Спецкатегория ПДн пациентов по ст. 10 152-ФЗ
Главный врач несёт персональную ответственность за соблюдение режима спецкатегорий в медицинской информационной системе, при интеграции с ЕГИСЗ и в телемедицинском сервисе. В 2025 году РКН зафиксировал 30 инцидентов за первое полугодие с утечкой более 39 млн записей. Значительная часть — данные пациентов. Инструкция ниже содержит семь шагов: от анализа состава данных до настройки реагирования на инцидент.
Шаг 1. Определите, какие данные в вашей МИС относятся к спецкатегории
Статья 10 ФЗ-152 относит к специальным категориям сведения о состоянии здоровья, диагнозе, назначенном лечении, а также данные, раскрывающие расовую и национальную принадлежность, политические взгляды, религиозные убеждения и сведения об интимной жизни. Для медицинской организации практически значимы: диагнозы по МКБ, результаты анализов, сведения об операциях и процедурах, психиатрические и наркологические данные, данные ВИЧ-статуса.
Запросите у вендора МИС список полей базы данных с классификацией по типу ПДн. Поля с диагнозами, назначениями, историями болезни, результатами лабораторных и инструментальных исследований — автоматически спецкатегория. Общие поля (ФИО, контакт, дата рождения, СНИЛС) — обычные ПДн, но они сопровождают медицинскую запись и тем самым попадают в одну обрабатываемую единицу вместе со спецкатегорией.
Зафиксируйте перечень в акте классификации информационной системы — он понадобится при определении уровня защищённости по ПП РФ №1119.
Шаг 2. Установите правовое основание для каждой цели обработки
Для спецкатегорий действует закрытый перечень оснований по ч. 2 ст. 10 ФЗ-152. В медицинской деятельности применяются три из них. Первое — письменное согласие субъекта. Второе — обработка необходима для защиты жизни и здоровья, когда субъект физически или юридически не способен дать согласие. Третье — обработка осуществляется в целях медицинской профилактики, установления медицинского диагноза, оказания медицинских услуг по договору с медицинским работником, обязанным хранить врачебную тайну по ст. 13 ФЗ-323.
Составьте матрицу: цель обработки — правовое основание — категория данных. Пример: «хранение истории болезни для лечащего врача» — ч. 2 п. 4 ст. 10 ФЗ-152 + ст. 13 ФЗ-323. «Передача данных в СМС-сервис для напоминания о приёме» — согласие на ПДн по ст. 9 ФЗ-152 (спецкатегория здесь не передаётся, если правильно разграничить поля). «Передача истории болезни в ЕГИСЗ» — ФЗ-323 и постановления Правительства об информационных системах здравоохранения.
Проверяете основания обработки в МИС — нашли пробелы?
Главный врач отвечает за классификацию ИСПДн и корректность правовых оснований. Если согласия нет или оно оформлено неверно — каждый пациент становится потенциальным основанием для протокола РКН по ч. 2 ст. 13.11 КоАП (до 700 тыс. ₽ за нарушение требований к согласию). Юристы DATUM проведут аудит оснований обработки в вашей клинике и выявят расхождения до проверки.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru
Шаг 3. Оформите согласия пациентов по требованиям ст. 9 ФЗ-152 в редакции с 01.09.2025
С 01.09.2025 согласие на обработку ПДн оформляется отдельным документом — не встраивается в договор оказания медицинских услуг, не объединяется с информированным добровольным согласием на медицинское вмешательство (ИДС). Это изменение введено ФЗ-156 от 24.06.2025. Ранее выданные согласия переоформлять не требуется — закон обратной силы не имеет, но новые договоры с 01.09.2025 должны содержать отдельный документ на ПДн.
Обязательные реквизиты согласия по ст. 9 ФЗ-152: ФИО пациента и контактные данные, наименование и адрес оператора, цель обработки, перечень данных (включая спецкатегорию с указанием конкретных полей), перечень действий с данными, срок действия согласия, способ отзыва. Для спецкатегории — только письменная форма.
Отдельно хранятся: ИДС на медицинское вмешательство по ст. 20 ФЗ-323 и согласие на обработку ПДн по ст. 9 ФЗ-152. Путать их — типовая ошибка клиник, которую РКН фиксирует при внеплановых проверках по индикаторам риска.
Как передавать данные пациентов в ЕГИСЗ без нарушений 152-ФЗ?
Интеграция МИС с ЕГИСЗ (Единой государственной информационной системой в сфере здравоохранения) — обязанность медицинских организаций по ФЗ-323 и постановлениям Правительства. Передача сведений в ЕГИСЗ основана не на согласии пациента, а на прямом указании федерального закона — это отдельное основание по ч. 2 п. 2 ст. 10 ФЗ-152 (обработка предусмотрена законодательством РФ). Отдельное согласие пациента для передачи в ЕГИСЗ не требуется.
Риск возникает, когда медицинская организация передаёт в ЕГИСЗ больше данных, чем предусмотрено регламентом интеграции. Проверьте состав полей выгрузки: должности, домашние адреса, номера полисов ОМС в сочетании с детальными диагнозами — избыточная передача нарушает принцип минимизации данных по ст. 5 ФЗ-152.
Локализация обязательна: по ч. 5 ст. 18 ФЗ-152 первичные базы данных пациентов-граждан РФ должны находиться в России. Облачный МИС с хранением на зарубежных серверах — нарушение, штраф по ч. 8 ст. 13.11 КоАП от 1 до 6 млн ₽.
Главный врач клиники, использующей облачный МИС с зарубежным хостингом, рискует штрафом по ч. 8 ст. 13.11 КоАП от 1 до 6 млн ₽ за нарушение локализации. С 01.07.2025 требования ужесточены. Проверьте расположение серверов вендора до прихода инспектора РКН.
Подготовиться к проверке РКНШаг 5. Определите уровень защищённости ИСПДн и выполните технические требования
Информационная система, обрабатывающая специальные категории ПДн пациентов, классифицируется по ПП РФ №1119 от 01.11.2012. Для медицинских данных (спецкатегория) при актуальности угроз 2-го типа и числе субъектов более 100 000 — УЗ-1 (высший уровень). При меньшем числе субъектов и угрозах 3-го типа — УЗ-3.
Минимальный набор технических мер для МИС при спецкатегории: идентификация и аутентификация пользователей МИС (ИАФ), управление доступом (УПД — разграничение по ролям: лечащий врач видит только своих пациентов), регистрация событий в журнале (РСБ), антивирусная защита (АВЗ), защита сетевого взаимодействия (ЗИС). Состав формализуется в документе «Модель угроз» и «Технический паспорт ИСПДн».
Шаг 6. Настройте порядок реагирования на утечку за 24 и 72 часа
По ч. 3.1 ст. 21 ФЗ-152 при обнаружении утечки оператор обязан уведомить РКН в течение 24 часов. Через 72 часа — направить отчёт о результатах внутреннего расследования по Приказу РКН №187 от 14.11.2022. Для медицинской организации срок не продлевается и не восстанавливается.
Утечка медицинских данных — это одновременно нарушение ФЗ-152 (спецкатегория) и нарушение врачебной тайны по ст. 13 ФЗ-323. Это два параллельных риска: административный (ст. 13.11 КоАП) и гражданско-правовой (иски пациентов о компенсации морального вреда).
Разработайте в клинике: регламент реагирования на инцидент с ПДн, назначьте ответственного за передачу уведомления в РКН, определите перечень лиц, принимающих решение о признании события утечкой. При утечке медицинских данных более 1 000 пациентов штраф по ч. 12 ст. 13.11 КоАП составит от 3 до 5 млн ₽. Утечка более 100 000 — от 10 до 15 млн ₽ по ч. 14.
Шаг 7. Подготовьте организационно-распорядительную документацию (ОРД)
Для медицинской организации как оператора ПДн обязателен полный пакет ОРД по ст. 18.1 ФЗ-152. Ключевые документы: политика обработки ПДн (публикуется на сайте и должна быть размещена в регистратуре), приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152, согласия пациентов (отдельный документ с 01.09.2025), договор-поручение с вендором МИС, регламент реагирования на инцидент, журнал обращений субъектов ПДн.
Отсутствие опубликованной политики — штраф по ч. 3 ст. 13.11 КоАП от 30 до 60 тыс. ₽. Отсутствие договора-поручения с вендором МИС — нарушение п. 3 ст. 6 ФЗ-152 и основание для предписания по итогам проверки.
Что подготовить главному врачу
- Акт классификации ИСПДн с выделением полей спецкатегории в МИС
- Отдельные согласия пациентов на обработку ПДн по ст. 9 ФЗ-152 (форма — с 01.09.2025)
- Договор-поручение на обработку ПДн с вендором МИС по п. 3 ст. 6 ФЗ-152
- Политика обработки ПДн, опубликованная на сайте и размещённая в регистратуре
- Регламент реагирования на утечку: ответственный, 24-часовой таймер, форма уведомления РКН
Типовые ситуации: что идёт не так в клиниках
Ситуация 1. МИС с вендором без договора-поручения. Клиника (Сибирский ФО, осень 2025) заключила договор на сопровождение МИС без отдельного соглашения об обработке ПДн. Вендор фактически обрабатывал диагнозы и результаты анализов пациентов. РКН при внеплановой проверке квалифицировал ситуацию как нарушение п. 3 ст. 6 ФЗ-152 — обработка по поручению без надлежащего договора. Клинике выдано предписание об устранении. Договор был оформлен в течение двух недель; штрафа по ч. 1 ст. 13.11 удалось избежать благодаря оперативному устранению.
Ситуация 2. Утечка через МИС в Центральном ФО (2025). Частная многопрофильная клиника столкнулась с несанкционированным доступом к базе МИС. Затронуто около 4 000 карт пациентов с диагнозами. Главный врач уведомил РКН в течение 18 часов. Отчёт о расследовании направлен за 70 часов. По ч. 12 ст. 13.11 КоАП возбуждено дело (штраф для юрлиц 3–5 млн ₽). В ходе рассмотрения клиника представила доказательства оперативного реагирования и факта инвестиций в защиту. Суд назначил штраф в нижней части диапазона. Гражданские иски пациентов по врачебной тайне (ст. 13 ФЗ-323) рассматривались отдельно. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.
Частые вопросы
1. Чем отличается ИДС от согласия на обработку ПДн?
Информированное добровольное согласие (ИДС) на медицинское вмешательство регулируется ст. 20 ФЗ-323 и касается права пациента на получение информации о лечении и отказа от него. Согласие на обработку персональных данных регулируется ст. 9 ФЗ-152 и разрешает оператору совершать конкретные действия с конкретными данными. С 01.09.2025 согласие на ПДн — отдельный документ, не объединяемый с ИДС. Путать их — основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 тыс. ₽.
2. Можно ли публиковать фото «до и после» с согласия пациента?
Публикация фотографий пациента, из которых можно установить диагноз или факт лечения, относится к распространению спецкатегории ПДн по ст. 10.1 ФЗ-152. Требуется отдельное согласие на распространение — его нельзя объединить с общим согласием на лечение или согласием на обработку ПДн. Согласие должно прямо указывать: цель публикации, площадки размещения, перечень данных. Молчание пациента — запрет по умолчанию.
3. Кто отвечает за утечку через МИС — клиника или вендор?
Оператором ПДн является медицинская организация, а не вендор МИС. По ФЗ-152 ответственность перед субъектом несёт оператор независимо от того, через чей технический сбой произошла утечка. Вендор отвечает перед клиникой по условиям договора-поручения на обработку (п. 3 ст. 6 ФЗ-152). Если такого договора нет — клиника не может переложить ответственность. Судебная практика подтверждает: оператор отвечает за действия обработчика.
4. Какие данные передавать в ЕГИСЗ и нужно ли на это согласие пациента?
Состав данных, передаваемых в ЕГИСЗ, определён постановлениями Правительства и порядками, утверждёнными Минздравом. Правовое основание — прямое указание федерального законодательства (ч. 2 п. 2 ст. 10 ФЗ-152), поэтому отдельное согласие пациента не требуется. Клиника обязана передавать только те поля, которые предусмотрены регламентом интеграции. Передача избыточных данных нарушает принцип минимизации по ст. 5 ФЗ-152.
5. Что грозит клинике за утечку медицинских данных пациентов?
По ч. 12 ст. 13.11 КоАП (утечка 1 000–10 000 субъектов) штраф для юрлица составит 3–5 млн ₽. За утечку 10 000–100 000 субъектов по ч. 13 — 5–10 млн ₽. Более 100 000 субъектов по ч. 14 — 10–15 млн ₽. При повторной утечке — оборотный штраф по ч. 15 от 1 до 3% годовой выручки, не менее 20 млн ₽. Параллельно — нарушение врачебной тайны по ст. 13 ФЗ-323 и гражданские иски пациентов о компенсации морального вреда. Все нормы — в редакции с 30.05.2025.
6. Как РКН узнаёт об утечке, если клиника не сообщает?
РКН использует индикаторы риска и мониторинг утечек в открытых источниках. Если данные пациентов появились в даркнете или публичном доступе, регулятор может инициировать внеплановую проверку без предварительного уведомления. Неуведомление об утечке в 24-часовой срок само по себе является отдельным нарушением по ч. 11 ст. 13.11 КоАП — штраф 1–3 млн ₽, независимо от штрафа за саму утечку.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка МИС, оснований обработки, ОРД клиники
- Комплект ОРД под ключ — согласия, политика, договор-поручение с вендором
- Сопровождение проверок РКН — подготовка и представительство при внеплановой проверке
Итог
Медицинская организация обрабатывает специальные категории ПДн в силу своей деятельности — диагнозы, результаты анализов, сведения о лечении. С 30.05.2025 штрафы за утечку спецкатегории начинаются от 3 млн ₽ и достигают оборотного размера при повторении. Семь шагов в этой инструкции охватывают классификацию данных в МИС, основания обработки, оформление согласий по новым требованиям ФЗ-156, интеграцию с ЕГИСЗ, технические меры и реагирование на инцидент.
Юристы DATUM сопровождают медицинские организации по 152-ФЗ: аудит МИС и ОРД, подготовка к проверкам РКН, защита в арбитраже при штрафах по ст. 13.11 КоАП.
2 июня 2026 года