справочник 14 августа 2026 По состоянию на 14 августа 2026

Состояние здоровья как спецкатегория ПДн

Состояние здоровья — специальная категория персональных данных по ст. 10 ФЗ-152. Обработка без явного правового основания запрещена.

Утечка медицинских ПДн от 1 000 субъектов влечёт штраф от 3 до 15 млн ₽ по ч. 12–14 ст. 13.11 КоАП. При повторности — оборотный штраф до 500 млн ₽.

Если вы юрист и проверяете комплаенс в компании, где обрабатываются медицинские сведения, — разбор ниже содержит нормы, исключения и практику 2026 года. →

С 30 мая 2025 года ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024. Специальные категории ПДн — в первую очередь данные о состоянии здоровья — оказались под усиленным санкционным давлением. Для юриста, сопровождающего оператора в медицине, HR или страховании, точное понимание состава спецкатегории и допустимых оснований обработки — это разница между соответствием закону и протоколом РКН.

Что такое специальная категория ПДн и почему здоровье в неё входит?

Статья 10 ФЗ-152 называет специальными категориями персональных данных сведения о расовой и национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни, а также данные о судимости. Все эти категории объединяет одно: их раскрытие способно причинить субъекту несоразмерный вред — дискриминацию, стигму, угрозу жизни и здоровью.

Состояние здоровья в целях ФЗ-152 — это любые сведения, из которых прямо или косвенно можно сделать вывод о физическом или психическом состоянии конкретного человека. Диагноз в медицинской карте, результат анализа, запись о госпитализации, больничный лист, страховой полис с историей обращений, справка для СКУД-системы — всё это спецкатегория. Степень детализации значения не имеет: даже единственная строка «аллергия на пенициллин» в анкете сотрудника переводит документ в режим ст. 10.

«Ст. 10 ФЗ-152 — обработка специальных категорий ПДн, в том числе данных о состоянии здоровья, не допускается, если оператор не может подтвердить наличие хотя бы одного из оснований, исчерпывающий перечень которых установлен ч. 2 той же статьи.»

Какие основания допускают обработку данных о здоровье?

Часть 2 ст. 10 ФЗ-152 содержит закрытый перечень исключений из общего запрета. Юристу важно понимать: любое основание должно быть задокументировано до начала обработки, а не после получения запроса РКН.

Письменное согласие субъекта — наиболее универсальное основание (п. 1 ч. 2 ст. 10). С 1 сентября 2025 года (ФЗ-156 от 24.06.2025) согласие на обработку ПДн оформляется отдельным документом и не может быть частью трудового договора, оферты или иного документа. Для спецкатегорий это требование носило сущностный характер и прежде — теперь оно закреплено явно.

Исполнение законодательства в области здравоохранения, социальной защиты (п. 4 ч. 2 ст. 10) — основание для медицинских организаций, работающих в системе ОМС, ЕГИСЗ, для передачи сведений в ТФОМС и страховые медицинские организации. Здесь согласие субъекта не требуется, но оператор обязан указать конкретный НПА, обязывающий к обработке.

Медицинская профилактика, медицинская диагностика, оказание медицинских или социальных услуг (п. 4 ч. 2 ст. 10) — применяется при условии, что обработку ведёт медицинский работник, обязанный соблюдать врачебную тайну. Корпоративный медицинский кабинет без лицензии по ст. 323-ФЗ на это основание опереться не может.

Установление или осуществление прав в судебном и ином юрисдикционном порядке (п. 7 ч. 2 ст. 10) — актуально для страховщиков при урегулировании убытков, для работодателей в трудовых спорах, для органов, ведущих дела об административных правонарушениях.

Что проверить юристу перед обработкой данных о здоровье

Определите основание по ч. 2 ст. 10 ФЗ-152 и зафиксируйте его в локальном акте или соглашении с субъектом.
Убедитесь, что согласие (если оно — основание) оформлено отдельным документом по требованиям ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025.
Проверьте, что в уведомлении оператора в реестре РКН указана категория «специальные» и цели обработки соответствуют реальным.
Убедитесь, что уровень защищённости ИСПДн определён корректно — для спецкатегорий минимальный уровень по ПП РФ №1119 — УЗ-3, при угрозах 1-го типа — УЗ-1.
Проверьте поручение обработки: если МИС или облачный сервис — третье лицо, заключён ли договор поручения по п. 3 ст. 6 ФЗ-152 с перечнем допустимых действий.

Проверяете комплаенс по спецкатегориям ПДн?

Если вы юрист и выявили обработку данных о здоровье без подтверждённого основания по ч. 2 ст. 10 ФЗ-152 — это нарушение, которое при проверке РКН квалифицируется по ч. 1 или ч. 2 ст. 13.11 КоАП (штраф 150 000 — 700 000 ₽). До получения предписания устранить проще. Юристы DATUM проведут аудит обработки по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Чем спецкатегория отличается от биометрии и общих ПДн?

Биометрические ПДн по ст. 11 ФЗ-152 — это физиологические и биологические особенности человека, позволяющие установить его личность: изображение лица, голос, отпечатки пальцев, ДНК. Медицинские сведения и биометрия пересекаются в ограниченных случаях: анализ ДНК для установления личности — биометрия; тот же анализ ДНК для диагностики наследственного заболевания — специальная категория (состояние здоровья). Один и тот же тип данных может одновременно подпадать под обе статьи — режим ст. 10 и ст. 11 применяются совокупно.

Общие персональные данные — любые сведения о физическом лице, прямо или косвенно позволяющие его идентифицировать (ст. 3 ФЗ-152), за исключением спецкатегорий и биометрии. Для общих ПДн закон устанавливает 11 правовых оснований по ст. 6 — перечень значительно шире. Для спецкатегорий — только основания ч. 2 ст. 10, которые носят закрытый характер.

Практическое значение разграничения велико: если оператор ошибочно квалифицирует медицинские сведения как «общие» ПДн и обрабатывает их по основаниям ст. 6 — это нарушение ч. 1 ст. 13.11 КоАП (обработка в случаях, не предусмотренных законом) с санкцией 150 000–300 000 ₽ для юрлица. При наличии согласия с неверным составом — ч. 2 (до 700 000 ₽).

Как применяется режим спецкатегорий в типовых ситуациях 2026 года?

Ситуация 1. Работодатель собирает справки о прохождении медосмотра. Сам факт прохождения медосмотра — общие ПДн (подтверждение допуска к работе). Содержание справки с результатами обследования — спецкатегория. Работодатель вправе получить только документ «допущен/не допущен» без медицинских подробностей; хранить его следует в условиях, исключающих несанкционированный доступ. Основание обработки — п. 3 ч. 2 ст. 10 в связи с обязательным медосмотром по ТК РФ и законодательству об охране труда. Согласие в этом случае не требуется, но оператор должен зафиксировать НПА, обязывающий к обработке.

Ситуация 2. Страховая компания обрабатывает историю болезней для андеррайтинга. Сбор анамнеза при заключении договора ДМС — обработка спецкатегорий. Основание — письменное согласие субъекта по п. 1 ч. 2 ст. 10. С 01.09.2025 согласие не может быть частью полисных условий — требуется отдельный документ. Передача сведений перестраховщику — самостоятельная операция обработки, требующая либо согласия на передачу конкретному получателю, либо договора поручения с перечнем допустимых действий.

Ситуация 3. Медицинская информационная система (МИС) в облаке зарубежного провайдера. Хранение, систематизация и извлечение ПДн граждан РФ обязаны осуществляться в базах, расположенных на территории России (ч. 5 ст. 18 ФЗ-152). Нарушение локализации для любых ПДн влечёт штраф по ч. 8 ст. 13.11 (1–6 млн ₽); для спецкатегорий регулятор квалифицирует дополнительно по ч. 1 или ч. 2 ст. 13.11 за нарушение условий обработки. Совокупность санкций при проверке — существенна.

Если компания, которую вы сопровождаете, хранит медицинские данные в облаке или ссылается на «согласие в договоре» — риск по ч. 1–2 и ч. 8 ст. 13.11 КоАП уже присутствует. Аудит DATUM фиксирует нарушения до проверки РКН.

Заказать аудит 152-ФЗ

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

Статья 3 ФЗ-152 определяет обработку широко: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление и уничтожение. Любое из этих действий — самостоятельная операция обработки. Простой просмотр базы данных с медицинскими сведениями сотрудником, не имеющим на это полномочий, — уже обработка без правового основания.

2. На основании чего можно обрабатывать ПДн о состоянии здоровья?

Только по одному из оснований ч. 2 ст. 10 ФЗ-152: письменное согласие субъекта, исполнение обязательств в области здравоохранения и социальной защиты, медицинская диагностика и лечение медицинским работником, сохранение жизни, осуществление прав в судебном порядке, деятельность политических партий или НКО в отношении их членов, публично раскрытые субъектом сведения. Для коммерческих операторов вне медицины — как правило, только согласие.

3. Что грозит за нарушение режима спецкатегорий?

Обработка без правового основания — ч. 1 ст. 13.11 КоАП, штраф для юрлица 150 000–300 000 ₽; при повторности — ч. 1.1, 300 000–500 000 ₽. Обработка без надлежащего согласия — ч. 2, до 700 000 ₽. Утечка данных о состоянии здоровья от 1 000 субъектов — ч. 12, штраф 3–5 млн ₽; свыше 100 000 субъектов — ч. 14, 10–15 млн ₽. При повторной утечке — оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, не менее 20 млн ₽.

4. Нужно ли уведомлять РКН, если компания обрабатывает только данные своих сотрудников о здоровье?

Общее правило ст. 22 ФЗ-152 — оператор уведомляет РКН до начала обработки. Исключение для ПДн работников, обрабатываемых исключительно в целях трудовых отношений (п. 1 ч. 2 ст. 22), не распространяется на спецкатегории: данные о здоровье сотрудников требуют уведомления. Отсутствие уведомления при наличии обработки — штраф по ч. 10 ст. 13.11, 100 000–300 000 ₽.

5. С какого возраста субъект сам подписывает согласие на обработку ПДн?

По общему правилу ст. 9 ФЗ-152 — с 18 лет. Для несовершеннолетних до 18 лет согласие подписывает родитель или законный представитель. Для детей старше 14 лет закон допускает их самостоятельное обращение за рядом медицинских услуг (ст. 54 ФЗ-323), однако применительно к обработке ПДн о здоровье практика РКН ориентируется на общий возрастной порог; при сомнении — запрашивать согласие и у ребёнка, и у представителя.

Итог

Состояние здоровья — наиболее распространённая спецкатегория в коммерческой практике. Её обрабатывают медицинские организации, страховщики, работодатели при медосмотрах, HR-сервисы с ДМС, санаторно-курортные операторы. Законность обработки определяется наличием конкретного основания по ч. 2 ст. 10 ФЗ-152, надлежащей формой согласия (если оно применяется), уведомлением в реестре РКН и соответствующим уровнем защищённости ИСПДн. С 30.05.2025 санкции за нарушения существенно выросли — минимальный штраф при утечке медицинских данных от 1 000 субъектов составляет 3 млн ₽.

Юристы DATUM сопровождают операторов при обработке спецкатегорий: от аудита оснований обработки до подготовки пакета ОРД и представления интересов при проверке РКН.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка оснований обработки спецкатегорий, уровней защищённости, документации
Комплект ОРД под ключ — согласия, политика, приказы, регламент реагирования на утечку
DPO-аутсорсинг — функция ответственного по ст. 22.1 ФЗ-152 на абонентском обслуживании

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025. Подсудность после ФЗ-508 от 28.12.2025 — мировые судьи.

14 августа 2026 года