инструкция 18 февраля 2029 года По состоянию на 18 февраля 2029 года

Шаблон согласия пациента на ЕГИСЗ

Согласие пациента на передачу персональных данных в ЕГИСЗ — отдельный документ, обязательный по ст. 9 ФЗ-152 и ст. 13 ФЗ-323. Медицинские данные относятся к специальным категориям ПДн по ст. 10 ФЗ-152.

С 30.05.2025 за обработку без надлежащего согласия клиника платит 300 000 — 700 000 ₽ по ч. 2 ст. 13.11 КоАП. При повторном нарушении — 1 000 000 — 1 500 000 ₽.

Если вы главный врач и согласия пациентов на ЕГИСЗ не выделены в отдельный документ — пошаговая инструкция ниже поможет устранить нарушение до проверки РКН.

Главные врачи клиник сталкиваются с двумя параллельными режимами согласий: информированное добровольное согласие (ИДС) по ФЗ-323 и согласие на обработку персональных данных по ФЗ-152. ЕГИСЗ добавляет третий контур — передачу сведений в федеральную систему. С 01.09.2025 согласие на ПДн оформляется только отдельным документом (ФЗ-156 от 24.06.2025). Объединить его с ИДС или картой пациента нельзя. В этой инструкции — структура шаблона, обязательные реквизиты и типичные ошибки, которые фиксирует РКН при проверках медорганизаций.

Почему согласие на ЕГИСЗ нельзя включить в ИДС?

Информированное добровольное согласие регулируется ст. 20 ФЗ-323 и касается медицинского вмешательства: пациент соглашается на конкретную процедуру или лечение. Это документ медицинского права. Согласие на обработку ПДн — документ информационного права, основанный на ст. 9 ФЗ-152. Разные цели, разные правовые основания, разные обязательные реквизиты.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — согласие субъекта оформляется отдельным документом, не объединяемым с договором, офертой или иными документами. Действует с 01.09.2025.»

До 01.09.2025 некоторые клиники включали согласие на ПДн в текст ИДС или в форму первичного осмотра. После вступления в силу ФЗ-156 такое объединение делает согласие юридически ничтожным. РКН при проверке может квалифицировать обработку данных пациентов как обработку без согласия — состав ч. 2 ст. 13.11 КоАП.

ЕГИСЗ добавляет дополнительное основание для отдельного документа: передача в федеральную государственную информационную систему выходит за рамки непосредственного оказания медицинской помощи. Цель обработки в МИС и цель передачи в ЕГИСЗ — разные. По ст. 5 ФЗ-152 обработка ПДн для несовместимых целей в одном документе не допускается.

Что входит в шаблон согласия пациента на ЕГИСЗ?

Шаблон строится на обязательных реквизитах ст. 9 ФЗ-152. Для медицинских данных — специальных категорий по ст. 10 ФЗ-152 — требования строже: обработка по общему правилу запрещена, исключения перечислены в п. 2 ст. 10, и согласие должно быть письменным с явным указанием категории данных.

Обязательные реквизиты согласия на ЕГИСЗ

Фамилия, имя, отчество пациента (субъекта ПДн) и его контактные данные.
Наименование и ИНН медицинской организации — оператора ПДн.
Цель обработки: «передача медицинских сведений в ЕГИСЗ для обеспечения непрерывности оказания медицинской помощи».
Перечень персональных данных: ФИО, дата рождения, СНИЛС, диагноз, сведения о медицинских вмешательствах, назначенное лечение.
Перечень действий: сбор, запись, систематизация, накопление, хранение, уточнение, передача (предоставление) в ЕГИСЗ.
Срок действия согласия или указание на бессрочность.
Способ отзыва: письменное заявление в регистратуру клиники.
Подпись пациента (или законного представителя) и дата.

Согласия пациентов на ЕГИСЗ не выделены в отдельный документ?

Если в клинике действуют формы ИДС с встроенным блоком о ПДн или согласие включено в договор на оказание услуг — это нарушение ст. 9 ФЗ-152 в редакции с 01.09.2025. Риск — штраф по ч. 2 ст. 13.11 КоАП до 700 000 ₽ при первой проверке. Юристы DATUM проведут аудит форм согласий и подготовят комплект ОРД для медорганизации.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Как составить шаблон: пошаговый порядок

Шаг 1. Определите перечень данных, передаваемых в ЕГИСЗ

Состав сведений, которые медицинская организация обязана передавать в ЕГИСЗ, установлен нормативными актами Минздрава России. Он включает идентификационные данные (ФИО, дата рождения, СНИЛС, полис ОМС), данные о медицинских документах (направления, результаты осмотров, эпикризы), сведения о назначенном лечении. Перечень в согласии должен совпадать с фактически передаваемыми данными: избыточность нарушает принцип минимизации по ст. 5 ФЗ-152.

Шаг 2. Установите цель обработки и правовое основание

Для ЕГИСЗ цель формулируется как «ведение федерального регистра и обеспечение доступа к медицинской документации пациента в рамках ЕГИСЗ». Правовое основание — согласие субъекта по п. 1 ч. 1 ст. 6 и ч. 2 ст. 10 ФЗ-152 (обработка специальных категорий с согласия). Отдельно укажите, что данные передаются Минздраву России как государственному оператору ЕГИСЗ.

Шаг 3. Укажите срок хранения и условия отзыва

Срок хранения медицинских ПДн в МИС клиники регулируется приказами Минздрава о сроках хранения медицинской документации. В согласии укажите: «ПДн хранятся в течение срока, установленного для хранения соответствующего медицинского документа, но не менее 25 лет для первичной медицинской документации». Для ЕГИСЗ укажите, что после передачи данные хранятся по правилам оператора ЕГИСЗ. Способ отзыва — письменное заявление в регистратуру; отзыв не распространяется на данные, уже переданные в ЕГИСЗ.

Шаг 4. Оформите бланк как отдельный документ

Согласие распечатывается на отдельном листе, не объединяется с картой пациента, договором или ИДС. Наименование документа — «Согласие на обработку персональных данных». В шапке — наименование клиники, ИНН, адрес. В тексте — все реквизиты из чек-листа выше. В нижней части — строки для подписи пациента, даты, подписи представителя (если нужно) и отметки сотрудника, принявшего согласие.

Шаг 5. Настройте порядок хранения и учёта согласий

Подписанные согласия хранятся вместе с медицинской документацией пациента или в отдельном журнале. Если МИС позволяет — скан согласия прикрепляется к карте пациента. Обязателен журнал учёта согласий с указанием: ФИО пациента, дата подписания, срок действия, факт отзыва (при наличии). Это требование следует из обязанности оператора подтвердить факт получения согласия по ст. 9 ФЗ-152.

Шаг 6. Проверьте совместимость с МИС и ЕГИСЗ

Если в клинике используется МИС с модулем интеграции в ЕГИСЗ — убедитесь, что модуль не инициирует передачу данных до фиксации факта согласия в системе. Технический порядок интеграции регулируется приказами Минздрава, устанавливающими требования к МИС. Юридическое согласие и техническое разрешение в МИС должны быть синхронизированы: подписан документ — проставлен флаг в системе, только потом идёт передача.

Если МИС в клинике уже интегрирована с ЕГИСЗ, но форма согласия не обновлялась после 01.09.2025 — каждая передача данных создаёт риск штрафа по ч. 2 ст. 13.11 КоАП. Юристы DATUM подготовят комплект документов под ключ.

Собрать ОРД под ключ

Типичные ситуации при проверке РКН

Ситуация 1. Согласие на ПДн объединено с ИДС. Клиника использует единый бланк «Информированное добровольное согласие и согласие на обработку персональных данных». При проверке инспектор РКН квалифицирует документ как нарушение ст. 9 ФЗ-152 в редакции с 01.09.2025. Доказательство нарушения — сам бланк. Вероятный исход: протокол по ч. 2 ст. 13.11, штраф 300 000 — 700 000 ₽. Стратегия: до проверки разделить документы, ввести отдельную форму согласия, переподписать с пациентами при следующем визите.

Ситуация 2. Согласие есть, но перечень ПДн не совпадает с фактически передаваемыми данными. В согласии указаны ФИО и дата рождения, а в ЕГИСЗ передаются также данные о диагнозе и назначениях. Состав: обработка данных, выходящих за пределы согласия, — ч. 1 ст. 13.11 КоАП, штраф 150 000 — 300 000 ₽. Стратегия: синхронизировать форму согласия с фактическим составом передаваемых данных, провести технический аудит МИС.

Ситуация 3. Пациент отозвал согласие, но данные продолжают передаваться в ЕГИСЗ. МИС не имеет механизма блокировки передачи после фиксации отзыва. Инспектор РКН фиксирует нарушение ч. 5 ст. 21 ФЗ-152 (не прекращена обработка после отзыва). Состав: ч. 5 ст. 13.11, штраф 50 000 — 90 000 ₽ плюс предписание. Стратегия: прописать в договоре с поставщиком МИС обязанность поддерживать механизм блокировки; добавить в регламент обработки порядок действий при отзыве согласия.

Как это применяется на практике

Кейс 1. Многопрофильная клиника (Уральский ФО, осень 2025) прошла плановую проверку РКН. Инспектор выявил: согласие на ПДн включено в договор об оказании платных медицинских услуг, отдельный документ отсутствует. Клиника получила протокол по ч. 2 ст. 13.11 КоАП. Главный врач обратился в DATUM до вынесения постановления. Юристы подготовили полный пакет ОРД, разработали отдельную форму согласия на ЕГИСЗ, представили документы как доказательство устранения нарушения. По итогу суд назначил штраф в нижней части диапазона с учётом добровольного устранения.

Кейс 2. Частная стоматология (Центральный ФО, начало 2026) получила жалобу пациента в РКН: его медицинские данные оказались доступны третьим лицам через уязвимость в МИС. Квалификация — потенциальная утечка спецкатегории ПДн по ст. 10 ФЗ-152. Главный врач направил первичное уведомление в РКН в течение 24 часов после выявления инцидента согласно ч. 3.1 ст. 21 ФЗ-152. Через 72 часа представлен отчёт об устранении уязвимости. Оперативность уведомления была учтена при рассмотрении дела как смягчающее обстоятельство.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка форм согласий, МИС и ОРД медорганизации по 38-пунктовому чек-листу.
Комплект ОРД под ключ — разработка полного пакета документов для клиники, включая шаблоны согласий на ЕГИСЗ.
Сопровождение проверок РКН — представление интересов клиники при плановой и внеплановой проверке.

Частые вопросы

1. Чем отличается ИДС от согласия на ПДн?

Информированное добровольное согласие по ст. 20 ФЗ-323 — это согласие пациента на конкретное медицинское вмешательство. Оно регулирует отношения «врач — пациент» и не является правовым основанием для обработки ПДн. Согласие на обработку ПДн по ст. 9 ФЗ-152 — самостоятельный документ, дающий клинике право обрабатывать данные пациента в указанных целях. Объединять их в один документ после 01.09.2025 запрещено ФЗ-156 от 24.06.2025.

2. Можно ли публиковать фото «до-после» с согласия пациента?

Публикация фотографий пациента — распространение ПДн, которое по ст. 10.1 ФЗ-152 требует отдельного согласия на распространение. Общее согласие на обработку ПДн или на ЕГИСЗ такого права не даёт. Нужно отдельное согласие с указанием: перечень данных (фото, включая медицинские изображения), способ распространения (сайт, соцсети), срок и возможность отзыва. Без такого документа публикация фото является нарушением ст. 10.1 ФЗ-152.

3. Кто отвечает за утечку через МИС?

Ответственность несёт оператор ПДн — медицинская организация, которая определила цели и порядок обработки данных. Если МИС предоставляет сторонняя компания, клиника обязана заключить договор-поручение по ст. 6 ФЗ-152, устанавливающий требования к защите данных. Утечка через подрядчика не освобождает клинику от ответственности: регулятор предъявляет претензии оператору. При утечке медицинских данных от 1 000 субъектов штраф составит 3 000 000 — 5 000 000 ₽ по ч. 12 ст. 13.11 КоАП.

4. Какие данные передавать в ЕГИСЗ?

Состав сведений для передачи в ЕГИСЗ определяется нормативными актами Минздрава России. Как правило, это идентификационные данные пациента (ФИО, дата рождения, СНИЛС, полис ОМС), данные медицинских документов (диагнозы, назначения, результаты исследований, эпикризы), сведения о медицинских организациях и специалистах. Перечень в форме согласия должен точно совпадать с фактически передаваемыми данными. Избыточная передача нарушает принцип минимизации ст. 5 ФЗ-152.

5. Что грозит клинике за утечку медицинских данных?

Медицинские данные — специальная категория по ст. 10 ФЗ-152. Штраф зависит от числа пострадавших: от 1 000 до 10 000 субъектов — 3 000 000 — 5 000 000 ₽ (ч. 12 ст. 13.11 КоАП); от 10 000 до 100 000 — 5 000 000 — 10 000 000 ₽ (ч. 13); более 100 000 — 10 000 000 — 15 000 000 ₽ (ч. 14). При повторной утечке — оборотный штраф по ч. 15: 1 — 3% годовой выручки, не менее 20 000 000 ₽. Уголовная ответственность руководителя — по ст. 272.1 УК РФ (с 11.12.2024), до 10 лет лишения свободы при тяжких последствиях.

6. Нужно ли переподписывать согласия с пациентами, которые подписали их до 01.09.2025?

ФЗ-156 от 24.06.2025 не имеет обратной силы: согласия, полученные до 01.09.2025 по действовавшим на тот момент правилам, остаются действительными. Переподписание требуется только при получении новых согласий или при существенном изменении целей и состава обработки. Однако если старое согласие было ничтожным изначально (например, отсутствовали обязательные реквизиты) — его необходимо переоформить.

Итог

Согласие пациента на ЕГИСЗ — это отдельный письменный документ с восемью обязательными реквизитами по ст. 9 ФЗ-152. Объединять его с ИДС или договором после 01.09.2025 нельзя. Медицинские данные относятся к спецкатегории по ст. 10 ФЗ-152, что повышает требования к форме согласия и последствия нарушений: штрафы начинаются от 300 000 ₽ при первом нарушении и достигают оборотных санкций при повторных утечках.

Юристы DATUM сопровождают медицинские организации в подготовке форм согласий, разработке ОРД и прохождении проверок РКН. Практика включает аудит форм согласий, синхронизацию с МИС и подготовку регламентов реагирования на инциденты.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, обработка ПДн несовершеннолетних.