Перейти к содержанию
инструкция 11 января 2029 По состоянию на 11 января 2029

Шаблон политики обработки ПДн в клинике

Политика обработки персональных данных — обязательный публичный документ клиники по ч. 2 ст. 18.1 ФЗ-152. Отсутствие или неполнота ведёт к штрафу до 60 000 ₽ по ч. 3 ст. 13.11 КоАП.
Медицинская организация обрабатывает специальные категории ПДн (ст. 10 ФЗ-152) — диагнозы, назначения, сведения о здоровье. Они требуют письменного согласия пациента и повышенного уровня защиты. Утечка данных более 10 000 пациентов — штраф 5–10 млн ₽ по ч. 13 ст. 13.11 КоАП.
Если вы главный врач и политика в клинике устарела или отсутствует — ниже пошаговый порядок составления с разбором обязательных разделов под МИС и ЕГИСЗ.

С 30 мая 2025 года ст. 13.11 КоАП действует в редакции ФЗ-420: штрафы за нарушения в области ПДн выросли кратно. Для клиники риски выше среднего: данные пациентов — специальная категория по ст. 10 ФЗ-152, а их обработка через МИС, ЕГИСЗ и телемедицинские платформы порождает дополнительные обязательства. Эта инструкция разбирает, как составить политику обработки ПДн, которая закроет требования ФЗ-152 и выдержит проверку Роскомнадзора.

Шаг 1. Определите состав обрабатываемых данных и правовые основания

До того как писать политику, зафиксируйте, какие ПДн клиника обрабатывает, в каких системах и на каком основании. Это фундамент документа: без него любой раздел будет фиктивным.

В медицинской организации, как правило, встречаются три класса данных:

  • Общие ПДн — ФИО, дата рождения, паспорт, телефон, адрес, СНИЛС, полис ОМС/ДМС.
  • Специальные категории (ст. 10 ФЗ-152) — сведения о здоровье, диагнозы, назначения, результаты исследований, данные о наркотической или алкогольной зависимости, ВИЧ-статус.
  • Биометрические ПДн (ст. 11 ФЗ-152) — фотографии в медкарте, изображение лица в системе контроля доступа (СКУД).

Для каждого класса необходимо указать правовое основание обработки. Специальные категории обрабатываются только с явного письменного согласия пациента (п. 1 ч. 2 ст. 10 ФЗ-152) либо в целях диагностики, оказания медицинской помощи при условии соблюдения врачебной тайны по ст. 13 323-ФЗ. Второе основание снимает требование о согласии, но не снимает требование о конфиденциальности.

«Ст. 10 ФЗ-152 запрещает обработку специальных категорий ПДн, включая сведения о состоянии здоровья, без письменного согласия субъекта — если только обработка не осуществляется в медицинских целях лицом, обязанным сохранять врачебную тайну.»

Зафиксируйте результат в форме реестра обработки: категория данных — цель — основание — система (МИС, ЕГИСЗ, 1С, бумага) — срок хранения. Этот реестр станет приложением к политике и упростит ответы инспектору РКН.

Шаг 2. Составьте обязательные разделы политики по ч. 2 ст. 18.1 ФЗ-152

Закон не устанавливает единую форму, но задаёт обязательный минимум содержания. Отсутствие любого из пунктов — основание для предписания или штрафа.

Обязательные разделы политики обработки ПДн клиники

  • Наименование и контакты оператора (юрлицо, ИНН, адрес, телефон, email).
  • Цели обработки и правовые основания по каждой категории данных.
  • Перечень обрабатываемых ПДн с указанием специальных и биометрических категорий.
  • Порядок и условия обработки, в том числе передача в ЕГИСЗ, страховым организациям, подрядчикам (МИС, лаборатории).
  • Права субъекта: доступ, исправление, ограничение, уничтожение, отзыв согласия.
  • Сроки обработки и хранения по каждой категории (медкарта — 25 лет, амбулаторная — 5 лет и т. д.).
  • Меры по обеспечению безопасности и уровень защищённости ИСПДн (УЗ-3 при угрозах 2–3 типа и до 100 000 субъектов по ПП РФ №1119).

Особо укажите обработку данных через МИС. Если МИС предоставляется сторонним поставщиком — это поручение обработки по п. 3 ч. 3 ст. 6 ФЗ-152: требуется договор поручения с перечнем разрешённых действий и обязанностью обеспечить защиту. Такие же условия — для лаборатории, телемедицинского оператора и любого внешнего подрядчика, имеющего доступ к ПДн пациентов.

В клинике нет политики или она написана три года назад?

Проверка Роскомнадзора — это не только штраф за отсутствие документа. Инспектор проверяет соответствие текста политики фактической обработке. Если клиника передаёт данные в ЕГИСЗ или использует МИС от стороннего вендора, а в политике этого нет — это нарушение ч. 1 ст. 13.11 КоАП. Штраф для юрлица — до 300 000 ₽. Юристы DATUM составят политику под конкретную структуру клиники: МИС, ЕГИСЗ, телемедицина, СКУД.

Собрать ОРД под ключ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Шаг 3. Разграничьте информированное добровольное согласие (ИДС) и согласие на обработку ПДн

Это разграничение — одна из самых частых ошибок в медицинских организациях. Два документа регулируются разными законами и преследуют разные цели.

Информированное добровольное согласие на медицинское вмешательство (ИДС) — это согласие пациента на лечение по ст. 20 323-ФЗ. Оно касается медицинских действий и не регулирует обработку персональных данных.

Согласие на обработку ПДн — документ по ст. 9 ФЗ-152. С 01.09.2025 (ФЗ-156 от 24.06.2025) оно оформляется отдельным документом и не может быть частью договора, ИДС, медкарты или любого другого документа. Объединение двух согласий в один бланк — нарушение ч. 2 ст. 13.11 КоАП, штраф для юрлица 300 000 – 700 000 ₽.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 (действует с 01.09.2025): согласие на обработку ПДн оформляется отдельным документом. Обязательные реквизиты — ФИО субъекта, наименование и контакты оператора, цель обработки, перечень ПДн, перечень действий, срок действия и порядок отзыва.»

В политике обработки ПДн опишите, как клиника получает, хранит и отзывает согласия. Укажите: в какой форме (бумага, МЭДО, электронная медкарта), где хранится оригинал, в какой срок уничтожается после отзыва или прекращения лечения. Для несовершеннолетних до 15 лет согласие даёт законный представитель.

Как отразить в политике передачу данных в ЕГИСЗ и МИС?

ЕГИСЗ — государственная информационная система в сфере здравоохранения. Клиники, подключённые к ЕГИСЗ, передают сведения о медицинской помощи в рамках исполнения требований Федерального закона о здравоохранении. Это самостоятельное правовое основание обработки, не требующее отдельного согласия пациента.

В политике должен быть отдельный раздел или пункт: цель передачи, какие данные, на каком основании, кто получатель (МИАЦ, ТФОМС, Минздрав региона). Расплывчатая формулировка «передача в уполномоченные органы» не закроет вопрос инспектора — нужна конкретика.

МИС (медицинская информационная система) — чаще всего поставщик МИС является обработчиком ПДн по поручению клиники. Проверьте договор с поставщиком: в нём должны быть перечень разрешённых действий с ПДн, запрет передачи третьим лицам, обязанность уведомить клинику об инциденте за 24 часа, указание на то, что клиника остаётся оператором. Если договора поручения нет — клиника несёт полную ответственность за любую утечку через МИС.

Если клиника подключена к ЕГИСЗ или использует МИС стороннего поставщика, но в политике и договоре поручения эти отношения не описаны — у РКН есть основания для протокола по ч. 1 ст. 13.11 КоАП. Проверьте документы до проверки, а не после уведомления.

Подготовиться к проверке РКН

Шаг 4. Установите сроки хранения и порядок уничтожения ПДн

Один из принципов ст. 5 ФЗ-152 — ПДн не хранятся дольше, чем необходимо для достижения цели обработки. В медицине сроки хранения медицинской документации определены отдельными нормативными актами Минздрава.

В политике зафиксируйте сроки по каждой категории документов и систем:

  • Медицинская карта стационарного больного — 25 лет.
  • Амбулаторная карта — не менее 5 лет после последнего обращения (уточняется по региональным актам).
  • Данные в МИС после окончания лечения — срок хранения должен соответствовать сроку хранения медкарты.
  • Согласия на обработку ПДн — в течение всего срока обработки и 3 года после её прекращения (для целей доказательства).
  • Данные соискателей, не принятых на работу — рекомендуется уничтожать в течение 30 дней, если не получено разрешение на хранение.

Опишите процедуру уничтожения: кто составляет акт, в какой форме (бумажный акт или электронный журнал), как подтверждается уничтожение данных в МИС — запросом к поставщику или самостоятельным действием в системе.

Шаг 5. Разместите политику и уведомите Роскомнадзор

Политика обработки ПДн должна быть общедоступной. Для организации, имеющей сайт, это означает публикацию на сайте — в нижнем колонтитуле или разделе «Документы». Отсутствие ссылки на политику на странице сбора данных (форма записи на приём, личный кабинет) — отдельный риск при проверке.

Параллельно клиника обязана направить уведомление о намерении обрабатывать ПДн в Роскомнадзор по ст. 22 ФЗ-152 (если это ещё не сделано). Уведомление подаётся через pd.rkn.gov.ru, форма — Приказ РКН №180 от 28.10.2022. Срок включения в реестр операторов — 30 дней. До включения в реестр обработка формально незаконна — это нарушение, за которое предусмотрен штраф по ч. 10 ст. 13.11 КоАП до 300 000 ₽.

Если клиника уже в реестре, но с момента подачи уведомления расширила обработку (подключила МИС, начала телемедицину, добавила СКУД) — нужно подать уведомление об изменении сведений. Неактуальный реестр — основание для штрафа по той же части.

Типовые ситуации из практики

Ситуация 1. Утечка через МИС стороннего поставщика. Клиника в Сибирском ФО (осень 2025) использовала МИС облачного вендора без договора поручения. После инцидента у поставщика в открытый доступ попали данные около 3 000 пациентов — ФИО, телефоны, диагнозы. РКН возбудил дело по ч. 12 ст. 13.11 КоАП (утечка от 1 000 до 10 000 субъектов), квалификация — оператор несёт ответственность за действия обработчика. Штраф для юрлица составил несколько миллионов рублей. Договор поручения с перечнем разрешённых действий и обязанностью уведомлять об инциденте отсутствовал — это лишило клинику смягчающих аргументов.

Ситуация 2. Проверка РКН: политика есть, но не соответствует фактической обработке. Клиника (Центральный ФО, начало 2026) имела политику, принятую в 2021 году. В ней не была указана передача данных в ЕГИСЗ и не упоминался телемедицинский сервис, подключённый в 2023 году. По итогам плановой проверки РКН выдал предписание и возбудил производство по ч. 1 ст. 13.11 КоАП. Главному врачу потребовалось срочно обновить политику, перезаключить договор с телемедицинским оператором и подать уведомление об изменении сведений в реестре.

Услуги DATUM по теме

Частые вопросы

1. Чем отличается ИДС от согласия на обработку ПДн?

Информированное добровольное согласие (ИДС) по ст. 20 323-ФЗ — это согласие пациента на медицинское вмешательство. Оно не регулирует обработку данных и не может её заменить. Согласие на обработку ПДн по ст. 9 ФЗ-152 — отдельный документ с обязательными реквизитами: наименование оператора, цель, перечень данных, срок, порядок отзыва. С 01.09.2025 объединение этих двух документов запрещено. Штраф за нарушение — 300 000 – 700 000 ₽ по ч. 2 ст. 13.11 КоАП.

2. Можно ли публиковать фото «до-после» с согласия пациента?

Публикация фотографий пациента является распространением ПДн по ст. 10.1 ФЗ-152 и требует отдельного согласия на распространение — в дополнение к согласию на обработку. Согласие на распространение должно прямо указывать, где и в каком объёме публикуются данные. Молчание в согласии означает запрет на распространение. Если на фото видны признаки болезни или следы операции — это специальные категории, и согласие должно быть письменным.

3. Кто отвечает за утечку через МИС?

Оператором ПДн остаётся клиника, даже если обработка ведётся через МИС стороннего поставщика. По ст. 6 ФЗ-152 оператор несёт ответственность за действия обработчика. Если поставщик МИС допустил утечку, а договор поручения отсутствует или не содержит обязанностей по защите — клиника не имеет оснований для снижения ответственности. Договор поручения с перечнем разрешённых действий и обязанностью уведомлять об инциденте — обязательный документ.

4. Какие данные передавать в ЕГИСЗ?

Состав сведений, передаваемых в ЕГИСЗ, определяется требованиями Минздрава и региональных МИАЦ: как правило, это данные о случаях оказания медицинской помощи, диагнозы по МКБ, сведения о назначениях. Согласие пациента для этой передачи не требуется — основание является исполнение требований законодательства о здравоохранении (п. 2 ч. 2 ст. 10 ФЗ-152). Однако в политике обработки ПДн факт передачи в ЕГИСЗ и её основание должны быть явно указаны.

5. Что грозит клинике за утечку данных пациентов?

Размер штрафа зависит от числа пострадавших субъектов. Утечка от 1 000 до 10 000 пациентов — 3–5 млн ₽ (ч. 12 ст. 13.11 КоАП), от 10 000 до 100 000 — 5–10 млн ₽ (ч. 13), более 100 000 — 10–15 млн ₽ (ч. 14). При повторной утечке — оборотный штраф: 1–3% годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽ (ч. 15). Кроме того, не уведомить РКН в течение 24 часов об инциденте — отдельный штраф 1–3 млн ₽ по ч. 11 ст. 13.11.

6. Как часто нужно обновлять политику обработки ПДн?

Законодательство не устанавливает периодичность обновления, но требует актуальности: политика должна соответствовать фактической обработке. Обновлять её нужно при каждом изменении, которое влияет на состав ПДн, цели, правовые основания или системы обработки — при подключении МИС, телемедицины, СКУД, при изменении законодательства. Практика DATUM рекомендует плановый пересмотр раз в год и внеплановый — при любом существенном изменении.

Итог

Политика обработки ПДн в клинике — это не формальный текст для сайта. Это документ, который задаёт рамку для всех согласий, договоров с МИС и ЕГИСЗ, сроков хранения и мер защиты. Несоответствие политики фактической обработке — один из первых выводов по итогам проверки РКН.

Юристы DATUM специализируются на обработке ПДн в медицине: клиники, МИС, ЕГИСЗ, телемедицина. Составим политику под конкретную структуру организации, проверим согласия, договоры поручения и уведомление в реестре операторов.

Смотрите также

ОН
Ольга Нечаева
Аналитик · Медицина и образование
Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна.

11 января 2029 года