инструкция 19 января 2029 По состоянию на 19 января 2029

ПДн в мобильном приложении клиники

Мобильное приложение клиники собирает данные о здоровье пациентов — это специальная категория по ст. 10 ФЗ-152, для которой установлены повышенные требования.

Утечка медицинских ПДн через приложение квалифицируется по ч. 12–14 ст. 13.11 КоАП: штраф для юрлица — от 3 до 15 млн ₽ в зависимости от числа затронутых пациентов. При повторности — оборотный штраф по ч. 15 до 500 млн ₽.

Если вы главный врач и в клинике работает мобильное приложение — проверьте шесть позиций из этой инструкции до следующей проверки Роскомнадзора. → Аудит соответствия 152-ФЗ

Мобильные приложения для пациентов стали стандартом для клиник: запись на приём, телемедицина, личный кабинет с результатами анализов. Каждая из этих функций означает обработку персональных данных, причём в большинстве случаев — специальных категорий по ст. 10 ФЗ-152. Роскомнадзор с 2025 года включил мобильные приложения медорганизаций в индикаторы риска при плановых проверках. Эта инструкция описывает шесть шагов, которые приводят приложение клиники в соответствие с 152-ФЗ, ст. 13 ФЗ-323 и требованиями ЕГИСЗ.

Шаг 1. Определите, какие данные пациентов собирает приложение

До любых организационных мер нужно точно знать, что именно обрабатывает приложение. Медицинские данные — диагнозы, результаты анализов, назначения, сведения о состоянии здоровья — относятся к специальным категориям ПДн по ст. 10 ФЗ-152. Их обработка допустима только при наличии явного письменного согласия пациента или при прямом указании закона (например, для целей медицинской помощи по ФЗ-323).

Помимо медицинских данных приложение, как правило, собирает: ФИО, дату рождения, номер телефона, адрес электронной почты, СНИЛС (для сверки с ЕГИСЗ), платёжные реквизиты, геолокацию (если есть функция «клиника рядом»), push-токены, идентификаторы устройства. Каждый из этих элементов требует отдельного правового основания по ст. 6 ФЗ-152.

«Ст. 10 ФЗ-152 запрещает обработку специальных категорий ПДн — включая сведения о состоянии здоровья — без письменного согласия субъекта, если иное прямо не предусмотрено федеральным законом.»

Результат шага: составьте таблицу категорий данных с указанием правового основания для каждой. Это исходный документ для всей последующей работы.

Не знаете, какие данные пациентов обрабатывает приложение?

Это типичная ситуация для клиник, которые запустили мобильный сервис без предварительного юридического анализа. Состав обрабатываемых данных определяет уровень защищённости ИСПДн, необходимые согласия и объём ОРД. Неполный учёт — основание для штрафа по ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽) при первой же проверке РКН. У вас есть время подготовиться — аудит займёт до четырёх недель.

Заказать аудит 152-ФЗ

+7 (383) 310-38-76 · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 2. Оформите согласия пациентов по требованиям ст. 9 ФЗ-152

С 01.09.2025 согласие на обработку ПДн должно быть отдельным документом — его нельзя включать в пользовательское соглашение, оферту или информированное добровольное согласие (ИДС) по ФЗ-323 (ФЗ-156 от 24.06.2025). Это критически важное изменение для клиник: до 2025 года многие включали формулировку о ПДн в ИДС на медицинское вмешательство, что теперь недействительно.

Согласие на обработку ПДн через приложение должно содержать: наименование и адрес оператора, ФИО и контакты пациента, цель обработки (например, «запись на приём, ведение медицинской карты, направление результатов исследований»), перечень конкретных ПДн, перечень действий с ними, срок действия согласия, способ отзыва. Для специальных категорий по ст. 10 — согласие оформляется отдельно от согласия на общие ПДн.

В приложении согласие может быть получено в электронной форме при соблюдении требований ст. 9 ФЗ-152: пациент должен иметь возможность ознакомиться с полным текстом, проставить отметку и получить подтверждение. Согласие, встроенное в процесс регистрации «одной галочкой» без возможности прочитать текст, РКН признаёт ненадлежащим.

Шаг 3. Настройте интеграцию с МИС и ЕГИСЗ по требованиям локализации

Большинство медицинских приложений интегрированы с МИС (медицинской информационной системой) и передают данные в ЕГИСЗ. Оба канала передачи данных требуют отдельного юридического оформления.

Передача данных в МИС — это поручение обработки по п. 3 ч. 1 ст. 6 и ст. 6 ФЗ-152. Договор с поставщиком МИС должен содержать обязательный перечень условий: цель обработки, перечень данных, запрет передачи третьим лицам, обязанность уничтожить данные по окончании договора, ответственность за нарушение требований ФЗ-152. Без такого договора клиника несёт полную ответственность за все нарушения на стороне МИС-провайдера.

Передача данных в ЕГИСЗ осуществляется на основании ФЗ-323 и регуляторных актов Минздрава. Пациент должен быть уведомлён о передаче в ЕГИСЗ: какие именно данные, с какой целью, на каком основании. Согласие на передачу в ЕГИСЗ — отдельное от согласия на обработку ПДн в приложении.

«Ч. 5 ст. 18 ФЗ-152 обязывает оператора хранить, накапливать и обрабатывать ПДн граждан РФ исключительно в базах данных на территории России. Нарушение — штраф по ч. 8 ст. 13.11 КоАП: от 1 до 6 млн ₽.»

Если МИС или её компоненты (облачное хранилище, резервные копии) размещены за рубежом — это нарушение требования локализации. Проверьте договор с поставщиком МИС и техническую документацию об инфраструктуре.

Что подготовить для соответствия приложения требованиям 152-ФЗ

Реестр категорий ПДн с указанием правового основания для каждой (ст. 6, ст. 10 ФЗ-152)
Отдельные согласия на обработку ПДн и на обработку спецкатегорий — в электронной форме внутри приложения (ст. 9 ФЗ-152 в редакции ФЗ-156)
Договор с поставщиком МИС с условиями поручения обработки по ст. 6 ФЗ-152
Политика конфиденциальности приложения со всеми разделами по ч. 2 ст. 18.1 ФЗ-152
Уведомление в РКН с актуальным перечнем обрабатываемых данных, целей и категорий (ст. 22 ФЗ-152)

Шаг 4. Установите уровень защищённости и реализуйте технические меры

Медицинское приложение, обрабатывающее специальные категории ПДн (сведения о здоровье), требует не ниже УЗ-3 по ПП РФ №1119. Если число пациентов превышает 100 000 — УЗ-2. УЗ-3 предполагает: назначение ответственного за безопасность ПДн, разработку модели угроз, реализацию мер по Приказу ФСТЭК №21 (группы ИАФ, УПД, РСБ, АВЗ, ЗТС).

Для мобильного приложения технические меры включают: шифрование канала передачи данных (TLS 1.2+), шифрование данных на устройстве пользователя, разграничение прав доступа в бэкенде, журналирование операций с ПДн, механизм уведомления об утечке за 24 часа по ч. 3.1 ст. 21 ФЗ-152.

Минимальный набор организационных мер по ст. 18.1 ФЗ-152: приказ о назначении ответственного за обработку ПДн (ст. 22.1), регламент реагирования на инциденты, инструктаж сотрудников, имеющих доступ к данным пациентов.

Если главный врач получил запрос РКН или уведомление о плановой проверке — срок на подготовку документов минимален. Юристы DATUM подготовят клинику к проверке и представят интересы в РКН.

Подготовиться к проверке РКН

Шаг 5. Обеспечьте права пациентов на доступ и удаление данных

Пациент вправе запросить сведения об обработке его ПДн, потребовать уточнения или удаления. Срок ответа по ст. 20 ФЗ-152 — 10 рабочих дней с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта. В приложении должен быть предусмотрен явный механизм: кнопка «Удалить аккаунт», форма обращения или контактный адрес с явно указанным ответственным лицом.

Удаление данных в приложении — не то же самое, что уничтожение ПДн. Клиника обязана хранить медицинскую документацию в сроки, установленные приказами Минздрава (как правило, от 25 лет для амбулаторных карт). При удалении аккаунта пациента данные, обрабатываемые в медицинских целях по ФЗ-323, уничтожению не подлежат — уничтожаются только данные, обрабатываемые на основании согласия, которое было отозвано.

Это разграничение обязательно отразите в политике конфиденциальности и в ответах на запросы пациентов.

Шаг 6. Подайте или обновите уведомление в Роскомнадзор

Запуск нового мобильного приложения или расширение функциональности существующего может означать начало обработки новых категорий ПДн или новых целей. Ст. 22 ФЗ-152 обязывает уведомить РКН до начала такой обработки. Если уведомление уже подано, но реальные данные расходятся с заявленными — необходимо подать уведомление об изменении сведений по форме Приказа РКН №180.

Неуведомление или несвоевременное уведомление о намерении обрабатывать ПДн — штраф по ч. 10 ст. 13.11 КоАП: от 100 до 300 тыс. ₽ для юрлица. Уведомление подаётся через портал pd.rkn.gov.ru с использованием УКЭП или через ЕСИА.

«Ст. 22 ФЗ-152 устанавливает обязанность оператора уведомить уполномоченный орган о намерении осуществлять обработку ПДн до начала такой обработки. Изменение целей, категорий или иных сведений — также влечёт обязательное уведомление.»

Как это работает на практике

Кейс 1. Клиника в Сибирском ФО (осень 2025) запустила мобильное приложение с функцией телемедицины без обновления уведомления в РКН и без отдельных согласий на обработку спецкатегорий ПДн. При плановой проверке инспектор РКН выявил несоответствие реальной обработки заявленным целям и отсутствие договора с поставщиком МИС. Клинике выдано предписание и составлены протоколы по ч. 1 и ч. 2 ст. 13.11 КоАП — суммарный штраф составил несколько сотен тысяч рублей. После устранения нарушений и представления юристами возражений в суде штраф снижен до минимума по каждой части. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Кейс 2. Сеть частных клиник в Центральном ФО (начало 2026) обнаружила утечку данных пациентов через уязвимость в API мобильного приложения. Главный врач уведомил РКН в течение 20 часов с момента обнаружения, через 68 часов был представлен полный отчёт о расследовании по Приказу РКН №187. Оперативность и наличие заранее подготовленного регламента реагирования позволили при рассмотрении дела добиться применения смягчающих обстоятельств. Штраф по ч. 12 ст. 13.11 (3–5 млн ₽) был назначен в минимальном размере диапазона. ⚠️ Конкретный номер дела — менеджер уточняет при публикации.

Типовые ситуации для главного врача

Ситуация 1: приложение запущено сторонним разработчиком без юридического анализа. Разработчик передал клинике готовое приложение с пользовательским соглашением, в котором согласие на ПДн встроено в общий текст. Доказательства нарушения: несоответствие требованиям ст. 9 ФЗ-152 в редакции ФЗ-156, отсутствие отдельного согласия на спецкатегории. Вероятный исход при проверке: штраф по ч. 2 ст. 13.11 — 300–700 тыс. ₽. Стратегия: разработать отдельные формы согласий и интегрировать их в приложение до следующей плановой проверки, обновить уведомление в РКН.

Ситуация 2: МИС хранит данные в облаке зарубежного провайдера. Клиника заключила договор с поставщиком МИС, который использует серверы в Германии для хранения резервных копий. Доказательства нарушения: ч. 5 ст. 18 ФЗ-152 — нарушение требования локализации. Вероятный исход: штраф по ч. 8 ст. 13.11 — от 1 до 6 млн ₽. При повторности — штраф по ч. 9 от 6 до 18 млн ₽. Стратегия: направить поставщику МИС требование о переносе инфраструктуры на российские площадки или расторгнуть договор и перейти на МИС с российским хостингом.

Ситуация 3: пациент потребовал удалить все данные. Пациент отозвал согласие на обработку ПДн и потребовал уничтожения всех данных. Клиника обязана ответить в течение 10 рабочих дней. Данные, обрабатываемые в медицинских целях по ФЗ-323 (медицинская карта), уничтожению не подлежат. Данные, собранные исключительно на основании согласия (push-уведомления, история записей через приложение), — уничтожить. Стратегия: разделить в системе данные по правовому основанию обработки, чтобы частичное удаление было технически возможным.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка приложения, МИС и ОРД по чек-листу 38 пунктов
Комплект ОРД под ключ — политика, согласия, приказы, регламент реагирования
Сопровождение проверок РКН — подготовка, представительство, обжалование предписаний

Частые вопросы

1. Чем отличается ИДС от согласия на ПДн?

Информированное добровольное согласие (ИДС) по ст. 20 ФЗ-323 — это согласие пациента на медицинское вмешательство. Согласие на обработку ПДн по ст. 9 ФЗ-152 — документ, регулирующий порядок работы с персональными данными. С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие на ПДн обязано быть отдельным документом и не может быть частью ИДС, договора или пользовательского соглашения. Клиники, которые включали согласие на ПДн в ИДС, должны были переоформить документы до 01.09.2025.

2. Можно ли публиковать фото «до — после» пациентов с их согласия?

Да, но с соблюдением двух условий. Первое: согласие на распространение ПДн по ст. 10.1 ФЗ-152 должно быть отдельным документом — не совпадать с согласием на обработку ПДн. Второе: в согласии должны быть прямо указаны площадки публикации, срок, возможность отзыва. Публикация фото без явного согласия на распространение — нарушение ст. 10.1 ФЗ-152, при массовом характере — основание для штрафа по ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽).

3. Кто отвечает за утечку через МИС?

Клиника как оператор ПДн несёт ответственность за утечку независимо от того, произошла ли она на стороне поставщика МИС. Это следует из принципа ответственности оператора за действия лиц, осуществляющих обработку по поручению (ст. 6 ФЗ-152). Поставщик МИС может быть привлечён к ответственности в рамках гражданского иска, если договор поручения содержит соответствующие условия. Чтобы снизить риск, в договор с МИС необходимо включить требования по безопасности, обязанность уведомить клинику об инциденте, ответственность в виде штрафных санкций.

4. Какие данные клиника обязана передавать в ЕГИСЗ?

Перечень сведений, передаваемых в ЕГИСЗ, определяется постановлениями Правительства РФ и приказами Минздрава: сведения об оказанной медицинской помощи, данные электронных медицинских карт, сведения о прикреплении к медорганизации. Передача осуществляется на основании ФЗ-323, согласие пациента на передачу конкретных данных в ЕГИСЗ оформляется отдельно от согласия на обработку ПДн в приложении. Точный состав передаваемых сведений зависит от профиля медорганизации и региональных требований — уточняйте в договоре с региональным оператором ЕГИСЗ.

5. Что грозит клинике за утечку данных пациентов?

Ответственность определяется числом затронутых субъектов. За утечку от 1 000 до 10 000 пациентов — штраф 3–5 млн ₽ (ч. 12 ст. 13.11 КоАП). От 10 000 до 100 000 — 5–10 млн ₽ (ч. 13). Более 100 000 пациентов — 10–15 млн ₽ (ч. 14). При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки клиники, не менее 20 млн ₽ и не более 500 млн ₽. Дополнительно: неуведомление РКН в течение 24 часов — ещё 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП.

6. Можно ли использовать данные пациентов для обучения ИИ-модели?

Обучение моделей на медицинских данных пациентов требует либо явного согласия каждого субъекта (с указанием цели — обучение ИИ), либо предварительного обезличивания данных по методам, утверждённым Роскомнадзором. Использование необезличенных данных без согласия — нарушение принципа целевого использования ПДн по ст. 5 ФЗ-152 и основание для штрафа по ч. 1 ст. 13.11 КоАП.

Итог

Мобильное приложение клиники — это точка концентрации специальных категорий ПДн пациентов, интеграция с МИС и ЕГИСЗ, телемедицина и платёжные данные одновременно. Каждый из этих элементов регулируется отдельными нормами ФЗ-152 и ФЗ-323, а совокупность рисков при нарушении — от 150 тыс. до 500 млн ₽. Шесть шагов этой инструкции закрывают основные уязвимости до прихода проверки РКН.

Юристы DATUM сопровождают медицинские организации по вопросам соответствия 152-ФЗ: от аудита мобильного приложения и МИС до представительства при проверках Роскомнадзора.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, ПДн несовершеннолетних.

19 января 2029 года