Перейти к содержанию
инструкция 21 января 2027 По состоянию на 21 января 2027

Шаблон ИДС объединённого с 152-ФЗ согласием

Информированное добровольное согласие (ИДС) по ст. 20 Федерального закона от 21.11.2011 № 323-ФЗ и согласие на обработку персональных данных по ст. 9 ФЗ-152 — два отдельных правовых основания, оформляемых в одном документе, при условии их структурного разграничения.
Данные пациента — специальная категория по ст. 10 ФЗ-152: раса, здоровье, интимная жизнь. Утечка из МИС с 30.05.2025 влечёт штраф от 3 до 15 млн ₽ по ч. 12–14 ст. 13.11 КоАП. При повторности — оборотный штраф до 500 млн ₽ по ч. 15 ст. 13.11.
Если вы главный врач и форма ИДС вашей клиники не содержит обязательных реквизитов согласия по ст. 9 ФЗ-152 в редакции с 01.09.2025 — прочитайте эту инструкцию до конца.

С 01.09.2025 года вступили в силу требования ФЗ-156 от 24.06.2025: согласие на обработку персональных данных должно быть оформлено отдельным документом и не может объединяться с иными гражданско-правовыми или медицинскими документами без структурного разграничения. Для медицинских организаций это означает пересмотр форм ИДС, которые десятилетиями включали «согласие на обработку ПДн» одной строкой. Ниже — пошаговая инструкция по составлению корректного объединённого документа с разбором обязательных реквизитов, типовых ошибок и правовых рисков для главного врача.

Шаг 1. Разберитесь в правовой природе двух согласий

ИДС и согласие на ПДн — самостоятельные юридические конструкции с разными целями, основаниями и последствиями отзыва. Главный врач должен понимать различие, чтобы корректно выстроить структуру документа.

Информированное добровольное согласие по ст. 20 ФЗ-323 — это разрешение пациента на медицинское вмешательство. Без него любое вмешательство незаконно. Пациент вправе отозвать ИДС в любой момент, что влечёт прекращение медицинской помощи (кроме экстренных случаев). Сведения о здоровье, зафиксированные в ИДС, относятся к медицинской тайне по ст. 13 ФЗ-323.

Согласие на обработку персональных данных по ст. 9 ФЗ-152 — это разрешение на действия с ПДн (сбор, хранение, передача, в том числе в МИС и ЕГИСЗ). Данные о состоянии здоровья — специальная категория по ст. 10 ФЗ-152. Обработка без согласия или с нарушением его формы влечёт ответственность по ч. 2 ст. 13.11 КоАП: для юрлица — от 300 тыс. до 700 тыс. ₽. С 01.09.2025 согласие должно быть отдельным документом или выделенным разделом с самостоятельными реквизитами.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 (с 01.09.2025): согласие субъекта на обработку ПДн оформляется в виде отдельного документа. Объединение с иным документом допустимо при условии структурного разграничения. Обязательные реквизиты: ФИО субъекта, наименование и адрес оператора, цель обработки, перечень ПДн, перечень действий, срок и порядок отзыва.»

Ключевой вывод: объединение ИДС и согласия на ПДн в одном листе бумаги допустимо при соблюдении двух условий — структурного разграничения (разные разделы с отдельными заголовками) и полного состава реквизитов каждого согласия.

Шаг 2. Определите перечень ПДн и цели обработки в клинике

Перед составлением шаблона главный врач должен ответить на четыре вопроса: какие категории ПДн собирает клиника, в каких системах они обрабатываются, кому передаются и на какой срок хранятся.

Минимальный перечень ПДн для амбулаторной клиники

  • Общие ПДн: ФИО, дата рождения, адрес, телефон, СНИЛС, серия и номер паспорта, полис ОМС/ДМС.
  • Специальные категории (ст. 10 ФЗ-152): сведения о состоянии здоровья, диагноз, результаты анализов, назначения, история болезни — медицинская документация в МИС.
  • Биометрические ПДн (ст. 11 ФЗ-152): фото пациента в МИС — если используется для идентификации, а не как медицинский снимок.
  • ПДн, передаваемые в ЕГИСЗ: сведения о медицинской помощи, направления, рецепты, выписки — в объёме, установленном Приказом Минздрава.
  • ПДн несовершеннолетних (если есть педиатрическое направление): обрабатываются на основании согласия законного представителя.

Цели обработки в медицинской организации типично включают: оказание медицинской помощи, ведение медицинской документации, взаиморасчёты со страховщиком или ТФОМС, передача в ЕГИСЗ по требованию законодательства, направление результатов исследований. Каждая цель должна быть отражена в согласии на ПДн. Объединение несовместимых целей в одной базе запрещено ст. 5 ФЗ-152.

Форма ИДС в клинике не обновлялась с 2024 года?

С 01.09.2025 согласие на ПДн в составе ИДС должно отвечать требованиям ФЗ-156. Если главный врач не переработал форму — каждое оформленное ИДС создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 тыс. ₽. Юристы DATUM проведут аудит документации МО и соберут корректный комплект ОРД с учётом специфики МИС и ЕГИСЗ.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Составьте раздел ИДС по требованиям ст. 20 ФЗ-323

Раздел ИДС в объединённом документе должен содержать все элементы, установленные ч. 1 ст. 20 ФЗ-323. Их отсутствие или неполнота делают согласие недействительным с медицинско-правовой точки зрения и создают риски при экспертизе качества медицинской помощи.

Обязательные элементы раздела ИДС: наименование медицинского вмешательства (конкретно, без обобщений «лечение» — следует указать вид вмешательства); цели вмешательства; методы оказания медицинской помощи и связанные с ними риски; возможные последствия и ожидаемые результаты; сведения о враче, получающем согласие; дата; подпись пациента или его законного представителя.

Для клиник, работающих с несовершеннолетними или недееспособными пациентами, в разделе ИДС необходимо предусмотреть отдельное поле для данных законного представителя: ФИО, степень родства или основание представительства, реквизиты документа.

При оказании телемедицинских услуг раздел ИДС должен дополнительно содержать указание на дистанционный формат оказания помощи и его ограничения — это требование вытекает из положений ФЗ-323 о телемедицине. Передача ПДн при телемедицине через иностранные сервисы может квалифицироваться как трансграничная передача по ст. 12 ФЗ-152.

Шаг 4. Составьте раздел согласия на обработку ПДн по ст. 9 ФЗ-152

Раздел согласия на ПДн — это отдельный структурный блок объединённого документа. Его заголовок должен быть явно выделен: «Согласие на обработку персональных данных». Без этого разграничения документ не соответствует требованию ФЗ-156 об отдельном документе или структурном разграничении.

Обязательные реквизиты раздела по ст. 9 ФЗ-152: ФИО субъекта; полное наименование и адрес оператора — медицинской организации; перечень ПДн с разбивкой по категориям (общие ПДн, специальные категории по ст. 10 ФЗ-152); перечень действий с ПДн (сбор, запись, систематизация, хранение, использование, передача, уничтожение); цель обработки — развёрнуто, не «оказание услуг»; срок действия согласия или указание на событие его прекращения; порядок отзыва — письменно, лично, с указанием контактных данных оператора; перечень лиц, которым передаются ПДн (ЕГИСЗ, МИС-провайдер, страховщик).

«Ст. 10 ФЗ-152: обработка специальных категорий ПДн (сведения о состоянии здоровья, диагноз) допускается только на основании письменного согласия субъекта (п. 4 ч. 2 ст. 10), либо в случаях, когда обработка необходима для оказания медицинской помощи в соответствии с законодательством (п. 8 ч. 2 ст. 10 — медицинские организации с соблюдением врачебной тайны).»

Если клиника передаёт ПДн в МИС, обслуживаемую сторонней IT-компанией, необходимо указать в согласии факт передачи третьему лицу — обработчику по поручению. Одновременно с клиникой-оператором должен быть заключён договор поручения на обработку ПДн по п. 3 ст. 6 ФЗ-152. Без такого договора IT-компания становится самостоятельным незаконным оператором.

Главный врач передаёт ПДн пациентов в МИС без договора поручения с провайдером? Это нарушение ст. 6 ФЗ-152 — штраф до 700 тыс. ₽ по ч. 2 ст. 13.11 КоАП. Юристы DATUM подготовят комплект ОРД и договорную базу с МИС-провайдером.

Собрать ОРД под ключ

Шаг 5. Соберите объединённый документ и проверьте его по чек-листу

Структура объединённого документа: титульная часть (наименование МО, наименование документа, дата), раздел I «Информированное добровольное согласие на медицинское вмешательство» с элементами по ст. 20 ФЗ-323, раздел II «Согласие на обработку персональных данных» с реквизитами по ст. 9 ФЗ-152, поля для подписей пациента (или законного представителя) под каждым разделом отдельно, поле для подписи медицинского работника, дата составления.

Подписи под двумя разделами должны быть раздельными. Единая подпись под всем документом без указания на согласие с каждым разделом может быть оспорена субъектом при отзыве согласия на ПДн — как отзыв затрагивающий ИДС, или наоборот.

Чек-лист объединённого ИДС и согласия на ПДн

  • Два раздела с явными заголовками: «ИДС» и «Согласие на обработку ПДн» — каждый структурно отделён.
  • Раздел ПДн содержит все 8 реквизитов ст. 9 ФЗ-152 в редакции с 01.09.2025, включая перечень третьих лиц (МИС, ЕГИСЗ, страховщик).
  • Специальные категории ПДн (сведения о здоровье) выделены отдельно в перечне обрабатываемых данных.
  • Две отдельные подписи пациента — под ИДС и под согласием на ПДн.
  • Порядок отзыва согласия на ПДн описан конкретно: адрес, форма заявления, срок прекращения обработки.

Как применяется объединённый документ на практике

Кейс 1. Многопрофильная клиника в Сибирском федеральном округе (осень 2025) применяла форму ИДС с включённой одной строкой «Согласен на обработку персональных данных». После внеплановой проверки РКН по жалобе пациента составлен протокол по ч. 2 ст. 13.11 КоАП. Основание: согласие на ПДн не содержало обязательных реквизитов ст. 9 ФЗ-152 и не было структурно отделено от ИДС. Клинике выставлен штраф в несколько сотен тысяч рублей; одновременно МО обязали переработать все формы в 30-дневный срок.

Кейс 2. Стоматологическая клиника в Центральном федеральном округе (начало 2026) после аудита ОРД установила: в МИС-провайдером не заключён договор поручения на обработку ПДн, согласия пациентов не содержали указания на передачу в МИС как третьему лицу. Юристы подготовили обновлённую форму объединённого ИДС и пакет договорной документации с провайдером МИС. При последующей проверке РКН нарушений не выявлено.

Услуги DATUM по теме

Частые вопросы

1. Чем отличается ИДС от согласия на ПДн?

ИДС по ст. 20 ФЗ-323 — разрешение пациента на медицинское вмешательство; без него вмешательство незаконно. Согласие на ПДн по ст. 9 ФЗ-152 — разрешение на действия с персональными данными (сбор, хранение, передача в МИС, ЕГИСЗ). Это два разных правовых основания. Отзыв ИДС не прекращает автоматически обработку ПДн, и наоборот. Поэтому в объединённом документе необходимы две отдельные подписи.

2. Можно ли публиковать фото «до–после» с согласия пациента?

Публикация фотографий пациента — это распространение персональных данных и биометрии (изображение лица по ст. 11 ФЗ-152). Для этого требуется отдельное согласие на распространение по ст. 10.1 ФЗ-152: оно не может быть объединено ни с ИДС, ни с общим согласием на ПДн. Молчание пациента или отсутствие явного запрета не являются согласием. Нарушение влечёт штраф по ч. 2 ст. 13.11 КоАП и гражданский иск о компенсации морального вреда.

3. Кто отвечает за утечку через МИС?

Ответственность несёт медицинская организация как оператор ПДн по ст. 6 ФЗ-152, даже если МИС обслуживает сторонняя IT-компания. Провайдер МИС действует как лицо, обрабатывающее ПДн по поручению оператора. При отсутствии договора поручения провайдер становится незаконным самостоятельным оператором, но это не освобождает клинику от ответственности. Утечка из МИС от 1 000 субъектов — штраф от 3 до 15 млн ₽ по ч. 12–14 ст. 13.11 КоАП.

4. Какие данные передавать в ЕГИСЗ?

Медицинские организации передают в ЕГИСЗ сведения, установленные Приказом Минздрава: данные о медицинской помощи, электронные медицинские документы, сведения о назначениях и результатах исследований. Передача данных в ЕГИСЗ осуществляется на основании требований законодательства — отдельное согласие пациента на передачу именно в ЕГИСЗ не требуется, если передаются данные в пределах установленного регулятором объёма. Тем не менее в разделе согласия на ПДн следует указать ЕГИСЗ в перечне третьих лиц для прозрачности.

5. Что грозит клинике за утечку?

При утечке специальных категорий ПДн (сведений о здоровье) — штраф по ч. 12–14 ст. 13.11 КоАП: от 3 млн ₽ (до 10 000 субъектов) до 15 млн ₽ (свыше 100 000 субъектов) в редакции с 30.05.2025. При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽. Неуведомление РКН об утечке в течение 24 часов — дополнительный штраф по ч. 11 ст. 13.11 от 1 до 3 млн ₽. Должностное лицо несёт риск уголовной ответственности по ст. 272.1 УК РФ при умысле.

6. Нужно ли отдельное согласие для несовершеннолетнего пациента?

Да. ИДС за несовершеннолетнего до 15 лет подписывает законный представитель. Согласие на обработку ПДн несовершеннолетнего также оформляется его законным представителем. В форме ИДС необходимо предусмотреть поля для данных представителя: ФИО, степень родства, документ, подтверждающий полномочия. С 15 лет пациент самостоятельно подписывает ИДС, но согласие на ПДн в части специальных категорий рекомендуется дополнительно согласовать с клиническим юристом.

Итог

Объединённый документ ИДС и согласия на ПДн соответствует закону при наличии двух структурно разделённых разделов, полного состава реквизитов каждого и двух отдельных подписей пациента. Отсутствие любого из обязательных реквизитов согласия на ПДн создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП; утечка данных из МИС — для штрафа от 3 до 15 млн ₽ и выше.

Практика DATUM по медицинским организациям включает аудит форм ИДС, разработку комплекта ОРД с учётом специфики МИС и ЕГИСЗ, сопровождение проверок Роскомнадзора в клиниках. Подготовка документов проводится с опорой на актуальные требования ФЗ-152 в редакции ФЗ-156 от 24.06.2025 и практику применения ст. 13.11 КоАП с 30.05.2025.

Смотрите также

ОН
Ольга Нечаева
Аналитик · Медицина и образование
Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна.

21 января 2027 года