инструкция 14 января 2029 По состоянию на 14 января 2029

Сравнение клиник по уровню соответствия 152-ФЗ

Медицинская организация обрабатывает данные о состоянии здоровья — специальную категорию по ст. 10 ФЗ-152. Любая утечка из МИС или ЕГИСЗ квалифицируется по ч. 12–14 ст. 13.11 КоАП: штраф от 3 до 15 млн ₽.

С 30.05.2025 действуют 18 частей ст. 13.11 КоАП в редакции ФЗ-420. Клиники, не выстроившие комплаенс по 152-ФЗ, несут риск оборотного штрафа при повторном нарушении — до 500 млн ₽.

→ Если вы главный врач и не уверены, что ваша клиника проходит по уровню защищённости УЗ-3 и выше, — эта инструкция поможет провести самооценку и сравнить позицию с требованиями РКН.

Главные врачи, как правило, узнают о проблемах с 152-ФЗ в момент проверки Роскомнадзора или после утечки из медицинской информационной системы. К тому времени устранить нарушения в сроки, установленные предписанием, уже сложно. Эта инструкция описывает шесть шагов, по которым любая клиника может оценить собственный уровень соответствия и сравнить его с требованиями закона до того, как регулятор выйдет с проверкой.

Шаг 1. Определите, какие данные пациентов вы обрабатываете

Первый шаг — инвентаризация категорий персональных данных. Медицинская организация, как правило, работает с тремя слоями данных одновременно.

Первый слой — общие персональные данные: ФИО, дата рождения, адрес, телефон, СНИЛС. Они необходимы для идентификации пациента и оформления документов.

Второй слой — специальные категории по ст. 10 ФЗ-152: сведения о состоянии здоровья, диагнозы, результаты анализов, сведения об интимной жизни. Обработка допустима только в случаях, прямо перечисленных в ч. 2 ст. 10 ФЗ-152, — в первую очередь для медицинской профилактики, установления медицинского диагноза и оказания медицинской помощи.

Третий слой — биометрические данные по ст. 11 ФЗ-152: изображение лица и голос пациента, если они используются для верификации личности (например, в системах контроля доступа или телемедицинских сервисах). Их обработка требует отдельного письменного согласия.

«Ст. 10 ФЗ-152 запрещает обработку данных о состоянии здоровья без явного правового основания. Для медицинских организаций таким основанием служит осуществление медицинской деятельности лицом, обязанным сохранять профессиональную тайну, — ч. 2 п. 4 ст. 10 ФЗ-152.»

Итог шага: составьте реестр категорий данных с указанием цели обработки и правового основания по ст. 6 и ст. 10 ФЗ-152. Без этого реестра невозможно корректно заполнить уведомление в РКН и оформить согласия.

Шаг 2. Проверьте наличие и состав согласий пациентов

Согласие пациента в медицинской организации существует в двух самостоятельных формах, которые нельзя объединять в один документ.

Первая форма — информированное добровольное согласие на медицинское вмешательство (ИДС) по ст. 20 Федерального закона № 323-ФЗ. Это медико-правовой документ о конкретной манипуляции или курсе лечения. Он регулируется нормами о врачебной тайне и не является согласием на обработку персональных данных.

Вторая форма — согласие на обработку персональных данных по ст. 9 ФЗ-152. С 01.09.2025 (ФЗ-156 от 24.06.2025) такое согласие оформляется отдельным документом и не может быть частью договора, медицинской карты или ИДС. Обязательные реквизиты: ФИО пациента, контакт, наименование клиники, цель обработки, перечень данных, перечень действий, срок, способ отзыва.

Если клиника передаёт данные пациентов третьим лицам — в страховые компании, лаборатории, телемедицинские платформы — потребуется отдельное согласие на каждую цель. Объединение нескольких целей в одном бланке допустимо, но каждая цель должна быть явно выделена.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025: с 01.09.2025 согласие на обработку ПДн оформляется документом, отдельным от любого иного документа. Ранее полученные согласия переоформлять не требуется — обратной силы нет.»

Итог шага: проверьте, не смешаны ли ИДС и согласие на ПДн. Если пациент подписывал один бланк «согласен на лечение и обработку данных» — это нарушение ч. 2 ст. 13.11 КоАП (штраф 300–700 тыс. ₽).

Согласия пациентов оформлены в карте или ИДС?

Если главный врач не уверен, что согласия на обработку ПДн выделены в отдельный документ после 01.09.2025, — каждый действующий бланк создаёт риск штрафа по ч. 2 ст. 13.11 КоАП до 700 тыс. ₽. Юристы DATUM проведут аудит документооборота клиники по чек-листу из 38 пунктов и выдадут приоритизированный план устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Оцените уровень защищённости информационной системы (МИС)

Медицинская информационная система (МИС) — это информационная система персональных данных (ИСПДн). Её уровень защищённости определяется по ПП РФ № 1119 от 01.11.2012 на пересечении трёх факторов: категория данных, тип угроз и численность субъектов.

Для большинства клиник актуален следующий расчёт. Данные о здоровье — специальная категория. Тип угроз 2 (актуальны угрозы, связанные с недокументированными возможностями системного ПО) — типичный выбор для коммерческих МИС. Число субъектов: если база пациентов превышает 100 000 человек — применяется УЗ-2; менее 100 000 — УЗ-3.

УЗ-3 требует как минимум: назначить ответственного по ст. 22.1 ФЗ-152, разработать модель угроз, внедрить технические меры по Приказу ФСТЭК № 21 (идентификация и аутентификация, управление доступом, защита носителей, регистрация событий, антивирус). Ни один из этих пунктов не является факультативным.

«ПП РФ № 1119 от 01.11.2012 устанавливает 4 уровня защищённости. УЗ-3 требуется при обработке специальных категорий ПДн менее 100 000 субъектов при угрозах 2-го типа. Конкретный состав мер — Приказ ФСТЭК № 21 от 18.02.2013.»

Итог шага: зафиксируйте уровень защищённости МИС в акте классификации ИСПДн. Отсутствие такого документа при проверке РКН расценивается как нарушение ст. 18.1 ФЗ-152.

Шаг 4. Проверьте статус в реестре операторов РКН и уведомление о ЕГИСЗ

Медицинская организация обязана уведомить Роскомнадзор о намерении обрабатывать персональные данные до начала обработки — ст. 22 ФЗ-152. Форма уведомления — Приказ РКН № 180 от 28.10.2022, подача через pd.rkn.gov.ru. Срок включения в реестр — 30 дней.

Отдельного внимания требует ЕГИСЗ — Единая государственная информационная система в сфере здравоохранения. Клиники, подключённые к ЕГИСЗ, передают данные пациентов в федеральную систему. Такая передача является самостоятельным видом обработки ПДн и должна быть отражена в уведомлении РКН. Если уведомление подавалось до подключения к ЕГИСЗ — его необходимо актуализировать по ст. 22 ч. 7 ФЗ-152.

Телемедицинские сервисы создают дополнительный риск: если видеоконсультация ведётся через платформу, сервер которой находится за рубежом, — это трансграничная передача специальных категорий ПДн. Потребуется уведомление РКН по ст. 12 ФЗ-152 до начала передачи.

«Ст. 22 ФЗ-152 обязывает оператора уведомить РКН до начала обработки. Неуведомление или несвоевременное уведомление — штраф 100–300 тыс. ₽ по ч. 10 ст. 13.11 КоАП (в редакции с 30.05.2025).»

Итог шага: проверьте запись клиники в реестре операторов на pd.rkn.gov.ru. Убедитесь, что в уведомлении указаны все фактические цели обработки, включая ЕГИСЗ и телемедицину.

Если клиника подключена к ЕГИСЗ, но уведомление в РКН не обновлялось после подключения — это нарушение ч. 10 ст. 13.11 КоАП. Юристы DATUM подготовят актуальное уведомление и сопроводят процедуру изменения сведений в реестре.

Подготовиться к проверке РКН

Шаг 5. Оцените организационно-распорядительную документацию

Организационно-распорядительная документация (ОРД) — обязательное условие соответствия ст. 18.1 ФЗ-152. РКН при проверке запрашивает её в первую очередь. Отсутствие любого обязательного документа — основание для протокола.

Минимальный пакет ОРД для медицинской клиники

Политика обработки персональных данных (ч. 2 ст. 18.1 ФЗ-152) — опубликована на сайте клиники в открытом доступе.
Приказ о назначении ответственного за организацию обработки ПДн (ст. 22.1 ФЗ-152) — с описанием должностных обязанностей.
Регламент работы с обращениями субъектов ПДн — порядок ответа на запросы пациентов в течение 10 рабочих дней (ст. 20 ФЗ-152).
Акт классификации ИСПДн с указанием уровня защищённости МИС (УЗ-2 или УЗ-3).
Регламент реагирования на инциденты — порядок уведомления РКН за 24 часа и отчёта за 72 часа (ч. 3.1 ст. 21 ФЗ-152, Приказ РКН № 187).

Помимо перечисленного, для клиник с КЭДО и передачей данных подрядчикам (лаборатории, страховщики, IT-провайдеры МИС) потребуются договоры поручения обработки ПДн по п. 3 ст. 6 ФЗ-152. Без такого договора оператор несёт полную ответственность за действия подрядчика при утечке.

Итог шага: проведите внутренний аудит ОРД по чек-листу. Если документов нет — их разработка занимает 2–4 недели при наличии юридической поддержки.

Как применяется сравнительная оценка на практике

Рассмотрим три типовые ситуации, с которыми сталкиваются главные врачи при самооценке соответствия 152-ФЗ.

Ситуация 1. МИС подключена к облачному провайдеру без договора поручения. Небольшая клиника (Сибирский ФО, лето 2025) использовала облачную МИС на инфраструктуре провайдера. Договор поручения обработки ПДн не заключался. После плановой проверки РКН выдал предписание об устранении нарушения ст. 6 ФЗ-152 и возбудил дело по ч. 1 ст. 13.11 КоАП. Клиника в течение 10 дней заключила договор, устранила нарушение и подтвердила исполнение предписания. Штраф назначен в минимальном размере. Стратегия: заключать договоры поручения до начала обработки, а не после проверки.

Ситуация 2. Утечка через МИС — что предъявит РКН. Региональная клиника (Центральный ФО, осень 2025) сообщила об инциденте в РКН через 36 часов после обнаружения — с нарушением 24-часового срока по ч. 3.1 ст. 21 ФЗ-152. Данные касались 2 400 пациентов — специальная категория. Квалификация: ч. 12 ст. 13.11 КоАП (утечка 1 000–10 000 субъектов) + ч. 11 ст. 13.11 КоАП (несвоевременное уведомление). Совокупный штраф для юрлица составил от 4 до 8 млн ₽. Стратегия: наличие утверждённого регламента реагирования и ответственного лица сокращает время реакции до приемлемого.

Ситуация 3. Публикация фото «до и после» без надлежащего согласия. Клиника косметологии (Уральский ФО, начало 2026) публиковала фото пациентов с результатами процедур. Подписанное согласие на медицинское вмешательство не включало согласие на распространение ПДн по ст. 10.1 ФЗ-152. Жалоба пациента в РКН повлекла возбуждение дела по ч. 2 ст. 13.11 КоАП. Стратегия: согласие на распространение — отдельный документ с явным указанием способа распространения (сайт, соцсети) и срока.

Шаг 6. Сформируйте итоговую матрицу уровня соответствия

После прохождения шагов 1–5 руководитель клиники располагает данными для сводной оценки. Сопоставьте фактическое состояние по каждому блоку с требованием закона.

Блок 1 — категории данных и основания обработки: реестр составлен, основания прописаны для каждой категории (ст. 6, ст. 10 ФЗ-152).

Блок 2 — согласия: ИДС и согласие на ПДн разделены, реквизиты по ст. 9 ФЗ-152 полные, дата после 01.09.2025 или ранее (с учётом отсутствия обратной силы ФЗ-156).

Блок 3 — МИС и уровень защищённости: акт классификации ИСПДн составлен, уровень определён, технические меры по Приказу ФСТЭК № 21 внедрены.

Блок 4 — реестр РКН и уведомления: уведомление актуально, ЕГИСЗ и телемедицина отражены, трансграничные передачи задекларированы.

Блок 5 — ОРД: политика опубликована, регламенты утверждены, ответственный назначен приказом, договоры поручения заключены со всеми подрядчиками.

Каждый блок получает оценку: «соответствует», «частично», «не соответствует». Результат матрицы — основа для плана устранения нарушений с приоритизацией по рискам.

«Ст. 18.1 ФЗ-152 обязывает оператора принимать меры, необходимые для выполнения обязанностей по закону, и уметь их подтвердить. Отсутствие документального подтверждения = нарушение, независимо от фактического состояния защиты.»

Частые вопросы

1. Чем отличается ИДС от согласия на обработку персональных данных?

Информированное добровольное согласие на медицинское вмешательство (ИДС) — документ, регулируемый ст. 20 Федерального закона № 323-ФЗ. Он подтверждает, что пациент осознанно согласился на конкретную манипуляцию или лечение. Согласие на обработку персональных данных — отдельный документ по ст. 9 ФЗ-152, с обязательными реквизитами: цель, перечень данных, срок, способ отзыва. С 01.09.2025 (ФЗ-156) согласие на ПДн нельзя включать в ИДС, договор или медицинскую карту. Объединение двух документов в один бланк — основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 тыс. ₽.

2. Можно ли публиковать фото «до и после» с согласия пациента?

Да, но только при наличии отдельного согласия на распространение персональных данных по ст. 10.1 ФЗ-152. Это согласие не может быть частью ИДС или стандартного согласия на обработку ПДн. В документе должен быть явно указан способ распространения (сайт клиники, социальные сети, рекламные материалы), срок и порядок отзыва. Дефолтное правило ст. 10.1: молчание субъекта означает запрет на распространение. Отсутствие отдельного согласия — нарушение ч. 2 ст. 13.11 КоАП.

3. Кто отвечает за утечку через МИС — клиника или IT-провайдер?

По общему правилу ФЗ-152 ответственность несёт оператор — клиника. Если МИС обслуживает IT-провайдер, он является лицом, осуществляющим обработку по поручению (п. 3 ст. 6 ФЗ-152), и должен быть связан с клиникой договором поручения с обязательным описанием мер защиты. Без такого договора клиника несёт полную административную ответственность по ст. 13.11 КоАП за действия провайдера. Наличие договора и доказательства надлежащих инструкций провайдеру смягчают ответственность, но не устраняют её полностью.

4. Какие данные клиника обязана передавать в ЕГИСЗ?

Перечень сведений, подлежащих передаче в ЕГИСЗ, определяется нормативными актами Минздрава в рамках Федерального закона № 323-ФЗ. Как правило, это данные об оказанных медицинских услугах, электронные медицинские документы, данные мониторинга здоровья. Для целей 152-ФЗ важно: передача в ЕГИСЗ — самостоятельная операция обработки специальных категорий ПДн, которая должна быть указана в уведомлении РКН по ст. 22 ФЗ-152. Если уведомление подавалось до подключения к ЕГИСЗ, его необходимо актуализировать.

5. Что грозит клинике за утечку медицинских данных пациентов?

Штраф зависит от числа пострадавших субъектов. Утечка данных 1 000–10 000 пациентов — ч. 12 ст. 13.11 КоАП, 3–5 млн ₽. Утечка 10 000–100 000 пациентов — ч. 13, 5–10 млн ₽. Более 100 000 пациентов — ч. 14, 10–15 млн ₽. Если клиника уже привлекалась за утечку ранее — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽, не более 500 млн ₽. Дополнительно — штраф 1–3 млн ₽ по ч. 11 за несвоевременное уведомление РКН. Уголовная ответственность по ст. 272.1 УК РФ с 11.12.2024 — для физических лиц, причастных к утечке.

6. Можно ли хранить биометрические данные пациентов в МИС клиники?

Изображение лица и голос пациента являются биометрическими данными по ст. 11 ФЗ-152, если используются для верификации личности. Их обработка требует письменного согласия пациента. Хранение биометрии в МИС допустимо при соблюдении требований ст. 11 ФЗ-152 и технических мер по Приказу ФСТЭК № 21. Если биометрия используется для СКУД или телемедицины, следует дополнительно проверить применимость требований ФЗ-572 о Единой биометрической системе.

Итог

Уровень соответствия клиники 152-ФЗ определяется по пяти блокам: категории данных, согласия, МИС и УЗ, реестр РКН, ОРД. Слабость в любом блоке — это задокументированное основание для штрафа при проверке. С 30.05.2025 размеры санкций выросли кратно: утечка данных 1 000 пациентов обходится минимум в 3 млн ₽, повторная — потенциально в десятки миллионов.

Юристы DATUM специализируются на приведении медицинских организаций в соответствие с 152-ФЗ: аудит МИС и ОРД, разработка согласий под требования ФЗ-156, сопровождение проверок РКН и защита в арбитраже по ст. 13.11 КоАП.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — анализ МИС, ОРД, согласий и реестра РКН
Комплект ОРД под ключ — полный пакет документов для медицинской организации
Сопровождение проверок РКН — подготовка к проверке и представление интересов

Нужна оценка уровня соответствия вашей клиники?

Юристы DATUM проводят аудит медицинских организаций по 152-ФЗ: проверяют МИС, согласия, ОРД и статус в реестре РКН. Практика «Ветров и партнёры» по защите персональных данных с 2014 года. Свяжитесь удобным способом — ответим за 2 часа.