инструкция 14 октября 2026 По состоянию на 14 октября 2026

Согласие родителей в стоматологии

Согласие родителей в стоматологии — это два юридически самостоятельных документа: информированное добровольное согласие на медицинское вмешательство по ст. 20 и 47 Федерального закона от 21.11.2011 №323-ФЗ и согласие на обработку персональных данных по ст. 9 и ст. 10 ФЗ-152.

С 01.09.2025 согласие на обработку ПДн оформляется отдельным документом (ФЗ-156 от 24.06.2025): оно не может быть включено в амбулаторную карту, договор или форму ИДС. Медицинские данные ребёнка — специальная категория по ст. 10 ФЗ-152. Утечка из МИС при числе пострадавших от 1 000 субъектов влечёт штраф от 3 до 15 млн ₽ по ч. 12–14 ст. 13.11 КоАП.

→ Если в вашей клинике согласие на ПДн вшито в ИДС или бланк договора — пора разделить документы до первой проверки Роскомнадзора.

Детская стоматология работает с двумя пересекающимися регуляторными блоками одновременно. Первый — медицинское право: ст. 20 и 47 Федерального закона №323-ФЗ требуют письменного согласия законного представителя на каждое вмешательство. Второй — защита персональных данных: клиника как оператор обрабатывает сведения о здоровье ребёнка, которые по ст. 10 ФЗ-152 отнесены к специальной категории. Ниже — пошаговый порядок оформления обоих документов с учётом актуальной редакции закона и практики Роскомнадзора.

Шаг 1. Разграничьте два документа: ИДС и согласие на ПДн

Информированное добровольное согласие (ИДС) и согласие на обработку персональных данных — разные правовые инструменты с разной нормативной базой. Смешение форм — наиболее частая ошибка, которую фиксируют инспекторы РКН при плановых проверках медицинских организаций.

ИДС регулируется ст. 20 Федерального закона №323-ФЗ. Оно подтверждает, что законный представитель получил информацию о диагнозе, методе лечения, рисках и альтернативах. Форма утверждается приказом Минздрава. ИДС фиксируется в медицинской документации и может входить в амбулаторную карту.

Согласие на обработку ПДн регулируется ст. 9 ФЗ-152 в редакции, действующей с 01.09.2025 (ФЗ-156 от 24.06.2025). С этой даты оно оформляется отдельным документом и не объединяется с договором, ИДС или любым другим актом. Ранее выданные согласия, включённые в иные документы, сохраняют силу для ранее начатой обработки — обратной силы поправки не имеют.

«Ст. 9 ФЗ-152 (в ред. ФЗ-156 от 24.06.2025) — согласие субъекта (его законного представителя) оформляется отдельным документом. Не допускается его включение в текст договора, политики обработки ПДн или иного документа, объединяющего несколько согласий.»

На практике: заведите два отдельных бланка — форму ИДС по Минздраву и форму согласия на ПДн по ФЗ-152. Хранятся они вместе, но подписываются раздельно.

Шаг 2. Проверьте, чьё согласие требуется в зависимости от возраста ребёнка

Возраст пациента определяет, кто подписывает документы и в каком объёме.

До 15 лет — согласие подписывает только законный представитель: родитель, усыновитель или опекун. Ребёнок не участвует в правовом смысле, хотя клиника вправе информировать его в доступной форме.
15–18 лет — по ст. 20 Федерального закона №323-ФЗ несовершеннолетний старше 15 лет вправе самостоятельно давать согласие на медицинское вмешательство. По ст. 9 ФЗ-152 — он вправе самостоятельно давать согласие на обработку своих ПДн, поскольку дееспособность для целей ФЗ-152 наступает с 14 лет.
Эмансипированный несовершеннолетний — вправе подписывать оба документа самостоятельно независимо от возраста.

Если родители в разводе или ребёнок находится под опекой — проверьте полномочия. Достаточно одного из родителей при отсутствии судебного запрета. Опекун подтверждает статус документом из органов опеки.

Медицинские данные пациента-ребёнка — специальная категория персональных данных по ст. 10 ФЗ-152 (сведения о состоянии здоровья). По общему правилу их обработка запрещена. Исключение — письменное согласие законного представителя или прямое указание в законе (ст. 13 Федерального закона №323-ФЗ о врачебной тайне, ст. 6 ФЗ-152 об обработке для целей договора и исполнения обязанностей).

МИС клиники содержит медицинские данные детей — это спецкатегория по ст. 10 ФЗ-152?

Утечка из МИС при числе затронутых пациентов от 1 000 субъектов квалифицируется по ч. 12–14 ст. 13.11 КоАП. Штраф — от 3 до 15 млн ₽. Если клиника подключена к ЕГИСЗ — данные уходят за пределы вашей инфраструктуры, и цепочка ответственности усложняется. Юристы DATUM проведут аудит документов и технической схемы передачи данных.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Заполните обязательные реквизиты согласия на обработку ПДн

Ст. 9 ФЗ-152 устанавливает обязательный перечень сведений, без которых согласие считается недействительным. Для детской стоматологии форма включает следующие элементы.

ФИО законного представителя и его паспортные данные.
ФИО ребёнка (субъекта ПДн) и дата рождения.
Наименование оператора — полное наименование клиники, ИНН, адрес.
Цель обработки — например, «оказание медицинской помощи, ведение медицинской документации, взаимодействие с ЕГИСЗ, страховыми организациями, направление уведомлений об изменениях в расписании».
Перечень персональных данных — ФИО, дата рождения, СНИЛС, ОМС/ДМС, контактные данные, сведения о состоянии здоровья, диагноз, данные медицинской документации.
Перечень действий — сбор, запись, систематизация, накопление, хранение, уточнение, использование, передача (в ЕГИСЗ, страховщику при наличии ДМС), уничтожение.
Срок действия согласия — как правило, «на весь период обслуживания и 5 лет после его окончания» (с учётом сроков хранения медицинской документации).
Способ отзыва — письменное обращение в регистратуру или направление на официальный email клиники.

Отдельно — согласие на распространение ПДн по ст. 10.1 ФЗ-152 (например, публикация фотографий «до — после»). Это самостоятельный документ с ещё более строгими требованиями к реквизитам. Включить его в общее согласие на обработку нельзя.

Что подготовить главному врачу для работы с ПДн несовершеннолетних

Базовый комплект документов

Форма согласия на обработку ПДн — отдельный документ по ст. 9 ФЗ-152 (ред. с 01.09.2025), для трёх возрастных групп.
Форма ИДС на медицинское вмешательство — по ст. 20 Федерального закона №323-ФЗ и приказам Минздрава.
Политика обработки персональных данных — обязательный раздел по ч. 2 ст. 18.1 ФЗ-152, включая цели, категории субъектов, порядок передачи в ЕГИСЗ.
Приказ о назначении ответственного за обработку ПДн — ст. 22.1 ФЗ-152.
Регламент реагирования на инциденты — порядок уведомления РКН в 24/72 часа по Приказу РКН №187 от 14.11.2022.

Шаг 4. Учтите передачу данных в ЕГИСЗ и через МИС

Клиника, подключённая к ЕГИСЗ, передаёт данные пациентов в федеральную информационную систему. Это трансграничная передача внутри страны между операторами — она требует отражения в согласии на обработку ПДн и в политике клиники.

В согласии на ПДн укажите ЕГИСЗ как получателя данных и назовите категории передаваемых сведений: идентификационные данные (ФИО, СНИЛС, полис), сведения об обращениях за медицинской помощью, данные диагностики. Избыточных данных — например, финансовой информации о платёжеспособности — передавать в ЕГИСЗ не следует: это нарушает принцип минимизации ст. 5 ФЗ-152.

МИС (медицинская информационная система) — это информационная система персональных данных (ИСПДн) клиники. По ПП РФ №1119 от 01.11.2012 стоматологическая клиника со специальными категориями ПДн (сведения о здоровье) и числом субъектов до 100 000 обрабатывает данные на уровне защищённости УЗ-3. Это означает, что МИС должна соответствовать требованиям Приказа ФСТЭК №21 от 18.02.2013 по базовому набору мер УЗ-3.

«Ст. 19 ФЗ-152 — оператор обязан принять организационные и технические меры защиты ПДн. Конкретный состав мер для ИСПДн определяется ПП РФ №1119 (уровни защищённости) и Приказом ФСТЭК №21 (перечень мер по группам ИАФ, УПД, ЗИС и др.).»

Если МИС развёрнута в облаке стороннего провайдера — проверьте наличие договора поручения обработки ПДн по ст. 6 ФЗ-152. Без него провайдер де-юре нарушает закон как несанкционированный обработчик.

Если главный врач получил запрос РКН или уведомление о плановой проверке — у вас есть срок на представление документов. Отсутствие раздельных форм согласий и договора поручения с МИС-провайдером фиксируются как нарушения в первые часы проверки. Юристы DATUM подготовят клинику к визиту инспектора.

Подготовиться к проверке РКН

Шаг 5. Организуйте хранение и выдайте родителям копию согласия

Закон не устанавливает единого срока хранения согласия на ПДн в медицинской организации — он определяется целью обработки. На практике согласие хранится не менее срока хранения медицинской документации: амбулаторная карта несовершеннолетнего — 25 лет после окончания лечения согласно Приказу Минздрава №474н.

Роскомнадзор при проверках требует подтверждения факта получения согласия. Самый надёжный способ — подпись законного представителя на двух экземплярах: один остаётся в клинике, второй выдаётся родителю. Если согласие получено в электронной форме через МИС — система должна фиксировать дату, время и идентификатор пользователя.

Отзыв согласия оформляется письменным заявлением. После получения отзыва клиника обязана прекратить обработку ПДн ребёнка, кроме случаев, когда это противоречит закону (например, обязанность хранить медицинскую документацию по ст. 13 Федерального закона №323-ФЗ о врачебной тайне сохраняется независимо от отзыва согласия). Родителям об этом исключении нужно сообщать заранее — в тексте согласия или устно при выдаче.

Запросы субъектов (законных представителей) на доступ к данным, уточнение или уничтожение рассматриваются в срок 10 рабочих дней с даты обращения (ст. 20 ФЗ-152). Ведите журнал таких обращений: он является обязательным элементом ОРД и проверяется инспекторами РКН.

Практика применения: два характерных сценария

Сценарий 1. Клиника объединила согласие на ПДн с ИДС. Стоматологическая клиника (Сибирский федеральный округ, весна 2026) использовала единый бланк, в котором блок о согласии на обработку ПДн был включён в форму ИДС. РКН провёл внеплановую проверку по жалобе пациента. Инспектор квалифицировал нарушение по ч. 2 ст. 13.11 КоАП — обработка ПДн без надлежащего согласия (диапазон штрафа для юрлица 300 000–700 000 ₽). Клинике пришлось срочно переоформлять согласия у всех текущих пациентов. Юридическое сопровождение DATUM помогло исправить документы до вынесения постановления и снизить санкцию.

Сценарий 2. Утечка данных через МИС без договора поручения. Стоматологическая сеть (Центральный федеральный округ, лето 2025) эксплуатировала облачную МИС. Договора поручения обработки ПДн с провайдером не было. После инцидента (несанкционированный доступ к данным примерно 1 200 пациентов) РКН возбудил дела по ч. 12 ст. 13.11 КоАП (утечка от 1 000 до 10 000 субъектов, штраф 3–5 млн ₽) и по ч. 1 ст. 13.11 (обработка через неуполномоченного третьего лица). Параллельно проверялось соответствие МИС требованиям УЗ-3. Отсутствие договора поручения лишило клинику возможности переложить часть ответственности на провайдера.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка документов клиники по чек-листу из 38 пунктов, включая формы согласий и схему МИС
Комплект ОРД под ключ — подготовка раздельных форм ИДС и согласия на ПДн, политики, регламентов
Сопровождение проверок РКН — представление интересов клиники при плановой и внеплановой проверке

Частые вопросы

1. Чем отличается ИДС от согласия на ПДн?

ИДС (информированное добровольное согласие) — медицинско-правовой документ по ст. 20 Федерального закона №323-ФЗ: подтверждает, что пациент или его законный представитель получил информацию о вмешательстве и добровольно на него соглашается. Согласие на обработку ПДн — документ по ст. 9 ФЗ-152: разрешает клинике собирать, хранить и использовать персональные данные. С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие на ПДн обязательно оформляется отдельным документом и не включается в ИДС или договор.

2. Можно ли публиковать фото до-после с согласия родителей?

Публикация фотографий пациента (в том числе ребёнка) — это распространение персональных данных по ст. 10.1 ФЗ-152. Требуется отдельное согласие на распространение с указанием конкретного перечня публикуемых данных, площадок размещения и срока. Это самостоятельный документ — включить его в общее согласие на обработку ПДн нельзя. Молчание или отсутствие явного запрета не означает разрешения: дефолт по ст. 10.1 — данные обрабатываются только для нужд оператора.

3. Кто отвечает за утечку через МИС?

Ответственность несёт оператор ПДн — клиника. Даже если утечка произошла через программное обеспечение провайдера МИС, регулятор предъявляет требования к клинике как к оператору. Провайдер несёт ответственность перед клиникой в рамках договора поручения по ст. 6 ФЗ-152 — но только если такой договор заключён и в нём прописаны обязательства по безопасности. Без договора поручения клиника отвечает в полном объёме.

4. Какие данные передавать в ЕГИСЗ?

Состав данных, передаваемых в ЕГИСЗ, определяется нормативными актами Минздрава и Минцифры. По общему правилу это идентификационные данные пациента (ФИО, СНИЛС, полис ОМС), сведения об обращениях за медицинской помощью, данные диагностики и лечения. Передача данных сверх установленного минимума нарушает принцип минимизации по ст. 5 ФЗ-152. В согласии на ПДн состав передаваемых в ЕГИСЗ сведений должен быть указан явно.

5. Что грозит клинике за утечку медицинских данных детей?

Медицинские данные — специальная категория ПДн по ст. 10 ФЗ-152. При утечке от 1 000 до 10 000 субъектов штраф составит 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП; от 10 000 до 100 000 — 5–10 млн ₽ по ч. 13; более 100 000 — 10–15 млн ₽ по ч. 14. При повторной утечке применяется оборотный штраф по ч. 15 — 1–3% совокупной годовой выручки, не менее 20 млн ₽. Дополнительно — уголовная ответственность по ст. 272.1 УК РФ (введена с 11.12.2024) для физических лиц, допустивших утечку.

6. Нужно ли переоформлять старые согласия, полученные до 01.09.2025?

Нет. ФЗ-156 от 24.06.2025 не имеет обратной силы: согласия, полученные до 01.09.2025 в составе договора или ИДС, сохраняют юридическую силу для той обработки, которая была начата до этой даты. Новые согласия (при поступлении новых пациентов или расширении целей обработки) с 01.09.2025 оформляются только отдельным документом.

Итог

Согласие родителей в стоматологии — это не единый бланк, а система из минимум двух документов: ИДС по Федеральному закону №323-ФЗ и отдельное согласие на обработку ПДн по ст. 9 ФЗ-152 в редакции с 01.09.2025. Медицинские данные ребёнка относятся к специальной категории по ст. 10 ФЗ-152, что повышает требования к безопасности МИС (УЗ-3) и к составу согласия. Передача данных в ЕГИСЗ и работа с облачной МИС требуют договора поручения и явного отражения в тексте согласия.

DATUM сопровождает медицинские организации при проверках Роскомнадзора, готовит комплекты ОРД для стоматологических клиник и проводит аудит схем передачи данных в МИС и ЕГИСЗ.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, обработка ПДн несовершеннолетних.

14 октября 2026 года