инструкция 21 января 2028 По состоянию на 21 января 2028

ПДн пациента при выписке из стационара

Q: Что делать, если пациент после выписки требует уничтожить свои данные?

Требование об уничтожении ПДн не означает автоматического удаления. Медицинская документация хранится в течение сроков, установленных приказом Минздрава (как правило, не менее 25 лет для стационарных историй болезни). В этой части обработка ведётся во исполнение требований законодательства по п. 2 ч. 1 ст. 6 ФЗ-152 — независимо от согласия пациента. Медорганизация обязана ответить в течение 10 рабочих дней, указав законное основание для продолжения хранения.

При выписке пациента стационар передаёт медицинскую документацию, которая содержит специальные категории персональных данных по ст. 10 ФЗ-152. Обработка этих данных без надлежащего правового основания — состав ч. 12–14 ст. 13.11 КоАП с минимальным штрафом 3 млн рублей.

С 30.05.2025 действуют новые части ст. 13.11 КоАП (ФЗ-420 от 30.11.2024): за утечку медицинских данных 10 000–100 000 пациентов — 5–10 млн рублей, более 100 000 — 10–15 млн рублей. Повторная утечка влечёт оборотный штраф до 500 млн рублей по ч. 15.

Если вы главный врач и не уверены в правовом основании передачи выписки через МИС или ЕГИСЗ — проверьте документооборот до того, как это сделает РКН.

Стационар выписывает пациента и формирует пакет документов: эпикриз, выписной эпикриз, направления, результаты анализов. Каждый из них содержит данные о состоянии здоровья — специальную категорию по ст. 10 ФЗ-152, обработка которой требует отдельного правового основания. В этой инструкции — пошаговый порядок работы с ПДн при выписке: от проверки согласий до передачи данных в ЕГИСЗ и ответа на запросы субъекта.

Шаг 1. Проверьте, на каком основании обрабатываете медицинские ПДн

Данные о состоянии здоровья относятся к специальным категориям по ст. 10 ФЗ-152. По общему правилу их обработка запрещена. Исключение — п. 4 ч. 2 ст. 10: обработка необходима в целях медицинской профилактики, диагностики, оказания медицинской или социальной помощи при условии, что обработку осуществляет медицинский работник, обязанный сохранять врачебную тайну по ст. 13 ФЗ-323. Это основание не требует согласия пациента — но требует, чтобы обработка велась именно в рамках лечебного процесса, а не за его пределами.

«Ст. 10 ч. 2 п. 4 ФЗ-152: обработка данных о здоровье без согласия допускается, если она необходима в медицинских целях и осуществляется лицом, профессионально обязанным соблюдать врачебную тайну.»

Передача выписки третьим лицам — родственникам, работодателю, страховщику, другой медорганизации вне системы ЕГИСЗ — выходит за рамки этого основания. Для таких передач нужно отдельное согласие пациента по ст. 9 ФЗ-152 или иное законное основание (например, запрос суда или следственных органов по п. 3 ч. 1 ст. 6 ФЗ-152).

Проверочный вопрос для каждой операции с данными при выписке: входит ли эта передача в цели, указанные в согласии на медицинское вмешательство (информированном добровольном согласии — ИДС), или она требует самостоятельного правового основания?

Получили запрос от страховой компании или работодателя на выписные документы?

Передача медицинских данных третьим лицам без надлежащего основания — это нарушение ст. 10 ФЗ-152 и врачебной тайны по ст. 13 ФЗ-323 одновременно. Ошибка в квалификации основания может обернуться штрафом по ч. 1 ст. 13.11 КоАП (150–300 тыс. рублей) или по ч. 2 (300–700 тыс. рублей). Юристы DATUM проведут аудит документооборота медорганизации и укажут, какие операции требуют отдельного согласия.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 2. Убедитесь, что согласия на обработку ПДн оформлены правильно

С 01.09.2025 согласие на обработку персональных данных должно быть оформлено отдельным документом — не включаться в ИДС, договор на оказание медицинских услуг или правила внутреннего распорядка (ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025). Это критично для медорганизаций, которые десятилетиями включали «согласие на обработку ПДн» в бланк ИДС или в договор с пациентом.

«Ст. 9 ч. 1 ФЗ-152 в ред. ФЗ-156 от 24.06.2025: согласие субъекта персональных данных — отдельный документ, не объединяемый с другими. Действует с 01.09.2025.»

Обязательные реквизиты согласия на обработку ПДн пациента: ФИО и контактные данные субъекта, наименование медорганизации, цель обработки (лечение, ведение медицинской документации, передача в ЕГИСЗ и т. д.), перечень обрабатываемых данных, перечень действий с данными, срок действия согласия, способ его отзыва. Если согласие оформлено до 01.09.2025 и включено в другой документ — обратной силы норма не имеет, переоформлять ранее полученные согласия не требуется. Но все новые — с 01.09.2025 — должны быть отдельными.

Отдельно: для передачи данных о здоровье с целью распространения (публикация случаев, фото до-после, учебные материалы) необходимо согласие на распространение ПДн по ст. 10.1 ФЗ-152 — это ещё один самостоятельный документ.

Что проверить по согласиям перед выпиской

Согласие на обработку ПДн — отдельный документ, не часть ИДС или договора (с 01.09.2025, ФЗ-156)
Цели обработки в согласии охватывают передачу данных в ЕГИСЗ, страховую компанию или иным получателям, которым вы планируете передать выписку
Согласие на распространение данных о здоровье (фото, учебные материалы) — отдельный документ по ст. 10.1 ФЗ-152
В случае передачи данных на основании ст. 10 ч. 2 п. 4 ФЗ-152 (в рамках лечебного процесса) — зафиксировано, что передача осуществляется медработником под врачебной тайной
Порядок отзыва согласия доведён до пациента и зафиксирован в документе

Шаг 3. Проверьте порядок передачи данных в МИС и ЕГИСЗ

Медицинская информационная система (МИС) — это информационная система персональных данных (ИСПДн) по смыслу ФЗ-152 и ПП РФ №1119. Данные о состоянии здоровья — специальная категория, что означает повышенные требования к защите. В зависимости от числа субъектов и типа угроз МИС должна соответствовать уровню защищённости УЗ-3 или УЗ-2 (ПП РФ №1119). Технические меры защиты определяются по Приказу ФСТЭК №21 от 18.02.2013.

Передача данных в ЕГИСЗ (Единую государственную информационную систему в сфере здравоохранения) осуществляется на основании ФЗ-323 «Об основах охраны здоровья граждан» и регулируется постановлениями Правительства о ЕГИСЗ. Согласие пациента на эту передачу, как правило, не требуется — она осуществляется в рамках исполнения медорганизацией обязанностей по закону (п. 2 ч. 1 ст. 6 ФЗ-152). Однако объём передаваемых данных должен соответствовать целям ЕГИСЗ — избыточная передача нарушает принцип минимизации по ст. 5 ФЗ-152.

«Ст. 5 ч. 4 ФЗ-152: обрабатываемые персональные данные должны соответствовать целям обработки по объёму и составу. Избыточные данные не допускаются.»

Практический риск: МИС передаёт в ЕГИСЗ весь набор полей, включая данные, не предусмотренные регуляторными требованиями к ЕГИСЗ. Это нарушение ст. 5 ФЗ-152, которое выявляется при проверке РКН. Проверьте состав передаваемых полей в настройках интеграции МИС с ЕГИСЗ и приведите его к минимально необходимому.

Шаг 4. Организуйте защиту данных при формировании выписных документов

Выписной эпикриз и другие документы при выписке формируются в МИС и могут передаваться: пациенту на руки, в бумажном или электронном виде; в другую медорганизацию — при переводе или направлении; страховой медицинской организации — в рамках ОМС; в ЕГИСЗ — автоматически через интеграцию МИС. Каждый из этих каналов требует отдельного режима защиты.

Передача электронных документов пациенту через мессенджеры (WhatsApp, Telegram) без шифрования — распространённая практика, которая квалифицируется как нарушение требований к защите специальных категорий ПДн. Обеспечьте защищённый канал: личный кабинет пациента в МИС, ЕСИА (Госуслуги) или защищённый email с уведомлением о правилах обращения с документом.

При переводе пациента в другую медорганизацию передача данных осуществляется в рамках лечебного процесса по п. 4 ч. 2 ст. 10 ФЗ-152 — отдельного согласия не требуется при условии соблюдения врачебной тайны принимающей стороной. Заключите соглашение о конфиденциальности или укажите на это в договоре о взаимодействии медорганизаций.

Если в клинике нет отдельного регламента передачи выписных документов — это пробел в ОРД, который РКН фиксирует при проверке. Юристы DATUM соберут пакет документов для медорганизации под ключ, включая регламент работы с МИС и порядок передачи в ЕГИСЗ. До проверки РКН — ещё есть время.

Собрать ОРД под ключ

Шаг 5. Подготовьте порядок реагирования на запросы пациентов и утечки

После выписки пациент вправе обратиться к оператору ПДн с запросом об обработке своих данных. Медорганизация обязана ответить в течение 10 рабочих дней с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта (ст. 20 ФЗ-152). Отсутствие ответа или ответ с нарушением срока — штраф по ч. 4 ст. 13.11 КоАП (40–80 тыс. рублей).

При выявлении утечки медицинских данных — например, несанкционированного доступа к МИС или случайной отправки выписки не тому адресату — у медорганизации есть 24 часа на первичное уведомление РКН (ч. 3.1 ст. 21 ФЗ-152, Приказ РКН №187 от 14.11.2022). Через 72 часа — отчёт о результатах внутреннего расследования. Нарушение этого срока — штраф по ч. 11 ст. 13.11 КоАП: 1–3 млн рублей.

«Ч. 3.1 ст. 21 ФЗ-152: при выявлении утечки оператор обязан уведомить РКН в течение 24 часов и направить отчёт о расследовании в течение 72 часов. Приказ РКН №187 от 14.11.2022 устанавливает порядок и форму уведомлений.»

Медицинские данные — специальная категория, и их утечка при наличии отягчающих обстоятельств может квалифицироваться по ч. 17 ст. 13.11 КоАП как утечка биометрических данных (если это изображение лица или иные биометрические параметры) — штраф 15–20 млн рублей. Кроме того, с 11.12.2024 действует ст. 272.1 УК РФ (ФЗ-421 от 30.11.2024): незаконное использование, передача или хранение компьютерной информации с ПДн — до 10 лет лишения свободы по ч. 5 при тяжких последствиях.

Как это применяется на практике

Кейс 1. Медорганизация в Приволжском федеральном округе (осень 2025) использовала МИС с интеграцией в ЕГИСЗ. При плановой проверке РКН установил, что МИС передавала в ЕГИСЗ поля, не предусмотренные регуляторными требованиями, — избыточный состав данных нарушал ст. 5 ФЗ-152. Дополнительно выявлено: согласия пациентов на обработку ПДн были включены в бланк ИДС, что после 01.09.2025 образует нарушение ч. 2 ст. 13.11 КоАП (штраф 300–700 тыс. рублей). Главный врач привлёк юристов для разработки отдельных форм согласий и ограничения передаваемых в ЕГИСЗ полей — административное производство прекращено в связи с устранением нарушений до вынесения постановления.

Кейс 2. Частная клиника в Центральном федеральном округе (начало 2026) обнаружила, что один из сотрудников регистратуры отправлял выписки пациентов через личный мессенджер. Факт выявлен при внутреннем аудите. Главный врач уведомил РКН в течение 22 часов (первичное уведомление по ч. 3.1 ст. 21 ФЗ-152), через 68 часов направил отчёт о расследовании. Число затронутых пациентов — около 200 человек, что формально образует состав ч. 12 ст. 13.11 КоАП (1 000–10 000 субъектов). При рассмотрении дела мировой судья учёл оперативность уведомления и принятые меры — штраф составил сумму в нижней границе диапазона.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка документооборота медорганизации, МИС, согласий пациентов
Комплект ОРД под ключ — регламент работы с ПДн пациентов, формы согласий, порядок передачи в ЕГИСЗ
Сопровождение проверок РКН — подготовка к проверке, представление интересов, обжалование предписаний

Частые вопросы

1. Чем отличается ИДС от согласия на обработку персональных данных?

Информированное добровольное согласие (ИДС) — это медицинско-правовой документ по ст. 20 ФЗ-323, подтверждающий согласие пациента на конкретное медицинское вмешательство. Согласие на обработку персональных данных — самостоятельный документ по ст. 9 ФЗ-152, регулирующий операции с данными пациента как субъекта ПДн. С 01.09.2025 (ФЗ-156 от 24.06.2025) эти документы не могут быть объединены. Нарушение влечёт ответственность по ч. 2 ст. 13.11 КоАП — штраф для медорганизации 300–700 тыс. рублей.

2. Можно ли публиковать фото пациента до-после с его согласия?

Да, но только при наличии отдельного согласия на распространение персональных данных по ст. 10.1 ФЗ-152. Стандартное согласие на обработку ПДн такого права не даёт. В согласии на распространение должно быть явно указано: цель публикации, площадка, состав данных (включая изображение), срок. Дефолт при молчании субъекта — данные не могут быть переданы третьим лицам или опубликованы.

3. Кто отвечает за утечку данных через МИС?

Ответственность несёт оператор персональных данных — медицинская организация, а не разработчик МИС. Если МИС предоставляется по договору поручения обработки (п. 3 ст. 6 ФЗ-152), медорганизация как оператор отвечает перед субъектами и РКН за действия обработчика. Претензии предъявляются к оператору, который далее вправе взыскать убытки с обработчика в порядке регресса. Отсюда требование: договор с поставщиком МИС должен содержать условия о поручении обработки ПДн с перечнем действий, мер защиты и ответственности.

4. Какие данные передавать в ЕГИСЗ при выписке?

Состав передаваемых данных определяется Постановлением Правительства об ЕГИСЗ и техническими требованиями Минздрава. Общий принцип по ст. 5 ФЗ-152: только те данные, которые необходимы для целей ЕГИСЗ. Практически это означает: проверить настройки интеграции МИС с ЕГИСЗ и исключить поля, передача которых не предусмотрена нормативными документами о системе. Избыточная передача — нарушение принципа минимизации, фиксируемое при проверке РКН.

5. Что грозит клинике за утечку медицинских данных пациентов?

Зависит от масштаба. Утечка 1 000–10 000 пациентов — штраф по ч. 12 ст. 13.11 КоАП 3–5 млн рублей; 10 000–100 000 — по ч. 13, 5–10 млн рублей; свыше 100 000 — по ч. 14, 10–15 млн рублей. Неуведомление РКН за 24 часа — дополнительно 1–3 млн рублей по ч. 11. При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн рублей. Параллельно возможна уголовная ответственность по ст. 272.1 УК РФ (с 11.12.2024) для физических лиц, допустивших утечку.

6. Что делать, если пациент после выписки требует уничтожить свои данные?

Требование субъекта об уничтожении ПДн подлежит рассмотрению, но не означает автоматического удаления. Медицинская документация хранится в течение сроков, установленных приказом Минздрава (как правило, не менее 25 лет для стационарных историй болезни). В этой части обработка ПДн осуществляется во исполнение требований законодательства (п. 2 ч. 1 ст. 6 ФЗ-152) — это самостоятельное основание, не зависящее от согласия пациента. Медорганизация обязана ответить пациенту в течение 10 рабочих дней (ст. 20 ФЗ-152), указав законное основание для продолжения хранения.

Итог

Обработка ПДн при выписке из стационара затрагивает специальные категории данных по ст. 10 ФЗ-152, требования к согласиям по новой редакции ст. 9 (с 01.09.2025), нормы ЕГИСЗ и врачебной тайны по ст. 13 ФЗ-323. Нарушение любого из этих элементов создаёт административный риск от 150 тыс. до 500 млн рублей в зависимости от состава. С 30.05.2025 правоприменение по ст. 13.11 КоАП перешло в фазу реальных штрафов по новым составам.

Юристы DATUM специализируются на ПДн в медицине: аудит МИС и ЕГИСЗ, разработка форм согласий под требования ФЗ-156, сопровождение проверок РКН в медицинских организациях.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна.

21 января 2028 года