инструкция 3 апреля 2028 По состоянию на 3 апреля 2028

Профилактический визит РКН в клинику

Профилактический визит Роскомнадзора — это внеплановая форма контроля без составления протокола по итогам: инспектор приходит, задаёт вопросы, изучает документы и даёт предписание об устранении нарушений.

Для медицинской организации визит означает проверку обработки специальных категорий персональных данных пациентов (ст. 10 ФЗ-152), согласий (ст. 9 ФЗ-152), подключения к ЕГИСЗ и состояния МИС. По данным РКН, в 2024 году зафиксировано более 135 случаев утечек — в том числе из медицинских систем.

Если вы главный врач и получили уведомление о профилактическом визите — у вас, как правило, не более 10–15 рабочих дней на подготовку документов. → Действуйте по этой инструкции.

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: утечка данных пациентов от 1 000 до 10 000 субъектов грозит штрафом 3–5 млн ₽ по ч. 12, а при повторности — оборотным штрафом до 500 млн ₽ по ч. 15. Профилактический визит — это предупреждение перед полноценной проверкой. Инструкция описывает шесть шагов, которые позволят главному врачу пройти визит без предписаний и минимизировать риск последующей плановой проверки.

Чем профилактический визит отличается от плановой проверки?

Профилактический визит проводится в рамках государственного контроля в соответствии с Федеральным законом о государственном контроле (надзоре). Инспектор не вправе выдавать предписания об устранении нарушений по итогам визита — он только информирует и консультирует. Однако выявленные в ходе визита обстоятельства становятся основанием для назначения внеплановой документарной или выездной проверки. Именно поэтому визит значим: он сигнализирует, что РКН обратил внимание на организацию.

Для медицинской организации риск особенно высок. Данные пациентов — это специальные категории ПДн по ст. 10 ФЗ-152: сведения о состоянии здоровья, диагнозах, назначенном лечении. Их обработка допускается только при наличии письменного согласия пациента или в случаях, прямо предусмотренных законом. Параллельно действует врачебная тайна по ст. 13 Федерального закона №323-ФЗ «Об основах охраны здоровья граждан». Несоответствие документов этим требованиям — типовое основание для перехода от визита к проверке.

«Ст. 10 ФЗ-152 — обработка специальных категорий ПДн (состояние здоровья, диагнозы, лечение) запрещена, за исключением случаев: письменное согласие субъекта, необходимость защиты жизни, судопроизводство и иные основания п. 2 ст. 10 ФЗ-152.»

Шаг 1. Проверьте уведомление в реестре операторов РКН

Первое, что инспектор проверяет на профилактическом визите, — наличие медицинской организации в реестре операторов ПДн на pd.rkn.gov.ru. Уведомление о намерении обрабатывать ПДн обязательно по ст. 22 ФЗ-152. Отсутствие в реестре — штраф по ч. 10 ст. 13.11 КоАП от 100 000 до 300 000 ₽.

Проверьте три параметра в уведомлении: перечень категорий ПДн (специальные категории пациентов должны быть указаны), цели обработки (лечение, ведение медицинской документации, передача в ЕГИСЗ) и сведения о трансграничной передаче. Если данные передаются в МИС, размещённую на зарубежных серверах, — требуется дополнительное уведомление по ст. 12 ФЗ-152. Несоответствие реальной обработки сведениям в реестре — основание для протокола.

Шаг 2. Подготовьте пакет ОРД по обработке ПДн

Организационно-распорядительная документация — второй обязательный блок. Инспектор запросит: политику обработки ПДн по ст. 18.1 ФЗ-152, приказ о назначении ответственного по ст. 22.1 ФЗ-152, перечень лиц, допущенных к обработке, и документы о поручении обработки третьим лицам (МИС-провайдер, лаборатория).

Для медицинской организации в политику обязательно включить: порядок обработки специальных категорий (ст. 10 ФЗ-152), порядок соблюдения врачебной тайны (ст. 13 ФЗ-323), порядок передачи данных в ЕГИСЗ и основания такой передачи, порядок реагирования на запросы пациентов (ст. 20 ФЗ-152 — 10 рабочих дней на ответ). Политика должна быть опубликована на сайте клиники: отсутствие публикации — штраф по ч. 3 ст. 13.11 КоАП от 30 000 до 60 000 ₽.

Получили уведомление о профилактическом визите РКН?

Для главного врача, которому назначен визит, ключевой риск — обнаружение системных нарушений, которые переведут профилактику в полноценную проверку со штрафами по ч. 12–14 ст. 13.11 КоАП от 3 до 15 млн ₽. Юристы DATUM проведут аудит документов клиники по чек-листу из 38 пунктов до визита и устранят критические нарушения.

Подготовиться к проверке РКН

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Приведите в порядок согласия пациентов

Согласие на обработку ПДн и информированное добровольное согласие (ИДС) на медицинское вмешательство — два разных документа с разными правовыми основаниями. ИДС регулируется ст. 20 ФЗ-323 и не заменяет согласие на обработку ПДн. Отсутствие отдельного согласия на обработку специальных категорий (данные о здоровье) — нарушение ч. 2 ст. 10 ФЗ-152, штраф по ч. 2 ст. 13.11 от 300 000 до 700 000 ₽.

С 01.09.2025 действует ФЗ-156 от 24.06.2025: согласие на обработку ПДн оформляется отдельным документом, не объединяется с договором на оказание медицинских услуг или ИДС. Обязательные реквизиты по ст. 9 ФЗ-152: ФИО пациента, наименование клиники, цель обработки, перечень ПДн, перечень действий, срок действия, способ отзыва. Если согласие у пациентов получено до 01.09.2025 в составе договора — проверьте, содержит ли оно все обязательные реквизиты. При несоответствии — получите новое согласие при следующем обращении.

Отдельного внимания требует согласие на распространение ПДн по ст. 10.1 ФЗ-152. Если клиника публикует отзывы, фотографии пациентов (включая фото «до-после»), — требуется отдельное согласие именно на распространение. Молчание пациента по умолчанию означает запрет распространения.

Шаг 4. Проверьте МИС и подключение к ЕГИСЗ

Медицинская информационная система (МИС) — основной источник риска при профилактическом визите. Инспектор вправе запросить: договор с провайдером МИС с условиями о поручении обработки ПДн (п. 3 ст. 6 ФЗ-152), сведения о местонахождении серверов (требование локализации по ч. 5 ст. 18 ФЗ-152 — серверы в РФ), уровень защищённости ИСПДн по ПП РФ №1119.

Данные пациентов — специальные категории ПДн. Для них при угрозах 3-го типа и числе субъектов до 100 000 применяется уровень защищённости УЗ-3, при угрозах 2-го типа — УЗ-2. Конкретный уровень определяется актом классификации ИСПДн. Отсутствие такого акта — типовое нарушение, которое инспектор фиксирует на визите. Меры защиты по УЗ-3 и выше определяются Приказом ФСТЭК №21.

Передача данных в ЕГИСЗ осуществляется на основании Федерального закона №323-ФЗ и нормативных актов Минздрава. Проверьте: какие данные и в каком объёме передаются, есть ли в согласии пациента указание на передачу в государственные информационные системы, соответствует ли перечень передаваемых данных требованиям регулятора.

Если МИС клиники размещена на зарубежных серверах или договор с провайдером не содержит условий о поручении обработки — это два самостоятельных нарушения ФЗ-152, каждое из которых фиксируется инспектором. Устраните до визита.

Заказать аудит 152-ФЗ

Шаг 5. Подготовьте персонал к взаимодействию с инспектором

На профилактическом визите инспектор вправе опрашивать сотрудников. Медицинский персонал должен знать: кто назначен ответственным за обработку ПДн, где находится политика конфиденциальности, как реагировать на запросы пациентов об их данных, что делать при подозрении на инцидент с ПДн.

Проведите инструктаж не менее чем за 3 рабочих дня до визита. Зафиксируйте ознакомление подписью в журнале. Отсутствие документально подтверждённого ознакомления работников с политикой — нарушение ст. 18.1 ФЗ-152, которое инспектор видит сразу. Особое внимание уделите регистратуре и IT-специалистам, обслуживающим МИС.

Шаг 6. Выстройте порядок реагирования на инцидент

Инспектор на профилактическом визите проверяет не только текущее состояние, но и готовность к инцидентам. По ч. 3.1 ст. 21 ФЗ-152 и Приказу РКН №187 от 14.11.2022 при выявлении утечки ПДн клиника обязана уведомить РКН в течение 24 часов (первичное уведомление) и представить отчёт о результатах расследования в течение 72 часов.

Подготовьте регламент реагирования на инциденты: кто принимает решение об уведомлении, кто направляет уведомление через pd.rkn.gov.ru, какие данные фиксируются в первые часы. Отсутствие регламента — не нарушение само по себе, но инспектор задаст соответствующий вопрос. Если ответственный сотрудник не может объяснить порядок действий — это индикатор системной незрелости, который усиливает основания для последующей проверки. Неуведомление РКН об утечке грозит штрафом по ч. 11 ст. 13.11 КоАП от 1 000 000 до 3 000 000 ₽.

Что подготовить к профилактическому визиту РКН

Выписка из реестра операторов ПДн с pd.rkn.gov.ru — актуальность сведений о категориях и целях обработки.
Политика обработки ПДн по ст. 18.1 ФЗ-152 — опубликована на сайте, содержит разделы о специальных категориях, врачебной тайне, ЕГИСЗ.
Отдельные согласия пациентов на обработку ПДн по ст. 9 ФЗ-152 в редакции ФЗ-156 (с 01.09.2025) — со всеми обязательными реквизитами.
Договор с провайдером МИС с условиями поручения обработки и подтверждением локализации серверов в РФ.
Акт классификации ИСПДн с указанием уровня защищённости (УЗ-2 или УЗ-3 для клиник) и журнал ознакомления персонала с политикой.

Типовые сценарии профилактического визита в клинику

Сценарий 1. Согласие встроено в договор на медицинские услуги. Ситуация: клиника использует единую форму, в которой ИДС, согласие на ПДн и договор объединены. Инспектор фиксирует нарушение ФЗ-156 (с 01.09.2025 согласие — отдельный документ). Вероятный исход: предписание об устранении, при последующей проверке — протокол по ч. 2 ст. 13.11 КоАП (300 000–700 000 ₽). Стратегия: до визита разделить формы, получить новые согласия при очередном обращении пациентов.

Сценарий 2. МИС размещена на серверах провайдера без подтверждения локализации. Ситуация: клиника не имеет документа, подтверждающего, что серверы МИС находятся в РФ. Инспектор запрашивает договор с провайдером — условие о локализации отсутствует. Вероятный исход: основание для внеплановой проверки по ч. 5 ст. 18 ФЗ-152; штраф по ч. 8 ст. 13.11 КоАП от 1 000 000 до 6 000 000 ₽. Стратегия: запросить у провайдера письмо о расположении серверов и внести условие о локализации в договор.

Сценарий 3. Клиника не уведомляла РКН об изменении целей обработки после подключения к телемедицинскому сервису. Ситуация: клиника подключила телемедицинскую платформу, данные передаются третьей стороне, уведомление в реестре не обновлено. Инспектор фиксирует расхождение. Вероятный исход: предписание об актуализации уведомления, при неисполнении — штраф по ч. 10 ст. 13.11 КоАП от 100 000 до 300 000 ₽. Стратегия: до визита подать уведомление об изменении сведений через Приказ РКН №180.

Как это применяется на практике

Кейс 1. Частная клиника (Уральский ФО, начало 2026) прошла профилактический визит без предписаний: за две недели до визита провела внутренний аудит, разделила согласия на ПДн и ИДС, актуализировала уведомление в реестре РКН, получила от провайдера МИС письмо о локализации серверов. Инспектор завершил визит в течение одного рабочего дня. Последующей внеплановой проверки не последовало.

Кейс 2. Медицинская организация (Приволжский ФО, осень 2025) не имела отдельного согласия на обработку специальных категорий ПДн — согласие было включено в договор оказания услуг. По итогам профилактического визита выдано предписание. При последующей внеплановой проверке составлен протокол по ч. 2 ст. 13.11 КоАП; штраф составил несколько сотен тысяч рублей. Ситуацию осложнило то, что ответственный за обработку ПДн не был назначен приказом по форме ст. 22.1 ФЗ-152.

Услуги DATUM по теме

Сопровождение проверок РКН — подготовка к визиту, представление интересов, обжалование предписания.
Аудит соответствия 152-ФЗ — проверка документов клиники по 38 пунктам, отчёт с планом устранения нарушений.
Комплект ОРД под ключ — политика, согласия пациентов, приказы, регламент реагирования на инциденты.

Частые вопросы

1. Чем отличается ИДС от согласия на обработку ПДн?

Информированное добровольное согласие (ИДС) по ст. 20 ФЗ-323 — это согласие пациента на медицинское вмешательство. Согласие на обработку ПДн по ст. 9 ФЗ-152 — это отдельный документ, разрешающий клинике обрабатывать персональные данные пациента. С 01.09.2025 по ФЗ-156 согласие на ПДн не может быть включено в другой документ. Клиника обязана иметь оба документа — они регулируют разные правоотношения.

2. Можно ли публиковать фото «до-после» с согласия пациента?

Публикация фотографий пациента — это распространение ПДн по ст. 10.1 ФЗ-152. Требуется отдельное согласие именно на распространение, которое нельзя объединять с согласием на обработку. По умолчанию — молчание пациента означает запрет. Если согласие на распространение не оформлено отдельно, публикация фото «до-после» является нарушением, которое инспектор может зафиксировать при визите.

3. Кто отвечает за утечку через МИС?

Ответственность за утечку несёт оператор ПДн — медицинская организация, а не провайдер МИС. Даже если утечка произошла по вине провайдера, клиника обязана уведомить РКН в течение 24 часов (ч. 3.1 ст. 21 ФЗ-152) и представить отчёт за 72 часа по Приказу РКН №187. Претензии к провайдеру предъявляются в рамках гражданско-правового договора. Штраф за утечку от 1 000 до 10 000 субъектов — 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП.

4. Какие данные передавать в ЕГИСЗ и нужно ли согласие?

Состав данных, передаваемых в ЕГИСЗ, определяется нормативными актами Минздрава на основании ФЗ-323. Передача в государственные информационные системы является самостоятельным основанием обработки, предусмотренным законом, — согласие пациента для этого не требуется. Однако пациент должен быть проинформирован о такой передаче. Проверьте, указана ли передача в ЕГИСЗ в политике обработки ПДн клиники.

5. Что грозит клинике за утечку данных пациентов?

За утечку специальных категорий ПДн (данные о здоровье) применяются повышенные санкции по ст. 13.11 КоАП в редакции с 30.05.2025: от 1 000 до 10 000 субъектов — 3–5 млн ₽ (ч. 12), от 10 000 до 100 000 — 5–10 млн ₽ (ч. 13), свыше 100 000 — 10–15 млн ₽ (ч. 14). При повторной утечке применяется оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. Дополнительно возможна уголовная ответственность по ст. 272.1 УК РФ, введённой ФЗ-421 от 30.11.2024.

6. Как клинике действовать, если профилактический визит уже начался без подготовки?

Главный врач вправе попросить инспектора предоставить список запрашиваемых документов и время на их подготовку — законодательство не устанавливает обязанности предоставить все документы немедленно. Зафиксируйте все запросы инспектора письменно. Для документов, которых нет, — не фабрикуйте: их отсутствие фиксируется как замечание, а подделка создаёт уголовные риски. Свяжитесь с юристом по 152-ФЗ в тот же день для оценки последствий.

Итог

Профилактический визит РКН в клинику — не формальность. Инспектор проверяет системное соответствие обработки данных пациентов требованиям ФЗ-152 и ФЗ-323. Выявленные нарушения становятся основанием для внеплановой проверки со штрафами от 3 до 15 млн ₽ и выше.

Юристы DATUM сопровождают медицинские организации в ходе профилактических визитов и проверок РКН: аудит документов до визита, устранение критических нарушений, представление интересов клиники при взаимодействии с инспектором.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, обработка ПДн несовершеннолетних.

3 апреля 2028 года