инструкция 25 января 2029 По состоянию на 25 января 2029

Согласие пациента на ЕГИСЗ

Данные пациента — специальная категория по ст. 10 ФЗ-152. Передача сведений в ЕГИСЗ без надлежащего согласия образует состав по ч. 2 ст. 13.11 КоАП — штраф до 700 000 ₽.

С 30.05.2025 за утечку медицинских данных от 1 000 субъектов минимальный штраф составляет 3 млн ₽ по ч. 12 ст. 13.11 КоАП в редакции ФЗ-420. Медицинская информационная система связывает клинику с ЕГИСЗ напрямую: каждый сеанс передачи данных — обработка спецкатегорий.

Если вы главный врач и согласия пациентов собирались без отдельного блока на передачу в ЕГИСЗ — читайте эту инструкцию: порядок оформления, обязательные реквизиты, типичные ошибки.

По данным РКН за 2024 год зафиксировано более 135 утечек персональных данных в различных отраслях, среди которых медицина занимает устойчивое место. Медицинская информационная система — основной канал передачи сведений в ЕГИСЗ, и именно через МИС происходит большинство инцидентов в клиниках. Эта инструкция описывает, какие согласия оформить, в какой форме, какие реквизиты обязательны и что проверить перед подключением МИС к федеральной системе.

Шаг 1. Разберитесь, какие данные идут в ЕГИСЗ и почему это спецкатегория

Единая государственная информационная система в сфере здравоохранения аккумулирует сведения о медицинской помощи, диагнозах, лекарственных назначениях и результатах исследований. Все эти данные прямо или косвенно раскрывают состояние здоровья пациента.

Состояние здоровья относится к специальным категориям персональных данных по ст. 10 ФЗ-152. Обработка специальных категорий по общему правилу запрещена, кроме случаев, перечисленных в ч. 2 ст. 10 ФЗ-152. Для медицинской организации применимы два основания: согласие субъекта и необходимость в целях медицинской профилактики, оказания медицинской помощи при условии соблюдения профессиональной тайны.

«Ст. 10 ФЗ-152 — обработка специальных категорий допустима, если субъект дал согласие или обработка проводится медицинским работником, обязанным соблюдать профессиональную тайну по ст. 13 ФЗ-323.»

Врачебная тайна и согласие на обработку ПДн — разные правовые режимы. Врачебная тайна по ст. 13 Федерального закона «Об основах охраны здоровья граждан» регулирует конфиденциальность в отношениях «врач — пациент». Согласие на обработку ПДн регулирует законность передачи данных в информационные системы, в том числе в ЕГИСЗ. Отдельный документ нужен для каждого режима.

Состав данных, передаваемых в ЕГИСЗ: ФИО, дата рождения, СНИЛС, данные полиса ОМС, диагнозы (МКБ-код), сведения об обращениях за медицинской помощью, результаты лабораторных и инструментальных исследований, назначенные препараты. Весь этот массив — спецкатегория, требующая отдельного согласия.

Шаг 2. Определите правовое основание: согласие или иное исключение по ст. 10 ФЗ-152?

Медицинская организация вправе обрабатывать спецкатегории ПДн без согласия пациента, если обработка осуществляется медицинским работником и необходима для оказания медицинской помощи, при этом работник обязан хранить профессиональную тайну. Это исключение работает во внутреннем документообороте клиники.

Передача данных в ЕГИСЗ — выход за пределы внутренней обработки. Сведения поступают к оператору федеральной системы — Министерству здравоохранения РФ. Это иная организация, иная цель (ведение федерального регистра), иной получатель. Здесь исключение для медицинского работника не работает автоматически.

«Ст. 6 ФЗ-152 — обработка ПДн допустима с согласия субъекта либо если необходима для исполнения полномочий, возложенных на государственный орган. Передача данных в ЕГИСЗ операторами частных клиник требует согласия пациента, если иное не установлено федеральным законом.»

Государственные медицинские организации, включённые в программу ОМС, вправе ссылаться на обязанность ведения медицинской документации и подключения к ЕГИСЗ, установленную нормативными актами. Частные клиники, оказывающие помощь вне ОМС, в большинстве случаев нуждаются в явном согласии пациента на передачу данных в ЕГИСЗ. Проверьте основание применительно к вашей форме собственности и видам помощи.

Ваша клиника подключена к ЕГИСЗ, но согласия оформлялись по старому шаблону?

С 01.09.2025 согласие на обработку ПДн — отдельный документ, не объединяемый с договором или информированным добровольным согласием на медицинское вмешательство (ФЗ-156 от 24.06.2025). Если главный врач не переоформил согласия после этой даты — каждый новый пациент несёт риск штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽. Юристы DATUM проведут аудит пакета согласий и подготовят шаблоны под действующие требования.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Составьте согласие с обязательными реквизитами по ст. 9 ФЗ-152

С 01.09.2025 согласие на обработку персональных данных оформляется отдельным документом по ФЗ-156 от 24.06.2025. Вложить согласие в договор на оказание медицинских услуг или в информированное добровольное согласие на вмешательство нельзя — такой документ не считается надлежащим согласием.

Обязательные реквизиты согласия по ст. 9 ФЗ-152:

Фамилия, имя, отчество пациента (субъекта ПДн) и его контактные данные.
Наименование и адрес медицинской организации — оператора ПДн.
Цель обработки: «передача персональных данных, в том числе сведений о состоянии здоровья, в ЕГИСЗ в целях ведения федерального регистра медицинской помощи».
Перечень обрабатываемых персональных данных: ФИО, дата рождения, СНИЛС, номер полиса ОМС, диагнозы, сведения об обращениях, результаты исследований, назначенные препараты.
Перечень действий с ПДн: сбор, запись, систематизация, накопление, хранение, передача (предоставление), уточнение, извлечение, использование.
Срок действия согласия или указание на то, что оно действует до его отзыва.
Способ отзыва: письменное заявление в регистратуру или иной указанный канал.

«Ст. 9 ФЗ-152 (в ред. ФЗ-156 от 24.06.2025) — согласие на обработку ПДн оформляется отдельным документом. Объединение с иными документами (договором, информированным согласием на вмешательство, анкетой) не допускается.»

Для передачи данных в ЕГИСЗ укажите в согласии получателя: Министерство здравоохранения РФ как оператор ЕГИСЗ. Если передача осуществляется через регионального оператора — укажите его наименование отдельно.

Шаг 4. Разграничьте ИДС и согласие на ПДн в пакете документов

Информированное добровольное согласие на медицинское вмешательство (ИДС) — самостоятельный документ, обязательный по ст. 20 Федерального закона «Об основах охраны здоровья граждан». Его цель — подтвердить, что пациент ознакомлен с методами лечения, рисками и альтернативами.

Согласие на обработку персональных данных — отдельный документ с иным предметом: законность сбора, хранения и передачи персональных данных. Смешивать эти два документа в одном бланке запрещено с 01.09.2025 по ФЗ-156.

Типичная ошибка в клиниках: в бланк ИДС добавляют абзац «Я также согласен на обработку персональных данных, включая их передачу в ЕГИСЗ». После 01.09.2025 такой блок недействителен как согласие по ст. 9 ФЗ-152. Если РКН проверит пакет документов — зафиксирует нарушение ч. 2 ст. 13.11 КоАП.

«Ч. 2 ст. 13.11 КоАП — обработка ПДн без надлежащего согласия или с нарушением требований к его составу влечёт штраф для юридического лица 300 000 — 700 000 ₽ (в ред. с 30.05.2025).»

Что подготовить главному врачу перед подключением к ЕГИСЗ

Отдельный бланк согласия на обработку ПДн с перечнем данных, передаваемых в ЕГИСЗ, и указанием получателя.
Приказ о назначении лица, ответственного за организацию обработки ПДн, по ст. 22.1 ФЗ-152.
Политику обработки персональных данных, опубликованную на сайте клиники, с разделом о передаче в ЕГИСЗ.
Уведомление РКН о намерении обрабатывать ПДн (если клиника ещё не в реестре операторов) по ст. 22 ФЗ-152.
Договор-поручение с поставщиком МИС, если система развёрнута на мощностях подрядчика, с перечнем допустимых действий и мерами защиты по ст. 6 ФЗ-152.

Шаг 5. Настройте процедуру отзыва согласия и порядок действий МИС

Пациент вправе отозвать согласие в любой момент по ст. 9 ФЗ-152. После отзыва медицинская организация обязана прекратить обработку данных в части, требующей согласия. Для ЕГИСЗ это означает остановку передачи новых сведений. Ранее переданные сведения, принятые ЕГИСЗ и включённые в федеральный регистр, регулируются отдельными нормативными актами Минздрава.

Обеспечьте в МИС техническую возможность проставить отметку об отзыве согласия, которая автоматически останавливает отправку данных пациента в ЕГИСЗ. Отзыв фиксируйте в журнале обращений субъектов с указанием даты и входящего номера.

Срок рассмотрения требования пациента о прекращении обработки — 10 рабочих дней с момента обращения по ст. 20 ФЗ-152 (с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта). Журнал обращений субъектов — обязательный элемент ОРД: его отсутствие при проверке РКН фиксируется как нарушение ч. 4 ст. 13.11 КоАП.

Если клиника уже получила запрос от РКН или предписание в связи с подключением к ЕГИСЗ — срок ответа регулятору ограничен. Юристы DATUM подготовят позицию и сопроводят переписку с РКН.

Подготовиться к проверке РКН

Как эти правила применяются на практике

Кейс 1. Многопрофильная клиника в Сибирском федеральном округе (весна 2026) прошла плановую проверку РКН после подключения МИС к ЕГИСЗ. Инспекторы запросили пакет согласий пациентов и обнаружили, что согласие на передачу данных было вписано в договор на оказание платных услуг единым абзацем. Клинике выдано предписание об устранении нарушения и возбуждено дело по ч. 2 ст. 13.11 КоАП — штраф в сотни тысяч рублей. После переоформления согласий в отдельные бланки и повторного обследования предписание было исполнено.

Кейс 2. В Центральном федеральном округе (осень 2025) в клинику обратился пациент с требованием прекратить передачу его данных в ЕГИСЗ. Клиника не имела технической возможности остановить выгрузку из МИС и не ответила в установленный срок. РКН зафиксировал нарушение ч. 5 ст. 13.11 КоАП (невыполнение требования субъекта об уточнении и блокировании данных). Штраф составил сумму в пределах санкции — 50 000 — 90 000 ₽ для юридического лица. Клиника доработала МИС и внедрила журнал обращений субъектов.

Типовые сценарии для главного врача

Сценарий 1. Частная клиника подключается к ЕГИСЗ впервые. Ситуация: клиника заключила договор с вендором МИС, МИС настроена на выгрузку данных в ЕГИСЗ, пациенты подписывают только ИДС. Доказательства нарушения: отсутствие отдельного согласия на передачу данных в ЕГИСЗ; реестр операторов РКН не содержит сведений о цели «взаимодействие с ЕГИСЗ». Вероятный исход: при проверке — нарушение ч. 2 ст. 13.11 КоАП (300 000 — 700 000 ₽) и ч. 10 ст. 13.11 КоАП (100 000 — 300 000 ₽ за неполноту уведомления РКН). Стратегия: до старта выгрузки — переоформить согласия, обновить уведомление в реестре РКН, заключить договор-поручение с вендором МИС.

Сценарий 2. Пациент отзывает согласие, МИС продолжает выгрузку. Ситуация: технически МИС не позволяет остановить выгрузку без ручного вмешательства ИТ-службы; ответственный сотрудник не был назначен. Доказательства: журнал обращений субъектов отсутствует; переписка с пациентом подтверждает дату отзыва. Вероятный исход: ч. 5 ст. 13.11 КоАП (50 000 — 90 000 ₽); при повторном нарушении — ч. 5.1 (300 000 — 500 000 ₽). Стратегия: доработать МИС, назначить ответственного по ст. 22.1 ФЗ-152, внедрить журнал обращений субъектов.

Сценарий 3. Утечка медицинских данных через MИС. Ситуация: подрядчик, поддерживающий МИС, допустил несанкционированный доступ к базе данных с диагнозами и результатами анализов 3 000 пациентов. Доказательства: зафиксирован инцидент; клиника — оператор; поручение подрядчику оформлено, но меры защиты в договоре не детализированы. Вероятный исход: 24 часа на первичное уведомление РКН по ч. 3.1 ст. 21 ФЗ-152; 72 часа на отчёт; штраф по ч. 12 ст. 13.11 КоАП 3 000 000 — 5 000 000 ₽. Стратегия: немедленное уведомление РКН, детализация договора-поручения с вендором, усиление технических мер по ПП РФ №1119.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка пакета согласий, политики и ОРД медицинской организации
Комплект ОРД под ключ — бланки согласий, приказы, журналы, договор-поручение с МИС-вендором
Сопровождение проверок РКН — подготовка к проверке и представление интересов клиники

Частые вопросы

1. Чем отличается ИДС от согласия на ПДн?

Информированное добровольное согласие на медицинское вмешательство по ст. 20 Федерального закона «Об основах охраны здоровья граждан» подтверждает, что пациент понял цель, метод и риски лечения. Согласие на обработку персональных данных по ст. 9 ФЗ-152 разрешает клинике собирать, хранить и передавать личные сведения пациента — в том числе в ЕГИСЗ. Это два разных документа с разным предметом, разными реквизитами и разными правовыми последствиями отзыва. С 01.09.2025 их объединение в один бланк прямо запрещено ФЗ-156.

2. Можно ли публиковать фото «до — после» с согласия пациента?

Фотографии, по которым можно идентифицировать человека и установить его медицинский диагноз, — это биометрические и специальные категории ПДн одновременно. Публикация таких фото — распространение ПДн по ст. 10.1 ФЗ-152. Для этого нужно отдельное согласие на распространение с явным указанием площадки (сайт, социальная сеть), целей и срока. Дефолт молчания по ст. 10.1 означает запрет: если пациент ничего не сказал о публикации — публиковать нельзя.

3. Кто отвечает за утечку через МИС — клиника или вендор МИС?

Клиника как оператор ПДн несёт ответственность перед РКН и субъектами данных независимо от того, на чьей инфраструктуре произошла утечка. Вендор МИС — лицо, осуществляющее обработку по поручению оператора (ст. 6 ФЗ-152). Если договор-поручение не содержит требований к мерам защиты и перечня допустимых действий — оператор несёт полную административную ответственность по ст. 13.11 КоАП. Регрессный иск к вендору возможен в гражданском порядке, но не снимает штрафа с клиники.

4. Какие данные обязательно передавать в ЕГИСЗ?

Состав обязательно передаваемых сведений определяется нормативными актами Минздрава РФ о порядке ведения ЕГИСЗ применительно к конкретным регистрам и подсистемам. Как правило, это: ФИО, дата рождения, СНИЛС, номер полиса ОМС, коды МКБ-диагнозов, даты обращений, сведения о назначенных препаратах и результатах исследований. Передача иных сведений сверх установленного перечня без отдельного основания нарушает принцип минимизации данных по ст. 5 ФЗ-152.

5. Что грозит клинике за утечку медицинских данных?

За утечку медицинских данных как специальной категории ПДн клинике грозит штраф по ч. 12–14 ст. 13.11 КоАП в зависимости от масштаба: от 1 000 до 10 000 субъектов — 3 000 000 — 5 000 000 ₽, от 10 000 до 100 000 субъектов — 5 000 000 — 10 000 000 ₽, более 100 000 субъектов — 10 000 000 — 15 000 000 ₽. При повторной утечке применяется оборотный штраф по ч. 15 ст. 13.11 КоАП — 1–3% годовой выручки, не менее 20 000 000 ₽. Уголовная ответственность руководителя и сотрудников возможна по ст. 272.1 УК РФ, действующей с 11.12.2024.

6. Нужно ли повторно брать согласие у пациентов, обратившихся до 01.09.2025?

ФЗ-156 от 24.06.2025 обратной силы не имеет: ранее полученные согласия, соответствовавшие требованиям на момент подписания, сохраняют силу. Переоформлять их принудительно закон не требует. Однако если в старом согласии отсутствовал реквизит о передаче данных в ЕГИСЗ — оно не покрывает эту цель независимо от даты подписания. Рекомендуется при первом же следующем обращении пациента предложить ему подписать новый бланк, соответствующий ФЗ-156.

Итог

Согласие пациента на ЕГИСЗ — отдельный документ с обязательными реквизитами по ст. 9 ФЗ-152, а не дополнительный пункт в ИДС или договоре. После ФЗ-156, действующего с 01.09.2025, смешение этих документов образует нарушение ч. 2 ст. 13.11 КоАП с максимальным штрафом 700 000 ₽. При утечке медицинских данных от 1 000 субъектов минимальный штраф составляет 3 000 000 ₽.

Юристы DATUM сопровождают медицинские организации при подключении к ЕГИСЗ: аудит пакета документов, подготовка шаблонов согласий и ОРД, взаимодействие с РКН, защита в арбитраже при оспаривании протоколов по ст. 13.11 КоАП.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, обработка ПДн несовершеннолетних.