инструкция 21 января 2029 По состоянию на 21 января 2029

Связь 152-ФЗ с ФЗ-323 и ФЗ-326

Медицинские данные пациента — специальная категория по ст. 10 ФЗ-152. Их обработка требует соблюдения одновременно трёх законов: 152-ФЗ, ФЗ-323 «Об основах охраны здоровья» и ФЗ-326 «Об обязательном медицинском страховании».

Утечка медицинских ПДн через МИС или ЕГИСЗ квалифицируется по ч. 12–14 ст. 13.11 КоАП — штраф от 3 до 15 млн ₽. За повторную утечку — оборотный штраф до 500 млн ₽ по ч. 15 ст. 13.11.

Если вы главный врач и не уверены, что согласие пациента закрывает требования всех трёх законов — эта инструкция для вас. → Разберём, что проверить и что переделать.

С 30.05.2025 в России действуют оборотные штрафы за утечки персональных данных. Для медицинской организации риск двойной: данные о состоянии здоровья относятся к спецкатегориям по ст. 10 ФЗ-152, а обработка медицинской информации дополнительно регулируется ФЗ-323 и ФЗ-326. Типичная ошибка — считать, что информированное добровольное согласие (ИДС) по ст. 20 ФЗ-323 одновременно закрывает требования к согласию на обработку ПДн по ст. 9 ФЗ-152. Это не так. В инструкции ниже — шесть шагов, которые позволят главному врачу привести обработку ПДн в соответствие со всеми тремя законами.

Шаг 1. Определите, какие нормы применяются к вашей медорганизации

Медицинская организация является оператором персональных данных по ст. 3 ФЗ-152: она собирает, хранит, обрабатывает и передаёт ПДн пациентов. Одновременно она обязана соблюдать врачебную тайну по ст. 13 ФЗ-323 и требования к обработке сведений о застрахованных лицах по ст. 44 ФЗ-326.

Ключевое разграничение: ФЗ-323 регулирует содержание медицинской информации и условия её раскрытия, а ФЗ-152 — порядок обработки любых персональных данных, включая медицинские. Оба закона применяются одновременно, и нарушение любого из них влечёт самостоятельную ответственность.

«Ст. 10 ФЗ-152 — сведения о состоянии здоровья, диагнозах, методах лечения и иная медицинская информация относятся к специальным категориям ПДн. Их обработка по общему правилу запрещена, за исключением случаев, прямо предусмотренных п. 2 ст. 10 ФЗ-152 — в том числе при наличии письменного согласия субъекта или в целях медицинского обслуживания.»

ФЗ-326 добавляет третий уровень: страховые медицинские организации и ТФОМС получают от медорганизации сведения о застрахованных в рамках ОМС. Такая передача — это обработка ПДн по поручению либо самостоятельная передача третьему лицу, и она требует отдельного правового основания по ст. 6 ФЗ-152.

Шаг 2. Разберитесь, чем ИДС отличается от согласия на обработку ПДн

Информированное добровольное согласие по ст. 20 ФЗ-323 — это согласие пациента на медицинское вмешательство. Оно подтверждает, что пациент ознакомлен с диагнозом, методами лечения и рисками. Согласие на обработку персональных данных по ст. 9 ФЗ-152 — это отдельный документ, разрешающий оператору собирать и использовать ПДн пациента.

С 01.09.2025 согласие на обработку ПДн по ФЗ-156 оформляется строго отдельным документом. Его нельзя включать в текст ИДС, договора на медицинские услуги или правила внутреннего распорядка. Обязательные реквизиты согласия: ФИО пациента, контактные данные, наименование медорганизации, цель обработки, перечень ПДн, перечень действий, срок, способ отзыва.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — согласие на обработку ПДн оформляется отдельным документом, не объединяется с иными документами. Требование действует с 01.09.2025. Ранее полученные согласия переоформлять не обязательно, если они соответствовали прежним требованиям.»

На практике это означает: в регистратуре пациент подписывает два документа — ИДС по ФЗ-323 и согласие на ПДн по ФЗ-152. Объединить их в одну форму с 01.09.2025 нельзя.

Согласия пациентов ещё включены в ИДС или договор?

Если в клинике пациент подписывает один документ вместо двух — это нарушение ч. 2 ст. 13.11 КоАП с 01.09.2025, штраф до 700 000 ₽ за каждый случай ненадлежащего согласия. Срок не восстанавливается: нарушение фиксируется с даты подписания. Юристы DATUM проведут аудит форм согласий и соберут пакет ОРД под требования ФЗ-152 и ФЗ-323.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Проверьте правовые основания для передачи данных в ЕГИСЗ и СМО

Медицинская организация передаёт сведения о пациентах в Единую государственную информационную систему здравоохранения (ЕГИСЗ) и страховым медицинским организациям (СМО) в рамках ОМС. Каждая такая передача — это обработка ПДн, которая требует правового основания по ст. 6 ФЗ-152.

Передача в ЕГИСЗ основана на исполнении обязанности, установленной законом (п. 2 ч. 1 ст. 6 ФЗ-152) — согласие пациента здесь не нужно. Передача в СМО для проведения медико-экономической экспертизы также опирается на прямую норму ФЗ-326. Однако если медорганизация использует МИС стороннего разработчика — возникает отношение оператор–обработчик, которое должно быть оформлено договором поручения по ст. 6 ФЗ-152.

«Ст. 13 ФЗ-323 — врачебная тайна: сведения о факте обращения за помощью, диагнозе и состоянии здоровья не могут раскрываться без согласия пациента, кроме случаев, перечисленных в ч. 4 ст. 13 ФЗ-323 (угроза жизни, запросы органов и т. д.). Нарушение врачебной тайны образует самостоятельный состав ответственности наряду с нарушением ФЗ-152.»

Телемедицинские консультации создают отдельный риск: если сервис телемедицины — зарубежный или использует облако за рубежом, передача данных пациента квалифицируется как трансграничная по ст. 12 ФЗ-152 и требует предварительного уведомления РКН.

Как МИС влияет на уровень защищённости ИСПДн?

Медицинская информационная система (МИС) обрабатывает спецкатегории ПДн (состояние здоровья, диагнозы) и, как правило, охватывает более 1 000 субъектов. По ПП РФ № 1119 это автоматически означает требование к уровню защищённости — как минимум УЗ-3, а при наличии угроз первого или второго типа — УЗ-2 или УЗ-1.

Уровень защищённости определяет набор технических и организационных мер по Приказу ФСТЭК № 21. На практике для большинства частных клиник с МИС на выделенном сервере актуален УЗ-3: шифрование, разграничение доступа, антивирус, журналирование и периодические оценки защищённости.

«ПП РФ № 1119 от 01.11.2012 — информационные системы, обрабатывающие спецкатегории ПДн более 1 000 субъектов при угрозах третьего типа, должны соответствовать УЗ-3. При угрозах второго типа — УЗ-2. Нарушение требований к УЗ ведёт к ответственности по ч. 1 ст. 13.11 КоАП (штраф до 300 000 ₽) и по ч. 12–14 при утечке.»

Если МИС эксплуатируется на базе SaaS-платформы или облачного провайдера, необходимо убедиться, что данные физически хранятся в России — это требование локализации по ч. 5 ст. 18 ФЗ-152. Нарушение локализации — штраф 1–6 млн ₽ по ч. 8 ст. 13.11 КоАП.

Если главный врач не уверен, какой уровень защищённости присвоить МИС или верно ли оформлены договоры с разработчиком МИС как обработчиком ПДн — риск штрафа от 1 до 15 млн ₽ уже существует. Юристы DATUM подготовят клинику к проверке Роскомнадзора и устранят нарушения в документах.

Подготовиться к проверке РКН

Шаг 5. Оцените риски через матрицу типовых ситуаций

Ситуация 1. Клиника использует МИС, договора поручения с разработчиком нет. Данные пациентов обрабатывает третье лицо без надлежащего правового основания. Это нарушение ст. 6 ФЗ-152 (поручение обработки без договора) и одновременно нарушение ст. 13 ФЗ-323 (доступ к врачебной тайне без законного основания). Вероятный исход при проверке — протокол по ч. 1 ст. 13.11 КоАП, штраф 150 000–300 000 ₽. Стратегия: заключить договор поручения, определить перечень обрабатываемых данных, инструкции для разработчика МИС.

Ситуация 2. В клинике хранится фотография «до и после» лечения с подписанным пациентом согласием, но согласие включено в договор услуг. Согласие на распространение биометрических ПДн (изображение лица) и согласие на публикацию с 01.09.2025 должны быть отдельными документами. Дополнительно требуется отдельное согласие по ст. 10.1 ФЗ-152 на распространение. Публикация фото без надлежащего согласия — нарушение ч. 2 ст. 13.11, штраф до 700 000 ₽. Стратегия: переоформить формы согласий, разделить ИДС, согласие на ПДн и согласие на распространение.

Ситуация 3. Утечка данных пациентов через взлом МИС. При утечке данных более 1 000 субъектов — уведомление РКН в течение 24 часов (ч. 3.1 ст. 21 ФЗ-152), отчёт об итогах расследования — в течение 72 часов (Приказ РКН № 187). Штраф за утечку 1 000–10 000 субъектов — 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП. При утечке медицинских спецкатегорий применяется ч. 16 ст. 13.11 дополнительно. Стратегия: заблаговременно утвердить регламент реагирования, назначить ответственного за инциденты, сформировать шаблоны уведомлений в РКН.

Шаг 6. Составьте чек-лист соответствия для медорганизации

Что подготовить главному врачу

Отдельная форма согласия на обработку ПДн (не совмещённая с ИДС и договором) — по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025, действует с 01.09.2025.
Договор поручения обработки ПДн с разработчиком МИС и иными IT-подрядчиками — с перечнем обрабатываемых данных и инструкциями по ст. 6 ФЗ-152.
Документ об определении уровня защищённости ИСПДн (УЗ-3 или выше) и набора мер по ПП РФ № 1119 и Приказу ФСТЭК № 21 — с актом оценки угроз.
Политика обработки ПДн, опубликованная на сайте клиники, с разделами об обработке спецкатегорий, о передаче в ЕГИСЗ и СМО — по ч. 2 ст. 18.1 ФЗ-152.
Регламент реагирования на инциденты с ПДн — с шаблонами уведомлений РКН за 24 и 72 часа по Приказу РКН № 187, назначением ответственного лица по ст. 22.1 ФЗ-152.

Кейс 1. Многопрофильная клиника Приволжского ФО (весна 2025) прошла внеплановую проверку РКН после жалобы пациента на получение рекламной рассылки без его согласия. В ходе проверки выявлено: согласие на ПДн включено в договор оказания услуг, договор поручения с разработчиком МИС отсутствует, политика обработки ПДн на сайте не опубликована. По итогам составлено три протокола по ч. 1, ч. 2 и ч. 3 ст. 13.11 КоАП на общую сумму в несколько сотен тысяч рублей. После сопровождения юристами удалось добиться замены штрафов на предупреждение по двум эпизодам через ст. 4.1.1 КоАП как для первичного нарушения.

Кейс 2. Региональная стоматологическая сеть (Уральский ФО, осень 2025) разместила на сайте фотографии пациентов «до и после» лечения. Согласие было оформлено в тексте договора на услуги — без выделения в отдельный документ и без пункта о распространении по ст. 10.1 ФЗ-152. После обращения одного из пациентов с требованием об уничтожении ПДн РКН возбудил дело по ч. 2 ст. 13.11. Штраф составил сотни тысяч рублей; клинике потребовалось переоформить согласия со всеми пациентами, чьи фото были опубликованы.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка форм согласий, МИС, договоров с подрядчиками, УЗ
Комплект ОРД под ключ — политика, согласия пациентов, регламент реагирования, приказы
Сопровождение проверок РКН — подготовка, представление интересов, обжалование предписаний

Частые вопросы

1. Чем отличается ИДС от согласия на ПДн?

Информированное добровольное согласие по ст. 20 ФЗ-323 подтверждает согласие пациента на конкретное медицинское вмешательство и информирует его о рисках. Согласие на обработку ПДн по ст. 9 ФЗ-152 — это разрешение оператору собирать и использовать личные данные. Это два самостоятельных документа с разными реквизитами и разными правовыми последствиями. С 01.09.2025 объединять их в одну форму запрещено — нарушение влечёт штраф до 700 000 ₽ по ч. 2 ст. 13.11 КоАП.

2. Можно ли публиковать фото «до — после» с согласия пациента?

Да, но при соблюдении трёх условий: получено отдельное согласие на обработку ПДн (ст. 9 ФЗ-152), получено отдельное согласие на распространение по ст. 10.1 ФЗ-152 (включая указание каналов распространения — сайт, соцсети), согласие не объединено с ИДС или договором. Фото лица пациента также является биометрическими ПДн по ст. 11 ФЗ-152, что требует письменного согласия. Нарушение любого из условий — основание для штрафа.

3. Кто отвечает за утечку через МИС — клиника или разработчик?

Перед Роскомнадзором и по ст. 13.11 КоАП ответственность несёт оператор ПДн — то есть медицинская организация. Это правило закреплено в ст. 6 ФЗ-152: оператор отвечает за действия обработчика, которому он поручил обработку. Разработчик МИС несёт ответственность перед клиникой по договору поручения. При отсутствии такого договора клиника несёт повышенный риск, так как обработка данных происходит без законного основания.

4. Какие данные нужно передавать в ЕГИСЗ и нужно ли брать согласие?

Передача в ЕГИСЗ осуществляется на основании прямой нормы закона — согласия пациента для этого не требуется по п. 2 ч. 1 ст. 6 ФЗ-152. Перечень передаваемых сведений определён нормативными актами Минздрава. Однако медорганизация обязана указать передачу в ЕГИСЗ как цель обработки в своей политике конфиденциальности и уведомлении в реестр РКН — иначе возникает расхождение между заявленными целями и фактической обработкой.

5. Что грозит клинике за утечку медицинских данных?

За утечку ПДн от 1 000 до 10 000 субъектов — штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП. При утечке свыше 100 000 субъектов — 10–15 млн ₽ по ч. 14. Дополнительно применяется ч. 16 ст. 13.11 за нарушение требований к обработке спецкатегорий ПДн. За неуведомление РКН в течение 24 часов о факте утечки — ещё 1–3 млн ₽ по ч. 11 ст. 13.11. При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽.

6. Нужно ли брать согласие на телемедицину отдельно?

Да. Телемедицинская консультация предполагает передачу медицинских данных через информационную систему. Если сервис телемедицины — это сторонний обработчик, требуется договор поручения. Если данные передаются за рубеж (облако иностранного провайдера), необходимо уведомление РКН о трансграничной передаче по ст. 12 ФЗ-152. Согласие пациента на телемедицинскую консультацию как медицинское вмешательство (ФЗ-323) и согласие на обработку ПДн (ФЗ-152) оформляются отдельно.

Итог

Медицинская организация работает в условиях тройного регулирования: ФЗ-152 устанавливает общие правила обработки ПДн, ФЗ-323 — специальный режим для медицинской информации и врачебной тайны, ФЗ-326 — порядок взаимодействия в системе ОМС. Нарушение любого из трёх законов влечёт самостоятельную ответственность, а при утечке медицинских данных санкции суммируются.

DATUM сопровождает медицинские организации в приведении обработки ПДн в соответствие с требованиями ФЗ-152, ФЗ-323 и ФЗ-326: аудит форм согласий, договоров с МИС, уровней защищённости, подготовка к проверкам Роскомнадзора и защита в арбитраже при штрафах по ст. 13.11 КоАП.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, обработка ПДн несовершеннолетних.