инструкция 29 сентября 2026 По состоянию на 29 сентября 2026

Подрядчики клиники: кому передаём ПДн

Данные пациента — специальная категория по ст. 10 ФЗ-152. Передача ПДн подрядчику без надлежащего правового основания — это нарушение, влекущее штраф от 3 до 15 млн ₽ по ч. 12–14 ст. 13.11 КоАП.

Клиника ежедневно передаёт ПДн пациентов в МИС, ЕГИСЗ, лаборатории, страховые компании, колл-центры и сервисы телемедицины. По каждому такому каналу нужно правовое основание, поручение на обработку и соглашение о конфиденциальности.

Если вы главный врач и не уверены, оформлено ли поручение с МИС-провайдером — проверьте это сегодня. Ниже — пошаговый порядок.

С 30.05.2025 за утечку ПДн пациентов через подрядчика клинике грозит штраф не менее 3 млн ₽ по ч. 12 ст. 13.11 КоАП, а при повторности — оборотный штраф до 500 млн ₽ по ч. 15. Ответственность несёт оператор, то есть клиника, даже если данные утекли через IT-подрядчика. Эта инструкция описывает шесть шагов: от аудита подрядчиков до проверки уведомления в реестре РКН.

Шаг 1. Составьте реестр подрядчиков, которым вы передаёте ПДн пациентов

Первый шаг — зафиксировать всех, кому реально уходят данные пациентов. Типичный список для медицинской организации включает несколько категорий.

IT-инфраструктура: провайдер МИС (медицинской информационной системы), разработчик мобильного приложения, хостинг-провайдер, облачный сервис резервного копирования.

Медицинские партнёры: лаборатории (анализы и биоматериалы), телемедицинские платформы, консультирующие специалисты на аутсорсе, реабилитационные центры.

Административные партнёры: страховые компании (ДМС, ОМС через ТФОМС), колл-центр на аутсорсе, сервис напоминаний (SMS/push), бухгалтерский аутсорсинг (если обрабатывает данные о платежах пациентов), маркетинговое агентство (при наличии email- или SMS-рассылок).

Государственные системы: ЕГИСЗ (федеральный сегмент), региональный сегмент ЕГИСЗ (РМИС), ФОМС, ФСС при больничных листах.

Что подготовить на шаге 1

Таблица подрядчиков: наименование, вид ПДн, цель передачи, правовое основание
Копии действующих договоров с каждым подрядчиком — для проверки наличия раздела о поручении
Перечень систем, имеющих технический доступ к базе пациентов (включая интеграции через API)

Шаг 2. Проверьте, есть ли у клиники правовое основание для каждой передачи

Данные пациентов относятся к специальным категориям по ст. 10 ФЗ-152 — это сведения о состоянии здоровья. Их обработка по общему правилу запрещена, кроме случаев, прямо указанных в п. 2 ст. 10.

«Ст. 10 ФЗ-152 — специальные категории ПДн, включая сведения о состоянии здоровья, обрабатываются только при наличии письменного согласия субъекта или в иных прямо предусмотренных законом случаях (п. 2 ст. 10 ФЗ-152).»

Для медицинской организации работают три правовых основания передачи ПДн пациентов подрядчикам.

Основание 1: согласие пациента (п. 1 ч. 2 ст. 10 ФЗ-152). Письменное согласие с указанием конкретных третьих лиц, цели передачи и состава данных. С 01.09.2025 согласие оформляется отдельным документом — оно не может быть частью договора на оказание медицинских услуг (ФЗ-156 от 24.06.2025).

Основание 2: поручение на обработку (п. 3 ст. 6 ФЗ-152). Если подрядчик обрабатывает ПДн исключительно по заданию клиники, в её интересах и не принимает самостоятельных решений — это модель «оператор — поручение». Клиника остаётся оператором; подрядчик не вправе использовать данные для иных целей. Обязательно: отдельное соглашение или раздел в договоре с требованиями по конфиденциальности, перечнем действий, обязанностью уничтожить данные при расторжении.

Основание 3: прямое требование закона. Передача данных в ЕГИСЗ, ФОМС, ФСС, страховые компании по ОМС осуществляется на основании ФЗ-323 «Об основах охраны здоровья граждан» и специальных регламентов. Согласие пациента здесь не требуется, но клиника обязана отразить эти основания в политике обработки ПДн.

Не уверены, правильно ли оформлены договоры с МИС-провайдером?

Главный врач несёт ответственность за все каналы передачи данных пациентов, включая технические интеграции. Если поручение с IT-подрядчиком не оформлено или в нём нет обязательных условий по ст. 6 ФЗ-152 — клиника нарушает закон. Ошибка в документах обнаруживается при первой же плановой проверке РКН или жалобе пациента.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Оформите поручение на обработку с каждым IT-подрядчиком

Если МИС-провайдер, телемедицинская платформа или колл-центр обрабатывают ПДн пациентов технически, но по заданию клиники — оформляйте поручение. Без него каждый такой подрядчик юридически является самостоятельным оператором, а значит, любая его ошибка напрямую вменяется клинике.

Обязательные условия поручения (п. 3 ст. 6 ФЗ-152):

Перечень действий с ПДн, которые подрядчик вправе совершать (хранение, передача врачу, формирование отчётов — только то, что нужно для исполнения договора)
Цели обработки — совпадают с целями клиники, не шире
Обязанность соблюдать конфиденциальность
Обязанность применять технические и организационные меры защиты по ст. 19 ФЗ-152
Запрет на передачу ПДн третьим лицам без отдельного поручения клиники
Порядок уничтожения или возврата ПДн при прекращении договора

Поручение оформляется либо отдельным соглашением, либо выделенным разделом в договоре на оказание IT-услуг. Устные договорённости правового значения не имеют.

Важно: ответственность за действия подрядчика, которому выдано поручение, несёт оператор (клиника). Арбитражная практика подтверждает: если данные утекли через МИС-провайдера, а поручение не оформлено или не содержало требований по защите — штраф получает клиника, а не провайдер.

Как правильно передавать данные пациентов в ЕГИСЗ?

ЕГИСЗ (Единая государственная информационная система в сфере здравоохранения) — это федеральная система, подключение к которой обязательно для медицинских организаций определённых категорий. Передача данных в ЕГИСЗ регулируется ФЗ-323 и приказами Минздрава.

Что можно передавать в ЕГИСЗ: сведения об оказанных медицинских услугах, диагнозах, назначениях, результатах обследований в объёме, установленном регламентом подключения. Передача избыточных данных (например, полного текста медицинской карты при наличии возможности ограничиться кодом диагноза) нарушает принцип минимизации ст. 5 ФЗ-152.

Согласие пациента: передача данных в ЕГИСЗ не требует отдельного согласия на ПДн — это законная обязанность клиники. Однако пациент вправе ограничить передачу сведений, составляющих врачебную тайну по ст. 13 ФЗ-323, подав заявление. Клиника обязана такое ограничение учесть в технической части интеграции.

«Ст. 13 ФЗ-323 — сведения о факте обращения гражданина за медицинской помощью, состоянии его здоровья и диагнозе составляют врачебную тайну. Их разглашение без согласия пациента допускается только в случаях, прямо предусмотренных законом.»

Техническая сторона: интеграция МИС с ЕГИСЗ должна предусматривать журналирование всех выгрузок. Это необходимо для ответа на запрос субъекта по ст. 20 ФЗ-152 (срок — 10 рабочих дней) и для расследования инцидента в рамках 24/72-часовой процедуры по ч. 3.1 ст. 21 ФЗ-152.

Если клиника получила запрос РКН или жалобу пациента на передачу его данных подрядчику — на подготовку ответа отведено не более 10 рабочих дней по ст. 20 ФЗ-152. Юристы DATUM подготовят позицию и документы за 24 часа.

Подготовиться к проверке РКН

Шаг 5. Проверьте уведомление в реестре операторов РКН

Клиника как оператор ПДн обязана уведомить Роскомнадзор о намерении обрабатывать ПДн до начала обработки (ст. 22 ФЗ-152). Срок включения в реестр — 30 дней с момента подачи уведомления.

Типичная проблема медицинских организаций: уведомление подано при открытии клиники, но с тех пор появились новые подрядчики, новые цели обработки (телемедицина, мобильное приложение), новые категории данных (биометрия по СКУД). Реестр устарел — реальная обработка шире заявленной. При проверке это фиксируется как самостоятельное нарушение по ч. 10 ст. 13.11 КоАП, штраф для юрлица — 100–300 тыс. ₽.

Что проверить в уведомлении:

Перечень категорий субъектов — пациенты, работники, представители пациентов (родители несовершеннолетних)
Категории ПДн — специальные (состояние здоровья), биометрические (при наличии СКУД с распознаванием лиц), общие
Цели обработки — соответствуют всем текущим сервисам, включая телемедицину и программу лояльности
Наличие трансграничной передачи — если облако у иностранного провайдера или телемедицинская платформа зарубежная
Меры по обеспечению безопасности — соответствуют актуальному УЗ клиники по ПП РФ №1119

Шаг 6. Составьте регламент реагирования на утечку через подрядчика

Если данные пациентов утекли через МИС-провайдера, у клиники есть 24 часа на первичное уведомление РКН и 72 часа на отчёт о результатах расследования (ч. 3.1 ст. 21 ФЗ-152, Приказ РКН №187 от 14.11.2022). Неуведомление в срок — штраф 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП.

Проблема: клиника узнаёт об утечке от подрядчика, а не первой. К этому моменту часть 24-часового окна уже потрачена. Регламент должен обязывать IT-подрядчика сообщать об инциденте клинике немедленно — это условие включается в поручение на обработку.

Минимальный состав регламента:

Порядок получения сигнала от подрядчика и фиксации времени обнаружения
Ответственный за подачу уведомления в РКН (по ст. 22.1 ФЗ-152 — лицо, назначенное приказом)
Шаблон первичного уведомления по форме Приказа РКН №187
Порядок внутреннего расследования и формирования отчёта за 72 часа
Процедура уведомления пациентов при необходимости

Типовые ситуации при передаче ПДн подрядчикам клиники

Ситуация 1. МИС-провайдер переехал на зарубежный сервер без уведомления клиники. Клиника в Приволжском федеральном округе (весна 2025) обнаружила, что данные пациентов хранятся на сервере в Нидерландах — провайдер МИС сменил хостинг в рамках технического обновления. Это трансграничная передача ПДн без уведомления РКН по ст. 12 ФЗ-152 и нарушение требований локализации по ч. 5 ст. 18. Доказательства: технический акт обследования, логи подключения к серверам. Вероятный исход: штраф по ч. 8 ст. 13.11 КоАП (1–6 млн ₽) за нарушение локализации. Стратегия: немедленный перенос данных на российский хостинг, направление уведомления об изменении в РКН, проверка всех договоров с IT-подрядчиками на предмет условий о размещении данных.

Ситуация 2. Колл-центр на аутсорсе записывает разговоры с пациентами без отдельного согласия. Региональная стоматологическая клиника (Сибирский федеральный округ, осень 2025) использовала аутсорсинговый колл-центр для записи пациентов. Запись звонков содержала сведения о диагнозах и жалобах — специальная категория по ст. 10 ФЗ-152. Поручение с колл-центром не предусматривало обработку аудиозаписей; согласие пациентов на запись звонков получено не было. Жалоба одного пациента привела к внеплановой проверке РКН. Вероятный исход: штраф по ч. 2 ст. 13.11 КоАП (300–700 тыс. ₽) за обработку специальных категорий без письменного согласия. Стратегия: прекращение записи звонков с медицинским содержанием либо оформление отдельного согласия и расширение поручения колл-центру.

Ситуация 3. Телемедицинская платформа использует данные пациентов для собственной аналитики. Клиника подключилась к телемедицинской платформе, договор с которой позволял платформе использовать обезличенные данные для улучшения алгоритмов. По позиции регулятора обезличивание должно соответствовать методам, утверждённым приказом РКН. Платформа применяла собственный метод, не входящий в утверждённый перечень. Вероятный исход: нарушение принципа минимизации (ст. 5 ФЗ-152), возможное превышение поручения. Стратегия: пересмотр договора — явный запрет на обработку данных пациентов для целей платформы, требование применять методы обезличивания согласно приказу РКН.

Частые вопросы

1. Чем отличается информированное добровольное согласие (ИДС) от согласия на обработку ПДн?

ИДС — это медицинский документ по ст. 20 ФЗ-323, подтверждающий согласие пациента на конкретное медицинское вмешательство. Согласие на обработку ПДн — отдельный документ по ст. 9 ФЗ-152, регулирующий, кому и в каких целях передаются данные о пациенте. Эти документы не заменяют друг друга: ИДС не даёт права передавать данные подрядчикам, а согласие на ПДн не разрешает медицинское вмешательство. С 01.09.2025 согласие на ПДн оформляется строго отдельным документом (ФЗ-156 от 24.06.2025) — его нельзя включать в договор на оказание медицинских услуг или ИДС.

2. Можно ли публиковать фото «до-после» с письменного согласия пациента?

Да, при соблюдении двух условий. Первое — отдельное согласие на распространение ПДн по ст. 10.1 ФЗ-152 с явным указанием, что фотография может быть размещена в открытом доступе, на каких платформах и в каких целях. Второе — если на фотографии узнаваем человек, дополнительно требуется согласие на использование изображения по ст. 152.1 ГК РФ. Молчаливое согласие или отсутствие возражений правовой силы не имеют: по ст. 10.1 ФЗ-152 дефолт молчания означает запрет на распространение.

3. Кто отвечает за утечку данных пациентов через МИС?

Клиника как оператор ПДн несёт ответственность перед регулятором и пациентами вне зависимости от того, чьи технические средства дали сбой. Если с МИС-провайдером оформлено поручение на обработку по п. 3 ст. 6 ФЗ-152, клиника отвечает перед РКН, а к провайдеру вправе предъявить регрессные требования по договору. Если поручение не оформлено — провайдер юридически является самостоятельным оператором, а клиника всё равно отвечает за ненадлежащий выбор контрагента. Штраф по ч. 12–14 ст. 13.11 КоАП получает оператор — клиника.

4. Какие данные пациентов передавать в ЕГИСЗ и в каком объёме?

Состав передаваемых сведений определяется регламентом подключения к ЕГИСЗ и приказами Минздрава для каждого вида медицинских документов (ТАП, медкарта, направление, выписной эпикриз). Передача данных сверх установленного регламентом объёма нарушает принцип минимизации ст. 5 ФЗ-152. Клиника обязана журналировать все выгрузки в ЕГИСЗ — это необходимо для ответа на запрос пациента по ст. 20 ФЗ-152 в течение 10 рабочих дней.

5. Что грозит клинике за утечку данных пациентов?

Штраф зависит от числа затронутых субъектов: за утечку данных 1 000–10 000 пациентов — 3–5 млн ₽ (ч. 12 ст. 13.11 КоАП); 10 000–100 000 — 5–10 млн ₽ (ч. 13); более 100 000 — 10–15 млн ₽ (ч. 14). При повторном нарушении — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. Дополнительно: неуведомление РКН об утечке в 24 часа влечёт ещё 1–3 млн ₽ по ч. 11. Если утечка содержит биометрические данные — отдельный штраф 15–20 млн ₽ по ч. 17 ст. 13.11 КоАП.

6. Нужно ли согласие пациента на передачу данных в страховую компанию по ДМС?

Зависит от основания передачи. Если передача происходит для исполнения договора ДМС, стороной которого является пациент, — применяется п. 5 ч. 1 ст. 6 ФЗ-152 (необходимость исполнения договора), отдельное согласие на ПДн не требуется. Однако данные о диагнозах относятся к специальным категориям по ст. 10, для которых требуется либо письменное согласие, либо применение исключения из п. 2 ст. 10 (медицинская деятельность и исполнение договора медицинского страхования). Во избежание споров рекомендуется включать условие о передаче данных в страховую компанию в согласие пациента на обработку ПДн.

Итог

Клиника передаёт данные пациентов десяткам подрядчиков ежедневно. Каждая такая передача требует правового основания: согласия пациента, поручения на обработку или прямого указания закона. Отсутствие поручения с МИС-провайдером, передача в ЕГИСЗ сверх регламента или запись звонков пациентов без согласия — это самостоятельные нарушения, каждое из которых влечёт штраф.

Юристы DATUM специализируются на комплаенсе медицинских организаций по 152-ФЗ и ФЗ-323: аудит подрядчиков, оформление поручений, актуализация уведомления в РКН, сопровождение при проверках.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка подрядчиков, поручений и политики по 38-пунктовому чек-листу
Комплект ОРД под ключ — поручения, согласия, регламент реагирования на утечку
Сопровождение проверок РКН — подготовка к проверке, представление интересов

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, обработка ПДн несовершеннолетних.

29 сентября 2026 года