия на обработку ПДн, включённого в договор об оказании услуг. РКН установил, что распространение ПДн требует отдельного согласия по ст. 10.1 ФЗ-152. Компания получила предписание об устранении нарушения. Дело квалифицировано по ч. 1 ст. 13.11 КоАП — штраф в диапазоне 150 000–300 000 ₽. После переработки форм согласия претензий не возникало. ⚠️ Точная сумма штрафа и номер дела — менеджер верифицирует перед публикацией.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка обработки спецкатегорий ПДн пациентов, МИС и согласий
Комплект ОРД под ключ — политика, согласия пациентов, приказы, регламент реагирования
Сопровождение проверок РКН — подготовка к плановой и внеплановой проверке, представление интересов клиники

Частые вопросы

1. Чем отличается ИДС от согласия на обработку ПДн?

Информированное добровольное согласие (ИДС) — медицинско-правовой документ по ст. 20 323-ФЗ, подтверждающий согласие пациента на медицинское вмешательство. Согласие на обработку персональных данных — отдельный документ по ст. 9 ФЗ-152, подтверждающий право оператора обрабатывать ПДн пациента. С 01.09.2025 согласие на ПДн не может быть включено в текст ИДС, договора или иного документа — только отдельным документом с реквизитами по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025.

2. Можно ли публиковать фото «до и после» с согласия пациента?

Да, но только при наличии отдельного согласия на распространение ПДн по ст. 10.1 ФЗ-152. Общее согласие на обработку ПДн из договора или ИДС для этого недостаточно. Согласие на распространение оформляется отдельно, содержит перечень конкретных данных (изображение, имя, диагноз — только то, что пациент разрешил) и способ публикации. Дефолтное молчание по ст. 10.1 означает запрет на распространение.

3. Кто отвечает за утечку через МИС?

Ответственность несёт оператор — медицинская организация, которая эксплуатирует МИС. Если МИС предоставляется по договору с вендором, к которому передана обработка ПДн, организация остаётся оператором и отвечает перед РКН и субъектами. Вендор несёт ответственность по условиям договора поручения. Утечка через МИС квалифицируется по ч. 12–14 ст. 13.11 КоАП в зависимости от числа пострадавших субъектов — от 3 до 15 млн ₽.

4. Какие данные обязательно передавать в ЕГИСЗ?

Перечень данных, подлежащих передаче в ЕГИСЗ, установлен Федеральным законом № 242-ФЗ и подзаконными актами Минздрава. Согласие пациента для такой передачи не требуется — основанием служит исполнение обязанности, предусмотренной законодательством об охране здоровья. Пациент вправе запросить информацию о факте и составе переданных данных, и медицинская организация обязана её предоставить в течение 10 рабочих дней по ст. 14 ФЗ-152.

5. Что грозит клинике за утечку данных пациентов?

Утечка данных о состоянии здоровья (спецкатегория по ст. 10 ФЗ-152) влечёт повышенную ответственность. За утечку от 1 000 до 10 000 субъектов — штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП. От 10 000 до 100 000 субъектов — 5–10 млн ₽ по ч. 13. Более 100 000 субъектов — 10–15 млн ₽ по ч. 14. При повторной утечке применяется оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽. Неуведомление РКН об утечке в течение 24 часов добавляет штраф 1–3 млн ₽ по ч. 11.

6. Нужно ли переоформлять согласия пациентов после 01.09.2025?

Согласия, полученные до 01.09.2025, обратной силой ФЗ-156 не затрагиваются — их переоформлять не требуется. Новые согласия с 01.09.2025 оформляются только отдельным документом. Если клиника продолжает использовать формы, где согласие включено в договор или ИДС, — каждый новый документ создаёт риск по ч. 2 ст. 13.11 КоАП (штраф 300 000–700 000 ₽ за обработку без надлежащего письменного согласия).

Итог

Отказ пациенту в доступе к его персональным данным правомерен только при наличии одного из закрытых оснований ч. 8 ст. 14 ФЗ-152. Немотивированный отказ или пропуск 10-рабочедневного срока — нарушение, которое РКН фиксирует без предупреждений. Разграничение запросов по ФЗ-152 и 323-ФЗ, наличие приказа об ответственном и актуальной политики обработки ПДн — минимальный набор для правомерного ответа.

Юристы DATUM специализируются на обработке персональных данных в медицине: согласия пациентов, МИС, ЕГИСЗ, телемедицина, проверки РКН в медицинских организациях. Практика — с 2014 года.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, ПДн несовершеннолетних.