Перейти к содержанию
инструкция 14 апреля 2028 По состоянию на 14 апреля 2028

Передача в Росздравнадзор

Данные пациентов — спецкатегория по ст. 10 ФЗ-152. Передача сведений о состоянии здоровья в Росздравнадзор без надлежащего основания или без письменного согласия пациента влечёт штраф от 3 до 15 млн ₽ по ст. 13.11 КоАП.
Медорганизации передают данные в рамках проверок, работы с ЕГИСЗ и по запросам надзорного органа. Каждый из этих каналов требует отдельного правового основания, которое не заменяет информированное добровольное согласие (ИДС) на лечение.
Если вы главный врач и готовитесь к проверке Росздравнадзора — пройдите по шагам ниже и проверьте, есть ли в МИС и документообороте все необходимые правовые основания для каждого канала передачи.

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420: утечка данных пациентов от 1 000 до 10 000 субъектов — штраф 3–5 млн ₽, свыше 100 000 — 10–15 млн ₽. Росздравнадзор как надзорный орган вправе запрашивать сведения, составляющие врачебную тайну, в рамках ст. 13 ФЗ-323. Медорганизация обязана соблюдать оба закона одновременно: и 323-ФЗ, и 152-ФЗ. Инструкция ниже разбирает шаги — от проверки правового основания до фиксации факта передачи в журнале учёта.

Шаг 1. Определите правовое основание для передачи

Данные пациентов относятся к специальным категориям по ст. 10 ФЗ-152: сведения о состоянии здоровья обрабатываются только при наличии оснований, перечисленных в п. 2 той же статьи. Одновременно ст. 13 ФЗ-323 устанавливает случаи, когда врачебная тайна может быть раскрыта без согласия гражданина — в том числе по запросу органов, осуществляющих государственный контроль в сфере охраны здоровья.

«Ст. 13 ФЗ-323 допускает передачу сведений, составляющих врачебную тайну, без согласия гражданина по запросу органов государственного контроля в сфере охраны здоровья — в целях осуществления ими контрольных полномочий.»

Росздравнадзор входит в число таких органов. Это означает: если надзорный орган направил официальный запрос в рамках проверки, медорганизация вправе передать запрошенные сведения без дополнительного согласия пациента. Однако правовое основание нужно зафиксировать: к переданному пакету документов приложить копию запроса и внутренний акт о передаче.

Если передача происходит не по запросу, а в рамках подключения к ЕГИСЗ или телемедицинской платформе — основание иное: согласие субъекта по ст. 9 ФЗ-152 или исполнение обязанности оператора государственной информационной системы по п. 2 ч. 2 ст. 10 ФЗ-152. Смешивать основания нельзя.

Шаг 2. Проверьте состав данных в МИС перед передачей

МИС (медицинская информационная система) хранит весь массив сведений о пациенте: диагнозы, результаты исследований, назначения, историю лечения. Передавать надзорному органу нужно только те данные, которые прямо запрошены. Принцип минимизации по ст. 5 ФЗ-152 требует, чтобы состав передаваемых сведений не превышал цели передачи.

«Ст. 5 ФЗ-152 — принцип соответствия объёма ПДн целям обработки: нельзя передавать избыточные сведения, если надзорный орган запросил конкретный перечень.»

Практическая проблема: в большинстве МИС выгрузка по пациенту формируется целиком — без возможности исключить отдельные поля. Если ваша МИС не поддерживает фильтрацию состава выгрузки, необходимо либо доработать систему, либо формировать ответ на запрос вручную по каждому случаю. Автоматическая полная выгрузка без проверки — риск нарушения ст. 5 ФЗ-152 и основание для замечания при проверке.

До передачи проверьте: нет ли в выгрузке сведений, не указанных в запросе (например, данных о родственниках, сведений о третьих лицах, упомянутых в анамнезе). Такие данные подлежат исключению или обезличиванию.

Готовитесь к проверке Росздравнадзора?

Если главный врач получил уведомление о проверке или запрос на предоставление данных пациентов — у вас ограниченное время на подготовку пакета документов. Неправильно оформленная передача данных создаёт основание для протокола по ст. 13.11 КоАП. Юристы DATUM проверят правовые основания для каждого канала передачи, состав ОРД и готовность МИС к требованиям 152-ФЗ.

Подготовиться к проверке РКН

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Получите или подтвердите согласие пациента там, где оно обязательно

Не все передачи данных в Росздравнадзор происходят по официальному запросу в рамках проверки. Часть сведений медорганизация передаёт в ЕГИСЗ в плановом порядке — а ЕГИСЗ предоставляет доступ к этим сведениям ряду органов власти, включая надзорные. Для передачи в ЕГИСЗ требуется согласие пациента на обработку его персональных данных в государственной информационной системе.

С 01.09.2025 согласие на обработку ПДн оформляется отдельным документом по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025: его нельзя включить в текст ИДС, договора на оказание услуг или правила внутреннего распорядка. Обязательные реквизиты согласия: ФИО пациента, его контактные данные, наименование медорганизации как оператора, цель обработки, перечень данных, перечень действий с ними, срок действия согласия и порядок его отзыва.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025: с 01.09.2025 согласие на обработку ПДн — отдельный документ. Объединение с ИДС, договором или иными документами недопустимо.»

ИДС (информированное добровольное согласие на медицинское вмешательство по ст. 20 ФЗ-323) и согласие на обработку ПДн — два разных документа с разными правовыми основаниями и разным содержанием. Подробнее о разграничении — в разделе FAQ ниже.

Шаг 4. Оформите передачу документально

Каждый факт передачи данных пациентов в Росздравнадзор подлежит фиксации. Минимальный состав документов при передаче по официальному запросу:

Что подготовить при передаче данных в Росздравнадзор

  • Копия запроса Росздравнадзора с указанием правового основания и перечня запрошенных сведений.
  • Внутренний акт о передаче данных: дата, состав передаваемых сведений, ответственное лицо, способ передачи.
  • Отметка в журнале учёта передачи ПДн (форма — часть пакета ОРД по ст. 18.1 ФЗ-152).
  • При передаче через ЕГИСЗ — подтверждение наличия актуального согласия пациента на обработку в ГИС (либо основание для передачи без согласия по п. 2 ч. 2 ст. 10 ФЗ-152).
  • Если данные передаются в электронном виде через МИС — лог операции из системы с указанием пользователя, времени и состава переданных записей.

Отсутствие журнала учёта и внутреннего акта — типовое замечание при проверках РКН и Росздравнадзора. При выявлении нарушения по ст. 18.1 ФЗ-152 (неисполнение обязанности по принятию мер, обеспечивающих выполнение закона) может быть возбуждено дело по ч. 3 ст. 13.11 КоАП: штраф для юрлица 30–60 тыс. ₽. Если же нарушение повлекло фактическую утечку — квалификация по ч. 12–14 ст. 13.11.

Шаг 5. Проверьте настройки МИС и доступ к ЕГИСЗ

Подключение МИС к ЕГИСЗ создаёт постоянный канал передачи данных пациентов в государственную инфраструктуру. Технические настройки этого канала должны соответствовать требованиям уровня защищённости ИСПДн. Для медорганизаций, обрабатывающих спецкатегории ПДн (сведения о здоровье) при числе субъектов свыше 100 000, актуален уровень защищённости УЗ-3 или выше по ПП РФ №1119.

«ПП РФ №1119 — уровни защищённости ИСПДн УЗ-1..УЗ-4. Спецкатегории ПДн при числе субъектов свыше 100 000 и угрозах 2-го типа требуют УЗ-2; при угрозах 3-го типа — УЗ-3. Меры защиты — Приказ ФСТЭК №21.»

Проверьте: определён ли в медорганизации актуальный уровень защищённости, проведена ли оценка угроз, реализованы ли технические меры защиты по Приказу ФСТЭК №21 (разграничение доступа, антивирусная защита, регистрация событий, защита каналов связи). Если МИС работает в облаке или на инфраструктуре подрядчика — необходимо поручение на обработку ПДн по п. 3 ст. 6 ФЗ-152 с перечнем мер безопасности.

Телемедицинские сервисы создают дополнительный риск: данные пациента могут обрабатываться на платформе третьей стороны. Если эта платформа расположена за рубежом — потребуется уведомление РКН о трансграничной передаче по ст. 12 ФЗ-152.

Если МИС подключена к ЕГИСЗ, а поручение на обработку с подрядчиком не оформлено — это самостоятельное нарушение ст. 6 ФЗ-152. При инциденте ответственность несёт медорганизация как оператор, даже если данные утекли через подрядчика. Юристы DATUM проведут аудит цепочки обработки ПДн в клинике.

Заказать аудит 152-ФЗ

Как это применяется на практике

Кейс 1. Многопрофильная клиника (Сибирский ФО, осень 2025) передала Росздравнадзору пакет сведений о пациентах в ответ на плановый запрос в рамках проверки лицензионных требований. Передача была оформлена сопроводительным письмом, но внутренний акт передачи и запись в журнале учёта отсутствовали. При встречной проверке РКН это было квалифицировано как нарушение ст. 18.1 ФЗ-152. Составлен протокол по ч. 3 ст. 13.11 КоАП. Клиника устранила замечание в течение 7 дней, представила доказательства и получила минимальный штраф в диапазоне 30–40 тыс. ₽. Без документального подтверждения устранения штраф мог быть выше, а при повторном нарушении — по ч. 1.1 ст. 13.11 до 500 тыс. ₽.

Кейс 2. Частная стоматологическая сеть (Центральный ФО, начало 2026) обновила МИС и подключила телемедицинский модуль. Согласия пациентов на обработку ПДн в новой системе не переоформлялись: клиника полагала, что ИДС охватывает все виды обработки. Росздравнадзор в рамках контрольного мероприятия запросил сведения о пяти пациентах. Передача прошла, однако при проверке документации обнаружилось отсутствие отдельных согласий на обработку ПДн в телемедицинской системе по ст. 9 ФЗ-152 в редакции ФЗ-156. Возбуждено дело по ч. 2 ст. 13.11 КоАП — штраф для юрлиц по этой части составляет 300 тыс. — 700 тыс. ₽. Юристы DATUM при сопровождении аналогичных дел добиваются снижения к минимальной границе при условии немедленного устранения нарушения и первичности.

Услуги DATUM по теме

Частые вопросы

1. Чем отличается ИДС от согласия на обработку ПДн?

ИДС (информированное добровольное согласие на медицинское вмешательство) регулируется ст. 20 ФЗ-323 и подтверждает согласие пациента на конкретное медицинское вмешательство. Согласие на обработку ПДн по ст. 9 ФЗ-152 — отдельный документ, разрешающий оператору обрабатывать персональные данные пациента в определённых целях. С 01.09.2025 по ФЗ-156 объединять эти документы запрещено. Отсутствие отдельного согласия на обработку ПДн создаёт риск штрафа по ч. 2 ст. 13.11 КоАП — 300 тыс. — 700 тыс. ₽ для юрлица.

2. Можно ли публиковать фото до-после с согласия пациента?

Публикация фотографий пациентов — это распространение биометрических и медицинских ПДн одновременно. Для этого требуется отдельное согласие на распространение по ст. 10.1 ФЗ-152, а не просто согласие на обработку. Отсутствие такого согласия или его неправильное оформление — нарушение ст. 10.1 ФЗ-152. Если фото опубликовано без надлежащего согласия и пациент подаст жалобу в РКН, медорганизация может получить протокол по ч. 1 или ч. 2 ст. 13.11 КоАП.

3. Кто отвечает за утечку через МИС?

Медорганизация как оператор ПДн несёт ответственность за утечку независимо от того, произошла ли она через собственную МИС или через систему подрядчика. Если МИС предоставлена по договору SaaS или обслуживается внешним IT-подрядчиком — необходимо поручение на обработку ПДн по п. 3 ст. 6 ФЗ-152 с обязательным перечнем мер безопасности. Без поручения подрядчик юридически не связан требованиями 152-ФЗ, но это не снимает ответственности с медорганизации. Штраф за утечку от 1 000 до 10 000 субъектов — 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП.

4. Какие данные передавать в ЕГИСЗ?

Состав сведений, передаваемых в ЕГИСЗ, определяется нормативными актами Минздрава и техническими регламентами оператора системы. Медорганизация передаёт данные в те подсистемы ЕГИСЗ, к которым подключена: регистр пациентов, электронная медицинская карта, регистр медицинских документов и другие. Принцип минимизации по ст. 5 ФЗ-152 обязывает передавать только те сведения, которые предусмотрены регламентом конкретной подсистемы. Избыточная передача нарушает ст. 5 ФЗ-152 и может быть квалифицирована как нарушение цели обработки.

5. Что грозит клинике за утечку данных пациентов?

За утечку данных пациентов предусмотрена административная ответственность по ст. 13.11 КоАП: при числе пострадавших 1 000–10 000 субъектов — штраф 3–5 млн ₽ (ч. 12), при 10 000–100 000 — 5–10 млн ₽ (ч. 13), свыше 100 000 — 10–15 млн ₽ (ч. 14). При повторной утечке применяется оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽. Данные пациентов относятся к спецкатегории по ст. 10 ФЗ-152, что усиливает позицию РКН при оценке тяжести нарушения. Дополнительно — уголовная ответственность по ст. 272.1 УК РФ при доказанном умысле на незаконное использование ПДн.

6. Нужно ли уведомлять РКН при передаче данных в Росздравнадзор?

Передача данных конкретному пациенту или по запросу Росздравнадзора не требует отдельного уведомления РКН — она осуществляется в рамках уже зарегистрированной обработки ПДн. Однако если при передаче произошла утечка или неправомерный доступ к данным — медорганизация обязана уведомить РКН в течение 24 часов по ч. 3.1 ст. 21 ФЗ-152 и направить отчёт о результатах расследования в течение 72 часов по Приказу РКН №187. Нарушение сроков уведомления — штраф 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП.

Итог

Передача данных пациентов в Росздравнадзор — законная операция при наличии надлежащего основания: официального запроса в рамках проверки по ст. 13 ФЗ-323 или согласия пациента для плановой передачи через ЕГИСЗ. Каждый шаг передачи должен быть задокументирован: запрос, акт передачи, запись в журнале учёта, подтверждение минимизации состава данных. С 01.09.2025 согласие на обработку ПДн — отдельный документ, не совпадающий с ИДС.

Юристы DATUM сопровождают медорганизации при подготовке к проверкам Росздравнадзора и РКН, формируют пакет ОРД с учётом требований 152-ФЗ и 323-ФЗ, проверяют правовые основания для всех каналов передачи данных через МИС и ЕГИСЗ.

Смотрите также

ОН
Ольга Нечаева
Аналитик · Медицина и образование
Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, обработка ПДн несовершеннолетних.

14 апреля 2028 года