Перейти к содержанию
инструкция 11 января 2029 По состоянию на 11 января 2029

Согласие родителей в детской хирургии

Детская хирургия — двойная точка риска: данные пациента-ребёнка — спецкатегория по ст. 10 ФЗ-152, а ИДС на операцию и согласие на обработку ПДн — это два разных документа с разными правовыми основаниями.
За утечку сведений о состоянии здоровья ребёнка через МИС или ЕГИСЗ — штраф от 3 до 15 млн ₽ по ч. 12–14 ст. 13.11 КоАП; при повторной утечке — оборотный штраф до 500 млн ₽ по ч. 15. Ответственность несёт оператор ПДн — медицинская организация.
Если вы главный врач детской хирургии и не уверены, что согласия разделены корректно, — эта инструкция описывает пошаговый порядок.

С 01.09.2025 согласие на обработку персональных данных оформляется отдельным документом (ФЗ-156 от 24.06.2025). Объединять его с информированным добровольным согласием на медицинское вмешательство или с договором оказания услуг нельзя. Для педиатрической хирургии это означает пересмотр всей системы документооборота: от бумажных форм в приёмном покое до электронных записей в МИС и сведений, передаваемых в ЕГИСЗ.

Шаг 1. Разграничьте ИДС и согласие на ПДн

Информированное добровольное согласие (ИДС) на медицинское вмешательство регулируется ст. 20 и ст. 54 Федерального закона № 323-ФЗ «Об основах охраны здоровья граждан». Оно фиксирует волю законного представителя на конкретную процедуру или операцию. Основание обработки ПДн при оказании медицинской помощи — ст. 10 ч. 2 п. 4 ФЗ-152 (специальные категории при осуществлении медицинской деятельности), однако оно не заменяет письменного согласия в случаях, когда закон прямо его требует.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 (действует с 01.09.2025): согласие субъекта персональных данных — отдельный документ, не объединяемый с иными документами. Перечень обязательных реквизитов: ФИО субъекта или представителя, контактные данные, наименование и ИНН оператора, цель обработки, перечень ПДн, перечень действий, срок, порядок отзыва.»

Смешивать ИДС и согласие на ПДн в одном документе — нарушение, за которое предусмотрен штраф по ч. 2 ст. 13.11 КоАП: от 300 000 до 700 000 ₽ за юридическое лицо. При повторном нарушении — от 1 000 000 до 1 500 000 ₽ по ч. 2.1.

Для детской хирургии документальный комплект при поступлении включает минимум три документа: договор об оказании платных медицинских услуг (или направление при ОМС), ИДС на конкретное хирургическое вмешательство, отдельное согласие на обработку ПДн пациента-ребёнка, подписываемое законным представителем.

Шаг 2. Определите правовое основание для каждой операции с ПДн

Медицинские данные ребёнка — диагноз, результаты обследований, протоколы операций, сведения о состоянии здоровья — относятся к специальным категориям по ст. 10 ФЗ-152. Обработка допустима по нескольким основаниям одновременно, и каждое из них необходимо зафиксировать в локальных актах.

Основание 1: исполнение медицинской деятельности по ст. 10 ч. 2 п. 4 ФЗ-152 — применяется ко всем действиям с ПДн в рамках лечебного процесса. Основание 2: исполнение договора по ст. 6 ч. 1 п. 5 ФЗ-152 — для платных услуг. Основание 3: согласие субъекта по ст. 9 ФЗ-152 — для действий, выходящих за рамки лечения: фотографирование, публикации, научные исследования, передача третьим лицам сверх требований ЕГИСЗ.

Отдельного внимания требует передача данных в ЕГИСЗ. Состав сведений, передаваемых в систему, определяется нормативными актами Минздрава. Клиника обязана уведомить пациента (представителя) о факте передачи, но согласие на саму передачу в ЕГИСЗ — в тех случаях, когда она предусмотрена законодательством об охране здоровья, — не требуется. Если клиника передаёт дополнительные сведения сверх установленного состава, согласие по ст. 9 ФЗ-152 обязательно.

Согласия и МИС не проверялись после 01.09.2025?

С 01.09.2025 форма согласия на ПДн должна быть отдельным документом. Если детская хирургия продолжает использовать объединённые формы — каждое поступление пациента создаёт риск штрафа по ч. 2 ст. 13.11 КоАП. Срок приведения документации в соответствие — до ближайшей плановой проверки РКН.

Заказать аудит 152-ФЗ

+7 (383) 310-38-76 · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Проверьте состав согласия на ПДн по реквизитам ФЗ-156

После вступления в силу ФЗ-156 от 24.06.2025 форма согласия, которая применялась до 01.09.2025, юридически недостаточна, если она не содержит всех обязательных реквизитов из ст. 9 ФЗ-152 в актуальной редакции.

Что проверить в форме согласия на ПДн для детской хирургии

  • ФИО и контактные данные законного представителя (родителя или опекуна) — не пациента-ребёнка
  • Полное наименование и ИНН медицинской организации как оператора ПДн
  • Цели обработки — отдельно: лечение, передача в ЕГИСЗ, хранение в МИС, расчёты со страховщиком по ОМС/ДМС
  • Перечень обрабатываемых ПДн: ФИО ребёнка, дата рождения, медицинские данные (диагноз, результаты исследований, сведения о вмешательстве)
  • Порядок отзыва согласия и его последствия для оказания плановой медицинской помощи

Согласие подписывает законный представитель пациента — родитель или опекун. Для детей от 15 лет в части добровольного информированного согласия на медицинское вмешательство действует ст. 54 323-ФЗ, предусматривающая их самостоятельное право. Для согласия на обработку ПДн аналогичной нормы в ФЗ-152 нет — до 18 лет представителем остаётся законный представитель.

Шаг 4. Настройте МИС и регламент работы с ЕГИСЗ

МИС (медицинская информационная система) является информационной системой персональных данных (ИСПДн) по классификации ПП РФ № 1119. Для данных о состоянии здоровья пациентов — специальная категория ПДн — уровень защищённости определяется в зависимости от типа угроз и количества субъектов. Для большинства детских хирургических отделений с базой более 1 000 пациентов и угрозами 2-го типа применяется УЗ-3.

Технические меры защиты МИС по Приказу ФСТЭК № 21 включают: разграничение прав доступа (УПД), регистрацию событий безопасности (РСБ), антивирусную защиту (АВЗ), защиту сетевого взаимодействия (ЗИС) и ряд других мер из 15 групп. Перечень мер для УЗ-3 — минимальный набор из Приложения к Приказу № 21.

Регламент доступа к МИС должен фиксировать: кто из персонала имеет доступ к данным пациентов, в каком объёме, с какими целями. Доступ хирурга к сведениям о пациенте другого отделения без клинической необходимости — нарушение принципа соответствия объёма ПДн целям по ст. 5 ФЗ-152.

Если главный врач получил уведомление о проверке РКН или запрос о составе документации — у вас ограниченное время на подготовку. Юристы DATUM помогут проверить МИС, ЕГИСЗ и комплект ОРД до прихода инспектора.

Подготовиться к проверке РКН

Шаг 5. Выстройте порядок реагирования на утечку данных пациентов

Утечка медицинских данных пациентов — инцидент с двойной ответственностью: по ФЗ-152 и по ст. 13 323-ФЗ о врачебной тайне. При обнаружении признаков несанкционированного доступа к МИС или базе ЕГИСЗ клиника обязана действовать по жёсткому расписанию.

В течение 24 часов с момента обнаружения — первичное уведомление Роскомнадзора через портал pd.rkn.gov.ru по форме Приказа РКН № 187 от 14.11.2022. Уведомление подаётся даже при неопределённости: известны только факт инцидента и предположительный масштаб. В течение 72 часов — отчёт с результатами внутреннего расследования: установленные причины, количество затронутых субъектов, принятые меры.

Неуведомление об инциденте или нарушение срока — штраф от 1 000 000 до 3 000 000 ₽ по ч. 11 ст. 13.11 КоАП. За саму утечку (если затронуто от 1 000 до 10 000 пациентов) — от 3 000 000 до 5 000 000 ₽ по ч. 12 ст. 13.11. При повторной утечке — оборотный штраф по ч. 15: не менее 20 000 000 ₽.

Как это работает на практике: типовые сценарии для детской хирургии

Сценарий 1. Согласие на ПДн в договоре на операцию. Частная детская хирургическая клиника (Уральский ФО, осень 2025) при плановой хирургии включала согласие на обработку ПДн в типовой договор возмездного оказания услуг единым разделом. После вступления в силу ФЗ-156 такая форма нарушает требование отдельности согласия. РКН при плановой проверке вынес предписание об устранении; клиника получила штраф по ч. 3 ст. 13.11 КоАП за отсутствие надлежащей политики обработки ПДн. Стратегия: разделить документы до проверки, обновить шаблоны во всех точках сбора ПДн (регистратура, кабинет предоперационного осмотра, электронная запись).

Сценарий 2. Утечка через МИС с данными несовершеннолетних. Региональная детская больница (Приволжский ФО, начало 2026) зафиксировала несанкционированный доступ к МИС: выгружены записи около 4 500 пациентов с диагнозами и сведениями об операциях. Данные — специальная категория по ст. 10 ФЗ-152. Клиника направила первичное уведомление в РКН за 19 часов, отчёт — за 68 часов. Применение ст. 4.1 КоАП с учётом оперативного реагирования позволило снизить санкцию в диапазоне ч. 12 ст. 13.11. Стратегия: журнал обнаружения инцидента с временными метками — ключевое доказательство оперативности.

Что грозит клинике за утечку медицинских данных детей?

Медицинские сведения о пациентах — диагнозы, результаты операций, сведения о состоянии здоровья — относятся к специальным категориям ПДн по ст. 10 ФЗ-152. Это означает повышенный уровень ответственности при любом нарушении.

Ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024 (действует с 30.05.2025) предусматривает для медицинских организаций следующие риски: утечка данных от 1 000 до 10 000 пациентов — штраф 3–5 млн ₽ (ч. 12); от 10 000 до 100 000 пациентов — 5–10 млн ₽ (ч. 13); более 100 000 пациентов — 10–15 млн ₽ (ч. 14). Дополнительно: при отсутствии надлежащего согласия на обработку спецкатегорий — до 700 000 ₽ по ч. 2 за каждый выявленный случай.

С 11.12.2024 действует ст. 272.1 УК РФ (ФЗ-421): незаконное использование, передача или хранение компьютерной информации с персональными данными. Для должностных лиц клиники, допустивших утечку, это создаёт риск уголовной ответственности наряду с административной.

Услуги DATUM по теме

Частые вопросы

1. Чем отличается ИДС от согласия на ПДн?

ИДС (информированное добровольное согласие) — медицинско-правовой документ по ст. 20 и ст. 54 Федерального закона № 323-ФЗ: родитель или пациент от 15 лет соглашается на конкретное медицинское вмешательство. Согласие на обработку персональных данных — отдельный документ по ст. 9 ФЗ-152, регулирующий права клиники на сбор, хранение и передачу сведений о пациенте. С 01.09.2025 объединять их в одном документе запрещено (ФЗ-156 от 24.06.2025). Основание для обработки медицинских ПДн в рамках лечения — ст. 10 ч. 2 п. 4 ФЗ-152; согласие потребуется для действий сверх лечебного процесса.

2. Можно ли публиковать фотографии «до и после» с согласия родителей?

Публикация фотографий, по которым можно идентифицировать пациента, — это распространение ПДн, которое регулируется ст. 10.1 ФЗ-152. Для этого необходимо отдельное согласие на распространение — сверх стандартного согласия на обработку ПДн. По умолчанию (при отсутствии такого согласия) фотоматериалы клиника вправе использовать только для собственных нужд лечебного процесса. Если фото содержат медицинские сведения — они образуют спецкатегорию ПДн, что влечёт дополнительные требования к согласию.

3. Кто отвечает за утечку данных через МИС?

Ответственность несёт оператор персональных данных — медицинская организация как юридическое лицо. Если МИС предоставляется по договору с IT-компанией (обработчик по поручению в терминах ст. 6 ФЗ-152), это не освобождает клинику от ответственности перед РКН и субъектами ПДн. Оператор отвечает за выбор обработчика, условия договора поручения и контроль за соблюдением требований безопасности. Ответственность должностного лица клиники при наличии умысла может быть уголовной по ст. 272.1 УК РФ.

4. Какие данные обязательно передавать в ЕГИСЗ?

Состав сведений, передаваемых медицинской организацией в ЕГИСЗ, определяется нормативными актами Минздрава в рамках Федерального закона № 242-ФЗ об информационных технологиях в здравоохранении и подзаконными актами к нему. Клиника не вправе самостоятельно расширять или сокращать установленный состав. Передача данных сверх нормативно установленного перечня требует отдельного согласия по ст. 9 ФЗ-152. Рекомендуется закрепить порядок взаимодействия с ЕГИСЗ в отдельном регламенте — это снижает риски при проверке РКН.

5. Что делать, если утечка произошла, а 24 часа уже истекли?

Направить уведомление немедленно — невзирая на истечение срока. Факт просрочки уведомления зафиксирует РКН и составит протокол по ч. 11 ст. 13.11 КоАП (штраф 1–3 млн ₽). Однако добровольное уведомление, поданное с задержкой, суды и регулятор рассматривают как смягчающее обстоятельство. Отсутствие уведомления вовсе — однозначно отягчающее. Параллельно необходимо готовить отчёт о результатах расследования, даже если 72-часовой срок также нарушен. Фиксируйте момент обнаружения инцидента и каждое действие с временными метками.

6. Нужно ли переоформлять согласия, полученные до 01.09.2025?

Нет, обратной силы ФЗ-156 не имеет: ранее полученные согласия, соответствовавшие требованиям на момент подписания, остаются действительными. Переоформление требуется только для новых пациентов, поступающих с 01.09.2025, и при обновлении целей или объёма обработки ПДн. Тем не менее рекомендуется провести аудит имеющихся форм, чтобы установить, соответствуют ли они новым требованиям по составу реквизитов, — на случай запроса РКН.

Итог

Согласие родителей в детской хирургии охватывает два независимых правовых режима: медицинское законодательство (ст. 20, ст. 54 323-ФЗ) и законодательство о персональных данных (ст. 9, ст. 10 ФЗ-152). С 01.09.2025 документы должны быть разделены — объединённые формы создают состав нарушения по ч. 2 ст. 13.11 КоАП. МИС с данными несовершеннолетних пациентов-хирургических больных — информационная система с максимальным уровнем защиты спецкатегорий ПДн.

DATUM сопровождает медицинские организации при проверках Роскомнадзора, разрабатывает комплекты ОРД для клиник и выстраивает документооборот МИС и ЕГИСЗ под требования ФЗ-152 в редакции 2025 года.

Смотрите также

ОН
Ольга Нечаева
Аналитик · Медицина и образование
Специализация — ПДн в медицине: МИС, ЕГИСЗ, согласия пациентов, врачебная тайна по 323-ФЗ × 152-ФЗ. Образовательные организации: согласия родителей, ПДн несовершеннолетних.

11 января 2029 года