Перейти к содержанию
инструкция 14 января 2029 По состоянию на 14 января 2029

Срок ответа пациенту: 10 рабочих дней

Медицинская организация обязана ответить пациенту на запрос о его персональных данных в течение 10 рабочих дней с даты обращения — ст. 20 ФЗ-152.
Данные пациента — специальная категория по ст. 10 ФЗ-152 и врачебная тайна по ст. 13 323-ФЗ. За нарушение срока или порядка — штраф от 40 000 до 90 000 ₽ по ч. 4 ст. 13.11 КоАП, а при утечке — от 3 до 15 млн ₽.
Если вы главный врач и не настроен процесс работы с запросами пациентов — инструкция ниже поможет выстроить его за один рабочий день.

С 01.09.2025 требования к согласиям изменились: по ФЗ-156 каждое согласие на обработку персональных данных оформляется отдельным документом, не встроенным в договор или медицинскую карту. Для клиники это означает пересмотр форм информированного добровольного согласия, шаблонов в МИС и порядка ответов на обращения пациентов. В этой инструкции — шесть шагов, которые позволяют главному врачу выстроить процесс с нуля или проверить действующий.

Пациент прислал запрос на доступ к своим данным — что делать?

У клиники есть 10 рабочих дней на ответ (ст. 20 ФЗ-152). Если ответственный за обработку ПДн не назначен или шаблона ответа нет — срок нарушается автоматически. Нарушение фиксирует РКН при плановой или внеплановой проверке.

Подготовиться к проверке РКН

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 1. Назначьте ответственного за обработку персональных данных

По ст. 22.1 ФЗ-152 любая медицинская организация — юридическое лицо — обязана назначить лицо, ответственное за организацию обработки персональных данных. Без приказа о назначении клиника нарушает ч. 4 ст. 22.1, что фиксируется при первой же проверке РКН.

Ответственный получает три функции: принимает и регистрирует запросы пациентов, готовит проект ответа, контролирует соблюдение 10-рабочедневного срока. В небольших клиниках эту роль совмещает юрист или главный врач лично. В крупных — выделенный сотрудник или DPO на аутсорсинге.

«Ст. 22.1 ФЗ-152 — оператор-юрлицо обязан назначить лицо, ответственное за организацию обработки ПДн. Требования к квалификации — ч. 4 той же статьи.»

Приказ о назначении должен содержать: должность и ФИО сотрудника, перечень полномочий, порядок замещения в период отсутствия. Без последнего пункта при проверке возникает вопрос — кто отвечает, пока ответственный в отпуске.

Шаг 2. Зарегистрируйте клинику в реестре операторов РКН

До начала обработки персональных данных медицинская организация обязана уведомить Роскомнадзор по ст. 22 ФЗ-152. Форма подаётся через pd.rkn.gov.ru с УКЭП или через ЕСИА. После подачи — включение в реестр в течение 30 дней.

Для клиники критично правильно указать цели обработки: оказание медицинской помощи, ведение медицинской документации, передача данных в ЕГИСЗ, страховое взаимодействие с ОМС/ДМС. Каждая цель — отдельной строкой. Обработка за пределами заявленных целей нарушает ст. 5 ФЗ-152 и квалифицируется по ч. 1 ст. 13.11 КоАП.

«Ст. 22 ФЗ-152 — оператор уведомляет РКН о намерении обрабатывать ПДн до начала обработки. Форма — Приказ РКН №180 от 28.10.2022.»

Если клиника уже работает и уведомление не подавалось — это нарушение ч. 10 ст. 13.11 КоАП со штрафом 100 000–300 000 ₽. Подать уведомление можно в любой момент; это снизит риск при проверке, но не отменит ответственность за период без уведомления.

Шаг 3. Составьте отдельные согласия на обработку данных пациента

С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие на обработку персональных данных оформляется отдельным документом — не вписывается в договор об оказании медицинских услуг и не объединяется с информированным добровольным согласием на медицинское вмешательство (ИДС).

Для медицинской организации это означает два самостоятельных документа при каждом первичном обращении пациента: ИДС по ст. 20 323-ФЗ и согласие на обработку ПДн по ст. 9 ФЗ-152. Путать их нельзя — они регулируются разными законами и преследуют разные цели.

«Ст. 9 ФЗ-152 (ред. с 01.09.2025) — согласие субъекта должно быть отдельным документом с обязательными реквизитами: ФИО субъекта, контактные данные, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва.»

Данные о состоянии здоровья относятся к специальным категориям по ст. 10 ФЗ-152. Их обработка без явного письменного согласия пациента запрещена — исключение составляет только оказание экстренной медицинской помощи и случаи из п. 2 ст. 10. Согласие на обработку специальных категорий нельзя объединять с общим согласием на обработку обычных ПДн.

Если главный врач использует единую форму ИДС+согласие ПДн — с 01.09.2025 это нарушение ч. 2 ст. 13.11 КоАП (штраф до 700 000 ₽). Срок переоформления форм в МИС истёк. Юристы DATUM проведут аудит комплекта медицинских согласий и составят корректные шаблоны.

Заказать аудит 152-ФЗ

Шаг 4. Настройте журнал учёта обращений пациентов

Каждый запрос пациента на доступ к его данным, уточнение, блокирование или уничтожение фиксируется в журнале учёта обращений субъектов ПДн. Журнал — доказательство соблюдения срока при проверке РКН и в суде.

Минимальный состав записи: дата поступления запроса, способ поступления (лично, почта, email, МИС), суть требования, дата регистрации, ФИО ответственного, дата ответа, содержание ответа. Срок 10 рабочих дней отсчитывается от даты поступления, а не от даты регистрации — это принципиально при спорах.

«Ст. 20 ФЗ-152 — оператор предоставляет субъекту информацию об обработке его ПДн в течение 10 рабочих дней с даты обращения, с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта.»

Продление допускается один раз и только при уведомлении пациента о причинах задержки до истечения первых 10 рабочих дней. Если уведомление отправлено после — продление не засчитывается. Отсутствие журнала не позволяет доказать дату поступления запроса, что автоматически означает нарушение срока в глазах инспектора.

Шаг 5. Определите порядок передачи данных в ЕГИСЗ и МИС

Медицинские организации, подключённые к ЕГИСЗ, передают данные пациентов в федеральные реестры в рамках требований законодательства об охране здоровья. При этом каждая передача должна иметь правовое основание — либо согласие пациента, либо норму закона (например, обязательная передача сведений об инфекционных заболеваниях).

МИС как информационная система, обрабатывающая специальные категории ПДн, требует определения уровня защищённости по ПП РФ №1119. Для большинства частных клиник с базой более 100 000 пациентов актуален УЗ-3, что предполагает конкретный набор технических мер по Приказу ФСТЭК №21.

«Ст. 19 ФЗ-152 — оператор обязан применять организационные и технические меры защиты. Состав мер определяется уровнем защищённости (ПП РФ №1119) и Приказом ФСТЭК №21.»

Телемедицинские консультации с пациентами из других стран могут квалифицироваться как трансграничная передача по ст. 12 ФЗ-152. Если страна не входит в перечень государств, обеспечивающих адекватную защиту, — требуется предварительное уведомление РКН. Без него — нарушение.

Что подготовить главному врачу для соответствия 152-ФЗ

  • Приказ о назначении ответственного за обработку ПДн (ст. 22.1 ФЗ-152) с полномочиями и порядком замещения
  • Уведомление в реестр РКН о намерении обрабатывать ПДн (ст. 22 ФЗ-152) — актуальное, с медицинскими целями обработки
  • Отдельные согласия пациентов на обработку ПДн по ст. 9 ФЗ-152 (в редакции с 01.09.2025) — отдельно от ИДС по ст. 20 323-ФЗ
  • Журнал учёта обращений субъектов ПДн с фиксацией даты поступления и даты ответа
  • Политика обработки персональных данных с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152 — размещённая в открытом доступе

Шаг 6. Выстройте процесс реагирования на запросы пациентов

Получив запрос пациента — письменный, через МИС или по email — ответственный регистрирует его в журнале с указанием даты поступления. Это первое действие, которое нельзя откладывать: часы уже идут.

Запросы бывают нескольких типов: на доступ к данным (что обрабатывается, на каком основании), на уточнение неточных данных, на блокирование, на уничтожение по истечении цели обработки, на отзыв согласия. Для каждого типа — свой шаблон ответа и разные сроки исполнения по ст. 21 ФЗ-152.

Срок уничтожения или блокирования после отзыва согласия — 7 рабочих дней по ст. 21 ФЗ-152 (при отсутствии иных оснований для обработки). Для медицинской документации существуют законодательно установленные сроки хранения, которые могут конкурировать с требованием пациента об уничтожении. В этом случае клиника обязана письменно обосновать невозможность уничтожения со ссылкой на норму закона.

«Ст. 21 ФЗ-152 — при выявлении незаконной или неточной обработки оператор обязан устранить нарушение в течение 7 рабочих дней. Отзыв согласия — основание для прекращения обработки, если нет иного правового основания.»

Как это применяется на практике

Кейс 1. Частная стоматологическая клиника (Центральный ФО, осень 2025) получила запрос пациента об уничтожении его медицинских данных после прекращения обслуживания. Ответственного за обработку ПДн в клинике не было назначено, журнала учёта не существовало. РКН при внеплановой проверке зафиксировал три нарушения: отсутствие приказа по ст. 22.1, нарушение срока ответа по ч. 4 ст. 13.11 КоАП и отсутствие публичной политики обработки ПДн по ч. 3 ст. 13.11. Совокупный штраф составил сумму в пределах нескольких сотен тысяч рублей. После назначения штрафа клиника обратилась за сопровождением — на этом этапе снизить уже выписанный штраф значительно сложнее, чем предотвратить его.

Кейс 2. Многопрофильный медицинский центр (Приволжский ФО, начало 2026) использовал МИС с функцией телемедицины для консультаций пациентов, находившихся за рубежом. При проверке выяснилось, что передача данных квалифицировалась как трансграничная по ст. 12 ФЗ-152, уведомление РКН о трансграничной передаче подано не было. Одновременно формы согласий в МИС не были обновлены после 01.09.2025 — согласие на ПДн оставалось частью договора об оказании услуг. По итогам проверки составлено предписание с требованием устранить оба нарушения в течение 30 дней; протокол по ч. 2 ст. 13.11 КоАП передан на рассмотрение мировому судье.

Что даёт клинике типовая ситуация с запросом пациента

Ситуация 1 — пациент требует уничтожить данные. Клиника получает письменное требование. Ответственный фиксирует дату, проверяет, есть ли иные правовые основания для хранения (обязательный срок хранения медицинской документации по приказу Минздрава). Если основания есть — в течение 10 рабочих дней направляет мотивированный отказ со ссылкой на норму. Если нет — уничтожает данные в течение 7 рабочих дней и направляет подтверждение. Без журнала доказать соблюдение срока невозможно.

Ситуация 2 — пациент запрашивает, какие данные обрабатываются. Ответственный готовит ответ по перечню из ст. 14 ФЗ-152: перечень категорий ПДн, цели обработки, правовые основания, источники получения, третьи лица, которым данные передаются. Срок — 10 рабочих дней. Если запрос поступил через МИС — дата фиксируется автоматически в системе; но журнал всё равно нужен как независимый документ.

Ситуация 3 — пациент отзывает согласие на обработку ПДн. Клиника проверяет, есть ли иное основание для обработки (исполнение договора, законодательная обязанность). Если нет — прекращает обработку в течение 7 рабочих дней. Если есть — уведомляет пациента о том, что обработка продолжается на иных основаниях, с указанием конкретной нормы. Ответ — в течение 10 рабочих дней с даты поступления отзыва.

Услуги DATUM по теме

Частые вопросы

1. Чем отличается ИДС от согласия на обработку персональных данных?

Информированное добровольное согласие (ИДС) регулируется ст. 20 Федерального закона №323-ФЗ «Об основах охраны здоровья» и относится к праву пациента на медицинское вмешательство. Согласие на обработку персональных данных регулируется ст. 9 ФЗ-152 и относится к праву субъекта на информационное самоопределение. С 01.09.2025 (ФЗ-156) согласие на ПДн оформляется отдельным документом, не совмещённым с ИДС. Это два разных документа с разными реквизитами, разными целями и разными правовыми последствиями отзыва.

2. Можно ли публиковать фотографии пациентов «до и после» с их согласия?

Публикация изображения пациента относится к распространению персональных данных по ст. 10.1 ФЗ-152. Для этого требуется отдельное согласие на распространение — оно не может быть объединено с общим согласием на обработку. Согласие на распространение должно явно указывать способы и площадки публикации. Пациент вправе в любой момент отозвать это согласие, и тогда клиника обязана прекратить дальнейшее распространение. Уже опубликованный контент при отзыве должен быть удалён с ресурсов клиники.

3. Кто отвечает за утечку данных через МИС — клиника или поставщик системы?

Клиника как оператор персональных данных несёт ответственность перед РКН и пациентами вне зависимости от того, произошла ли утечка из-за уязвимости МИС. Если обработка поручена поставщику МИС, требуется договор поручения обработки по п. 3 ст. 6 ФЗ-152 с указанием обязательств по безопасности. При утечке через МИС без такого договора клиника несёт ответственность в полном объёме. При наличии договора — возможно взыскать убытки с поставщика в гражданском порядке, но ответственность перед регулятором остаётся у клиники.

4. Какие данные пациентов обязательно передавать в ЕГИСЗ?

Перечень сведений, передаваемых в федеральные реестры ЕГИСЗ, определяется нормативными актами в сфере охраны здоровья. К обязательным относятся: сведения о медицинских работниках, данные об оказанных медицинских услугах в рамках ОМС, сведения об отдельных категориях заболеваний (инфекционные, онкологические). Передача этих данных осуществляется на основании закона и не требует отдельного согласия пациента по п. 2 ст. 6 ФЗ-152. Важно: передача данных сверх установленного перечня требует согласия пациента или иного правового основания.

5. Что грозит клинике за утечку данных пациентов?

Данные о здоровье — специальная категория по ст. 10 ФЗ-152. При утечке медицинских данных применяются повышенные санкции по ст. 13.11 КоАП. Утечка от 1 000 до 10 000 субъектов — штраф 3–5 млн ₽ по ч. 12, от 10 000 до 100 000 — 5–10 млн ₽ по ч. 13, более 100 000 — 10–15 млн ₽ по ч. 14. При повторной утечке применяется оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽. Дополнительно — уголовная ответственность по ст. 272.1 УК РФ для конкретных лиц, допустивших утечку.

6. Что делать, если пациент подал запрос, а 10 рабочих дней уже истекли?

Если срок нарушен — подготовьте ответ немедленно и направьте его пациенту с письменными объяснениями причин задержки. Это не устраняет нарушение, но снижает вероятность жалобы в РКН. Если жалоба уже подана, зафиксируйте факт направления ответа и примите меры по недопущению повторения: назначьте ответственного, заведите журнал, установите шаблоны ответов. При проверке РКН наличие принятых мер учитывается как смягчающее обстоятельство по ст. 4.2 КоАП.

Итог

Соблюдение 10-рабочедневного срока ответа пациенту — не отдельная задача, а следствие выстроенного процесса: назначенного ответственного, актуального реестра РКН, отдельных согласий на ПДн и работающего журнала учёта обращений. Без этих элементов срок нарушается структурно, а не случайно.

Юристы DATUM сопровождают медицинские организации по всему комплексу требований ФЗ-152: от аудита МИС и ЕГИСЗ до подготовки согласий пациентов в редакции с 01.09.2025 и представительства при проверках Роскомнадзора.

Есть ситуация с РКН или инцидент с данными пациентов?

Практика «Ветров и партнёры» по 152-ФЗ с 2014 года. Оценим риски и предложим план действий. Работаем с медицинскими организациями по всей России.

Оценить риски по 152-ФЗ

+7 (383) 310-38-76 · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Смотрите также

ОН
Ольга Нечаева
Аналитик · Медицина и образование
Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, ПДн несовершеннолетних.

14 января 2029 года