Перейти к содержанию
инструкция 22 января 2029 По состоянию на 22 января 2029

ПДн пациентов несовершеннолетних

Персональные данные несовершеннолетних пациентов — специальная категория по ст. 10 ФЗ-152. Обработка без надлежащего согласия законного представителя запрещена и влечёт штраф от 300 000 до 700 000 ₽ по ч. 2 ст. 13.11 КоАП.
С 30.05.2025 действуют новые составы ст. 13.11 КоАП: утечка медицинских данных от 1 000 субъектов — от 3 млн ₽, повторно — оборотный штраф до 500 млн ₽. Согласие на обработку ПДн с 01.09.2025 оформляется отдельным документом (ФЗ-156).
→ Если вы главный врач и согласие на ПДн пациента вшито в медицинскую карту или ИДС — это нарушение. Разберём порядок устранения по шагам.

Медицинские организации обрабатывают данные о состоянии здоровья, диагнозах и назначениях — то есть специальные категории ПДн по ст. 10 ФЗ-152. Когда пациент несовершеннолетний, правовая цепочка усложняется: согласие даёт законный представитель, а с 15 лет ребёнок вправе самостоятельно распоряжаться рядом медицинских сведений. Ошибки в этой конструкции — одна из самых частых причин предписаний РКН по медорганизациям. В инструкции — шесть шагов, которые приводят клинику в соответствие с ФЗ-152 и 323-ФЗ.

Шаг 1. Определите категории ПДн и правовые основания обработки

Данные о состоянии здоровья несовершеннолетнего пациента — специальная категория по ст. 10 ФЗ-152. К ней относятся диагнозы, назначения, результаты анализов, медицинская история. Фотографии до-после, генетические данные, сведения о психическом состоянии — также специальная категория или биометрические ПДн.

Параллельно действует врачебная тайна по ст. 13 Федерального закона от 21.11.2011 № 323-ФЗ. Эти два режима не взаимозаменяемы: соблюдение врачебной тайны не освобождает от выполнения требований ФЗ-152, и наоборот. Клиника обязана закрыть оба.

«Ст. 10 ФЗ-152 запрещает обработку данных о состоянии здоровья без явного правового основания. Для медицинской организации таким основанием служат: согласие субъекта (п. 1 ч. 2), необходимость медицинской деятельности (п. 4 ч. 2 ст. 10), а также исполнение обязательных требований законодательства об охране здоровья.»

Установите полный перечень категорий данных, которые обрабатывает клиника: контактные данные законных представителей, диагностические сведения, данные МИС, сведения, передаваемые в ЕГИСЗ. Каждой категории — своё правовое основание в документации.

Шаг 2. Получите согласие законного представителя по правилам ст. 9 ФЗ-152

До 14 лет согласие на обработку ПДн несовершеннолетнего пациента даёт родитель или иной законный представитель. С 14 до 18 лет — сам пациент с письменного согласия законного представителя. С 15 лет пациент вправе самостоятельно давать информированное добровольное согласие на медицинское вмешательство, однако согласие на обработку ПДн как таковое по ФЗ-152 по-прежнему регулируется возрастным порогом 14 лет.

С 01.09.2025 согласие на обработку ПДн обязано быть отдельным документом — это требование ФЗ-156 от 24.06.2025. Вшивать его в медицинскую карту, в ИДС или в договор на оказание услуг нельзя. Каждое согласие, полученное до 01.09.2025 в составе иного документа, остаётся действующим — обратной силы закон не имеет. Но все новые пациенты с этой даты получают отдельный документ.

«Ст. 9 ФЗ-152 (в ред. ФЗ-156 с 01.09.2025): согласие субъекта оформляется в виде отдельного документа. Обязательные реквизиты: ФИО субъекта, контактные данные, наименование оператора, цель, перечень ПДн, перечень действий, срок действия, способ отзыва.»

Разработайте форму согласия для трёх ситуаций: пациент до 14 лет (подписывает представитель), от 14 до 18 лет (подписывают оба), совершеннолетний пациент (подписывает сам). Это три разных шаблона с разными реквизитами подписантов.

Согласие на ПДн в ИДС или карте — что делать главному врачу?

Если в клинике согласие на обработку данных пациента вшито в информированное добровольное согласие или медицинскую карту — это нарушение ст. 9 ФЗ-152 в редакции с 01.09.2025. Штраф за обработку без надлежащего согласия — до 700 000 ₽ по ч. 2 ст. 13.11 КоАП. Юристы DATUM подготовят отдельные формы согласий для трёх возрастных групп и проведут аудит всех форм медицинской документации.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Разграничьте ИДС и согласие на обработку ПДн

Информированное добровольное согласие на медицинское вмешательство (ИДС) по ст. 20 323-ФЗ и согласие на обработку персональных данных по ст. 9 ФЗ-152 — два разных документа с разными правовыми целями. ИДС регулирует допустимость медицинского вмешательства; согласие на ПДн — допустимость операций с данными пациента. Их нельзя объединять в одном документе.

На практике большинство клиник использовали единый документ под названием «Согласие на медицинское вмешательство и обработку персональных данных». После ФЗ-156 это стало прямым нарушением для новых пациентов с 01.09.2025. Аудит документооборота — первый шаг к устранению.

Проверьте также согласие на распространение ПДн по ст. 10.1 ФЗ-152. Если клиника публикует фотографии пациентов, отзывы с именем или кейсы «до и после» — это распространение. Требуется отдельное согласие именно на распространение, и молчание пациента по умолчанию означает запрет.

Шаг 4. Настройте МИС и порядок передачи данных в ЕГИСЗ

Медицинская информационная система — основной инструмент хранения и обработки ПДн пациентов. МИС должна соответствовать требованиям уровня защищённости не ниже УЗ-3 по ПП РФ № 1119, поскольку обрабатывает специальные категории ПДн. Конкретный уровень определяется по матрице: тип угроз × категория ПДн × число субъектов.

«ПП РФ № 1119 от 01.11.2012: при обработке специальных категорий ПДн в информационной системе с угрозами 2-го типа и числом субъектов менее 100 000 — устанавливается УЗ-3. Приказ ФСТЭК № 21 от 18.02.2013 определяет 109 организационно-технических мер в 15 группах для каждого уровня.»

Передача данных в ЕГИСЗ регулируется 323-ФЗ и подзаконными актами Минздрава. Клиника передаёт сведения об оказанной медицинской помощи — это законное основание по п. 2 ч. 2 ст. 10 ФЗ-152 (исполнение обязательных требований). Согласие пациента на передачу в ЕГИСЗ не требуется, но клиника обязана уведомить пациента о факте такой передачи в политике обработки ПДн.

Если МИС размещена в облаке иностранного провайдера — это нарушение требования локализации по ч. 5 ст. 18 ФЗ-152. Все операции хранения и систематизации ПДн граждан РФ должны выполняться в базах данных на территории России. С 01.07.2025 требование ужесточено по ФЗ-233.

Что подготовить главному врачу для соответствия 152-ФЗ

  • Три отдельных формы согласия на обработку ПДн по возрастным группам (до 14 лет, 14–18 лет, 18+) в соответствии со ст. 9 ФЗ-152 и ФЗ-156
  • Отдельное согласие на распространение ПДн по ст. 10.1 ФЗ-152 — для публикаций фото, отзывов, кейсов пациентов
  • Политику обработки персональных данных с разделами о спецкатегориях, МИС и передаче в ЕГИСЗ (ст. 18.1 ФЗ-152)
  • Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 и журнал учёта запросов субъектов
  • Акт классификации ИСПДн с определением уровня защищённости по ПП РФ № 1119 и план выполнения мер по Приказу ФСТЭК № 21

Шаг 5. Зарегистрируйтесь в реестре операторов РКН

Медицинская организация, обрабатывающая ПДн пациентов, обязана уведомить Роскомнадзор о намерении осуществлять обработку — это требование ст. 22 ФЗ-152. Форма подаётся через портал pd.rkn.gov.ru с УКЭП или через ЕСИА. Срок включения в реестр — 30 дней с даты уведомления.

Неуведомление или несвоевременное уведомление влечёт штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП (в редакции с 30.05.2025). Если клиника уже в реестре, но реальный состав обрабатываемых данных расширился — нужно подать уведомление об изменении сведений. Распространённая ошибка: в реестре указаны только контактные данные сотрудников, а в МИС обрабатываются медицинские данные тысяч пациентов.

При проверке РКН несоответствие между реестровыми сведениями и фактической обработкой — самостоятельное основание для протокола по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽).

Если клиника не в реестре операторов РКН или реестровые данные не отражают фактическую обработку медицинских ПДн — штраф 100 000–300 000 ₽ за неуведомление (ч. 10 ст. 13.11 КоАП). Подготовим уведомление и скорректируем реестровые сведения в срок.

Подготовиться к проверке РКН

Шаг 6. Выстройте порядок реагирования на запросы субъектов и инциденты

Законный представитель несовершеннолетнего пациента вправе запросить сведения об обработке его данных, потребовать уточнения, блокирования или уничтожения. Срок ответа по ст. 20 ФЗ-152 — 10 рабочих дней с даты обращения, с возможностью продления ещё на 5 рабочих дней при уведомлении заявителя. Отсутствие ответа или нарушение срока — штраф 40 000–80 000 ₽ по ч. 4 ст. 13.11.

При инциденте с утечкой данных пациентов: первичное уведомление РКН — в течение 24 часов с момента обнаружения (ч. 3.1 ст. 21 ФЗ-152). Через 72 часа — отчёт о результатах внутреннего расследования по Приказу РКН № 187. Неуведомление — штраф 1 000 000–3 000 000 ₽ по ч. 11 ст. 13.11 КоАП.

«Ч. 12–14 ст. 13.11 КоАП (в ред. с 30.05.2025): утечка данных от 1 000 до 10 000 субъектов — 3–5 млн ₽; от 10 000 до 100 000 субъектов — 5–10 млн ₽; более 100 000 субъектов — 10–15 млн ₽. При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽, не более 500 млн ₽.»

Назначьте ответственного за обработку ПДн по ст. 22.1 ФЗ-152 и закрепите в приказе порядок действий при инциденте: кто фиксирует, кто уведомляет РКН, кто взаимодействует с пациентами. Регламент реагирования — часть обязательного пакета ОРД.

Типовые ситуации: как применяются нормы на практике

Ситуация 1. Педиатрическая клиника, МИС в облаке зарубежного провайдера. Клиника в Сибирском ФО в конце 2025 года прошла внеплановую проверку РКН. В МИС обрабатывались данные более 12 000 несовершеннолетних пациентов. Хранение велось на серверах европейского облачного провайдера. РКН зафиксировал нарушение требования локализации по ч. 5 ст. 18 ФЗ-152 и нарушение состава согласия по ст. 9 (согласие было вшито в ИДС). Штраф по совокупности составил суммы в сотни тысяч рублей. После консультации с юристами клиника перенесла МИС на российский хостинг и разработала отдельные формы согласий — предписание исполнено в установленный срок.

Ситуация 2. Медицинская лаборатория, утечка через подрядчика. Лаборатория (Центральный ФО, начало 2026) передала по договору обработку данных пациентов IT-подрядчику без надлежащего поручения по ч. 3 ст. 6 ФЗ-152. Утечка данных около 8 000 субъектов произошла на стороне подрядчика. Оператор — лаборатория — несёт ответственность за действия лица, осуществляющего обработку по поручению. Квалификация: ч. 13 ст. 13.11 КоАП — штраф в диапазоне 5–10 млн ₽. Уведомление РКН было направлено через 31 час после обнаружения — в рамках 24-часового срока.

Услуги DATUM по теме

Частые вопросы

1. Чем отличается ИДС от согласия на обработку ПДн?

Информированное добровольное согласие на медицинское вмешательство регулируется ст. 20 323-ФЗ и подтверждает право врача провести процедуру. Согласие на обработку ПДн по ст. 9 ФЗ-152 — отдельный документ, разрешающий клинике совершать операции с данными пациента: хранить, передавать, обрабатывать в МИС. С 01.09.2025 (ФЗ-156) оба документа обязаны быть раздельными. Объединять их в одном бланке нельзя.

2. Можно ли публиковать фото до-после с согласия?

Публикация фотографий пациента — распространение ПДн по ст. 10.1 ФЗ-152. Для этого требуется отдельное согласие на распространение с явным указанием: какие данные, на каких площадках, в каких целях. Согласие по умолчанию не предполагается — молчание пациента означает запрет. Для фото несовершеннолетнего согласие дают законный представитель и, при достижении 14 лет, сам пациент.

3. Кто отвечает за утечку через МИС?

За утечку через медицинскую информационную систему несёт ответственность оператор ПДн — медицинская организация — независимо от того, кто разработал или обслуживает МИС. Если МИС предоставляет внешний подрядчик, клиника обязана заключить договор-поручение по ч. 3 ст. 6 ФЗ-152. Ответственность оператора за действия обработчика не снимается. Штраф за утечку от 1 000 субъектов — от 3 млн ₽ по ч. 12 ст. 13.11 КоАП.

4. Какие данные передавать в ЕГИСЗ?

Состав данных, передаваемых в ЕГИСЗ, определяется нормативными актами Минздрава: сведения об оказанной медицинской помощи, диагнозы, назначения, результаты медицинских осмотров. Правовое основание для передачи — п. 2 ч. 2 ст. 10 ФЗ-152 (исполнение обязательных требований по охране здоровья). Согласие пациента на эту передачу не требуется, но клиника обязана зафиксировать факт такой передачи в политике обработки ПДн.

5. Что грозит клинике за утечку медицинских данных?

За утечку данных о состоянии здоровья — штраф от 3 млн ₽ (ч. 12 ст. 13.11 КоАП, при утечке от 1 000 субъектов) до 15 млн ₽ (ч. 14, более 100 000 субъектов). При неуведомлении РКН об инциденте в 24 часа — дополнительно 1–3 млн ₽ по ч. 11. Повторная утечка влечёт оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽, не более 500 млн ₽. Персональная уголовная ответственность должностных лиц — по ст. 272.1 УК РФ (с 11.12.2024).

6. С какого возраста пациент сам подписывает согласие на ПДн?

По ФЗ-152, согласие на обработку ПДн несовершеннолетний вправе давать самостоятельно с 14 лет. До 14 лет согласие подписывает только законный представитель. В диапазоне 14–18 лет оба документа: представитель и сам пациент. Согласие на медицинское вмешательство (ИДС) имеет иной порог — с 15 лет пациент вправе дать его самостоятельно по ст. 20 323-ФЗ, но это не заменяет согласие на обработку ПДн.

Итог

ПДн несовершеннолетних пациентов — это специальная категория по ст. 10 ФЗ-152, обработка которой требует надлежащего согласия законного представителя, отдельного от ИДС и медицинской документации. С 01.09.2025 требование отдельности согласия стало нормой закона. Несоблюдение — штраф от 300 000 ₽, а при утечке данных — от 3 до 500 млн ₽.

DATUM сопровождает медицинские организации по полному циклу: аудит форм согласий и МИС, разработка ОРД, подготовка к проверкам РКН, защита в арбитраже при штрафах по ст. 13.11 КоАП.

Смотрите также

ОН
Ольга Нечаева
Аналитик · Медицина и образование
Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, согласия пациентов, врачебная тайна, ПДн несовершеннолетних.