инструкция 21 января 2029 По состоянию на 21 января 2029

Связь права по 152-ФЗ и по 323-ФЗ

Медицинская организация — одновременно оператор персональных данных по 152-ФЗ и субъект медицинского права по 323-ФЗ. Эти два режима работают параллельно и порождают самостоятельные обязанности.

Данные пациента — спецкатегория по ст. 10 152-ФЗ: состояние здоровья и интимная жизнь. Одновременно они составляют врачебную тайну по ст. 13 323-ФЗ. Утечка через МИС влечёт штраф от 3 до 15 млн ₽ по ч. 12–14 ст. 13.11 КоАП и уголовную ответственность по ст. 272.1 УК РФ.

Если вы главный врач — проверьте, разделены ли в вашей организации информированное согласие пациента и согласие на обработку персональных данных. Это разные документы с разными правовыми основаниями.

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: 18 частей вместо прежних 7, оборотный штраф за повторную утечку — до 500 млн ₽. Клиника, не разграничивающая режимы 152-ФЗ и 323-ФЗ, рискует одновременно нарушить оба закона одним и тем же действием. Эта инструкция показывает шаг за шагом, как выстроить документооборот и процессы так, чтобы соответствовать обоим режимам.

Шаг 1. Разграничьте правовые режимы: в чём различие 152-ФЗ и 323-ФЗ для клиники?

Главный врач обязан понимать: два закона регулируют один и тот же массив сведений, но с разных позиций.

Закон 323-ФЗ «Об основах охраны здоровья граждан» устанавливает врачебную тайну (ст. 13): сведения о факте обращения за медицинской помощью, состоянии здоровья, диагнозе и иные данные, полученные при обследовании и лечении. Нарушение тайны — административная и уголовная ответственность вне зависимости от того, как именно произошла передача.

Закон 152-ФЗ «О персональных данных» требует от медицинской организации как оператора соблюдать принципы ст. 5, законность оснований обработки (ст. 6), особый режим для спецкатегорий (ст. 10) и технические меры защиты (ст. 19). Данные о здоровье — прямо перечислены в ст. 10 как специальная категория.

«Ст. 10 152-ФЗ — обработка данных о состоянии здоровья по общему правилу запрещена; исключение — письменное согласие субъекта или иные основания п. 2 ст. 10, включая осуществление медицинской деятельности лицами, обязанными хранить профессиональную тайну.»

Практическая разница: 323-ФЗ защищает конфиденциальность сведений о пациенте перед третьими лицами, а 152-ФЗ регулирует весь жизненный цикл обработки данных — сбор, хранение, передачу, уничтожение — и требует организационно-распорядительной документации. Клиника может соблюдать врачебную тайну, но при этом нарушать 152-ФЗ из-за отсутствия политики обработки или устаревшего согласия.

Шаг 2. Проверьте, разделены ли информированное добровольное согласие и согласие на обработку ПДн

Наиболее распространённая ошибка медицинских организаций — объединение в одном документе информированного добровольного согласия (ИДС) на медицинское вмешательство и согласия на обработку персональных данных. Правовые последствия принципиально разные.

ИДС регулируется ст. 20 323-ФЗ: пациент даёт согласие на конкретное вмешательство, и это согласие — правовое основание для оказания медицинской помощи. Реквизиты ИДС определены медицинским законодательством: вмешательство, риски, альтернативы, право на отказ.

Согласие на обработку ПДн — отдельный документ по ст. 9 152-ФЗ. С 01.09.2025 (ФЗ-156 от 24.06.2025) оно оформляется только как самостоятельный документ, не объединяется с договором, политикой или ИДС. Обязательные реквизиты: ФИО пациента, контактные данные, наименование оператора, цель, перечень персональных данных, перечень действий с ними, срок, способ отзыва.

«Ст. 9 ч. 1 152-ФЗ в ред. ФЗ-156 от 24.06.2025 — согласие субъекта на обработку его персональных данных оформляется отдельным документом и не может быть совмещено с другими документами. Действует с 01.09.2025.»

Согласие на обработку не является основанием оказания медицинской помощи — это разные правоотношения. Пациент вправе отозвать согласие на обработку ПДн по ст. 9 ч. 2 152-ФЗ, однако это не означает прекращения лечения: обработка для исполнения медицинской деятельности лицами, обязанными хранить профессиональную тайну, допускается по иному основанию — п. 4 ч. 2 ст. 10 152-ФЗ.

Согласия пациентов — в трудовом договоре или вместе с ИДС?

Если главный врач не разделил ИДС и согласие на обработку ПДн до 01.09.2025, каждый такой документ создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП — до 700 000 ₽ за нарушение требований к составу согласия. Юристы DATUM проведут аудит документооборота медицинской организации по чек-листу из 38 пунктов и подготовят разделённые формы согласий.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Определите законные основания обработки медицинских данных

Медицинская организация обрабатывает данные о здоровье сразу по нескольким основаниям, и каждое требует документального подтверждения.

Первое — оказание медицинской деятельности лицами, обязанными хранить профессиональную тайну (п. 4 ч. 2 ст. 10 152-ФЗ). Это основание позволяет обрабатывать данные без отдельного согласия пациента непосредственно в рамках лечебного процесса. Оно применимо к врачам и среднему медперсоналу, но не к административному персоналу или подрядчикам.

Второе — передача данных в ЕГИСЗ и другие государственные информационные системы. Здесь основание — исполнение обязанности, предусмотренной законодательством (п. 2 ч. 1 ст. 6 152-ФЗ). Согласия пациента для передачи в ЕГИСЗ не требуется, но клиника обязана уведомить пациента об условиях передачи.

Третье — согласие пациента (п. 1 ч. 2 ст. 10 152-ФЗ в совокупности со ст. 9 152-ФЗ). Применяется при обработке данных, выходящей за рамки лечебного процесса: маркетинг, исследования, передача третьим лицам.

«Ст. 10 ч. 2 п. 4 152-ФЗ — обработка специальных категорий ПДн допускается, если осуществляется в медицинских целях лицами, профессионально обязанными хранить врачебную тайну.»

Ошибка в основании обработки — типичная причина штрафа по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽): обработка в случаях, не предусмотренных законом, или несовместимая с заявленными целями.

Шаг 4. Выстройте работу МИС в соответствии с требованиями ст. 19 152-ФЗ и ПП РФ № 1119

Медицинская информационная система (МИС), содержащая данные о здоровье пациентов, является информационной системой персональных данных (ИСПДн) со спецкатегорией. По ПП РФ № 1119 от 01.11.2012 это означает обязательный уровень защищённости не ниже УЗ-3, а при числе субъектов свыше 100 000 — УЗ-2.

Для определения уровня защищённости главный врач совместно с ответственным за обработку ПДн обязан оценить: тип актуальных угроз (1, 2 или 3), категорию данных (специальная — применимо для медданных), число субъектов. Результат оформляется актом классификации ИСПДн.

Технические меры по Приказу ФСТЭК № 21 от 18.02.2013 для УЗ-3 включают: идентификацию и аутентификацию (ИАФ), управление доступом (УПД), регистрацию событий безопасности (РСБ), антивирусную защиту (АВЗ), обнаружение вторжений (СОВ). Конкретный состав мер формируется на основании модели угроз.

Ключевой вопрос для клиники: права доступа к МИС. Административный сотрудник, работающий с расписанием, не должен видеть данные о диагнозах. Ограничение прав доступа — требование УПД по Приказу ФСТЭК № 21 и одновременно соблюдение режима врачебной тайны по ст. 13 323-ФЗ.

Что подготовить для соответствия двум режимам

Акт классификации МИС как ИСПДн с определением уровня защищённости (УЗ-2 или УЗ-3) и подписью ответственного за обработку ПДн
Разделённые формы: ИДС по ст. 20 323-ФЗ и согласие на обработку ПДн по ст. 9 152-ФЗ в редакции с 01.09.2025
Положение о разграничении прав доступа к МИС с матрицей ролей по категориям данных
Договор поручения обработки ПДн с поставщиком МИС по п. 3 ст. 6 152-ФЗ, если МИС — облачная или обслуживается подрядчиком
Политика обработки персональных данных по ч. 2 ст. 18.1 152-ФЗ, опубликованная на сайте клиники

Шаг 5. Урегулируйте передачу данных в ЕГИСЗ и телемедицинские платформы

Подключение к ЕГИСЗ порождает обязанность передавать данные в государственную информационную систему в сфере здравоохранения. Правовое основание — федеральное законодательство в сфере здравоохранения, поэтому согласие пациента для самой передачи не требуется. Однако клиника обязана корректно отразить эту передачу в уведомлении Роскомнадзора (ст. 22 152-ФЗ) и в политике обработки ПДн.

Телемедицина усложняет картину. Если пациент находится за пределами России, возникает трансграничная передача ПДн по смыслу ст. 12 152-ФЗ. До передачи данных в страну, не обеспечивающую адекватную защиту, требуется уведомление Роскомнадзора. При этом ст. 18 ч. 5 152-ФЗ о локализации обязывает хранить первичные данные граждан РФ в базах данных, расположенных в России.

«Ст. 18 ч. 5 152-ФЗ — запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных граждан РФ осуществляются с использованием баз данных, находящихся на территории РФ.»

Облачная телемедицинская платформа с серверами за рубежом нарушает требование локализации, если там хранятся первичные данные пациентов-граждан РФ. Штраф по ч. 8 ст. 13.11 КоАП — от 1 000 000 до 6 000 000 ₽.

Если главный врач получил запрос РКН или предписание по итогам проверки — у вас ограниченное время на ответ. Юристы DATUM сопроводят взаимодействие с регулятором и подготовят позицию клиники.

Подготовиться к проверке РКН

Что происходит на практике: три сценария для клиники

Сценарий 1. МИС передаёт данные подрядчику без договора поручения. Клиника заключила договор на техническое обслуживание МИС с IT-компанией. Доступ к серверу у подрядчика есть, договора поручения обработки ПДн по п. 3 ст. 6 152-ФЗ нет. При проверке РКН отсутствие договора фиксируется как нарушение — обработка ПДн третьим лицом без надлежащего поручения квалифицируется по ч. 1 ст. 13.11 КоАП. Штраф 150 000–300 000 ₽. Стратегия: заключить договор поручения до проверки; включить в него перечень действий, цели, обязанность конфиденциальности и уничтожения данных после окончания договора.

Сценарий 2. Утечка через МИС — что делать главному врачу. Сотрудник клиники (Уральский ФО, осень 2025) передал выгрузку из МИС с данными более 12 000 пациентов третьему лицу. Клиника обнаружила инцидент при внутренней проверке. Срок: 24 часа на первичное уведомление РКН по ч. 3.1 ст. 21 152-ФЗ, 72 часа — на отчёт о расследовании по Приказу РКН № 187. Данные о здоровье — спецкатегория, поэтому применяется ч. 13 ст. 13.11 КоАП (утечка 10 000–100 000 субъектов) — штраф 5 000 000–10 000 000 ₽. Одновременно — нарушение врачебной тайны по ст. 13 323-ФЗ и потенциально ст. 272.1 УК РФ для сотрудника. Стратегия: уведомить РКН в срок, провести расследование, уволить виновного, ограничить права доступа к МИС.

Сценарий 3. Публикация фото «до-после» без надлежащего согласия. Клиника пластической хирургии разместила на сайте и в социальных сетях фотографии результатов операций с подписью о том, что пациенты дали согласие. Согласие было включено в договор об оказании услуг — не как отдельный документ. После 01.09.2025 такое согласие не соответствует требованиям ст. 9 152-ФЗ в редакции ФЗ-156. Дополнительно: фотографии до и после могут содержать биометрические данные (изображение лица) и сведения о состоянии здоровья — двойная спецкатегория. Публикация без надлежащего отдельного согласия по ст. 10.1 152-ФЗ — нарушение. Стратегия: переоформить согласия, включить в них перечень конкретных изображений и платформ распространения.

Связанные услуги DATUM

Аудит соответствия 152-ФЗ — проверка документооборота медицинской организации по 38 пунктам
Комплект ОРД под ключ — политика, согласия пациентов, договоры поручения, приказы
Сопровождение проверок РКН — подготовка, представление интересов, обжалование предписаний

Частые вопросы

1. Чем отличается информированное добровольное согласие от согласия на обработку персональных данных?

ИДС по ст. 20 323-ФЗ — это согласие пациента на конкретное медицинское вмешательство; без него медицинская помощь не оказывается. Согласие на обработку ПДн по ст. 9 152-ФЗ — разрешение оператору совершать определённые действия с персональными данными пациента. Это два самостоятельных документа с разными реквизитами, разными правовыми последствиями и разными основаниями для отзыва. Объединять их в один документ с 01.09.2025 запрещено по ФЗ-156.

2. Можно ли публиковать фотографии «до-после» с согласия пациента?

Да, но согласие должно быть отдельным документом по ст. 9 и ст. 10.1 152-ФЗ, содержать прямое указание на цель распространения, перечень конкретных изображений и платформы. Если на фото видно лицо пациента — это биометрические данные по ст. 11 152-ФЗ, требующие письменного согласия отдельно. Если изображение отражает состояние здоровья — дополнительно применяется ст. 10. Включение такого согласия в договор об оказании услуг после 01.09.2025 не соответствует требованиям ФЗ-156.

3. Кто отвечает за утечку через МИС — клиника или поставщик системы?

Клиника как оператор ПДн несёт ответственность перед РКН и субъектами данных независимо от того, через чью инфраструктуру произошла утечка. Поставщик МИС — обработчик по смыслу п. 3 ст. 6 152-ФЗ; его ответственность перед клиникой определяется договором поручения. При отсутствии договора поручения клиника нарушает ещё и условие законности передачи данных третьему лицу. Практика ВС РФ подтверждает: оператор отвечает за действия подрядчика.

4. Какие данные клиника обязана передавать в ЕГИСЗ?

Состав передаваемых сведений определяется требованиями федерального законодательства в сфере здравоохранения и нормативными актами Минздрава России. Согласие пациента для самой передачи в ЕГИСЗ не требуется — основание по п. 2 ч. 1 ст. 6 152-ФЗ (исполнение обязанности, предусмотренной законом). Клиника обязана отразить факт такой передачи в политике обработки ПДн и уведомлении РКН по ст. 22 152-ФЗ.

5. Что грозит клинике за утечку данных пациентов?

Зависит от числа пострадавших субъектов. По ч. 12 ст. 13.11 КоАП (1 000–10 000 субъектов) — штраф 3 000 000–5 000 000 ₽; по ч. 13 (10 000–100 000) — 5 000 000–10 000 000 ₽; по ч. 14 (более 100 000) — 10 000 000–15 000 000 ₽. При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 000 000 ₽, не более 500 000 000 ₽. Дополнительно: нарушение врачебной тайны по ст. 13 323-ФЗ и ответственность по ст. 272.1 УК РФ для виновных сотрудников (до 10 лет по ч. 5 за тяжкие последствия).

6. Нужно ли отдельное согласие на обработку данных несовершеннолетних пациентов?

Да. Согласие на обработку ПДн несовершеннолетнего до 14 лет даёт его законный представитель (родитель, усыновитель, опекун). По достижении 14 лет — сам ребёнок. Это отдельное согласие по ст. 9 152-ФЗ, не совмещается с ИДС законного представителя по 323-ФЗ. Клиники, использующие единую форму для медицинского и персональнодатного согласия родителя, нарушают оба закона одновременно.

Итог

Медицинская организация работает в двух параллельных правовых режимах — 152-ФЗ и 323-ФЗ — и обязана соответствовать каждому самостоятельно. Смешение ИДС и согласия на обработку ПДн, отсутствие договора поручения с поставщиком МИС, неверно определённый уровень защищённости ИСПДн и данные пациентов на зарубежных серверах — каждое из этих нарушений создаёт самостоятельный штраф.

Практика DATUM в медицинском секторе охватывает аудит документооборота клиник, разработку разделённых форм согласий, классификацию МИС по ПП РФ № 1119 и сопровождение проверок РКН в организациях здравоохранения.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Обработка ПДн несовершеннолетних.

21 января 2029 года