Передача ПДн между клиниками
Межклиническая передача персональных данных пациентов возникает в трёх типовых ситуациях: направление на консультацию или госпитализацию, интеграция с ЕГИСЗ и обмен через единую МИС сети клиник. Во всех трёх случаях действуют разные правовые основания — и разные риски при нарушении. Настоящая инструкция описывает шесть последовательных шагов, которые главный врач обязан реализовать до начала регулярной передачи ПДн в другую медицинскую организацию.
Шаг 1. Определите категорию передаваемых данных и правовое основание
Медицинские данные — сведения о состоянии здоровья, диагнозах, назначениях, результатах исследований — относятся к специальным категориям по ст. 10 ФЗ-152. Их обработка по общему правилу запрещена, кроме случаев, предусмотренных п. 2 той же статьи. Применительно к передаче между клиниками наиболее распространены три основания.
Первое — явное письменное согласие пациента на обработку и передачу специальных категорий ПДн конкретной медицинской организации (п. 4 ч. 2 ст. 10 ФЗ-152). С 01.09.2025 согласие оформляется отдельным документом: его нельзя включать в текст договора об оказании услуг или медицинскую карту (ФЗ-156 от 24.06.2025). Второе — необходимость защиты жизни и здоровья пациента, когда получить согласие невозможно (п. 5 ч. 2 ст. 10). Третье — исполнение обязанностей в области здравоохранения при условии, что обработку ведёт медицинский работник с профессиональной тайной (п. 4 ч. 2 ст. 10).
Зафиксируйте правовое основание в реестре обработки ПДн до начала передачи. Если основание — согласие пациента, храните оригинал или электронный аналог с квалифицированной подписью.
Шаг 2. Разграничьте информированное добровольное согласие (ИДС) и согласие на обработку ПДн
Это два разных документа с разными реквизитами и разными правовыми последствиями. Информированное добровольное согласие на медицинское вмешательство регулируется ст. 20 Федерального закона № 323-ФЗ и подтверждает, что пациент согласен на конкретную процедуру или лечение. Согласие на обработку ПДн регулируется ст. 9 ФЗ-152 и определяет, кто, какие данные, с какой целью и в каком объёме вправе обрабатывать.
На практике клиники объединяют оба документа в один бланк, что создаёт риск: ИДС и согласие на ПДн имеют разные обязательные реквизиты. Согласие на ПДн по ст. 9 ФЗ-152 должно содержать: наименование оператора, цель обработки, перечень ПДн, перечень действий с ними, срок действия, порядок отзыва. Если эти реквизиты отсутствуют или документ объединён с договором — согласие считается ненадлежащим. Штраф по ч. 2 ст. 13.11 КоАП — 300–700 тыс. ₽.
При передаче ПДн в другую клинику укажите в согласии на ПДн: конкретное наименование принимающей организации, цель передачи (консультация, госпитализация, лабораторные исследования), перечень категорий данных (диагноз, анамнез, результаты анализов) и срок, в течение которого принимающая организация вправе их обрабатывать.
Согласия пациентов оформлены, но передача данных уже идёт?
Если клиника направляет выписки или результаты исследований в партнёрские организации без проверки реквизитов согласий — каждый такой эпизод создаёт основание для протокола по ч. 2 ст. 13.11 КоАП. С 30.05.2025 штраф для юрлица — 300–700 тыс. ₽ за первое нарушение. Юристы DATUM проведут аудит согласий и документооборота по чек-листу из 38 пунктов, выдадут приоритизированный план устранения нарушений.
Заказать аудит 152-ФЗ+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom
Шаг 3. Оформите поручение на обработку ПДн или соглашение об обмене данными
Если принимающая клиника обрабатывает ПДн пациентов по заданию передающей — это поручение по п. 3 ст. 6 ФЗ-152. Поручение оформляется письменным договором или соглашением, в котором указываются: цель и объём обработки, перечень допустимых действий, требования к конфиденциальности, обязанность уничтожить данные по истечении цели. Без такого договора принимающая организация становится самостоятельным оператором — и обязана иметь собственное правовое основание для каждого действия с ПДн.
Если клиники обмениваются данными на равных условиях — каждая является оператором в части своей обработки. В этом случае соглашение об обмене данными должно регулировать: основания обмена, категории передаваемых данных, сроки хранения у принимающей стороны, ответственность за соблюдение требований ФЗ-152.
При передаче через МИС (медицинскую информационную систему), которую эксплуатирует внешний IT-провайдер, провайдер также является обработчиком по поручению. Договор с МИС-провайдером должен содержать требования по п. 3 ст. 6 ФЗ-152: ограничение цели, конфиденциальность, уничтожение данных по окончании договора.
Шаг 4. Проверьте уведомление в реестре операторов РКН и отразите новые цели обработки
По ст. 22 ФЗ-152 оператор обязан уведомить Роскомнадзор о намерении обрабатывать ПДн до начала обработки. Если клиника начинает передавать ПДн в другую организацию — это новая цель обработки, которая должна быть отражена в уведомлении. Актуальное уведомление проверяется на pd.rkn.gov.ru по ИНН организации.
Типичное нарушение: клиника зарегистрирована в реестре, но уведомление не содержит сведений о передаче данных третьим лицам или об обработке специальных категорий ПДн. При проверке РКН это квалифицируется как обработка сверх заявленного объёма. Штраф по ч. 1 ст. 13.11 КоАП — 150–300 тыс. ₽.
Для внесения изменений в уведомление используется форма по Приказу РКН №180 от 28.10.2022. Изменения подаются через портал pd.rkn.gov.ru с УКЭП или через ЕСИА. Срок внесения изменений — до начала новых видов обработки, а не после.
Шаг 5. Настройте передачу в ЕГИСЗ по требованиям законодательства
Медицинские организации обязаны передавать сведения в ЕГИСЗ (Единую государственную информационную систему в сфере здравоохранения) в порядке, установленном Минздравом. Передача в ЕГИСЗ — самостоятельное правовое основание, не требующее отдельного согласия пациента: она осуществляется во исполнение требований закона (п. 2 ч. 2 ст. 10 ФЗ-152 в связке с отраслевым законодательством).
Объём данных, передаваемых в ЕГИСЗ, определён нормативными актами Минздрава. Передача данных сверх установленного перечня или в адрес лиц, не имеющих доступа к ЕГИСЗ, — нарушение, квалифицируемое по ч. 1 ст. 13.11 КоАП. Клиника не вправе расширять перечень данных, передаваемых в государственные системы, по собственному усмотрению.
При интеграции МИС с ЕГИСЗ убедитесь, что передача данных осуществляется по защищённым каналам (ГОСТ-шифрование или аналог), а доступ к МИС-модулю интеграции регламентирован: только уполномоченные медицинские работники. Это требование следует из ст. 19 ФЗ-152 и Приказа ФСТЭК №21 от 18.02.2013.
Если главный врач получил запрос от РКН или уведомление о плановой проверке — у вас есть ограниченное время на подготовку документации. Юристы DATUM готовят клинику к проверке, включая проверку интеграций с ЕГИСЗ и МИС.
Подготовиться к проверке РКНШаг 6. Сформируйте пакет ОРД и назначьте ответственного за обработку ПДн
По ст. 18.1 ФЗ-152 оператор обязан принять локальные акты, регулирующие обработку ПДн, и назначить ответственного за их исполнение. По ст. 22.1 ФЗ-152 в юридическом лице должно быть назначено лицо, ответственное за организацию обработки ПДн. Для медицинской организации, передающей ПДн пациентов в другие клиники, минимальный пакет документов включает следующее.
Что подготовить для передачи ПДн между клиниками
- Политика обработки персональных данных с разделом о передаче третьим лицам — опубликована на сайте клиники согласно ч. 2 ст. 18.1 ФЗ-152.
- Шаблоны согласий на обработку специальных категорий ПДн с реквизитами по ст. 9 ФЗ-152 (в ред. ФЗ-156 с 01.09.2025) — отдельный документ для каждой принимающей организации или группы целей.
- Договор (поручение) на обработку ПДн с каждой принимающей клиникой и с провайдером МИС — по требованиям п. 3 ст. 6 ФЗ-152.
- Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152.
- Актуальное уведомление в реестре РКН с отражением всех целей, категорий и получателей ПДн.
Отсутствие политики обработки ПДн на сайте клиники — самостоятельное нарушение по ч. 3 ст. 13.11 КоАП (30–60 тыс. ₽). Отсутствие любого из перечисленных документов при проверке РКН формирует основание для составления протокола.
Типовые сценарии: как складывается практика
Сценарий 1. Направление на консультацию без надлежащего согласия. Клиника направляет пациента на консультацию к специалисту в партнёрскую организацию, прикладывая выписку из медицинской карты. Согласие пациента включено в текст договора об оказании услуг — не оформлено отдельным документом. После 01.09.2025 такое согласие ненадлежащее по ФЗ-156. При проверке РКН по индикатору риска «обработка спецкатегорий без надлежащего согласия» клиника получает протокол по ч. 2 ст. 13.11 КоАП. Штраф для юрлица — 300–700 тыс. ₽. Стратегия: немедленно переоформить согласия по обновлённым реквизитам; при первичности — ходатайствовать о применении ч. 4.1.1 КоАП (замена штрафа предупреждением для микропредприятий).
Сценарий 2. Утечка через МИС без договора-поручения. Сеть клиник использует единую МИС, доступ к которой имеет IT-подрядчик. Договор с подрядчиком не содержит требований по п. 3 ст. 6 ФЗ-152 о конфиденциальности и ограничении цели. В результате взлома серверов подрядчика утекают данные 15 000 пациентов. Оператор — медицинская организация — несёт ответственность за утечку через подрядчика: судебная практика квалифицирует это как нарушение самого оператора. Штраф по ч. 13 ст. 13.11 КоАП — 5–10 млн ₽; дополнительно — штраф по ч. 11 за неуведомление об утечке за 24 часа (1–3 млн ₽). Стратегия: заключить договор-поручение ретроспективно и немедленно направить первичное уведомление в РКН по Приказу №187.
Сценарий 3. Телемедицинская консультация с передачей данных зарубежному партнёру. Клиника организует телемедицинские консультации с иностранным медицинским центром, данные пациентов (диагнозы, снимки, анализы) передаются через облачный сервис, зарегистрированный за рубежом. Это трансграничная передача специальных категорий ПДн. Для стран без адекватного уровня защиты требуется предварительное уведомление РКН по ст. 12 ФЗ-152. Без уведомления — нарушение по ч. 1 ст. 13.11 КоАП. Дополнительно: первичный сбор (запись) ПДн российских граждан должен осуществляться в базах на территории РФ по ч. 5 ст. 18 ФЗ-152. Стратегия: направить уведомление РКН, переместить первичное хранение на российскую инфраструктуру, заключить соглашение с зарубежным партнёром с требованиями по защите ПДн.
Кейс 1. В медицинской организации Приволжского федерального округа (осень 2025) при плановой проверке РКН инспекторы установили, что клиника передаёт результаты анализов в лабораторию-партнёра без договора-поручения и без указания лаборатории в согласии пациентов. РКН составил протоколы по ч. 1 и ч. 2 ст. 13.11 КоАП. После подготовки юристами возражений и представления доказательств об устранении нарушений мировой суд применил минимальные ставки: штрафы составили несколько сотен тысяч рублей суммарно. Клиника одновременно получила предписание об устранении в 30-дневный срок.
Кейс 2. Частная клиническая сеть Сибирского федерального округа (начало 2026) использовала единую МИС с доступом технического провайдера. После инцидента с несанкционированным доступом к серверам провайдера клиника уведомила РКН в течение 20 часов (первичное уведомление) и направила 72-часовой отчёт. Отчёт содержал результаты внутреннего расследования и перечень принятых мер. Своевременность уведомления была учтена при рассмотрении дела как смягчающее обстоятельство по ст. 4.1 КоАП; штраф по ч. 12 ст. 13.11 составил сумму, близкую к нижней границе диапазона.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка согласий, МИС, ЕГИСЗ и договоров с подрядчиками
- Комплект ОРД под ключ — политика, согласия, поручения, приказы для медорганизации
- Сопровождение проверок РКН — подготовка, представительство, обжалование предписаний
Частые вопросы
1. Чем отличается ИДС от согласия на обработку ПДн?
Информированное добровольное согласие (ИДС) по ст. 20 ФЗ-323 подтверждает согласие пациента на медицинское вмешательство — это медико-правовой документ. Согласие на обработку ПДн по ст. 9 ФЗ-152 регулирует работу с персональными данными: кто, что, зачем и как долго обрабатывает. Реквизиты обоих документов различаются. Объединять их в один бланк допустимо технически, но каждый блок должен содержать все обязательные реквизиты своего типа. С 01.09.2025 согласие на ПДн оформляется отдельным документом — не включается в договор или карту пациента.
2. Можно ли публиковать фото «до-после» с согласия пациента?
Фотография пациента, позволяющая идентифицировать его личность, — это биометрические ПДн по ст. 11 ФЗ-152. Публикация изображения в рекламных целях («до-после» на сайте клиники) является распространением ПДн и требует отдельного согласия по ст. 10.1 ФЗ-152 — кроме согласия на обработку медицинских данных. Такое согласие должно быть явным и отдельным: дефолт молчания означает запрет на распространение. Нарушение — ч. 2 ст. 13.11 КоАП (300–700 тыс. ₽ для юрлица).
3. Кто отвечает за утечку через МИС или IT-подрядчика?
Ответственность несёт оператор — медицинская организация, заключившая договор с провайдером МИС. По сложившейся судебной практике оператор отвечает за действия обработчика (подрядчика) так же, как за свои собственные, если поручение оформлено ненадлежащим образом или подрядчик не обеспечил требуемый уровень защиты. Основание — п. 3 ст. 6 ФЗ-152. Штраф при утечке от 1 000 субъектов — от 3 до 15 млн ₽ по ч. 12–14 ст. 13.11 КоАП (в ред. с 30.05.2025).
4. Какие данные пациентов передавать в ЕГИСЗ и нужно ли на это согласие?
Перечень сведений, передаваемых в ЕГИСЗ, определён приказами Минздрава России. Передача в ЕГИСЗ осуществляется во исполнение требований законодательства — это самостоятельное основание по п. 2 ч. 2 ст. 10 ФЗ-152, не требующее отдельного согласия пациента. Однако клиника не вправе расширять перечень передаваемых данных сверх установленного нормативно. Передача данных сверх перечня — нарушение ст. 5 ФЗ-152 (принцип соответствия объёма данных цели).
5. Что грозит клинике за утечку медицинских данных пациентов?
При утечке от 1 000 до 10 000 субъектов — штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП. От 10 000 до 100 000 субъектов — 5–10 млн ₽ по ч. 13. Более 100 000 субъектов — 10–15 млн ₽ по ч. 14. Дополнительно — штраф 1–3 млн ₽ за неуведомление РКН в течение 24 часов по ч. 11. При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽. Если должностное лицо клиники виновно в незаконном сборе или передаче медицинских данных — возможна уголовная ответственность по ст. 272.1 УК РФ (действует с 11.12.2024).
6. Когда и как уведомить РКН об утечке данных пациентов?
По ч. 3.1 ст. 21 ФЗ-152 первичное уведомление направляется в РКН в течение 24 часов с момента обнаружения инцидента. Через 72 часа — отчёт о результатах внутреннего расследования по Приказу РКН №187 от 14.11.2022. Уведомление подаётся через портал pd.rkn.gov.ru. Пропуск 24-часового срока — самостоятельное нарушение по ч. 11 ст. 13.11 КоАП (1–3 млн ₽). Срок не восстанавливается.
Итог
Передача ПДн пациентов между клиниками затрагивает специальную категорию данных и одновременно регулируется ФЗ-152, ФЗ-323 и отраслевыми актами Минздрава. Каждый из шести шагов — от определения правового основания до формирования пакета ОРД — самостоятелен: пропуск любого создаёт риск протокола при плановой или внеплановой проверке РКН. Совокупный размер штрафов при выявлении нескольких нарушений одновременно может превысить 5–10 млн ₽ ещё без учёта последствий утечки.
Практика DATUM включает сопровождение медицинских организаций на всех этапах: от аудита согласий пациентов и договоров с МИС-провайдерами до защиты интересов клиники при проверке Роскомнадзора и обжалования постановлений по ст. 13.11 КоАП.