Перейти к содержанию
инструкция 27 ноября 2026 По состоянию на 27 ноября 2026

Политика конфиденциальности для медицинской клиники

Политика обработки персональных данных — обязательный документ клиники по ч. 2 ст. 18.1 ФЗ-152. Без неё клиника нарушает закон до начала первой проверки РКН.
Данные пациентов относятся к специальным категориям по ст. 10 ФЗ-152. Утечка или отсутствие политики — штраф от 30 тыс. до 15 млн ₽ по разным частям ст. 13.11 КоАП в редакции с 30.05.2025.
Если вы юрист клиники и готовите ОРД — эта инструкция проведёт по 6 шагам: от анализа категорий ПДн до уведомления РКН. → Порядок разработки ниже.

С 30.05.2025 штрафы по ст. 13.11 КоАП пересобраны ФЗ-420: отсутствие политики на сайте теперь ч. 3 (30–60 тыс. ₽ для юрлица), но это наименьшая из проблем. Медицинская клиника обрабатывает специальные категории ПДн по ст. 10 ФЗ-152 — сведения о здоровье пациентов. Недостаточная защита этих данных квалифицируется по ч. 12–14 ст. 13.11 (от 3 до 15 млн ₽ за утечку) и создаёт основания по ч. 272.1 УК РФ. Ниже — последовательный порядок подготовки политики и сопутствующего пакета ОРД.

Шаг 1. Определите категории персональных данных, которые обрабатывает клиника

Прежде чем писать текст политики, нужно установить, с какими категориями ПДн работает клиника. Это определяет уровень защищённости ИСПДн и состав документов.

Медицинская клиника, как правило, обрабатывает три категории:

  • Специальные категории (ст. 10 ФЗ-152) — сведения о состоянии здоровья, диагнозе, назначенном лечении. Обработка допустима только с явного письменного согласия пациента (п. 1 ч. 2 ст. 10) либо если она необходима для оказания медицинской помощи (п. 4 ч. 2 ст. 10 совместно со ст. 13 Федерального закона № 323-ФЗ).
  • Общие категории — ФИО, дата рождения, контактные данные, адрес, полис ОМС. Обрабатываются на основании согласия (п. 1 ч. 1 ст. 6) или в рамках договора оказания медицинских услуг (п. 5 ч. 1 ст. 6).
  • Биометрические ПДн (ст. 11 ФЗ-152) — фотография пациента в карте, изображение в системе СКУД, запись голоса при телефонном консультировании. Требуют отдельного письменного согласия.

Результат этого шага — таблица категорий и оснований обработки. Она войдёт в текст политики и в уведомление РКН по Приказу РКН № 180 от 28.10.2022.

Шаг 2. Установите цели и сроки обработки персональных данных

Ст. 5 ФЗ-152 закрепляет принцип соответствия: обработка ведётся только в конкретных, заранее определённых целях. Указывать общую цель «оказание услуг» недостаточно — РКН при проверке запросит детализацию.

Типовые цели для медицинской клиники:

  • оказание медицинской помощи и сопровождение лечения;
  • исполнение договора на оказание платных медицинских услуг;
  • ведение медицинской документации (амбулаторная карта, история болезни);
  • направление уведомлений о приёме, результатах анализов, профилактических мероприятиях;
  • передача сведений в ЕГИСЗ/СЭМД в рамках интеграции с государственными ИС;
  • кадровый учёт (для сотрудников клиники).

Для каждой цели устанавливается срок хранения данных. Он не должен превышать необходимый: по истечении цели данные уничтожаются или обезличиваются (ст. 5 ч. 7 ФЗ-152). Медицинская документация хранится по срокам, установленным приказами Минздрава (не менее 25 лет для части документации), — эти сроки обоснованно указываются в политике как законодательно установленные.

Юрист клиники готовит ОРД — с чего начать?

Подготовка политики конфиденциальности для медицинской организации занимает 5–10 рабочих дней при наличии информации о всех ИСПДн. Если клиника ещё не включена в реестр операторов ПДн или уведомление не обновлялось — нарушение уже есть. До проверки РКН остаётся 30 дней с момента подачи уведомления для включения в реестр по ст. 22 ФЗ-152. Юристы DATUM соберут комплект ОРД под ключ: политика, согласия, приказы, журналы учёта.

Собрать ОРД под ключ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Шаг 3. Составьте текст политики по требованиям ч. 2 ст. 18.1 ФЗ-152

Ч. 2 ст. 18.1 ФЗ-152 требует опубликовать политику, определяющую порядок обработки ПДн. Перечень обязательных разделов задан той же нормой и складывается из следующих блоков.

«Ст. 18.1 ч. 2 ФЗ-152 — оператор обязан опубликовать политику в отношении обработки ПДн и обеспечить неограниченный доступ к ней. Отсутствие политики или ненадлежащее её содержание — основание для привлечения к ответственности по ч. 3 ст. 13.11 КоАП (30–60 тыс. ₽ для юрлица в редакции с 30.05.2025).»

Обязательные разделы политики для медицинской клиники:

  • Наименование и реквизиты оператора — полное наименование, ИНН, адрес, контакты ответственного за обработку ПДн по ст. 22.1 ФЗ-152.
  • Цели обработки — конкретный перечень из шага 2, не общая формулировка.
  • Категории субъектов — пациенты, сотрудники, контрагенты, посетители.
  • Категории ПДн по каждой группе субъектов — с указанием специальных категорий и биометрических данных.
  • Правовые основания — ссылка на конкретные пункты ст. 6, ч. 2 ст. 10, ст. 11 ФЗ-152 по каждой категории данных.
  • Порядок и условия обработки — автоматизированная/неавтоматизированная, смешанная; передача подрядчикам по поручению (ч. 3 ст. 6 ФЗ-152).
  • Сроки обработки и хранения — по каждой категории данных и цели.
  • Права субъектов — порядок реализации: запрос информации (ст. 20, 10 рабочих дней), отзыв согласия, требование уничтожения.
  • Меры защиты — организационные и технические по ст. 19 ФЗ-152 (без детализации, угрожающей ИБ).
  • Трансграничная передача — если клиника использует облачные сервисы с серверами за рубежом (ст. 12 ФЗ-152).
  • Контакты для обращений — email и/или почтовый адрес ответственного за обработку ПДн.

Документ подписывается руководителем клиники или уполномоченным лицом, датируется и публикуется на сайте в разделе, доступном без регистрации.

Шаг 4. Подготовьте согласия пациентов с учётом требований ФЗ-156 от 24.06.2025

С 01.09.2025 вступили в силу изменения в ч. 1 ст. 9 ФЗ-152 (ФЗ-156 от 24.06.2025): согласие на обработку ПДн оформляется исключительно отдельным документом. Включать его в текст договора на оказание медицинских услуг, медицинскую карту или иной составной документ больше нельзя.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 (действует с 01.09.2025) — согласие субъекта оформляется как отдельный документ. Обязательные реквизиты: ФИО субъекта, контактные данные, наименование оператора, цель обработки, перечень ПДн, перечень действий, срок действия, способ отзыва. Нарушение требований к составу согласия — ч. 2 ст. 13.11 КоАП, штраф для юрлица 300–700 тыс. ₽.»

Для медицинской клиники потребуется несколько отдельных форм согласий:

  • Согласие на обработку общих ПДн — для пациентов, оформляемых на приём. Отдельный лист формата А5 или А4, подписывается до оказания услуги.
  • Согласие на обработку специальных категорий (ст. 10 ФЗ-152) — для обработки сведений о состоянии здоровья в целях, выходящих за рамки непосредственного лечения (например, маркетинговые коммуникации, передача в реестры). Если клиника оказывает помощь — основание ч. 2 п. 4 ст. 10 ФЗ-152 не требует отдельного согласия, но требует корректного основания в политике.
  • Согласие на распространение (ст. 10.1 ФЗ-152) — если клиника публикует отзывы, фотографии пациентов, истории лечения.
  • Согласие на биометрические ПДн (ст. 11 ФЗ-152) — письменное, если используется видеонаблюдение для идентификации, СКУД с распознаванием лица.

Согласия, полученные до 01.09.2025 как часть договора или карты, сохраняют действие. Переоформлять их принудительно не требуется — ФЗ-156 не имеет обратной силы. Однако при заключении новых договоров с 01.09.2025 форма должна быть отдельной.

Если юрист клиники проверяет комплект ОРД после 01.09.2025 — согласия пациентов в медицинских картах или договорах создают основание для штрафа по ч. 2 ст. 13.11 (300–700 тыс. ₽). Юристы DATUM проведут аудит по чек-листу 38 пунктов и выдадут приоритизированный план устранения.

Заказать аудит 152-ФЗ

Шаг 5. Назначьте ответственного за обработку персональных данных по ст. 22.1 ФЗ-152

Ст. 22.1 ФЗ-152 обязывает оператора-юрлицо назначить лицо, ответственное за организацию обработки ПДн. Без этого назначения клиника не выполняет одно из базовых организационных требований — и при проверке РКН это фиксируется как нарушение ст. 18.1.

Требования к ответственному по ч. 4 ст. 22.1 ФЗ-152:

  • не может быть лицом, осуществляющим обработку ПДн (конфликт функций);
  • получает полномочия организовывать обработку, контролировать соблюдение требований, принимать меры защиты;
  • назначается внутренним приказом руководителя с перечнем обязанностей;
  • контактные данные публикуются в политике и передаются в РКН при уведомлении.

На практике в небольших клиниках ответственным назначают главного врача, заместителя по общим вопросам или юриста. Крупные сети выделяют отдельного специалиста или подключают DPO-аутсорсинг. Назначение оформляется приказом и включается в должностную инструкцию или дополнительное соглашение к трудовому договору.

Шаг 6. Подайте уведомление в Роскомнадзор по ст. 22 ФЗ-152

До начала обработки ПДн клиника обязана уведомить РКН о намерении обрабатывать ПДн (ст. 22 ФЗ-152). Пропуск или задержка — ч. 10 ст. 13.11 КоАП, штраф для юрлица 100–300 тыс. ₽ в редакции с 30.05.2025.

«Ст. 22 ФЗ-152 — уведомление подаётся до начала обработки ПДн. Форма — по Приказу РКН № 180 от 28.10.2022. Подача через pd.rkn.gov.ru с использованием ЕСИА или УКЭП. Срок включения в реестр — 30 дней. Ч. 10 ст. 13.11 КоАП — неуведомление или просрочка: 100–300 тыс. ₽ для юрлица.»

Что указывается в уведомлении по форме Приказа РКН № 180:

  • наименование и реквизиты оператора;
  • адрес нахождения оператора;
  • цели обработки — по каждой группе субъектов;
  • категории субъектов и перечни ПДн;
  • правовые основания обработки;
  • перечень действий с ПДн;
  • описание мер защиты;
  • сведения об ответственном по ст. 22.1 ФЗ-152;
  • информация о трансграничной передаче (если есть);
  • дата начала обработки.

Если клиника уже работает и уведомление не подавалось — его нужно подать незамедлительно. Если уведомление устарело (изменились цели, ИСПДн, ответственный) — подаётся уведомление об изменении сведений. При прекращении деятельности — уведомление о прекращении обработки.

Что подготовить для полного пакета ОРД медицинской клиники

  • Политика обработки персональных данных с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152, опубликованная на сайте клиники.
  • Отдельные формы согласий для пациентов (общие ПДн, специальные категории, распространение, биометрия) — по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 с 01.09.2025.
  • Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 с перечнем обязанностей.
  • Уведомление в РКН, принятое и включённое в реестр операторов ПДн (pd.rkn.gov.ru), по форме Приказа РКН № 180.
  • Регламент реагирования на инциденты: порядок уведомления РКН в 24 часа (ч. 3.1 ст. 21 ФЗ-152) и подготовки отчёта за 72 часа (Приказ РКН № 187).

Как выглядит это на практике: два характерных сценария

Сценарий 1. Частная клиника без уведомления в реестре РКН. Ситуация: клиника работает несколько лет, уведомление не подавалось, политика отсутствует или размещена в виде шаблона из интернета с чужими реквизитами. РКН в рамках плановой проверки фиксирует нарушения по ч. 3 и ч. 10 ст. 13.11 КоАП. Дополнительно — отсутствие отдельных согласий пациентов создаёт основание по ч. 2 ст. 13.11 (300–700 тыс. ₽). Стратегия: немедленная подача уведомления, разработка политики и согласий до даты рассмотрения дела. Оперативное устранение нарушений учитывается при назначении штрафа.

Сценарий 2. Медицинская сеть с МИС, подключённой к ЕГИСЗ. Ситуация: клиника интегрирована с государственной информационной системой, передаёт СЭМД. В политике и уведомлении РКН эта цель обработки и основание (ч. 2 ст. 10 ФЗ-152 в части, допускающей обработку без согласия при оказании медпомощи) не отражены. РКН квалифицирует передачу в ЕГИСЗ как обработку без надлежащего основания в документах оператора — нарушение ч. 1 ст. 13.11 (150–300 тыс. ₽). Стратегия: актуализация политики с описанием интеграций, обновление уведомления в РКН, добавление раздела о передаче данных в государственные ИС.

Услуги DATUM по теме

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный пакет включает политику обработки ПДн (ст. 18.1 ФЗ-152), уведомление в РКН (ст. 22 ФЗ-152), приказ о назначении ответственного (ст. 22.1 ФЗ-152), отдельные формы согласий субъектов (ст. 9 ФЗ-152 в ред. ФЗ-156 от 24.06.2025), регламент реагирования на инциденты с ПДн, локальные акты о правилах доступа к ИСПДн. Для медицинских организаций добавляется блок документов о специальных категориях ПДн (ст. 10 ФЗ-152) и о взаимодействии с ЕГИСЗ.

2. Как составить политику обработки ПДн?

Политика составляется на основе актуальной карты данных клиники: какие ПДн, у каких субъектов, с какими целями, на каких основаниях обрабатываются. Структура задана ч. 2 ст. 18.1 ФЗ-152. Шаблон из интернета не подходит: он содержит чужие цели и основания, не отражает специфику медицины (спецкатегории, ЕГИСЗ, сроки хранения медицинской документации). Документ подписывается руководителем и публикуется на сайте клиники в открытом доступе.

3. Кого назначить ответственным по ст. 22.1?

Ответственным за организацию обработки ПДн назначается сотрудник, не осуществляющий непосредственную обработку данных — это требование ч. 4 ст. 22.1 ФЗ-152. В небольшой клинике — юрист, заместитель главного врача или руководитель административного отдела. Назначение оформляется приказом, контактные данные ответственного публикуются в политике и передаются в РКН. Если штатного специалиста нет — допустим DPO-аутсорсинг.

4. Можно ли использовать шаблон политики из интернета?

Использование стороннего шаблона — распространённая ошибка. Типовой шаблон не содержит специальных категорий ПДн по ст. 10 ФЗ-152, не описывает передачу данных в ЕГИСЗ и государственные реестры, не соответствует актуальным требованиям к согласиям по ФЗ-156 от 24.06.2025. РКН при проверке устанавливает несоответствие политики реальной обработке — это нарушение ст. 18.1 ФЗ-152 и основание для штрафа по ч. 3 ст. 13.11 КоАП.

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 (ФЗ-156 от 24.06.2025) каждое согласие оформляется как отдельный документ: нельзя включать его в договор, медицинскую карту или иной составной документ. Для медицинской клиники потребуются отдельные формы: согласие на обработку общих ПДн, на обработку специальных категорий (при наличии целей, выходящих за рамки непосредственного лечения), на распространение (отзывы, публикации), на биометрию (ст. 11 ФЗ-152). Нарушение требований к форме — ч. 2 ст. 13.11 КоАП, штраф 300–700 тыс. ₽ для юрлица.

6. Что происходит, если в клинике произошла утечка данных пациентов?

При обнаружении утечки ПДн клиника обязана направить первичное уведомление в РКН в течение 24 часов и отчёт о результатах внутреннего расследования в течение 72 часов (ч. 3.1 ст. 21 ФЗ-152, Приказ РКН № 187 от 14.11.2022). Неуведомление — штраф 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП. Утечка данных о здоровье пациентов (спецкатегории) от 1 000 субъектов — дополнительно ч. 12–14 ст. 13.11 (3–15 млн ₽).

Итог

Политика конфиденциальности для медицинской клиники — это не формальность, а рабочий документ, который описывает реальную обработку специальных категорий данных пациентов. Шесть шагов — от карты данных до уведомления РКН — охватывают минимально необходимый цикл подготовки ОРД. Каждый пропущенный шаг создаёт отдельное основание для штрафа по ст. 13.11 КоАП.

Практика DATUM по 152-ФЗ в медицинском секторе охватывает клиники разного масштаба: от одиночных частных практик до региональных медицинских сетей. Юристы знают специфику ЕГИСЗ, требования к согласиям по 323-ФЗ и актуальный подход РКН к проверкам медицинских операторов.

Смотрите также

ОН
Ольга Нечаева
Аналитик · Медицина и образование
Специализация: ПДн в медицине (323-ФЗ × 152-ФЗ), МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, ПДн несовершеннолетних.

27 ноября 2026 года