инструкция 21 января 2029 По состоянию на 21 января 2029

ПДн пациента в ДМС: передача в страховую

Данные пациента, который получает медпомощь по ДМС, — специальная категория по ст. 10 ФЗ-152. Передача сведений о состоянии здоровья страховой компании без надлежащего правового основания и согласия — нарушение, за которое клиника отвечает как оператор ПДн.

С 30.05.2025 штраф за утечку медицинских данных от 1 000 до 10 000 субъектов составляет 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП. Повторная утечка переводит дело в оборотный штраф: 1–3% годовой выручки клиники, но не менее 20 млн ₽.

Если вы главврач и ДМС-страховщик запросил сведения о пациентах — у вас есть инструкция ниже: 6 шагов от определения правового основания до настройки МИС и ЕГИСЗ.

Клиника, работающая с ДМС, ежедневно передаёт страховой компании данные о визитах, диагнозах и назначениях. Большинство главврачей убеждены, что договор с СК закрывает все вопросы. Это не так. Договор ДМС не является самостоятельным правовым основанием для передачи спецкатегорийных ПДн третьей стороне. Эта инструкция описывает шесть последовательных шагов, которые приводят передачу ПДн пациента в страховую в соответствие с ФЗ-152 и ст. 13 Федерального закона о здравоохранении.

Шаг 1. Определите правовое основание передачи данных страховой компании

Сведения о состоянии здоровья пациента относятся к специальным категориям ПДн по ст. 10 ФЗ-152. По общему правилу их обработка — включая передачу третьим лицам — запрещена. Исключения перечислены в ч. 2 ст. 10 ФЗ-152. Применительно к ДМС клиника может опираться на два из них.

Первое — согласие субъекта ПДн. Пациент должен выразить явное, конкретное и добровольное согласие на передачу его медицинских данных страховой компании. Это согласие с 01.09.2025 оформляется отдельным документом согласно ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025: его нельзя включать в текст договора ДМС, полис или информированное добровольное согласие на медицинское вмешательство.

Второе — исполнение договора, стороной которого является субъект ПДн (п. 5 ч. 1 ст. 6 ФЗ-152). Однако применить его к спецкатегорийным данным напрямую нельзя: ст. 10 устанавливает отдельный, более строгий режим. Для спецкатегорий исключение «исполнение договора» в чистом виде не работает без отдельного согласия либо без прямого указания в законе.

«Ст. 10 ФЗ-152: обработка специальных категорий ПДн, включая сведения о состоянии здоровья, допускается только при наличии оснований, прямо указанных в ч. 2 ст. 10, — в том числе при наличии согласия субъекта или если обработка необходима в целях медицинской профилактики, диагностики, оказания медицинских услуг лицом, обязанным соблюдать врачебную тайну.»

Практический вывод: передача данных страховщику по ДМС требует отдельного согласия пациента на обработку спецкатегорийных ПДн с указанием конкретного получателя — страховой компании, конкретного перечня передаваемых сведений и цели передачи.

Шаг 2. Проверьте, как соотносятся врачебная тайна и ФЗ-152

Врачебная тайна регулируется ст. 13 Федерального закона об основах охраны здоровья граждан (323-ФЗ). Этот закон содержит собственный перечень случаев, когда сведения, составляющие врачебную тайну, можно передавать без согласия пациента. Страховые организации по ДМС в этот перечень не включены.

Это означает: страховщик ДМС вправе получить сведения о страховом случае только с согласия пациента — как в части врачебной тайны (ст. 13 323-ФЗ), так и в части ПДн (ст. 10 ФЗ-152). Два согласия регулируются разными законами, но могут быть оформлены в одном документе при условии раздельной формулировки каждого из них.

Клиника, которая передаёт страховщику данные пациента без его согласия, одновременно нарушает ФЗ-152 и 323-ФЗ. Это удваивает правовые риски: к административной ответственности по ст. 13.11 КоАП добавляется ответственность за разглашение врачебной тайны.

Страховщик требует данные пациентов — не знаете, что передавать законно?

Главврачи, получившие запрос от СК по ДМС, нередко оказываются между двух огней: страховщик давит на исполнение договора, а юрист предупреждает о рисках. Ошибка в составе передаваемых данных или в форме согласия — это штраф 3–15 млн ₽ по ст. 13.11 КоАП и потенциальная уголовная ответственность по ст. 272.1 УК. Юристы DATUM проведут аудит ДМС-документации клиники и выдадут чёткий перечень допустимых к передаче данных с правовым обоснованием.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Оформите согласие пациента по требованиям ст. 9 ФЗ-152 (редакция с 01.09.2025)

С 01.09.2025 согласие на обработку ПДн — это отдельный документ. Его нельзя объединять с договором ДМС, информированным добровольным согласием на вмешательство или любым иным документом. Это требование ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025.

Согласие пациента на передачу медицинских ПДн страховой компании должно содержать:

фамилию, имя, отчество пациента и его контактные данные;
наименование и адрес медицинской организации (оператора ПДн);
наименование и адрес страховой компании (получателя данных);
конкретную цель передачи — «организация и оплата медицинской помощи по программе ДМС»;
исчерпывающий перечень передаваемых сведений: диагноз, даты обращений, назначения, результаты исследований;
перечень действий с ПДн: передача, хранение, использование для расчётов;
срок действия согласия — как правило, срок действия полиса ДМС;
способ отзыва согласия.

Согласие подписывается пациентом собственноручно или квалифицированной электронной подписью. Копия согласия хранится в медицинской организации. Отдельное согласие по ст. 13 323-ФЗ на передачу сведений, составляющих врачебную тайну, оформляется аналогично или в том же документе как самостоятельный раздел.

Ранее полученные согласия (до 01.09.2025) не аннулируются автоматически, если они содержат все необходимые реквизиты и пациент не отозвал их. Однако если согласие было включено в договор или в ИДС — оно не соответствует новому требованию об отдельном документе и подлежит переоформлению при следующем обращении пациента.

Как настроить МИС и передачу в ЕГИСЗ, чтобы не нарушить ФЗ-152?

Шаг 4. Настройте МИС: ограничение состава и маршрутизация данных

Медицинская информационная система — основной источник ПДн пациентов в клинике. Типичная ошибка: МИС настроена на автоматическую выгрузку всего эпизода обращения в адрес страховой компании, хотя ДМС-программа покрывает только часть услуг.

Требования к МИС с точки зрения ФЗ-152:

состав передаваемых данных в выгрузке СК должен соответствовать перечню, указанному в согласии пациента — не шире;
доступ сотрудников к разделу «ДМС-реестр» — только у тех, кто участвует в оформлении страхового случая;
журнал обращений к записям пациентов должен вестись и храниться: это требование ст. 19 ФЗ-152 и ПП РФ №1119 об уровнях защищённости;
передача данных страховщику — только по защищённому каналу (TLS 1.2+); передача по незащищённой электронной почте недопустима.

Шаг 5. Проверьте порядок взаимодействия с ЕГИСЗ

Передача сведений в ЕГИСЗ регулируется отдельно от передачи страховщику. Медицинские организации, подключённые к государственной информационной системе, передают данные о медицинской помощи в рамках обязанностей, установленных 323-ФЗ и нормативными актами Минздрава. Эта передача осуществляется на основании закона, а не согласия пациента.

Однако клиника обязана уведомить пациента о том, что его данные вносятся в ЕГИСЗ. Порядок уведомления — через политику обработки ПДн и информационные стенды в клинике. Если клиника использует ЕГИСЗ-данные для взаиморасчётов со страховщиком по ДМС — возникает вопрос о дополнительном правовом основании: ЕГИСЗ-данные не предназначены для передачи страховым компаниям автоматически.

«Ст. 13 323-ФЗ: сведения о факте обращения за медицинской помощью, состоянии здоровья, диагнозе и иные сведения, полученные при медицинском обследовании и лечении, составляют врачебную тайну. Предоставление таких сведений без согласия гражданина или его законного представителя допускается только в случаях, прямо предусмотренных федеральным законом.»

Если МИС клиники настроена на автоматическую выгрузку данных в СК и согласия пациентов оформлены до 01.09.2025 в тексте договора — клиника уже в зоне риска по ч. 2 ст. 13.11 КоАП (штраф до 700 тыс. ₽ за каждый факт). Юристы DATUM подготовят комплект ОРД для ДМС-документооборота и приведут согласия к новым требованиям.

Собрать ОРД под ключ

Шаг 6. Подготовьте ОРД и политику обработки ПДн для ДМС-документооборота

Клиника как оператор ПДн обязана иметь актуальную политику обработки ПДн, опубликованную на официальном сайте (ст. 18.1 ФЗ-152). В политике должен быть отдельный раздел о передаче данных страховым компаниям по ДМС: цели, перечень категорий данных, получатели, основания передачи.

Помимо политики, для ДМС-документооборота требуется:

приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152;
регламент передачи данных страховым компаниям с описанием процедуры, состава данных и каналов передачи;
типовая форма согласия пациента на передачу ПДн страховщику (отдельный документ, редакция с 01.09.2025);
договор-поручение с МИС-провайдером, если МИС — внешний сервис (ст. 6 ч. 3 ФЗ-152: оператор может поручить обработку третьему лицу только на основании договора, содержащего обязательные условия);
журнал учёта выданных согласий и их отзывов.

Уведомление РКН об обработке ПДн (ст. 22 ФЗ-152) должно содержать актуальные сведения о категориях обрабатываемых ПДн, целях и получателях. Если клиника ранее подала уведомление без указания страховых компаний как получателей — необходимо подать уведомление об изменении сведений через pd.rkn.gov.ru.

Что подготовить главврачу для законной передачи ПДн в страховую

Отдельное согласие пациента на передачу спецкатегорийных ПДн страховщику — с указанием конкретного получателя, перечня данных и срока действия (ст. 9 ФЗ-152, ред. с 01.09.2025).
Согласие на разглашение сведений, составляющих врачебную тайну, — отдельный раздел того же документа или самостоятельный документ по ст. 13 323-ФЗ.
Актуальная политика обработки ПДн с разделом о ДМС-документообороте, опубликованная на сайте клиники.
Договор-поручение с МИС-провайдером (если МИС внешняя) и регламент передачи данных страховщику по защищённому каналу.
Актуальное уведомление в реестре РКН с указанием страховой компании как получателя данных.

Типовые ситуации: главврач и запрос страховщика

Ситуация 1. Страховщик запрашивает реестр обращений за квартал — без конкретизации пациентов. Клиника без индивидуальных согласий каждого пациента не вправе передавать сводные данные, если из них идентифицируются конкретные лица. Реестр с ФИО, диагнозами и датами — это персональные данные специальной категории, даже в табличном виде. Стратегия: передавать только обезличенные агрегированные данные (количество обращений по видам услуг) до получения согласий, параллельно дооформлять согласия всей базы.

Ситуация 2. Пациент отозвал согласие на обработку ПДн в разгар страхового года. Отзыв согласия не означает автоматического прекращения лечения. Клиника продолжает оказывать медицинскую помощь. Но с момента отзыва — передача данных страховщику по ДМС недопустима. Последствие: страховая компания не может верифицировать страховой случай, могут возникнуть споры о возмещении. Стратегия: прописать порядок работы с отзывом согласия в регламенте — включая уведомление страховщика о невозможности предоставить данные.

Ситуация 3. МИС автоматически передаёт данные в ЕГИСЗ, а страховщик запрашивает выгрузку напрямую из ЕГИСЗ через API. Клиника не является администратором ЕГИСЗ и не контролирует доступ страховщика к государственной системе. Если страховщик получает данные напрямую из ЕГИСЗ — это вопрос взаимодействия Минздрава и СК, а не клиники. Однако если клиника сама выгружает из ЕГИСЗ данные и передаёт СК — применяются все требования ФЗ-152 и 323-ФЗ о согласии. Стратегия: запросить у страховщика правовое основание прямого доступа к ЕГИСЗ; передачу данных из ЕГИСЗ силами клиники без согласий не производить.

Что грозит клинике за нарушения при передаче ПДн страховщику?

Ответственность наступает по нескольким основаниям одновременно.

По ФЗ-152 и ст. 13.11 КоАП (редакция с 30.05.2025): передача спецкатегорийных ПДн без надлежащего согласия — ч. 2 ст. 13.11, штраф для юридического лица 300 000–700 000 ₽. Если произошла утечка данных в результате недостаточных мер защиты — штраф 3–15 млн ₽ в зависимости от количества затронутых субъектов (ч. 12–14 ст. 13.11). Повторная утечка — оборотный штраф по ч. 15 ст. 13.11: 1–3% совокупной годовой выручки клиники, но не менее 20 млн ₽.

«Ст. 13.11 ч. 17 КоАП (в ред. с 30.05.2025): утечка биометрических ПДн — штраф для юридического лица 15–20 млн ₽. Если клиника собирает биометрию (фото лица, голос) в рамках телемедицины или СКУД — это отдельный риск.»

По 323-ФЗ за разглашение врачебной тайны: административная и дисциплинарная ответственность конкретных медицинских работников, гражданская ответственность клиники за причинённый пациенту вред (ст. 98 323-ФЗ).

По ст. 272.1 УК РФ (введена ФЗ-421, действует с 11.12.2024): незаконное использование или передача компьютерной информации, содержащей ПДн, — уголовная ответственность. Если данные пациентов передавались страховщику по незащищённому каналу и были перехвачены — возможно возбуждение уголовного дела в отношении должностных лиц клиники.

Кейс 1. Многопрофильная клиника Центрального ФО (осень 2025) передавала страховщику ежемесячные реестры обращений с диагнозами и ФИО пациентов. Согласия были включены в текст договора на оказание медицинских услуг — не как отдельный документ. После проверки РКН клиника получила протокол по ч. 2 ст. 13.11 КоАП (штраф 300 000–700 000 ₽). Юристы оспорили часть эпизодов, применив ст. 4.1 КоАП по смягчающим обстоятельствам. Штраф снижен до нижней границы диапазона. После этого клиника переоформила все согласия по новой форме и заключила договор-поручение с МИС-провайдером.

Кейс 2. Стоматологическая сеть Северо-Западного ФО (начало 2026) утратила базу данных пациентов по ДМС в результате атаки на МИС-провайдера. База содержала диагнозы и персональные данные более 4 000 пациентов. Клиника уведомила РКН в течение 20 часов. Арбитражный суд региона при рассмотрении дела по ч. 12 ст. 13.11 КоАП применил смягчающее обстоятельство в виде своевременного уведомления и сотрудничества с регулятором. Штраф составил сумму в нижней части диапазона 3–5 млн ₽. Клиника дополнительно заключила с МИС-провайдером соглашение об ответственности за инциденты. Конкретный номер дела и точная сумма уточняются менеджером при публикации.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — аудит ДМС-документооборота клиники, включая согласия и МИС-интеграции
Комплект ОРД под ключ — полный пакет: политика, согласия для ДМС, регламент передачи данных страховщику
Сопровождение проверок РКН — представление интересов клиники при проверке Роскомнадзора

Частые вопросы

1. Чем отличается ИДС от согласия на ПДн?

Информированное добровольное согласие на медицинское вмешательство (ИДС) — документ по ст. 20 323-ФЗ. Оно подтверждает, что пациент согласен на конкретную медицинскую процедуру. Согласие на обработку ПДн — документ по ст. 9 ФЗ-152. Он подтверждает, что пациент разрешает определённые действия с его персональными данными. С 01.09.2025 согласие на ПДн должно быть отдельным документом и не может быть частью ИДС или любого иного документа. Клиники, объединявшие их в одну форму, обязаны разделить эти документы при следующем оформлении.

2. Можно ли публиковать фото до-после с согласия пациента?

Фотографии пациента, на которых идентифицируется его личность, являются персональными данными (изображение лица — биометрические ПДн по ст. 11 ФЗ-152). Публикация таких фото допускается только при наличии отдельного согласия на распространение ПДн по ст. 10.1 ФЗ-152. Это согласие должно прямо указывать: цель публикации (реклама, портфолио), каналы распространения (сайт, соцсети), срок. Молчание пациента или подпись в ИДС не являются согласием на распространение. Кроме того, публикация медицинских данных (диагноз, описание вмешательства) потребует отдельного согласия на обработку спецкатегорийных ПДн.

3. Кто отвечает за утечку через МИС?

Клиника как оператор ПДн несёт ответственность за утечку вне зависимости от того, произошла ли она через собственную инфраструктуру или через МИС-провайдера. Если МИС — внешний сервис, ответственность оператора не снимается: согласно позиции судебной практики, оператор отвечает за действия лица, которому поручил обработку ПДн. Для разделения ответственности необходим договор-поручение по ст. 6 ч. 3 ФЗ-152 с конкретными требованиями к защите данных и ответственностью МИС-провайдера за инциденты.

4. Какие данные передавать в ЕГИСЗ?

Перечень сведений, передаваемых медицинскими организациями в ЕГИСЗ, устанавливается нормативными актами Минздрава России в соответствии с 323-ФЗ. Как правило, это данные об оказанной медицинской помощи, диагнозах (по МКБ), назначениях и результатах лечения. Передача в ЕГИСЗ осуществляется на основании закона, а не согласия пациента, однако клиника обязана информировать пациента об этой передаче через политику обработки ПДн. Использование ЕГИСЗ-данных для взаиморасчётов со страховщиком по ДМС — отдельная операция, требующая согласия пациента.

5. Что грозит клинике за утечку данных пациентов?

По ст. 13.11 КоАП в редакции с 30.05.2025: утечка данных 1 000–10 000 субъектов — штраф 3–5 млн ₽ (ч. 12), 10 000–100 000 субъектов — 5–10 млн ₽ (ч. 13), свыше 100 000 — 10–15 млн ₽ (ч. 14). Утечка биометрических данных — 15–20 млн ₽ (ч. 17). При повторной утечке — оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, но не менее 20 млн ₽. Неуведомление РКН об инциденте в течение 24 часов — отдельный штраф 1–3 млн ₽ по ч. 11 ст. 13.11. Помимо административной ответственности, возможна уголовная ответственность должностных лиц по ст. 272.1 УК (действует с 11.12.2024).

6. Нужно ли уведомлять РКН, если клиника только заключила договор с новой страховой компанией?

Если клиника уже включена в реестр операторов ПДн, но ранее не указывала данную страховую компанию как получателя данных — необходимо подать уведомление об изменении сведений об операторе через портал pd.rkn.gov.ru в порядке ст. 22 ФЗ-152. Это же требование действует при изменении состава передаваемых ПДн или целей обработки. Неуведомление РКН об изменении сведений квалифицируется по ч. 10 ст. 13.11 КоАП: штраф для юридического лица 100 000–300 000 ₽.

Итог

Передача ПДн пациента страховой компании по ДМС — это обработка специальных категорий персональных данных, требующая отдельного согласия, а не просто условия договора. Клиника, которая передаёт данные без надлежащих документов, нарушает одновременно ФЗ-152, 323-ФЗ и рискует уголовной ответственностью по ст. 272.1 УК для своих должностных лиц.

Юристы DATUM сопровождают медицинские организации в приведении ДМС-документооборота к требованиям ФЗ-152: от аудита существующих согласий до настройки регламентов передачи данных и сопровождения при проверке РКН.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна.

21 января 2029 года