Перейти к содержанию
инструкция 18 марта 2027 По состоянию на 18 марта 2027

Согласие на тест ДНК или генетический анализ

Генетические данные — биометрические персональные данные. Их обработка без надлежащего согласия субъекта нарушает одновременно ст. 11 и ст. 10 ФЗ-152.
С 30.05.2025 за незаконную обработку биометрии грозит штраф до 20 млн ₽ по ч. 17 ст. 13.11 КоАП. С 11.12.2024 действует уголовная ответственность по ст. 272.1 УК РФ — до 10 лет лишения свободы при тяжких последствиях.
→ Если вы юрист, сопровождающий лабораторию, клинику или генетический сервис, — эта инструкция даст вам полный перечень документов ОРД и требования к согласию по состоянию на 2025–2027 годы.

Генетические тесты и анализ ДНК стали коммерческой услугой: их предлагают медицинские лаборатории, клиники превентивной медицины, стартапы в сфере нутригенетики и фармацевтические компании. Юрист, сопровождающий такого оператора, сталкивается с пересечением трёх режимов: биометрические ПДн по ст. 11 ФЗ-152, специальные категории по ст. 10 ФЗ-152 (состояние здоровья, генетические предрасположенности) и требования к согласию по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025. Ниже — пошаговая инструкция: от оценки правового статуса генетических данных до подготовки полного пакета ОРД.

Шаг 1. Как квалифицировать генетические данные по ФЗ-152?

Генетические данные попадают под два режима одновременно. Во-первых, ДНК-профиль позволяет идентифицировать человека с высокой точностью — это признак биометрических ПДн по ст. 11 ФЗ-152: данные, характеризующие физиологические и биологические особенности, позволяющие установить личность. Во-вторых, результаты генетического анализа раскрывают сведения о состоянии здоровья, предрасположенностях к заболеваниям, происхождении — это специальные категории ПДн по ст. 10 ФЗ-152.

Практическое следствие: оператор применяет одновременно запрет на обработку без отдельного согласия (ст. 10 ФЗ-152), требование письменного согласия (ст. 11 ФЗ-152) и — с 01.09.2025 — требование оформить это согласие отдельным документом, не объединённым с договором или офертой (ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025).

«Ст. 10 ФЗ-152: обработка специальных категорий ПДн (здоровье, генетические данные) запрещена, за исключением случаев, когда субъект дал явное согласие. Ст. 11 ФЗ-152: биометрические ПДн обрабатываются только с письменного согласия. С 01.09.2025 по ст. 9 ФЗ-152 (ред. ФЗ-156): согласие — отдельный документ.»

Результат: минимальное правовое основание для генетического теста — письменное согласие, оформленное как отдельный документ с полным набором реквизитов по ст. 9 ФЗ-152. Никакой интеграции согласия в договор на услуги или пользовательское соглашение сайта.

Шаг 2. Какие реквизиты обязательны в согласии на генетический анализ?

Согласие по ст. 9 ФЗ-152 должно содержать исчерпывающий набор сведений. Для генетического теста этот набор расширяется требованиями ст. 10 и ст. 11 того же закона. Отсутствие любого обязательного реквизита приравнивается к отсутствию согласия.

Обязательные реквизиты согласия на генетический анализ

  • Фамилия, имя, отчество субъекта и его контактные данные (адрес электронной почты или телефон)
  • Полное наименование и адрес оператора — лаборатории или клиники
  • Цель обработки: диагностическая, исследовательская, для программы нутригенетики — цель описывается конкретно
  • Перечень обрабатываемых данных: образец биоматериала, ДНК-профиль, результаты секвенирования, заключение с предрасположенностями
  • Перечень действий с ПДн: сбор, запись, хранение, анализ, передача исполнителю анализа (если лаборатория — на аутсорс)
  • Срок, в течение которого действует согласие, и срок хранения данных
  • Способ отзыва согласия: письменное заявление в офис или через личный кабинет
  • Подпись субъекта с датой (для биометрии — собственноручная; для дистанционного формата — усиленная квалифицированная электронная подпись или подтверждение через ЕСИА)

Отдельно фиксируется передача образца или ДНК-профиля третьим лицам. Если лаборатория передаёт биоматериал субподрядчику-секвенсору, это поручение обработки по п. 3 ст. 6 ФЗ-152 — требуется договор с субподрядчиком, закрепляющий конфиденциальность и запрет использования данных в иных целях. Согласие субъекта должно упоминать факт такой передачи.

Согласие уже есть, но составлено до 01.09.2025?

Если согласие субъектов встроено в договор на услуги или пользовательское соглашение, оно не соответствует требованиям ФЗ-156 от 24.06.2025. При следующей проверке РКН это — основание протокола по ч. 2 ст. 13.11 КоАП: штраф для юрлица до 700 000 ₽. Юристы DATUM проверят ваш пакет согласий, выявят несоответствия и подготовят комплект ОРД под новые требования.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Какие ещё документы ОРД нужны оператору генетических данных?

Согласие — только один документ из пакета ОРД. Оператор, обрабатывающий генетические и иные биометрические ПДн, обязан выстроить полную систему организационно-распорядительной документации. Ст. 18.1 ФЗ-152 устанавливает перечень мер, которые оператор обязан принять и задокументировать.

Минимальный пакет ОРД для лаборатории или генетического сервиса включает несколько обязательных блоков. Политика обработки ПДн по ст. 18.1 ФЗ-152: публичный документ с указанием целей, категорий ПДн, сроков хранения, прав субъектов. Приказ о назначении ответственного по ст. 22.1 ФЗ-152: конкретное должностное лицо с функциями организации обработки и взаимодействия с РКН. Уведомление в РКН по ст. 22 ФЗ-152 через форму Приказа РКН №180: до начала обработки, с указанием категорий ПДн «биометрические» и «специальные». Регламент обработки: внутренний документ, описывающий процессы сбора образца, анализа, хранения результатов, уничтожения. Договоры с субподрядчиками: если секвенирование или интерпретация — на аутсорсе, договор поручения обработки с перечнем допустимых действий.

«Ст. 18.1 ФЗ-152: оператор обязан принять правовые, организационные и технические меры для защиты ПДн, назначить ответственного, утвердить политику и ознакомить с ней работников. Ст. 22 ФЗ-152: уведомление РКН о намерении обрабатывать ПДн подаётся до начала обработки по форме Приказа РКН №180.»

Отдельный блок — технические меры. Уровень защищённости ИСПДн определяется по ПП РФ №1119: для специальных и биометрических категорий при актуальных угрозах 2-го или 3-го типа устанавливается как минимум УЗ-3. Меры защиты по Приказу ФСТЭК №21 реализуются применительно к установленному уровню — минимум 15 групп мер от идентификации и аутентификации до защиты среды виртуализации.

Шаг 4. Как уведомить РКН и что указать для генетических данных?

Уведомление по ст. 22 ФЗ-152 подаётся через личный кабинет на pd.rkn.gov.ru с использованием УКЭП или через ЕСИА. После подачи оператор включается в реестр в течение 30 дней. До момента включения обработка ПДн формально не имеет правового основания по ст. 22 — это самостоятельный состав по ч. 10 ст. 13.11 КоАП: штраф 100 000–300 000 ₽.

В уведомлении для оператора генетических данных необходимо корректно отметить категории. В разделе «Категории персональных данных» указываются одновременно «биометрические персональные данные» и «специальные категории персональных данных» — здоровье. В разделе «Цель обработки» — конкретная формулировка: «проведение генетического тестирования по запросу субъекта для целей медицинской диагностики / нутригенетики / определения родства» (в зависимости от профиля бизнеса). Размытые формулировки типа «оказание услуг» создают риск при проверке.

Если результаты анализа передаются субъекту через личный кабинет на иностранном облачном хостинге или партнёру за рубежом — в уведомлении заполняется раздел о трансграничной передаче. До передачи в страну без адекватной защиты требуется отдельное уведомление по ст. 12 ФЗ-152.

Если вы юрист, готовящий уведомление в РКН для лаборатории с генетическими данными, — некорректное указание категорий ПДн в реестре даёт основание для протокола по ч. 10 ст. 13.11 (штраф до 300 000 ₽). Юристы DATUM подготовят уведомление и сопроводят включение в реестр.

Собрать ОРД под ключ

Шаг 5. Как реагировать на утечку генетических данных?

Утечка генетических данных — наиболее чувствительный сценарий: данные раскрывают наследственные заболевания не только субъекта, но и его родственников, необратимо компрометируют биологическую идентичность. Правовые последствия для оператора существенно тяжелее, чем при утечке стандартных ПДн.

Процедура реагирования жёстко регламентирована. По ч. 3.1 ст. 21 ФЗ-152 и Приказу РКН №187 оператор обязан направить в РКН первичное уведомление об инциденте в течение 24 часов с момента обнаружения. Через 72 часа — отчёт о результатах внутреннего расследования с описанием предположительной причины, перечня затронутых субъектов и принятых мер. Неуведомление — штраф 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП.

Если утечка затронула более 1 000 субъектов, применяются ч. 12–14 ст. 13.11 КоАП: от 3 до 15 млн ₽ в зависимости от числа пострадавших. Утечка биометрических данных (ДНК-профиль как биометрия) подпадает дополнительно под ч. 17 ст. 13.11 КоАП — штраф 15–20 млн ₽. При повторном нарушении применяется оборотный штраф по ч. 15 или ч. 18: 1–3% совокупной выручки за предшествующий год, но не менее 20 млн ₽ и не более 500 млн ₽.

«Ст. 272.1 УК РФ (введена ФЗ-421 от 30.11.2024, действует с 11.12.2024): незаконные использование, передача, сбор или хранение компьютерной информации с ПДн. По ч. 5 при тяжких последствиях — лишение свободы до 10 лет. Для должностных лиц оператора это реальный уголовный риск при крупной утечке генетических данных.»

Практика: как это работает в реальных ситуациях

Кейс 1. Генетический сервис (Приволжский ФО, начало 2026 года) проводил анализ ДНК для нутригенетических рекомендаций. Согласие было встроено в пользовательское соглашение сайта и не выделено в отдельный документ. При внеплановой проверке РКН инспектор квалифицировал это как обработку биометрических ПДн без надлежащего письменного согласия. Составлен протокол по ч. 2 ст. 13.11 КоАП. Юрист компании обратился за сопровождением уже на стадии протокола — пакет ОРД собрали за 10 рабочих дней, применили смягчающие обстоятельства. Штраф составил сотни тысяч рублей вместо максимально возможных 700 000 ₽.

Кейс 2. Медицинская лаборатория (Центральный ФО, осень 2025 года) направила образцы биоматериала иностранному субподрядчику для секвенирования без уведомления РКН о трансграничной передаче и без договора поручения обработки. Помимо нарушения ст. 12 ФЗ-152, проверка выявила отсутствие уведомления в реестре РКН вовсе. Два состава — по ч. 10 и по ч. 2 ст. 13.11 КоАП — рассматривались раздельно. Юрист, привлечённый до составления протоколов, зафиксировал факт устранения нарушений до проверки, что суд учёл при назначении размера штрафа.

Услуги DATUM по теме

  • Комплект ОРД под ключ — полный пакет документов для оператора ПДн, включая согласия по ст. 9 ФЗ-152 в редакции с 01.09.2025
  • Аудит соответствия 152-ФЗ — проверка по чек-листу из 38 пунктов с приоритизированным планом устранения
  • DPO-аутсорсинг — ответственный по ст. 22.1 ФЗ-152 на абонентском обслуживании, включая ответы на запросы субъектов

Частые вопросы

1. Какие документы должны быть у оператора ПДн, работающего с генетическими данными?

Минимальный пакет ОРД включает: политику обработки ПДн по ст. 18.1 ФЗ-152, приказ о назначении ответственного по ст. 22.1 ФЗ-152, уведомление в РКН по ст. 22 ФЗ-152 (форма Приказа РКН №180), отдельные согласия субъектов по ст. 9 ФЗ-152 с реквизитами ст. 10 и ст. 11, договоры с субподрядчиками (поручение обработки), регламент реагирования на инциденты по Приказу РКН №187, документы по уровню защищённости ИСПДн (УЗ-3 или выше по ПП РФ №1119).

2. Как составить политику обработки ПДн для генетической лаборатории?

Политика по ч. 2 ст. 18.1 ФЗ-152 должна содержать: наименование и контакты оператора, цели обработки (конкретные — диагностика, нутригенетика, научные исследования), категории ПДн (биометрические, специальные), сроки хранения данных и биоматериала, порядок реализации прав субъектов, сведения о трансграничной передаче при её наличии. Шаблон из интернета без адаптации под конкретный вид деятельности создаёт риски при проверке РКН — цели и категории должны точно отражать реальную деятельность оператора.

3. Кого назначить ответственным по ст. 22.1 ФЗ-152?

Ответственным за организацию обработки ПДн по ст. 22.1 ФЗ-152 может быть любое должностное лицо оператора — штатный юрист, главный врач, операционный директор. Требования к квалификации установлены ч. 4 ст. 22.1: лицо должно знать законодательство о ПДн и уметь организовать его соблюдение. На практике для лабораторий с небольшим штатом предпочтителен DPO-аутсорсинг: внешний ответственный берёт на себя взаимодействие с РКН, ответы на запросы субъектов и мониторинг изменений в законодательстве.

4. Можно ли использовать шаблон политики из интернета?

Использовать типовой шаблон без адаптации — риск. Политика должна отражать реальные цели, категории и процессы конкретного оператора. Для генетических данных в политике обязательно указываются биометрические и специальные категории ПДн, сроки хранения биоматериала, порядок уничтожения данных по достижении целей обработки (ст. 5 ФЗ-152). Несоответствие политики реальной практике — самостоятельное нарушение, фиксируемое при проверке РКН по ч. 3 ст. 13.11 КоАП: штраф 30 000–60 000 ₽.

5. Какие согласия нужно переоформить после 01.09.2025?

С 01.09.2025 по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 согласие на обработку ПДн оформляется исключительно отдельным документом — не включается в договор, оферту, пользовательское соглашение или медицинскую карту. Ранее полученные согласия переоформлять в принудительном порядке не требуется (обратной силы у нормы нет), но новые согласия с 01.09.2025 — только отдельный документ. Для генетических сервисов это означает замену форм согласий на сайте и в точках сбора биоматериала.

Итог

Согласие на генетический тест — это пересечение трёх режимов ФЗ-152: биометрические ПДн (ст. 11), специальные категории (ст. 10) и требование отдельного документа с 01.09.2025 (ст. 9 в редакции ФЗ-156). Ни одно из этих требований не допускает упрощений. Штрафы за нарушения биометрического режима начинаются от 15 млн ₽ по ч. 17 ст. 13.11 КоАП, уголовная ответственность по ст. 272.1 УК — с 11.12.2024.

Практика DATUM по сопровождению операторов, работающих с биометрическими и специальными категориями ПДн, охватывает лаборатории, медицинские организации и генетические сервисы. Юристы DATUM собирают пакет ОРД, подготавливают уведомление в РКН и разрабатывают согласия, соответствующие актуальным требованиям ФЗ-152.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM. Согласия работников по ст. 9 ФЗ-152 (ред. ФЗ-156), биометрия в СКУД, КЭДО. Сопровождение проверок РКН в HR-департаментах и медицинских организациях.

18 марта 2027 года