Перейти к содержанию
инструкция 17 февраля 2029 года По состоянию на 17 февраля 2029 года

Психиатрия: особый режим хранения

Психиатрические данные — спецкатегория по ст. 10 ФЗ-152. Их хранение в МИС требует отдельного согласия, особого уровня защищённости и ограниченного доступа.
За утечку психиатрических сведений клиника рискует штрафом от 3 до 15 млн ₽ по ч. 12–14 ст. 13.11 КоАП в редакции с 30.05.2025, плюс уголовной ответственностью по ст. 272.1 УК для причастных сотрудников.
→ Если вы главный врач и психиатрические данные хранятся в МИС без разграничения доступа — это нарушение прямо сейчас.

Психиатрические сведения занимают особое место в системе 152-ФЗ: они одновременно относятся к спецкатегории персональных данных по ст. 10 ФЗ-152 и к врачебной тайне по ст. 13 Федерального закона № 323-ФЗ «Об основах охраны здоровья граждан». Это двойной правовой режим, за нарушение которого отвечают одновременно два регулятора — Роскомнадзор и Росздравнадзор. Инструкция описывает обязательные шаги для главного врача психиатрической или многопрофильной клиники с психиатрическим отделением.

Шаг 1. Убедитесь: какие данные считаются психиатрическими спецкатегорией?

Спецкатегория по ст. 10 ФЗ-152 — это данные о состоянии здоровья и медицинском диагнозе. Психиатрический диагноз, назначенное лечение, сведения о госпитализации, история психиатрических обращений, результаты психологического освидетельствования — всё это спецкатегория. Обработка таких данных по общему правилу запрещена, кроме случаев, прямо перечисленных в ч. 2 ст. 10 ФЗ-152.

«Ст. 10 ФЗ-152: обработка данных о состоянии здоровья запрещена без письменного согласия субъекта либо без иного законного основания из закрытого перечня ч. 2 ст. 10. Психиатрический диагноз — данные о здоровье в полном смысле нормы.»

Смежная категория — данные о посещении психиатра, наркологический учёт, сведения о принудительном освидетельствовании. Они также подпадают под ст. 10 ФЗ-152 и ст. 13 Федерального закона № 323-ФЗ об охране здоровья. Фамилия пациента без диагноза — это общие ПДн. Фамилия плюс факт обращения в психиатрическую службу — уже спецкатегория.

В МИС данные разных категорий нередко хранятся в единой базе. Это порождает риск: доступ к записи о визите автоматически открывает спецкатегорию. Разграничение по полям и ролям — обязательный технический шаг, который описан в шаге 5.

Шаг 2. Проверьте основание для обработки: что нужно кроме ИДС?

Информированное добровольное согласие на медицинское вмешательство (ИДС) по ст. 20 Федерального закона № 323-ФЗ и согласие на обработку персональных данных по ст. 9 ФЗ-152 — это два разных документа с разными реквизитами и разными правовыми последствиями. Их нельзя объединять в одном тексте.

«С 01.09.2025 по ФЗ-156 от 24.06.2025 согласие на обработку ПДн оформляется отдельным документом — не совмещается с договором, офертой или медицинской документацией. Обязательные реквизиты ст. 9 ФЗ-152: ФИО субъекта, контактные данные, наименование оператора, цели, перечень ПДн, перечень действий, срок, способ отзыва.»

Для психиатрических данных требуется именно письменное согласие — ч. 2 ст. 10 ФЗ-152 устанавливает это как правило. Электронное согласие через МИС допустимо только при соблюдении требований к ЭП и идентификации пациента. Согласие на распространение психиатрических данных — например, передачу в страховую компанию или работодателю — оформляется дополнительным документом по ст. 10.1 ФЗ-152.

Основания обработки без согласия ограничены: неотложная медицинская помощь, судебно-психиатрическая экспертиза по решению суда, обязательные передачи в ЕГИСЗ. Во всех остальных случаях согласие обязательно.

Согласия пациентов оформлены до 01.09.2025?

С 01.09.2025 согласие на обработку ПДн — отдельный документ. Если в клинике оно вшито в договор или медицинскую карту — каждый такой случай создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 тыс. ₽. Юристы DATUM проведут аудит согласий и подготовят соответствующий пакет документов.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Определите уровень защищённости ИСПДн для психиатрических данных

Психиатрические данные — спецкатегория по ст. 10 ФЗ-152. Уровень защищённости информационной системы персональных данных (ИСПДн) определяется по ПП РФ № 1119 от 01.11.2012 исходя из трёх параметров: категория ПДн, тип актуальных угроз, число субъектов.

Для психиатрической клиники типичная конфигурация: спецкатегория + угрозы 2-го типа (уязвимости в системном ПО) + число субъектов менее 100 000. Это УЗ-2 — второй уровень защищённости. Если угрозы 1-го типа (недокументированные возможности в системном ПО) — УЗ-1. Чем выше уровень, тем больше обязательных мер по Приказу ФСТЭК № 21.

«ПП РФ № 1119: спецкатегория ПДн при угрозах 2-го типа требует УЗ-2 независимо от числа субъектов (если субъектов менее 100 000). УЗ-2 обязывает использовать сертифицированные средства защиты и вести журнал доступа к ИСПДн.»

На практике многие клиники устанавливают МИС без формального определения уровня защищённости. Это нарушение ст. 19 ФЗ-152 и одновременно — типичный индикатор риска при проверке Роскомнадзора. Приказ ФСТЭК № 21 содержит 109 мер в 15 группах; для УЗ-2 базовый набор обязателен к реализации.

Шаг 4. Настройте передачу данных в ЕГИСЗ: что передаётся и на каком основании?

Психиатрические организации обязаны передавать сведения в Единую государственную информационную систему в сфере здравоохранения (ЕГИСЗ) в порядке, установленном Федеральным законом № 323-ФЗ и подзаконными актами Минздрава. Передача в ЕГИСЗ — это самостоятельное основание обработки ПДн по ч. 2 ст. 10 ФЗ-152 (исполнение обязанностей оператора по законодательству). Дополнительного согласия пациента для этой передачи не требуется.

Однако объём передаваемых сведений должен строго соответствовать регламенту ЕГИСЗ. Передача данных сверх установленного перечня — нарушение принципа минимизации по ст. 5 ФЗ-152. Психиатрические диагнозы передаются только в профильные модули ЕГИСЗ, а не в открытые реестры.

«Ст. 5 ФЗ-152: объём обрабатываемых ПДн должен соответствовать заявленным целям. Передача в ЕГИСЗ диагностических сведений сверх установленного регламентом перечня — нарушение принципа соответствия объёма целям.»

Телемедицинские консультации психиатрического пациента порождают отдельный вопрос трансграничной передачи — если платформа телемедицины использует серверы за рубежом. С 01.07.2025 ужесточились требования локализации по ч. 5 ст. 18 ФЗ-152: первичный сбор и хранение ПДн граждан РФ — только на серверах в России. Для спецкатегории это требование критично.

Если клиника использует МИС с зарубежным хостингом или телемедицинскую платформу — с 01.07.2025 это нарушение требований локализации (ч. 5 ст. 18 ФЗ-152). Штраф по ч. 8 ст. 13.11 КоАП — от 1 до 6 млн ₽. Юристы DATUM проверят конфигурацию МИС и ЕГИСЗ-интеграцию.

Подготовиться к проверке РКН

Шаг 5. Разграничьте доступ в МИС: кто и к каким полям имеет право?

Психиатрические данные внутри МИС требуют ролевого разграничения доступа. Это требование вытекает из ст. 19 ФЗ-152 и конкретизируется в Приказе ФСТЭК № 21 через группу мер УПД (управление правами доступа). Регистратор не должен видеть психиатрический диагноз — только факт записи на приём. Врач общей практики не должен иметь доступ к психиатрической истории без медицинского основания.

На практике МИС часто настраивается с широкими правами доступа для персонала из соображений удобства. Это создаёт риск утечки через внутреннего нарушителя — по данным СерчИнформ за 2025 год, 55% уголовных дел об утечках приходится на сотрудников телекома и медицины.

Что подготовить для защиты психиатрических данных

  • Отдельное письменное согласие на обработку ПДн (не ИДС) с обязательными реквизитами по ст. 9 ФЗ-152 в редакции с 01.09.2025.
  • Приказ об определении уровня защищённости ИСПДн (УЗ-1 или УЗ-2) с обоснованием типа угроз и числа субъектов по ПП РФ № 1119.
  • Матрица ролей доступа в МИС: регистратор, врач профиля, психиатр, администратор — с разграниченными полями.
  • Соглашение с оператором МИС как обработчиком ПДн по поручению (ст. 6 ФЗ-152) с перечнем передаваемых данных.
  • Журнал учёта обращений субъектов с отметками о выданных и отозванных согласиях.

Технически разграничение доступа реализуется через настройку ролей в МИС и ведение журналов доступа. Журнал доступа к психиатрическим записям должен содержать: идентификатор пользователя, дату и время, тип операции (чтение/запись/удаление). Это требование Приказа ФСТЭК № 21 по группе РСБ (регистрация событий безопасности). При проверке Роскомнадзора отсутствие журнала — самостоятельный состав нарушения.

Как это работает на практике: типичные сценарии для психиатрической клиники

Сценарий 1. Регистратор МИС видит психиатрический диагноз. Ситуация: в клинике МИС настроена с единым профилем доступа для всего персонала. При звонке пациента за уточнением записи регистратор открывает карту и видит диагноз — это неправомерный доступ к спецкатегории. Доказательства РКН: выгрузка журналов МИС, показания пациента или сотрудника. Вероятный исход: нарушение ст. 19 ФЗ-152, протокол по ч. 1 ст. 13.11 КоАП (штраф до 300 тыс. ₽), предписание устранить за 30 дней. Стратегия: немедленно закрыть поле «диагноз» от роли «регистратор», зафиксировать изменения в матрице ролей, подготовить ответ РКН с описанием устранённых нарушений.

Сценарий 2. Утечка данных пациентов через уязвимость МИС. Ситуация: психиатрическая больница (Центральный ФО, начало 2026) обнаружила факт несанкционированного выгрузки базы МИС — около 8 000 записей с диагнозами и контактными данными пациентов. Это утечка спецкатегории от 1 000 до 10 000 субъектов. У клиники 24 часа на первичное уведомление РКН по ч. 3.1 ст. 21 ФЗ-152. Вероятный исход при отсутствии уведомления: штраф по ч. 11 ст. 13.11 КоАП от 1 до 3 млн ₽ за неуведомление плюс штраф по ч. 12 от 3 до 5 млн ₽ за саму утечку. Стратегия: немедленно зафиксировать инцидент, направить первичное уведомление в РКН через личный кабинет pd.rkn.gov.ru, через 72 часа — отчёт о результатах расследования по Приказу РКН № 187.

Сценарий 3. Согласия пациентов в медицинском договоре до 01.09.2025. Ситуация: многопрофильная клиника с психиатрическим отделением не переоформила согласия после вступления в силу ФЗ-156. Согласие на обработку ПДн по-прежнему включено в текст договора об оказании медицинских услуг. РКН при проверке фиксирует нарушение ч. 1 ст. 9 ФЗ-152. Вероятный исход: штраф по ч. 2 ст. 13.11 КоАП от 300 тыс. до 700 тыс. ₽ за обработку без надлежащего согласия. Стратегия: разработать отдельную форму согласия с реквизитами ст. 9, перейти на неё при каждом новом обращении пациента. Ранее полученные согласия переоформлять не обязательно — ФЗ-156 обратной силы не имеет.

Частые вопросы

1. Чем отличается ИДС от согласия на обработку ПДн?

Информированное добровольное согласие на медицинское вмешательство (ИДС) — это документ по ст. 20 Федерального закона № 323-ФЗ, он подтверждает право врача на лечебные действия. Согласие на обработку ПДн по ст. 9 ФЗ-152 — отдельный документ с иным перечнем обязательных реквизитов: цели обработки, перечень ПДн, срок, способ отзыва. С 01.09.2025 оба документа не могут быть объединены в одном тексте. Смешение двух документов создаёт риск штрафа по ч. 2 ст. 13.11 КоАП до 700 тыс. ₽.

2. Можно ли публиковать фото до-после с согласия пациента?

Публикация фотографий пациента — это распространение ПДн по ст. 10.1 ФЗ-152, которое требует отдельного согласия именно на распространение. Для психиатрических пациентов дополнительно действует требование письменного согласия по ч. 2 ст. 10 ФЗ-152 как спецкатегории. Фото «до-после» в контексте психиатрического лечения может раскрывать диагноз. Даже при наличии общего согласия без специального разрешения на распространение публикация является нарушением. Штраф по ч. 2 ст. 13.11 КоАП — до 700 тыс. ₽.

3. Кто отвечает за утечку через МИС?

Отвечает клиника как оператор ПДн по ст. 19 ФЗ-152 — независимо от того, произошла утечка через уязвимость вендора МИС или действия сотрудника. Вендор МИС является обработчиком по поручению (ст. 6 ФЗ-152). Договор с вендором должен содержать перечень обрабатываемых ПДн и обязанность соблюдать меры защиты. Отсутствие такого договора — самостоятельное нарушение. Штраф за утечку от 1 000 до 10 000 субъектов — от 3 до 5 млн ₽ по ч. 12 ст. 13.11 КоАП.

4. Какие данные передавать в ЕГИСЗ?

Объём данных, передаваемых в ЕГИСЗ, определяется регламентом Минздрава и техническими требованиями к интеграции. Психиатрические диагнозы передаются только в профильные модули ЕГИСЗ — наркологический регистр, психиатрический регистр — строго в рамках установленного перечня. Передача сведений сверх регламента нарушает принцип минимизации по ст. 5 ФЗ-152. Перед настройкой интеграции МИС с ЕГИСЗ необходимо получить от вендора документацию о составе передаваемых полей.

5. Что грозит клинике за утечку психиатрических данных?

За утечку спецкатегории (психиатрические данные) с 30.05.2025 грозит штраф по ч. 12–14 ст. 13.11 КоАП: от 3 до 5 млн ₽ при утечке 1 000–10 000 субъектов, от 5 до 10 млн ₽ — при 10 000–100 000, от 10 до 15 млн ₽ — при более 100 000 субъектов. При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽. Дополнительно — ответственность сотрудников по ст. 272.1 УК РФ (введена с 11.12.2024) с лишением свободы до 10 лет при тяжких последствиях.

6. Нужно ли уведомлять РКН при проверке психиатрических ПДн новым сотрудником?

Доступ нового сотрудника к ИСПДн — внутреннее событие, которое не требует уведомления РКН. Однако оно фиксируется в журнале доступа по Приказу ФСТЭК № 21. Уведомление РКН о начале обработки требуется по ст. 22 ФЗ-152 — один раз при первичной регистрации в реестре операторов. Изменение состава сотрудников, имеющих доступ, — это внутреннее организационное изменение, которое отражается только во внутренних документах клиники.

Итог

Психиатрия требует трёх параллельных режимов защиты: спецкатегория по ст. 10 ФЗ-152, врачебная тайна по ст. 13 Федерального закона № 323-ФЗ и повышенный уровень защищённости ИСПДн по ПП РФ № 1119. Нарушение любого из них влечёт самостоятельный состав административного правонарушения. С 30.05.2025 потенциальный штраф за утечку — от 3 млн ₽, а за повторную — оборотный.

Юристы DATUM сопровождают психиатрические и многопрофильные клиники в полном цикле: от разработки согласий и матрицы ролей доступа до представления интересов при проверке Роскомнадзора.

Услуги DATUM по теме

Смотрите также

ОН
Ольга Нечаева
Аналитик · Медицина и образование
Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, обработка ПДн несовершеннолетних.

17 февраля 2029 года