инструкция 21 апреля 2029 По состоянию на 21 апреля 2029

Сертификация МИС по 152-ФЗ

Медицинская информационная система (МИС) обрабатывает данные о состоянии здоровья пациентов — специальную категорию по ст. 10 ФЗ-152. За утечку от 10 000 субъектов — штраф от 5 до 10 млн ₽ по ч. 13 ст. 13.11 КоАП.

Требований «сертификации МИС по 152-ФЗ» в виде единого государственного реестра не существует. Речь идёт о комплексе организационных и технических мер: правильно оформленные согласия пациентов, подключение к ЕГИСЗ по правилам Минздрава, установленный уровень защищённости по ПП РФ №1119 и документация по Приказу ФСТЭК №21.

Если вы главный врач и МИС подключена к ЕГИСЗ без проверки соответствия 152-ФЗ — разберём порядок действий по шагам.

Клиники, внедрившие МИС в рамках цифровизации здравоохранения, нередко полагают, что сертификат соответствия от производителя системы закрывает все вопросы защиты персональных данных. Это не так. Производитель отвечает за свой продукт; оператор персональных данных — медицинская организация — отвечает за весь цикл обработки: от получения согласия пациента до уничтожения данных по истечении срока хранения. Ниже — пошаговый порядок приведения МИС в соответствие с 152-ФЗ с учётом требований ЕГИСЗ и актуальной практики 2026 года.

Шаг 1. Определите категории данных в МИС и установите уровень защищённости

Данные о состоянии здоровья, диагнозах, назначениях и результатах анализов относятся к специальным категориям по ст. 10 ФЗ-152. Их обработка по общему правилу запрещена без явного письменного согласия субъекта либо без иного законного основания (п. 2 ст. 10). Одновременно ст. 13 ФЗ №323-ФЗ «Об основах охраны здоровья граждан» устанавливает режим врачебной тайны — сведения о факте обращения за медицинской помощью и состоянии здоровья охраняются отдельно.

Уровень защищённости информационной системы определяется по ПП РФ №1119 от 01.11.2012. Для специальных категорий ПДн при числе субъектов свыше 100 000 — УЗ-2; до 100 000 — УЗ-3. Тип актуальных угроз (1, 2 или 3) определяет руководитель организации совместно с ответственным за обработку.

«ПП РФ №1119, п. 9: для специальных категорий ПДн с угрозами 2-го типа и числом субъектов более 100 000 устанавливается УЗ-2; менее 100 000 — УЗ-3. При угрозах 1-го типа — УЗ-1 и УЗ-2 соответственно.»

Зафиксируйте результат в акте классификации ИСПДн — это исходный документ для всей дальнейшей работы.

Шаг 2. Проверьте правовые основания обработки и согласия пациентов

Обработка специальных категорий ПДн в медицинской организации допустима на двух основных основаниях: письменное согласие субъекта (п. 1 ч. 2 ст. 10 ФЗ-152) и оказание медицинской помощи медицинским работником (п. 4 ч. 2 ст. 10). Второе основание не отменяет требование ст. 13 ФЗ-323 о врачебной тайне — доступ третьих лиц к данным пациента без согласия или законного основания недопустим.

С 01.09.2025 вступили в силу изменения в ч. 1 ст. 9 ФЗ-152 (ФЗ-156 от 24.06.2025): согласие на обработку персональных данных оформляется отдельным документом и не объединяется с договором, информированным добровольным согласием (ИДС) или иными формами. ИДС по ФЗ-323 и согласие на обработку ПДн — это два разных документа с разными реквизитами и разными правовыми последствиями.

«Ст. 9 ФЗ-152 в ред. ФЗ-156 от 24.06.2025: согласие субъекта на обработку ПДн — отдельный документ. Обязательные реквизиты: ФИО, контактные данные, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва.»

Проверьте, используются ли в клинике совмещённые формы. Если согласие на обработку ПДн включено в текст ИДС или договора об оказании услуг — такая форма не соответствует требованиям с 01.09.2025. Штраф за нарушение требований к составу согласия — 300 000–700 000 ₽ по ч. 2 ст. 13.11 КоАП.

Согласия пациентов ещё в форме ИДС или в договоре об оказании услуг?

Если главный врач не разделил согласие на обработку ПДн и информированное добровольное согласие до 01.09.2025 — каждая форма создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽. Юристы DATUM проверят текущие формы согласий и подготовят отдельные документы с обязательными реквизитами по ФЗ-156.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Оцените подключение к ЕГИСЗ — что и кому передаёте

Медицинские организации, подключённые к ЕГИСЗ, передают в систему сведения об оказанных медицинских услугах, электронные медицинские документы и данные об обращениях пациентов. Требования к составу и формату передаваемых сведений установлены Минздравом России. С точки зрения 152-ФЗ каждая такая передача требует правового основания.

Передача данных в ЕГИСЗ государственными медицинскими организациями допустима на основании исполнения государственной функции без дополнительного согласия пациента (п. 2 ч. 1 ст. 6 ФЗ-152 — обязанность оператора). Частные клиники, подключённые к ЕГИСЗ добровольно или в рамках территориальной программы ОМС, должны обеспечить правовое основание для каждой категории передаваемых данных — как правило, согласие по ст. 9 или договорное основание по п. 5 ч. 1 ст. 6.

«Ст. 18 ч. 5 ФЗ-152: запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан РФ осуществляются только в базах данных, расположенных на территории РФ. Серверы ЕГИСЗ размещены в РФ — это соответствует требованию локализации.»

Проверьте также: если МИС использует облачный модуль зарубежного вендора для хранения резервных копий или аналитики — это может нарушать требование локализации. Штраф по ч. 8 ст. 13.11 КоАП — от 1 до 6 млн ₽; при повторном нарушении — от 6 до 18 млн ₽.

Как выбрать состав технических мер защиты для МИС?

Перечень мер защиты определяется установленным уровнем защищённости. Для УЗ-3 (типовая амбулатория, стоматология, небольшая многопрофильная клиника до 100 000 субъектов) базовый набор по Приказу ФСТЭК №21 включает: идентификацию и аутентификацию пользователей (группа ИАФ), управление доступом (УПД), защиту носителей информации (ЗНИ), регистрацию событий безопасности (РСБ) и антивирусную защиту (АВЗ).

Для УЗ-2 (крупные многопрофильные больницы, федеральные центры) дополнительно требуются: обнаружение вторжений (СОВ), анализ защищённости (АНЗ) и защита виртуальной инфраструктуры (ЗСВ).

Ключевые практические меры для МИС, которые проверяются при инспекционных проверках:

ролевая модель доступа — врач видит только своих пациентов или журнал приёма;
логирование всех операций с ПДн с хранением журналов не менее 3 лет;
шифрование резервных копий базы данных МИС;
двухфакторная аутентификация для административного доступа к серверу;
сегментация сети — рабочие станции МИС отделены от публичного Wi-Fi клиники.

Что подготовить главному врачу для соответствия 152-ФЗ

Акт классификации ИСПДн с установленным уровнем защищённости (УЗ-2 или УЗ-3) и типом угроз.
Отдельные формы согласий пациентов на обработку ПДн по реквизитам ст. 9 ФЗ-152 в ред. ФЗ-156.
Политика обработки персональных данных, опубликованная на сайте клиники (ч. 2 ст. 18.1 ФЗ-152).
Приказ о назначении ответственного за организацию обработки ПДн (ст. 22.1 ФЗ-152).
Технический паспорт МИС с перечнем мер защиты по Приказу ФСТЭК №21 в соответствии с установленным уровнем защищённости.

Шаг 4. Сформируйте организационно-распорядительную документацию

Технические меры без организационных не создают надлежащей защиты и не снижают риск штрафа. Ст. 18.1 ФЗ-152 обязывает оператора принять меры по обеспечению обработки ПДн: назначить ответственного, разработать политику, принять локальные акты, ознакомить работников.

Для медицинской организации минимальный комплект ОРД включает:

политику обработки персональных данных (публикуется на сайте);
положение об обработке ПДн пациентов с перечнем категорий данных и правовых оснований;
положение об обработке ПДн работников;
приказ о назначении ответственного по ст. 22.1 ФЗ-152;
регламент реагирования на инциденты (24 часа — первичное уведомление, 72 часа — отчёт по Приказу РКН №187);
журнал учёта обращений субъектов ПДн;
договоры с подрядчиками (МИС-вендором, лабораторией, страховой компанией) с условием об обработке по поручению (ст. 6 п. 3 ФЗ-152).

«Ст. 21 ч. 3.1 ФЗ-152: при обнаружении утечки оператор обязан уведомить РКН в течение 24 часов; в течение 72 часов — направить отчёт о результатах внутреннего расследования по Приказу РКН №187 от 14.11.2022.»

Шаг 5. Уведомьте Роскомнадзор и поддерживайте реестр в актуальном состоянии

До начала обработки персональных данных оператор обязан уведомить РКН (ст. 22 ФЗ-152). Форма уведомления — Приказ РКН №180 от 28.10.2022, подача через портал pd.rkn.gov.ru с УКЭП или через ЕСИА. Срок включения в реестр — 30 дней. Неуведомление или несвоевременное уведомление — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП.

При изменении сведений (расширение состава обрабатываемых данных, новые цели, смена ответственного) оператор направляет уведомление об изменении в течение 10 рабочих дней. Частая ошибка клиник: внедрили телемедицинский модуль — появились новые цели обработки и, возможно, трансграничная передача, если сервис размещён у зарубежного провайдера, — а уведомление не обновили.

При подключении телемедицинских сервисов с зарубежной инфраструктурой дополнительно проверьте: нужно ли уведомление о трансграничной передаче по ст. 12 ФЗ-152. Для стран без адекватной защиты такое уведомление обязательно до начала передачи.

Если клиника подключила телемедицину или передаёт данные в ЕГИСЗ, а уведомление в РКН не обновлялось более года — каждый несоответствующий факт передачи данных создаёт риск штрафа по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽). Юристы DATUM проверят актуальность записи в реестре и подготовят обновлённое уведомление.

Подготовиться к проверке РКН

Как это применяется на практике

Кейс 1. Многопрофильная клиника (Сибирский ФО, лето 2025): главный врач обратился за аудитом после получения запроса от РКН в рамках плановой проверки. Аудит выявил три нарушения: согласия пациентов объединены с договором об оказании платных медицинских услуг (нарушение ч. 1 ст. 9 ФЗ-152 в ред. ФЗ-156), уведомление в РКН не обновлялось с 2021 года (не отражены телемедицинский модуль и передача в ЕГИСЗ), политика конфиденциальности на сайте отсутствует. По итогам подготовки к проверке клиника направила уточнённое уведомление, опубликовала политику и переоформила формы согласий. Проверка завершилась вынесением предписания без штрафа — нарушения устранены до составления протокола.

Кейс 2. Частная лаборатория (Центральный ФО, осень 2025): утечка данных пациентов произошла через уязвимость в веб-интерфейсе МИС. Ответственный по ст. 22.1 был назначен формально — реальный процесс реагирования на инциденты не выстроен. Первичное уведомление РКН направили через 38 часов после обнаружения, нарушив срок 24 часа по ч. 3.1 ст. 21 ФЗ-152. РКН возбудил дело по ч. 11 ст. 13.11 КоАП. Штраф составил сумму в нижней части диапазона 1–3 млн ₽ с учётом смягчающих обстоятельств — первичность нарушения и принятые меры по устранению уязвимости.

Частые вопросы

1. Чем отличается ИДС от согласия на обработку персональных данных?

Информированное добровольное согласие (ИДС) — это документ по ст. 20 ФЗ-323, которым пациент соглашается на конкретное медицинское вмешательство. Согласие на обработку персональных данных — документ по ст. 9 ФЗ-152, которым субъект разрешает обработку своих данных. С 01.09.2025 (ФЗ-156) эти два документа не могут быть объединены. Реквизиты, правовые последствия и порядок отзыва у них различны. Объединение после 01.09.2025 — нарушение ч. 1 ст. 9 ФЗ-152, штраф по ч. 2 ст. 13.11 КоАП до 700 000 ₽.

2. Можно ли публиковать фото «до-после» с согласия пациента?

Публикация фотографий пациента — это распространение персональных данных, которое по ст. 10.1 ФЗ-152 требует отдельного согласия на распространение. Такое согласие не объединяется ни с ИДС, ни с общим согласием на обработку ПДн. Дополнительно, если фотография позволяет идентифицировать заболевание или состояние здоровья — это специальная категория данных по ст. 10. По умолчанию молчание субъекта означает запрет на распространение.

3. Кто отвечает за утечку через МИС — клиника или вендор?

Оператор персональных данных — медицинская организация — несёт ответственность за утечку независимо от того, произошла ли она через уязвимость в продукте вендора или по вине подрядчика. Вендор МИС выступает лицом, осуществляющим обработку по поручению (ст. 6 п. 3 ФЗ-152). Ответственность перед пациентами и регулятором остаётся у клиники. Регрессный иск к вендору возможен — при наличии соответствующих условий в договоре поручения.

4. Какие данные обязательно передавать в ЕГИСЗ и на каком основании?

Состав и порядок передачи данных в ЕГИСЗ определяют Минздрав России и региональные органы здравоохранения в зависимости от статуса организации (участник ОМС, частная клиника с лицензией). Правовое основание для государственных организаций — исполнение обязанности оператора (п. 2 ч. 1 ст. 6 ФЗ-152). Для частных клиник, подключённых добровольно, необходимо отдельное правовое основание для каждой категории данных. Рекомендуется проверить договор с региональным оператором ЕГИСЗ на предмет условий обработки по поручению.

5. Что грозит клинике за утечку медицинских данных пациентов?

Данные о состоянии здоровья — специальная категория по ст. 10 ФЗ-152. За утечку от 1 000 до 10 000 субъектов — штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП; от 10 000 до 100 000 — 5–10 млн ₽ по ч. 13; более 100 000 — 10–15 млн ₽ по ч. 14. Дополнительно — штраф 1–3 млн ₽ за неуведомление РКН в течение 24 часов (ч. 11 ст. 13.11). При повторной утечке возможен оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽.

6. Нужно ли отдельное согласие на телемедицинскую консультацию?

Телемедицинская консультация предполагает обработку данных о состоянии здоровья (специальная категория по ст. 10 ФЗ-152) и нередко передачу данных через инфраструктуру третьей стороны — платформу телемедицины. Согласие на обработку ПДн при телемедицине оформляется отдельным документом по ст. 9 ФЗ-152; если платформа размещена за рубежом — дополнительно проверяется необходимость уведомления о трансграничной передаче по ст. 12 ФЗ-152.

Итог

Соответствие МИС требованиям 152-ФЗ — это не разовая «сертификация», а постоянно поддерживаемый комплекс: классификация ИСПДн, корректные согласия пациентов, актуальное уведомление в РКН, технические меры по Приказу ФСТЭК №21 и готовность реагировать на инцидент за 24 часа. Каждый из этих элементов при его отсутствии даёт основание для штрафа — от 150 000 ₽ до 15 млн ₽ и выше.

Юристы DATUM сопровождают медицинские организации по всему циклу: от аудита текущего состояния до подготовки к проверке РКН и реагирования на утечку. Опыт — с 2014 года в составе сети «Ветров и партнёры».

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка МИС по чек-листу из 38 пунктов с отчётом
Комплект ОРД под ключ — политика, согласия пациентов, приказы, регламент инцидентов
Сопровождение проверок РКН — подготовка и представление интересов в Роскомнадзоре

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна.

21 апреля 2029 года