инструкция 18 января 2029 По состоянию на 18 января 2029

ПДн пациента в ФОМС

Персональные данные пациента, передаваемые в систему обязательного медицинского страхования, относятся к специальным категориям по ст. 10 ФЗ-152: они раскрывают состояние здоровья и подлежат усиленной защите.

С 30.05.2025 за утечку медицинских ПДн от 1 000 субъектов штраф для медорганизации составляет от 3 до 15 млн ₽ по ч. 12–14 ст. 13.11 КоАП; при повторности — оборотный штраф до 500 млн ₽ по ч. 15.

Если вы главный врач и не уверены, правильно ли МИС передаёт данные в ФОМС и ЕГИСЗ — эта инструкция даёт пошаговый порядок приведения процессов в соответствие.

Медицинская организация — оператор персональных данных особого режима. Каждая запись в МИС, каждый реестровый счёт в ФОМС и каждый документ, уходящий в ЕГИСЗ, содержит специальные категории ПДн пациента: сведения о диагнозе, об оказанных услугах, о состоянии здоровья. Одновременно работает врачебная тайна по ст. 13 Федерального закона № 323-ФЗ. Разобраться, какие данные передавать, кому, на каком основании и как защитить организацию от штрафа, — задача для главного врача, а не только для юриста или ИТ-директора.

Шаг 1. Установите, какие ПДн пациента попадают в ФОМС

ФОМС и его территориальные фонды (ТФОМС) получают сведения о застрахованных лицах, об оказанной медицинской помощи и о расчётах за неё. Конкретный состав данных определяется Федеральным законом № 326-ФЗ «Об обязательном медицинском страховании» и подзаконными актами Министерства здравоохранения.

В реестровый счёт, который медорганизация направляет страховой медицинской организации (СМО) для оплаты по ОМС, включаются: ФИО пациента, дата рождения, номер полиса ОМС, СНИЛС, диагноз по МКБ, перечень оказанных услуг, даты и место лечения. Все эти сведения — персональные данные, а диагноз — специальная категория по ст. 10 ФЗ-152, так как раскрывает состояние здоровья.

«Ст. 10 ФЗ-152 запрещает обработку ПДн, раскрывающих состояние здоровья, без прямого законодательного основания или письменного согласия субъекта — за исключением случаев, когда обработка необходима для медицинских целей лицами, обязанными соблюдать профессиональную тайну.»

Основание обработки для направления данных в ФОМС — исполнение обязанности, предусмотренной законодательством РФ (п. 2 ч. 2 ст. 6 и п. 4 ч. 2 ст. 10 ФЗ-152). Отдельного согласия пациента на передачу сведений в ТФОМС и СМО в рамках ОМС не требуется. Именно это разграничение принципиально: информированное добровольное согласие (ИДС) по ст. 20 ФЗ-323 и согласие на обработку ПДн по ст. 9 ФЗ-152 — разные документы с разными функциями.

МИС настроена, но уверенности в правовом основании нет?

Если главный врач не уверен, какие данные уходят в ФОМС на законном основании, а какие требуют согласия пациента — ошибка в классификации создаёт риск штрафа по ч. 1–2 ст. 13.11 КоАП (до 700 тыс. ₽). Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 2. Разграничьте ИДС и согласие на обработку ПДн

Это разграничение — одна из самых частых ошибок в медицинских организациях. Главный врач обнаруживает, что пациент подписал единый документ, в котором объединены согласие на медицинское вмешательство и согласие на обработку ПДн. С 01.09.2025 такая практика прямо нарушает ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025: согласие на обработку ПДн должно быть оформлено отдельным документом и не может объединяться с другими документами.

Информированное добровольное согласие по ст. 20 ФЗ-323 — это согласие пациента на медицинское вмешательство. Оно регулирует правоотношения врач–пациент и закрепляет автономию пациента в части лечения. Согласие на обработку ПДн по ст. 9 ФЗ-152 — это отдельный документ, регулирующий обработку сведений о пациенте. Обязательные реквизиты: наименование и адрес оператора (медорганизации), ФИО и контактные данные пациента, цели обработки, перечень ПДн, перечень действий, срок, порядок отзыва.

«Ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156): согласие на обработку ПДн оформляется отдельным документом — не в составе трудового договора, оферты, политики конфиденциальности или медицинской документации.»

Если согласие нужно (например, для передачи данных третьим лицам, не участвующим в оказании помощи по ОМС, или для публикации результатов лечения), его следует запросить отдельно. Если согласие не нужно (передача в ТФОМС, СМО, ЕГИСЗ по закону), документ не оформляется вовсе — оператор опирается на законное основание. Смешивать нельзя.

Шаг 3. Проверьте передачу данных в ЕГИСЗ и МИС

Единая государственная информационная система в сфере здравоохранения (ЕГИСЗ) функционирует на основании ст. 91 ФЗ-323. Медицинские организации обязаны передавать в федеральные и региональные подсистемы ЕГИСЗ сведения об оказанной медицинской помощи, о медицинских работниках, о медицинских изделиях. Состав и порядок передачи определяет Министерство здравоохранения.

Передача данных в ЕГИСЗ — законная обязанность медорганизации, основание: исполнение требований законодательства. Отдельного согласия пациента не требуется. Однако медицинская информационная система (МИС), через которую данные уходят в ЕГИСЗ, является информационной системой персональных данных (ИСПДн). К ней применяются требования ПП РФ № 1119 об уровнях защищённости и Приказа ФСТЭК № 21.

«ПП РФ № 1119 от 01.11.2012: для ИСПДн, обрабатывающих специальные категории ПДн более 100 000 субъектов при угрозах 2-го типа, установлен уровень защищённости УЗ-1. При числе субъектов менее 100 000 — УЗ-3. Состав мер защиты — по Приказу ФСТЭК № 21.»

Типовая ошибка: МИС куплена и развёрнута, но акт определения уровня защищённости не оформлен, модель угроз не составлена, аттестация отсутствует. При проверке Роскомнадзора это фиксируется как нарушение ст. 19 ФЗ-152 и влечёт предписание с кратким сроком устранения.

Что подготовить для МИС и ЕГИСЗ

Акт определения уровня защищённости ИСПДн (УЗ-1...УЗ-4) с обоснованием типа угроз и числа субъектов по ПП РФ № 1119.
Модель угроз безопасности ПДн, разработанная в соответствии с методикой ФСТЭК.
Технический паспорт ИСПДн (МИС) с описанием состава и структуры системы.
Договор (соглашение) с оператором МИС с условием об обработке ПДн по поручению по ч. 3 ст. 6 ФЗ-152 — если МИС предоставляется как облачный сервис.
Журнал регистрации событий безопасности и доступа к ПДн пациентов.

Шаг 4. Настройте обработку через страховые медицинские организации

СМО получают данные о пациентах и об оказанной им помощи для проведения медико-экономической экспертизы и контроля качества. Правовое основание — ФЗ-326. Передача осуществляется через реестровые счета и в рамках проверочных мероприятий.

СМО выступает самостоятельным оператором ПДн в части тех данных, которые она получает и обрабатывает. Медорганизация — отдельный оператор. Отношения между ними не являются отношениями «оператор — обработчик по поручению»: каждый определяет цели и состав обработки самостоятельно в рамках своих законных функций. Это важно при утечке: каждый несёт ответственность за собственный периметр.

Если СМО направляет в клинику своих экспертов или запрашивает первичную медицинскую документацию — доступ предоставляется на основании ФЗ-326, в объёме, необходимом для экспертизы. Передача документации за рамками законной цели является нарушением врачебной тайны по ст. 13 ФЗ-323 и ст. 10 ФЗ-152 одновременно.

Если главный врач получил запрос от СМО, ТФОМС или Роскомнадзора на предоставление сведений о пациентах — у вас есть 10 рабочих дней на ответ по ст. 20 ФЗ-152. Юристы DATUM помогут оценить объём раскрытия и подготовить ответ без нарушения врачебной тайны.

Подготовиться к проверке РКН

Шаг 5. Проверьте уведомление в реестре операторов РКН

Медицинская организация обязана уведомить Роскомнадзор о намерении обрабатывать персональные данные до начала обработки — ст. 22 ФЗ-152. Уведомление подаётся через портал pd.rkn.gov.ru по форме Приказа РКН № 180 от 28.10.2022. Включение в реестр занимает до 30 дней.

Типичные ошибки медорганизаций в уведомлении: не указаны все цели обработки (например, передача данных в ФОМС, ЕГИСЗ, ФСС, страховые организации); не указаны все категории ПДн (биометрические данные при работе со СКУД или системами видеонаблюдения); не указаны страны, куда передаются данные (если МИС — зарубежный SaaS). После ФЗ-233 от 28.06.2025 требования к локализации ужесточены: запись, систематизация и хранение ПДн граждан РФ должны осуществляться в базах данных на территории РФ (ч. 5 ст. 18 ФЗ-152).

«Ч. 10 ст. 13.11 КоАП (ред. с 30.05.2025): неуведомление или несвоевременное уведомление РКН о намерении обрабатывать ПДн — штраф для юрлица 100 000–300 000 ₽.»

Если медорганизация уже внесена в реестр, но реальная обработка расширилась (добавилась телемедицина, КЭДО, новые информационные системы), — необходимо подать уведомление об изменении сведений. Непредоставление актуальных сведений фиксируется при проверке как самостоятельное нарушение.

Как это выглядит на практике

Ситуация 1. Многопрофильная клиника (Приволжский ФО, лето 2025) прошла плановую проверку РКН. Проверяющие установили: МИС подключена к облачному сервису иностранного вендора без уведомления о трансграничной передаче и без договора об обработке по поручению. Уровень защищённости ИСПДн не определён. Клинике выданы предписания по ст. 19 ФЗ-152 и по ч. 5 ст. 18 ФЗ-152, возбуждено дело по ч. 8 ст. 13.11 КоАП (штраф для юрлица 1–6 млн ₽). Главный врач инициировал перевод МИС на отечественный облачный сервис и заключил договор поручения с вендором — это смягчило позицию при рассмотрении дела.

Ситуация 2. Частная стоматологическая сеть (Центральный ФО, осень 2024) разместила на сайте фотографии пациентов «до и после» лечения с подписанными ими «согласиями на размещение». После 01.09.2025 выяснилось: согласия были частью договора на оказание услуг, а не отдельными документами. Роскомнадзор квалифицировал это как обработку ПДн без надлежащего согласия по ч. 2 ст. 13.11 КоАП. Штраф по ч. 2 для юрлица — 300 000–700 000 ₽. Сеть переоформила согласия как отдельные документы с обязательными реквизитами ст. 9 ФЗ-152 и удалила часть публикаций до завершения разбирательства.

Какие ситуации создают наибольший риск для клиники

Сценарий А: утечка через МИС. Инцидент с несанкционированным доступом к базе МИС — это утечка специальных категорий ПДн. По ч. 3.1 ст. 21 ФЗ-152 у медорганизации есть 24 часа на первичное уведомление РКН и 72 часа на отчёт о расследовании (Приказ РКН № 187). Штраф за неуведомление — 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП. Штраф за саму утечку в зависимости от числа затронутых пациентов — от 3 до 15 млн ₽ по ч. 12–14. При повторном инциденте — оборотный штраф по ч. 15 (1–3% годовой выручки, не менее 20 млн ₽).

Сценарий Б: телемедицина с передачей данных за рубеж. Телемедицинская платформа с серверами за пределами РФ создаёт риск нарушения ч. 5 ст. 18 ФЗ-152 (локализация) и ст. 12 ФЗ-152 (трансграничная передача без уведомления РКН). Нарушение локализации после 01.07.2025 — штраф 1–6 млн ₽ по ч. 8 ст. 13.11, повторно — 6–18 млн ₽ по ч. 9.

Сценарий В: запрос пациента на уничтожение ПДн. Пациент вправе отозвать согласие и потребовать прекратить обработку. Медорганизация обязана соблюсти сроки уничтожения по ст. 21 ФЗ-152, но при этом учитывать обязательные сроки хранения медицинской документации по приказу Министерства здравоохранения. Конфликт норм — обязанность хранить медицинские документы vs. право пациента на уничтожение ПДн — разрешается в пользу специальных норм ФЗ-323: хранение в законодательно установленный срок является самостоятельным правовым основанием обработки.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка МИС, ЕГИСЗ, согласий пациентов, уведомления РКН.
Комплект ОРД под ключ — политика, согласия, приказы, регламент реагирования на утечки.
Сопровождение проверок РКН — подготовка, представительство, обжалование предписаний.

Частые вопросы

1. Чем отличается ИДС от согласия на обработку ПДн?

Информированное добровольное согласие (ИДС) по ст. 20 ФЗ-323 — это согласие пациента на медицинское вмешательство. Оно регулирует автономию в части лечения. Согласие на обработку ПДн по ст. 9 ФЗ-152 — отдельный документ, который закрепляет право оператора обрабатывать персональные сведения. С 01.09.2025 (ФЗ-156) оба документа не могут объединяться. Подписание ИДС не заменяет и не включает в себя согласие на обработку ПДн.

2. Можно ли публиковать фото до/после с согласия пациента?

Да, но только при наличии отдельного согласия на распространение ПДн по ст. 10.1 ФЗ-152. Это специальное согласие на распространение, а не обычное согласие на обработку. Дефолт молчания по ст. 10.1 — данные используются только внутри организации. С 01.09.2025 такое согласие также должно быть отдельным документом, не встроенным в договор или в согласие на медицинское вмешательство. При нарушении — штраф по ч. 2 ст. 13.11 КоАП для юрлица 300 000–700 000 ₽.

3. Кто отвечает за утечку через МИС?

Медицинская организация как оператор ПДн несёт ответственность за безопасность данных в МИС вне зависимости от того, является ли МИС собственной разработкой или облачным сервисом стороннего вендора. Если МИС предоставляется по договору SaaS, вендор выступает обработчиком по поручению (ч. 3 ст. 6 ФЗ-152) — ответственность перед субъектами и регулятором всё равно лежит на операторе. Практика ВС РФ: оператор отвечает за утечку через подрядчика. Штраф по ч. 12–14 ст. 13.11 КоАП — от 3 до 15 млн ₽ в зависимости от числа пострадавших пациентов.

4. Какие данные передавать в ЕГИСЗ?

Состав сведений, обязательных к передаче в ЕГИСЗ, определяется ст. 91 ФЗ-323 и постановлениями Правительства РФ. Как правило, это сведения об оказанной медицинской помощи, о медицинских работниках, о медицинских изделиях. Диагностические и лечебные данные (включая диагноз) передаются в подсистемы ЕГИСЗ на основании законной обязанности — отдельное согласие пациента не требуется. Передача сверх установленного состава без согласия пациента будет нарушением ст. 10 ФЗ-152.

5. Что грозит клинике за утечку медицинских данных?

Штраф зависит от числа затронутых пациентов: 1 000–10 000 субъектов — 3–5 млн ₽ (ч. 12 ст. 13.11 КоАП), 10 000–100 000 — 5–10 млн ₽ (ч. 13), более 100 000 — 10–15 млн ₽ (ч. 14). Если медорганизация не уведомит РКН за 24 часа — дополнительный штраф 1–3 млн ₽ по ч. 11. При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽, не более 500 млн ₽. Уголовная ответственность для должностных лиц — по ст. 272.1 УК РФ, введённой с 11.12.2024, до 10 лет лишения свободы при тяжких последствиях.

6. Нужно ли переоформлять согласия пациентов, полученные до 01.09.2025?

Нет. ФЗ-156 от 24.06.2025 не имеет обратной силы: согласия, полученные до 01.09.2025, остаются действительными до истечения срока, указанного в них, или до отзыва пациентом. Переоформление требуется только при получении новых согласий — с 01.09.2025 они должны оформляться отдельными документами со всеми реквизитами ст. 9 ФЗ-152. Рекомендуется до конца 2025 года актуализировать форму согласия и провести инструктаж регистраторов и медицинского персонала.

Итог

Обработка ПДн пациентов в системе ОМС опирается на законные основания ФЗ-326 и ФЗ-323 — отдельное согласие для передачи данных в ФОМС, СМО и ЕГИСЗ не требуется. Риски сосредоточены в трёх зонах: ненадлежащая защита МИС как ИСПДн специальных категорий, смешение ИДС и согласия на обработку ПДн, неправомерное расширение передачи данных за пределы законной цели.

Практика DATUM сопровождает медицинские организации по вопросам соответствия 152-ФЗ и 323-ФЗ: аудит МИС и ЕГИСЗ, подготовка к проверкам Роскомнадзора, составление комплекта ОРД и согласий под новые требования ФЗ-156.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, ПДн несовершеннолетних.

18 января 2029 года