инструкция 14 октября 2026 По состоянию на 14 октября 2026

Согласие родителей в педиатрии

Согласие родителей в педиатрии — это одновременно два разных документа: информированное добровольное согласие (ИДС) по ст. 20 Федерального закона №323-ФЗ и согласие на обработку персональных данных по ст. 9 ФЗ-152. Путать их или объединять — нарушение обоих законов.

Данные ребёнка — спецкатегория по ст. 10 ФЗ-152. Утечка через МИС или ЕГИСЗ с охватом от 1 000 субъектов влечёт штраф от 3 до 15 млн ₽ по ч. 12–14 ст. 13.11 КоАП в редакции с 30.05.2025. Повторная утечка — оборотный штраф до 500 млн ₽ по ч. 15. С 01.09.2025 согласие на ПДн оформляется только отдельным документом (ФЗ-156 от 24.06.2025).

→ Если вы главный врач и согласия родителей вшиты в карту пациента или объединены с ИДС — это нарушение, которое РКН фиксирует при первой же проверке МИС.

Педиатрическая клиника обрабатывает три категории данных одновременно: данные ребёнка (специальная категория — сведения о здоровье по ст. 10 ФЗ-152), данные родителя или законного представителя (общая категория) и сведения, передаваемые в ЕГИСЗ (федеральный контур). Каждая категория требует отдельного правового основания и отдельной формы согласия. Ниже — пошаговая инструкция для руководителя медицинской организации: от разграничения документов до интеграции с МИС и ЕГИСЗ.

Шаг 1. Разграничьте ИДС и согласие на обработку ПДн

Информированное добровольное согласие регулируется ст. 20 Федерального закона №323-ФЗ «Об основах охраны здоровья граждан». Оно подтверждает, что пациент (или его законный представитель) ознакомлен с диагнозом, методами лечения и возможными последствиями. ИДС — медицинский документ, его форма утверждается приказами Минздрава.

Согласие на обработку персональных данных — это отдельный юридический документ по ст. 9 ФЗ-152. С 01.09.2025 в силу вступили поправки ФЗ-156 от 24.06.2025: согласие не может быть частью другого документа — ни ИДС, ни договора об оказании медицинских услуг, ни карты пациента. Это требование распространяется на все новые согласия, оформляемые после 01.09.2025.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — согласие субъекта на обработку его персональных данных оформляется в виде отдельного документа, не совмещённого с иными соглашениями, заявлениями или формами. Вступило в силу с 01.09.2025.»

На практике это означает: пациентская карта содержит ИДС, а рядом — отдельный лист согласия на обработку ПДн с обязательными реквизитами по ст. 9 ФЗ-152: наименование клиники, цель обработки, перечень данных, перечень действий, срок и способ отзыва.

За несоблюдение требований к форме и содержанию согласия — штраф по ч. 2 ст. 13.11 КоАП от 300 000 до 700 000 ₽ для юридического лица (редакция с 30.05.2025).

Шаг 2. Определите субъекта ПДн и законного представителя

Субъектом персональных данных является ребёнок — его сведения о здоровье относятся к специальным категориям по ст. 10 ФЗ-152. Обработка спецкатегории по общему правилу запрещена; медицинская организация вправе её осуществлять на основании п. 4 ч. 2 ст. 10 ФЗ-152 — в целях оказания медицинской помощи при условии соблюдения врачебной тайны.

Согласие за ребёнка до 15 лет даёт его законный представитель — родитель, усыновитель или опекун. С 15 лет подросток вправе самостоятельно давать ИДС на отдельные виды медицинской помощи (ч. 2 ст. 20 Федерального закона №323-ФЗ). В части ПДн — до 18 лет согласие на обработку даёт законный представитель.

Важно фиксировать полномочия представителя: свидетельство о рождении, документ об усыновлении или решение суда об опеке. Отсутствие подтверждения полномочий при проверке РКН — основание для признания согласия недействительным.

«Ст. 10 ФЗ-152 — сведения о состоянии здоровья относятся к специальным категориям персональных данных. Обработка без явного согласия субъекта запрещена, за исключением случаев, предусмотренных ч. 2 этой статьи, включая медицинские цели при соблюдении профессиональной тайны.»

Согласия родителей оформлены, но клиника проходит проверку РКН?

Проверка медицинской организации по 152-ФЗ охватывает не только форму согласий, но и МИС, доступы персонала, передачу данных в ЕГИСЗ и наличие полного пакета ОРД. Пробел в любом из этих элементов — повод для предписания. У главного врача есть ограниченное время на устранение замечаний до составления протокола.

Подготовиться к проверке РКН

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Шаг 3. Составьте согласие с обязательными реквизитами

Форма согласия на обработку ПДн пациента-ребёнка должна содержать все реквизиты, установленные ст. 9 ФЗ-152. Отсутствие любого реквизита означает, что согласие юридически ничтожно, и обработка данных ведётся без правового основания.

Обязательные реквизиты согласия на обработку ПДн ребёнка

Наименование медицинской организации — оператора ПДн (полное, как в ЕГРЮЛ)
ФИО и контактные данные законного представителя (родителя), который даёт согласие
ФИО ребёнка — субъекта ПДн, дата рождения, степень родства или основание представительства
Цель обработки (например: оказание медицинской помощи, ведение медицинской документации, передача в ЕГИСЗ)
Перечень персональных данных: ФИО, дата рождения, сведения о здоровье, результаты анализов, диагнозы
Перечень действий с ПДн: сбор, запись, хранение, уточнение, передача в ЕГИСЗ, обезличивание при архивировании
Срок действия согласия или указание на бессрочность
Способ и порядок отзыва согласия

Если клиника передаёт данные в ЕГИСЗ — это отдельная цель обработки, которая должна быть прямо указана в согласии. Передача без указания цели или без уведомления РКН о трансграничной передаче (если применимо) — нарушение ст. 12 ФЗ-152.

Шаг 4. Настройте МИС под требования ФЗ-152

МИС (медицинская информационная система) является информационной системой персональных данных. Её уровень защищённости определяется по правилам ПП РФ №1119 от 01.11.2012. Данные пациентов — спецкатегория, тип угрозы зависит от инфраструктуры клиники. При числе субъектов менее 100 000 и актуальной угрозе 3-го типа — уровень защищённости УЗ-3. При угрозах 1-го или 2-го типа — УЗ-2 или УЗ-1.

Требования по уровню защищённости реализуются через технические и организационные меры по Приказу ФСТЭК №21 от 18.02.2013. Для педиатрической клиники это означает: разграничение доступа к картам пациентов по ролям персонала, логирование действий в МИС, защита от несанкционированного доступа, регулярное резервное копирование.

«ПП РФ №1119 от 01.11.2012 — для специальных категорий ПДн при угрозах 3-го типа и числе субъектов менее 100 000 устанавливается уровень защищённости УЗ-3. Приказ ФСТЭК №21 определяет состав мер технической защиты в 15 группах.»

МИС должна быть включена в уведомление в реестре операторов ПДн на pd.rkn.gov.ru. Если клиника работает с МИС, но не подала уведомление или подала с неполными сведениями — штраф по ч. 10 ст. 13.11 КоАП от 100 000 до 300 000 ₽.

Как передавать данные в ЕГИСЗ и не нарушить закон?

ЕГИСЗ (Единая государственная информационная система в сфере здравоохранения) является государственной информационной системой. Передача данных в ЕГИСЗ — это обработка ПДн с передачей третьим лицам, которая должна быть прямо предусмотрена согласием пациента (или его законного представителя).

Состав данных, передаваемых в ЕГИСЗ, определяется нормативными актами Минздрава и ограничен минимально необходимым для достижения цели. Передавать в ЕГИСЗ дополнительные данные, не предусмотренные регламентом, — нарушение принципа минимизации по ст. 5 ФЗ-152.

Практически это означает: в согласии на обработку ПДн должна быть отдельная строка о передаче в ЕГИСЗ с указанием наименования системы, состава передаваемых данных и цели передачи. Согласие «на обработку в медицинских целях» без прямого упоминания ЕГИСЗ — недостаточно.

«Ст. 13 Федерального закона №323-ФЗ — составляет врачебную тайну. Ст. 5 ФЗ-152 — обработка ПДн должна ограничиваться достижением конкретных, заранее определённых целей; обработка, несовместимая с заявленными целями, не допускается.»

Главный врач клиники несёт прямую ответственность за соответствие МИС требованиям ФЗ-152. Если согласия не содержат строки о передаче в ЕГИСЗ или МИС не имеет нужного уровня защищённости — у РКН есть основание для штрафа от 3 до 15 млн ₽ за утечку спецкатегорий. Юристы DATUM проведут аудит ОРД медицинской организации и приведут документы в соответствие за фиксированную стоимость от 100 000 ₽.

Заказать аудит 152-ФЗ

Что грозит клинике за утечку данных пациентов?

Данные пациентов-детей относятся к специальным категориям по ст. 10 ФЗ-152. С 30.05.2025 за их утечку действуют увеличенные санкции ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024.

Кейс 1. Медицинская клиника в Сибирском федеральном округе (осень 2025) не разграничила права доступа в МИС: медрегистраторы имели доступ к данным педиатрического отделения наравне с лечащими врачами. После увольнения одного из сотрудников база пациентов оказалась у конкурентов. РКН инициировал внеплановую проверку, установил нарушение уровня защищённости по ПП РФ №1119 и отсутствие приказа о разграничении доступа. Клиника получила предписание об устранении нарушений и штраф за нарушение условий хранения материальных носителей ПДн. На устранение — 30 дней; за повторное нарушение грозил штраф по ч. 5.1 ст. 13.11 до 500 000 ₽.

Кейс 2. Детская поликлиника в Центральном федеральном округе (начало 2026) использовала МИС стороннего разработчика без договора поручения обработки ПДн. При проверке РКН установил, что разработчик МИС фактически обрабатывал данные пациентов (имел доступ к серверам для технической поддержки), но поручение по ст. 6 ФЗ-152 оформлено не было. Это квалифицировано как передача данных третьим лицам без правового основания. Штраф по ч. 1 ст. 13.11 — от 150 000 до 300 000 ₽; клиника также получила предписание об оформлении договора поручения.

Матрица сценариев для руководителя медицинской организации

Сценарий 1. Согласие родителя объединено с ИДС или договором. Ситуация: в клинике единый документ на несколько страниц, где ИДС и согласие на ПДн — в одном блоке. Доказательства нарушения: форма не соответствует ст. 9 ФЗ-152 в редакции ФЗ-156 (с 01.09.2025). Вероятный исход: протокол по ч. 2 ст. 13.11, штраф 300 000–700 000 ₽ для юрлица. Стратегия: до проверки разделить документы, переоформить согласия с новыми субъектами, для ранее подписавших — при первом следующем посещении получить отдельное согласие.

Сценарий 2. МИС передаёт данные в ЕГИСЗ, но в согласии нет упоминания ЕГИСЗ. Ситуация: согласие содержит цель «оказание медицинской помощи», но прямая строка о передаче в ЕГИСЗ отсутствует. Доказательства нарушения: логи МИС о передаче данных, несоответствие составу согласия. Вероятный исход: нарушение ст. 5 и ст. 6 ФЗ-152, предписание об устранении + штраф по ч. 1 ст. 13.11 от 150 000 ₽. Стратегия: внести ЕГИСЗ как отдельную цель и перечень передаваемых данных в шаблон согласия; при обновлении МИС — переоформить согласия.

Сценарий 3. Утечка данных через МИС после кибератаки. Ситуация: хакеры получили доступ к МИС, утекли данные 2 000 пациентов-детей (ФИО, диагнозы, результаты анализов). Доказательства: инцидент зафиксирован системой мониторинга. Вероятный исход: обязанность уведомить РКН за 24 часа (ч. 3.1 ст. 21 ФЗ-152); через 72 часа — отчёт о расследовании (Приказ РКН №187); штраф за утечку спецкатегорий от 1 000 субъектов по ч. 12 ст. 13.11 — 3 000 000–5 000 000 ₽. Стратегия: немедленное уведомление РКН, привлечение юристов и специалистов по ИБ, сбор доказательств оперативного реагирования для смягчения санкций.

Частые вопросы

1. Чем отличается ИДС от согласия на обработку персональных данных?

ИДС (информированное добровольное согласие) регулируется ст. 20 Федерального закона №323-ФЗ и подтверждает согласие пациента или его законного представителя на конкретное медицинское вмешательство. Согласие на обработку ПДн — самостоятельный документ по ст. 9 ФЗ-152, который закрепляет правовое основание для работы с данными пациента (сбор, хранение, передача в ЕГИСЗ). С 01.09.2025 эти документы не могут быть совмещены в одном тексте по требованию ФЗ-156 от 24.06.2025. Отсутствие разделения — нарушение ч. 2 ст. 13.11 КоАП, штраф для юрлица от 300 000 до 700 000 ₽.

2. Можно ли публиковать фото «до-после» с согласия родителей?

Публикация фотографий ребёнка «до-после» лечения — это распространение ПДн, которое по ст. 10.1 ФЗ-152 требует отдельного согласия на распространение. Стандартного согласия на обработку ПДн недостаточно: нужен отдельный документ с прямым указанием на распространение (публикацию в соцсетях, на сайте, в рекламных материалах), конкретными каналами и возможностью отзыва. При отсутствии такого согласия — нарушение ст. 10.1 ФЗ-152 и риск привлечения по ч. 1 ст. 13.11 КоАП.

3. Кто отвечает за утечку через МИС?

Ответственность несёт медицинская организация как оператор ПДн по ФЗ-152 — независимо от того, произошла утечка из-за кибератаки или действий сотрудника. Если МИС обслуживает сторонний разработчик, он должен быть привлечён к обработке по договору поручения (ст. 6 ФЗ-152). Отсутствие такого договора означает, что разработчик имеет доступ к данным без правового основания. По устоявшейся позиции судебной практики оператор отвечает за действия своих подрядчиков.

4. Какие данные нужно передавать в ЕГИСЗ и в каком объёме?

Состав передаваемых в ЕГИСЗ сведений определяется нормативными актами Минздрава и ограничен минимально необходимым для цели учёта медицинской помощи. Согласие пациента должно прямо указывать на передачу в ЕГИСЗ с перечнем конкретных категорий данных (диагноз, код МКБ, дата посещения и т. д.). Передача данных в объёме, превышающем установленный регламентом ЕГИСЗ или не указанный в согласии, нарушает принцип минимизации по ст. 5 ФЗ-152.

5. Что грозит клинике за утечку данных пациентов-детей в 2026 году?

Данные о здоровье детей — спецкатегория по ст. 10 ФЗ-152. За их утечку с 30.05.2025 действуют повышенные санкции ст. 13.11 КоАП (ред. ФЗ-420): утечка 1 000–10 000 субъектов — 3 000 000–5 000 000 ₽ (ч. 12); 10 000–100 000 субъектов — 5 000 000–10 000 000 ₽ (ч. 13); более 100 000 субъектов — 10 000 000–15 000 000 ₽ (ч. 14). Повторная утечка — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 000 000 ₽, не более 500 000 000 ₽. Помимо административной ответственности, с 11.12.2024 действует ст. 272.1 УК РФ — до 10 лет лишения свободы за незаконную передачу компьютерной информации с ПДн (ч. 5).

6. Нужно ли получать новые согласия от родителей, если старые оформлены до 01.09.2025?

Поправки ФЗ-156 не имеют обратной силы: ранее полученные согласия, оформленные по действовавшим тогда правилам, не требуют обязательного переоформления. Однако если клиника продолжает принимать новых пациентов или обновляет формы документов — все новые согласия с 01.09.2025 должны быть отдельными документами. Рекомендуется при следующем плановом посещении пациентов получить согласие в новой форме, чтобы при проверке РКН предъявить актуальный пакет.

Итог

Согласие родителей в педиатрии — это не один документ, а связка из нескольких: ИДС по ст. 20 Федерального закона №323-ФЗ, отдельное согласие на обработку ПДн по ст. 9 ФЗ-152 с реквизитами включая цель передачи в ЕГИСЗ, и при публикации фотографий — дополнительное согласие на распространение по ст. 10.1 ФЗ-152. С 01.09.2025 объединять эти документы запрещено. МИС как ИСПДн требует настройки уровня защищённости и договора поручения с разработчиком. За утечку данных детей как спецкатегории санкции начинаются от 3 млн ₽ и доходят до оборотного штрафа.

Практика DATUM сопровождает медицинские организации в части соответствия ФЗ-152: аудит документооборота, разработка форм согласий, настройка договоров поручения с разработчиками МИС, подготовка к проверкам РКН.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка ОРД, МИС и форм согласий медицинской организации
Комплект ОРД под ключ — разработка форм согласий, политики и регламентов для клиники
Сопровождение проверок РКН — подготовка и представительство при проверке

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, обработка ПДн несовершеннолетних.

14 октября 2026 года