ПДн пациента в страховой компании ОМС
Страховая компания ОМС получает от медицинской организации сведения о диагнозах, оказанных услугах и состоянии здоровья застрахованных. Эти сведения относятся к специальным категориям персональных данных по ст. 10 ФЗ-152 и одновременно охраняются как врачебная тайна по ст. 13 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан». Для главного врача это означает двойную ответственность: перед Роскомнадзором по ст. 13.11 КоАП и перед Росздравнадзором по специальному медицинскому законодательству. В инструкции — семь последовательных шагов, которые позволяют привести передачу ПДн в ОМС в соответствие с законом.
Шаг 1. Определите правовое основание для передачи данных в страховую компанию ОМС
Медицинская организация вправе передавать сведения о пациенте страховщику ОМС без его согласия только в случаях, прямо предусмотренных законом. Статья 13 Федерального закона № 323-ФЗ допускает раскрытие врачебной тайны без согласия пациента при проведении медицинской экспертизы, контроле качества медицинской помощи и расчётах за оказанные услуги в системе ОМС.
Статья 6 ФЗ-152 устанавливает одиннадцать оснований для обработки ПДн. Передача данных страховщику при расчётах за медицинскую помощь подпадает под исполнение обязательства, предусмотренного законом (п. 2 ч. 1 ст. 6 ФЗ-152), а не под согласие пациента. Однако это исключение работает строго в пределах целей: только те данные и только для той функции, которая закреплена в законе об ОМС.
Убедитесь, что в договоре с ТФОМС или страховщиком прямо указаны: цели обработки, перечень передаваемых категорий ПДн и получатель. Отсутствие этого условия — самостоятельное нарушение по ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽ для юридического лица в редакции с 30.05.2025).
Шаг 2. Проверьте форму информированного добровольного согласия на соответствие требованиям ФЗ-152
Информированное добровольное согласие (ИДС) на медицинское вмешательство по ст. 20 Федерального закона № 323-ФЗ и согласие на обработку персональных данных по ст. 9 ФЗ-152 — два разных документа с разными реквизитами. Смешивать их в одной форме с 01.09.2025 запрещено: ФЗ-156 от 24.06.2025 обязал оформлять согласие на ПДн отдельным документом.
Согласие на обработку ПДн пациента должно содержать: полное наименование оператора (медорганизации), цель обработки, перечень обрабатываемых данных с указанием категорий (включая сведения о состоянии здоровья как специальную категорию), перечень действий с данными, срок действия согласия и способ его отзыва. Согласие, включённое в текст договора об оказании платных услуг или напечатанное на обороте ИДС, не соответствует требованиям с 01.09.2025.
Проверьте действующие формы ИДС и первичной документации: если согласие на ПДн встроено в медицинскую форму — это нарушение ч. 2 ст. 13.11 КоАП, штраф для юрлица 300–700 тыс. ₽. Переработайте формы до первой проверки РКН.
Согласия пациентов встроены в ИДС или договор на услуги?
С 01.09.2025 такая форма не соответствует ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156. Каждое обращение пациента — потенциальный штраф до 700 тыс. ₽ по ч. 2 ст. 13.11 КоАП. Юристы DATUM соберут комплект ОРД для медицинской организации: отдельные согласия на ПДн, политику, приказы, регламент — под ключ.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Шаг 3. Настройте МИС для корректной передачи данных в ЕГИСЗ и страховщику
Медицинская информационная система (МИС) является информационной системой персональных данных (ИСПДн) и должна соответствовать одному из уровней защищённости по ПП РФ № 1119 от 01.11.2012. Сведения о здоровье — специальная категория; при числе субъектов свыше 100 000 применяется УЗ-2, при меньшем — УЗ-3 как минимум. Конкретный уровень определяется типом актуальных угроз.
Передача данных из МИС в ЕГИСЗ и страховщику технически реализуется через защищённые каналы (шифрование, аутентификация). Состав технических мер определён в Приказе ФСТЭК № 21 от 18.02.2013: для специальных категорий ПДн обязательны меры по идентификации и аутентификации (ИАФ), управлению правами доступа (УПД), регистрации событий (РСБ), обеспечению целостности (ОЦЛ) и защите информационной системы (ЗИС).
Проверьте техническую документацию МИС у поставщика: он обязан предоставить аттестат соответствия или иной документ, подтверждающий выполнение требований ФСТЭК. Отсутствие организационно-технических мер по ст. 19 ФЗ-152 при последующей утечке через МИС лишает возможности применить смягчающие обстоятельства в арбитражном споре.
Что проверить в МИС перед передачей данных в страховую ОМС
- Наличие модели угроз и акта определения уровня защищённости ИСПДн (УЗ-1–УЗ-4) по ПП РФ № 1119
- Журналы событий и доступа: все действия с ПДн пациентов должны регистрироваться (требование РСБ Приказа ФСТЭК № 21)
- Соглашение с поставщиком МИС о поручении обработки ПДн по ч. 3 ст. 6 ФЗ-152
- Шифрование канала передачи данных в ЕГИСЗ и страховщику (сертифицированные СКЗИ или TLS)
- Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152
Как правильно оформить поручение обработки ПДн страховой компании ОМС?
Страховая медицинская организация в системе ОМС выступает самостоятельным оператором ПДн застрахованных, а не обработчиком по поручению клиники. Это означает: договор об информационном взаимодействии должен разграничивать роли и ответственность. Если клиника передаёт данные страховщику по его запросу для экспертизы качества медицинской помощи — это самостоятельная обработка двух операторов, а не поручение.
Однако если страховщик привлекает третьих лиц для обработки переданных сведений — это уже поручение по ч. 3 ст. 6 ФЗ-152, которое требует отдельного договора с перечнем разрешённых действий, обязанностью соблюдения конфиденциальности и условием уничтожения ПДн по окончании обработки.
Практика показывает: при проверках РКН медицинских организаций отсутствие чёткого разграничения ролей в договоре со страховщиком фиксируется как нарушение ст. 18.1 ФЗ-152 (отсутствие мер по обеспечению исполнения оператором обязанностей). Включите в договор с ТФОМС и страховщиком отдельный раздел об обработке ПДн.
Если главный врач не разграничил роли клиники и страховщика в договоре — РКН при проверке зафиксирует нарушение ст. 18.1 ФЗ-152 и ч. 1 ст. 13.11 КоАП. Исправить договор проще до визита инспектора.
Подготовиться к проверке РКНШаг 5. Уведомите Роскомнадзор о намерении обрабатывать специальные категории ПДн
Медицинская организация обязана уведомить РКН о намерении обрабатывать ПДн до начала обработки (ст. 22 ФЗ-152). Уведомление подаётся через портал pd.rkn.gov.ru с использованием УКЭП или через ЕСИА. Форма утверждена Приказом РКН № 180 от 28.10.2022.
В уведомлении необходимо указать специальные категории ПДн как отдельный вид обрабатываемых данных, цели обработки (в том числе расчёты с ТФОМС, экспертиза качества медицинской помощи, ведение МИС), правовые основания и получателей — включая страховую медицинскую организацию и ЕГИСЗ. Неполное уведомление при последующей проверке приравнивается к ненадлежащему.
Неуведомление РКН о намерении обрабатывать ПДн — штраф по ч. 10 ст. 13.11 КоАП: 100–300 тыс. ₽ для юрлица. Если уведомление подано, но сведения в реестре не обновлены после изменения состава обработки — это отдельное нарушение.
Шаг 6. Настройте реагирование на утечку данных из МИС
По ч. 3.1 ст. 21 ФЗ-152 при выявлении неправомерной или случайной передачи ПДн оператор обязан уведомить РКН в течение 24 часов с момента обнаружения. Через 72 часа — направить отчёт о результатах внутреннего расследования по Приказу РКН № 187 от 14.11.2022. Оба срока не восстанавливаются.
Для медицинской организации утечка через МИС означает компрометацию специальных категорий ПДн: сведений о диагнозах, назначениях, лабораторных данных. Штраф по ч. 12 ст. 13.11 КоАП при утечке от 1 000 до 10 000 субъектов — 3–5 млн ₽; при 10 000–100 000 субъектов — 5–10 млн ₽ по ч. 13. Неуведомление РКН об утечке в установленный срок — дополнительный штраф 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП.
Включите процедуру реагирования на инциденты в регламент обработки ПДн: кто фиксирует факт, кто направляет уведомление в РКН, кто готовит отчёт. Ответственного за обработку назначьте приказом по ст. 22.1 ФЗ-152 — он координирует реагирование.
Шаг 7. Разграничьте врачебную тайну и режим ПДн при работе с телемедициной и третьими лицами
Телемедицинские консультации добавляют третью сторону обработки данных — платформу или сервис. Платформа выступает обработчиком по поручению медорганизации (ч. 3 ст. 6 ФЗ-152). Договор поручения обработки ПДн с платформой обязателен: он должен запрещать использование данных пациентов в иных целях, устанавливать требования к защите и предусматривать уничтожение данных по истечении договора.
Если телемедицинская платформа расположена за рубежом — передача данных требует предварительного уведомления РКН по ст. 12 ФЗ-152. Данные российских граждан первично должны собираться и храниться в базах на территории РФ (ч. 5 ст. 18 ФЗ-152). Передача за рубеж без уведомления РКН при наличии интегрированной зарубежной платформы — нарушение ч. 8 ст. 13.11 КоАП, штраф 1–6 млн ₽.
Для страховой компании ОМС аналогичная логика применяется при передаче данных застрахованных в любую аналитическую систему — требуется проверить, является ли это трансграничной передачей, и направить уведомление при необходимости.
Как применяется на практике
Кейс 1. Медицинский центр в Сибирском федеральном округе (осень 2025) использовал единую форму, объединявшую ИДС на медицинское вмешательство и согласие на обработку ПДн. Роскомнадзор при плановой проверке зафиксировал нарушение ч. 2 ст. 13.11 КоАП (отсутствие отдельного согласия по требованиям ФЗ-156 с 01.09.2025). Штраф для юридического лица составил сотни тысяч рублей. После переработки форм документов и прохождения повторного аудита нарушения устранены. Ключевой вывод: ИДС и согласие на ПДн — два разных документа с 01.09.2025, объединять их нельзя.
Кейс 2. Региональная клиника (Приволжский федеральный округ, начало 2026) подверглась внеплановой проверке РКН после жалобы пациента на несанкционированную передачу его диагноза страховщику для целей, выходящих за рамки расчётов по ОМС. В договоре с ТФОМС отсутствовало разграничение целей передачи данных. РКН выдал предписание об устранении нарушений ст. 18.1 ФЗ-152; параллельно возбуждено производство по ч. 1 ст. 13.11 КоАП. Юристы помогли скорректировать договор, сформировать ОРД и обжаловать часть требований предписания.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка ОРД медорганизации, МИС, согласий пациентов
- Комплект ОРД под ключ — политика, согласия, приказы для клиники
- Сопровождение проверок РКН — подготовка и представление интересов
Частые вопросы
1. Чем отличается ИДС от согласия на ПДн?
Информированное добровольное согласие на медицинское вмешательство регулируется ст. 20 Федерального закона № 323-ФЗ и фиксирует согласие пациента на конкретную медицинскую манипуляцию. Согласие на обработку персональных данных регулируется ст. 9 ФЗ-152 и должно содержать цель, перечень ПДн, перечень действий с ними, срок и способ отзыва. С 01.09.2025 ФЗ-156 запрещает объединять оба документа в одной форме — каждый подписывается отдельно.
2. Можно ли публиковать фото «до и после» с согласия пациента?
Публикация снимков пациента относится к распространению биометрических ПДн (изображение лица) и требует отдельного согласия по ст. 10.1 ФЗ-152 — именно на распространение, а не только на обработку. По умолчанию молчание пациента означает запрет распространения. Если снимки включают медицинские сведения (рубцы, патологии) — дополнительно применяется ст. 10 ФЗ-152 как специальная категория. Согласие должно быть письменным и отдельным от ИДС.
3. Кто отвечает за утечку через МИС?
Ответственность несёт оператор ПДн — медицинская организация, а не поставщик МИС. Если МИС предоставляется как SaaS, клиника обязана заключить договор поручения обработки ПДн по ч. 3 ст. 6 ФЗ-152, установить требования к защите и провести оценку уровня защищённости. Судебная практика закрепляет: оператор отвечает за действия обработчика перед субъектом и регулятором. За утечку через МИС от 10 000 субъектов штраф по ч. 13 ст. 13.11 КоАП — 5–10 млн ₽.
4. Какие данные передавать в ЕГИСЗ?
Состав сведений, передаваемых в ЕГИСЗ, определён подзаконными актами Минздрава о порядке ведения федеральных регистров и государственных информационных систем в сфере здравоохранения. Передача должна ограничиваться данными, необходимыми для конкретной функции системы (принцип минимизации данных по ст. 5 ФЗ-152). Для интеграции МИС с ЕГИСЗ медорганизация обязана указать ЕГИСЗ как получателя в уведомлении РКН по ст. 22 ФЗ-152.
5. Что грозит клинике за утечку данных пациентов?
Ответственность зависит от масштаба утечки: от 1 000 до 10 000 субъектов — штраф 3–5 млн ₽ (ч. 12 ст. 13.11 КоАП); от 10 000 до 100 000 — 5–10 млн ₽ (ч. 13); свыше 100 000 — 10–15 млн ₽ (ч. 14). При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽. Дополнительно: неуведомление РКН в 24 часа — ещё 1–3 млн ₽ по ч. 11. При наличии умысла со стороны сотрудника — возможна уголовная ответственность по ст. 272.1 УК РФ (введена с 11.12.2024).
6. Нужно ли уведомлять пациента при передаче его данных в страховую ОМС?
При передаче данных в страховщика ОМС в рамках расчётов за медицинскую помощь получать дополнительное согласие пациента не требуется — это законное основание по ст. 6 ФЗ-152 и ст. 13 № 323-ФЗ. Однако пациент вправе получить информацию о том, кому и с какой целью его данные передаются, в рамках ответа на запрос по ст. 14 ФЗ-152. Медорганизация обязана ответить в течение 10 рабочих дней.
Итог
Передача ПДн пациента в страховую компанию ОМС допустима без согласия пациента только в строго установленных законом целях. Клиника остаётся оператором ПДн и отвечает за защиту этих данных, соответствие МИС требованиям ФСТЭК, корректное оформление согласий на иные цели обработки и своевременное уведомление РКН об инцидентах. С 01.09.2025 ИДС и согласие на ПДн — два разных документа. С 30.05.2025 штраф за крупную утечку составляет 5–15 млн ₽ в зависимости от числа субъектов.
Практика DATUM по защите персональных данных в медицинских организациях включает аудит МИС, подготовку ОРД с учётом требований Минздрава и РКН, сопровождение проверок и реагирование на инциденты.
21 января 2029 года