инструкция 21 января 2028 По состоянию на 21 января 2028

Утечка через подрядчика-разработчика МИС

Медицинская организация остаётся оператором ПДн пациентов, даже если обработку ведёт подрядчик-разработчик МИС. Утечка через его инфраструктуру — это ваша ответственность по ч. 12–14 ст. 13.11 КоАП.

С 30.05.2025 штраф за утечку от 1 000 субъектов начинается от 3 млн ₽. Данные пациентов — специальная категория по ст. 10 ФЗ-152: состояние здоровья, диагнозы, история болезни. Повторная утечка влечёт оборотный штраф до 500 млн ₽ по ч. 15 ст. 13.11.

Если ваш разработчик МИС имеет доступ к данным пациентов без оформленного поручения — клиника нарушает закон прямо сейчас. Ниже — пошаговый порядок действий.

Главный врач несёт ответственность за обработку ПДн пациентов не только в рамках работы МИС, но и в части того, кому и на каких основаниях передан доступ к системе. Разработчик или IT-подрядчик, сопровождающий МИС, — это лицо, осуществляющее обработку по поручению оператора (п. 3 ст. 6 ФЗ-152). Без письменного договора-поручения его действия с данными пациентов незаконны. В этой инструкции — шесть шагов: от аудита текущих прав доступа до готовности к уведомлению РКН за 24 часа.

Шаг 1. Определите: подрядчик — обработчик или нарушитель?

Первый вопрос при любом инциденте или превентивной проверке: на каком правовом основании разработчик МИС имеет доступ к данным пациентов. По п. 3 ст. 6 ФЗ-152 оператор вправе поручить обработку ПДн другому лицу, но только при наличии письменного договора и при условии, что субъект — пациент — дал согласие или закон прямо это допускает.

Если договор с разработчиком содержит только технические условия сопровождения МИС, но не включает перечень действий с ПДн, категории данных, цели обработки и обязанность соблюдать конфиденциальность — договор-поручение отсутствует. Разработчик в этом случае обрабатывает данные без надлежащего основания.

«Ст. 6 ч. 3 ФЗ-152: оператор вправе поручить обработку ПДн другому лицу на основании заключённого договора. Лицо, осуществляющее обработку по поручению, обязано соблюдать принципы и правила обработки ПДн, предусмотренные ФЗ-152, и несёт ответственность перед оператором.»

Проверьте договор с разработчиком МИС по трём критериям: указан ли перечень допустимых действий с ПДн; установлена ли обязанность уничтожить или вернуть данные после окончания договора; предусмотрена ли ответственность за нарушение конфиденциальности. Если хотя бы один пункт отсутствует — договор подлежит переоформлению до того, как произойдёт инцидент.

Шаг 2. Проверьте категории данных в МИС и уровень их защиты

Данные, которые хранит МИС, — это не просто контактная информация. Диагнозы, назначения, результаты анализов, сведения о психических расстройствах или ВИЧ-статусе — специальные категории ПДн по ст. 10 ФЗ-152. Их обработка по общему правилу запрещена, кроме случаев, прямо указанных в п. 2 той же статьи: в частности, для оказания медицинской помощи при наличии информированного добровольного согласия (ИДС) по ст. 20 Федерального закона от 21.11.2011 № 323-ФЗ.

Уровень защищённости информационной системы обработки ПДн (ИСПДн) определяется по ПП РФ № 1119 от 01.11.2012. Для специальных категорий ПДн при числе субъектов свыше 100 000 требуется уровень защищённости УЗ-2; при меньшем числе — УЗ-3. Каждый уровень предполагает конкретный набор мер по Приказу ФСТЭК № 21 от 18.02.2013: разграничение доступа, регистрацию событий, защиту носителей, антивирусную защиту.

«Ст. 10 ФЗ-152: обработка специальных категорий ПДн (в т. ч. состояния здоровья) запрещена, если субъект не дал письменного согласия или обработка не необходима для оказания медицинской помощи.»

Проверьте: соответствует ли текущая конфигурация МИС требованиям установленного уровня защищённости. Распространена ситуация, когда медорганизация определила УЗ-3, а разработчик при доработке системы снизил фактический уровень защиты — убрал логирование или расширил права тестового аккаунта.

Подрядчик имеет доступ к МИС, а договор-поручение не оформлен?

Для главного врача это прямое нарушение ч. 1 ст. 13.11 КоАП: обработка ПДн без надлежащего основания. Штраф — от 150 000 ₽ при первичном нарушении, до 500 000 ₽ при повторном (ч. 1.1). Юристы DATUM проверят договоры с подрядчиками МИС, определят категории данных и уровень защиты, выдадут отчёт с планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Оцените объём потенциальной утечки и применимые санкции

Если инцидент уже произошёл или вы выявили уязвимость в правах доступа подрядчика, первым делом определите масштаб. Количество затронутых субъектов прямо влияет на состав правонарушения по ст. 13.11 КоАП в редакции с 30.05.2025.

От 1 000 до 10 000 субъектов — штраф 3–5 млн ₽ (ч. 12 ст. 13.11).
От 10 000 до 100 000 субъектов — штраф 5–10 млн ₽ (ч. 13).
Более 100 000 субъектов — штраф 10–15 млн ₽ (ч. 14).
Биометрические ПДн (изображение пациента, голос) — дополнительный состав по ч. 17: штраф 15–20 млн ₽.
При повторной утечке — оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽.

Медицинские данные — специальная категория. Это означает, что к санкциям по ст. 13.11 может добавиться ответственность по ст. 13 Федерального закона № 323-ФЗ за нарушение врачебной тайны и по ст. 137 УК РФ за незаконное распространение сведений о частной жизни. С 11.12.2024 действует ст. 272.1 УК РФ (введена ФЗ-421 от 30.11.2024): незаконные использование, передача или хранение компьютерной информации с ПДн — до 10 лет лишения свободы при тяжких последствиях (ч. 5).

Если разработчик МИС скомпрометировал данные — оператор (клиника) несёт ответственность за выбор ненадлежащего подрядчика и недостаточный контроль. Принцип ответственности оператора за действия обработчика подтверждён судебной практикой ВС РФ.

Шаг 4. Выполните обязательства по уведомлению РКН за 24 и 72 часа

При обнаружении утечки или несанкционированного доступа к данным пациентов медорганизация обязана уведомить Роскомнадзор в двух точках. Порядок установлен ч. 3.1 ст. 21 ФЗ-152 и Приказом РКН № 187 от 14.11.2022 (действует с 01.03.2023).

«Ч. 3.1 ст. 21 ФЗ-152: при выявлении неправомерной или случайной передачи ПДн оператор обязан в течение 24 часов уведомить РКН о факте инцидента; в течение 72 часов — сообщить о результатах внутреннего расследования и принятых мерах.»

Первичное уведомление (24 часа) должно содержать: описание инцидента, предполагаемые причины, перечень категорий ПДн и предварительное число затронутых субъектов. Полноту данных на этом этапе закон не требует — важна своевременность. Уведомление о 72 часах должно содержать результаты внутреннего расследования: установленную причину, описание скомпрометированных данных, принятые меры, сведения о причастных лицах.

Нарушение срока 24 часов — самостоятельный состав по ч. 11 ст. 13.11 КоАП: штраф 1–3 млн ₽. Он не поглощается штрафом за саму утечку и назначается дополнительно. Срок не восстанавливается и не прерывается выходными.

Что подготовить для уведомления РКН

Журнал инцидентов с временными метками фиксации события.
Выгрузку из системы логирования МИС с указанием IP-адресов и действий подрядчика.
Перечень категорий ПДн в скомпрометированном разделе МИС (диагнозы, назначения, контакты).
Предварительную оценку числа затронутых субъектов-пациентов.
Копию договора с разработчиком МИС и сведения о его правах доступа.

Если главный врач обнаружил признаки инцидента с МИС — 24 часа на уведомление РКН не восстанавливаются (ч. 11 ст. 13.11 КоАП). Юристы DATUM возьмут реагирование под контроль: первичное уведомление, координация расследования, 72-часовой отчёт.

Реагировать на утечку

Шаг 5. Оформите договор-поручение и разграничьте права доступа

После инцидента — или до него — необходимо привести отношения с разработчиком МИС в соответствие с требованиями п. 3 ст. 6 ФЗ-152. Договор-поручение должен включать: исчерпывающий перечень действий с ПДн, разрешённых подрядчику; категории данных, к которым он имеет доступ; цели обработки; срок; обязательство уничтожить данные по истечении договора; требование о конфиденциальности; порядок реагирования на инциденты.

Параллельно следует провести ревизию прав доступа в самой МИС. Типовые нарушения в медицинских организациях: разработчик имеет постоянный доступ к продуктивной базе данных без ограничения по времени; тестовые аккаунты с расширенными правами не деактивированы; доступ к данным не разграничен по категориям — подрядчик видит и диагнозы, и финансовую информацию пациента.

Передача данных в ЕГИСЗ регулируется отдельно: состав передаваемых сведений определён подзаконными актами Минздрава. Пациент должен быть осведомлён о передаче данных в государственные информационные системы — это отдельное основание обработки по п. 2 ч. 2 ст. 10 ФЗ-152 (обработка в медицинских целях). ИДС по ст. 20 Федерального закона № 323-ФЗ и согласие на обработку ПДн — разные документы с разными реквизитами.

Шаг 6. Обновите ОРД и политику под изменения состава подрядчиков

Организационно-распорядительная документация медорганизации должна отражать реальный состав лиц, имеющих доступ к ПДн пациентов, — включая подрядчиков. По ч. 2 ст. 18.1 ФЗ-152 политика обработки ПДн обязана содержать сведения о мерах по обеспечению безопасности и о лицах, осуществляющих обработку по поручению.

Если разработчик МИС сменился или изменился объём его доступа — в течение 10 рабочих дней необходимо подать уведомление об изменении сведений в реестр операторов РКН по форме, утверждённой Приказом РКН № 180 от 28.10.2022. Актуализировать нужно раздел об обработчиках и перечне систем, в которых ведётся обработка.

С 01.09.2025 согласия пациентов на обработку ПДн оформляются отдельным документом по ФЗ-156 от 24.06.2025: они не могут быть встроены в договор на медицинские услуги или ИДС. Если старые согласия были объединены с договором на оказание медицинской помощи — их необходимо переоформить.

Как это применяется на практике

Кейс 1. Многопрофильная клиника (Уральский ФО, осень 2025) обнаружила, что разработчик МИС в течение 8 месяцев имел прямой доступ к продуктивной базе данных с диагнозами и контактами около 15 000 пациентов. Договор-поручения оформлено не было. Главный врач направил первичное уведомление в РКН через 20 часов после выявления факта. По результатам проверки РКН возбудил дела по ч. 1 ст. 13.11 (отсутствие правового основания для передачи данных подрядчику) и по ч. 13 ст. 13.11 (утечка от 10 000 до 100 000 субъектов). Штраф по совокупности — в диапазоне нескольких миллионов рублей. Своевременное уведомление было учтено как смягчающее обстоятельство. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Кейс 2. В деле АС Санкт-Петербурга и Ленинградской области № А56-4733/2026 (ПКР Аналитика) утечка около 70 000 субъектов после хакерской атаки была квалифицирована по ч. 14 ст. 13.11 КоАП. Судом применены смягчающие обстоятельства. Аналогичная логика применима к медицинским организациям: оперативное уведомление, наличие политики обработки и договора-поручения с подрядчиком снижают вероятность назначения штрафа на уровне максимума.

Типовые сценарии для главного врача

Сценарий 1. Подрядчик уже имеет доступ, договора-поручения нет. Ситуация: разработчик МИС подключился удалённо для обновления — это зафиксировано в логах, но договора нет. Доказательства: лог удалённых подключений, отсутствие договора в юридическом отделе. Вероятный исход: при проверке РКН — нарушение по ч. 1 ст. 13.11, штраф 150 000–300 000 ₽. Стратегия: немедленно заключить договор-поручение задним числом не получится — зафиксировать дату заключения текущим числом, ограничить доступ подрядчика до оформления, подготовить обоснование выбора подрядчика.

Сценарий 2. Инцидент с МИС обнаружен, причина неясна. Ситуация: на форуме появились скриншоты с данными пациентов, источник не установлен. Доказательства: скриншоты, запрос к подрядчику о состоянии системы, самостоятельная проверка логов. Вероятный исход: РКН рассматривает публичное появление данных как факт утечки. 24 часа на первичное уведомление отсчитываются с момента, когда организация узнала о возможном инциденте. Стратегия: уведомить РКН в рамках имеющихся сведений, параллельно проводить расследование. Отсутствие информации о причине — не основание для задержки.

Сценарий 3. Подрядчик сменился, уведомление РКН не подавалось. Ситуация: прежний разработчик МИС расторг договор, новый подрядчик работает третий месяц. Реестр РКН не обновлён. Доказательства: уведомление в реестре содержит устаревшие сведения об обработчиках. Вероятный исход: нарушение по ч. 10 ст. 13.11 (неуведомление об изменении сведений) — штраф 100 000–300 000 ₽. Стратегия: подать уведомление об изменении сведений через pd.rkn.gov.ru (Приказ РКН № 180) и актуализировать политику обработки ПДн.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка договоров с подрядчиками МИС, категорий ПДн и уровней защиты.
Комплект ОРД под ключ — договор-поручение, политика, согласия пациентов под новые требования ФЗ-156.
Сопровождение проверок РКН — представление интересов при проверке, обжалование предписания.

Частые вопросы

1. Чем отличается ИДС от согласия на обработку ПДн?

Информированное добровольное согласие (ИДС) по ст. 20 Федерального закона № 323-ФЗ — это согласие пациента на медицинское вмешательство. Согласие на обработку ПДн по ст. 9 ФЗ-152 — отдельный документ, дающий медорганизации право обрабатывать персональные данные в указанных целях. С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие на ПДн не может быть объединено с договором на оказание медицинской помощи или ИДС: оно оформляется как отдельный документ с обязательными реквизитами по ст. 9 ФЗ-152.

2. Кто отвечает за утечку через МИС — клиника или разработчик?

По ФЗ-152 ответственность перед субъектом ПДн и РКН несёт оператор — медицинская организация. Разработчик МИС как лицо, осуществляющее обработку по поручению (п. 3 ст. 6 ФЗ-152), несёт ответственность перед оператором в рамках договора. Если договор-поручение не заключён — оператор отвечает за выбор ненадлежащего подрядчика и недостаточный контроль доступа. Обратиться с регрессным требованием к разработчику можно в судебном порядке, но это не освобождает клинику от административной ответственности.

3. Какие данные пациентов передаются в ЕГИСЗ и нужно ли на это согласие?

Состав сведений, передаваемых медицинскими организациями в ЕГИСЗ, определён подзаконными актами Минздрава России. Основанием для обработки данных пациентов в государственных информационных системах здравоохранения является п. 2 ч. 2 ст. 10 ФЗ-152 (обработка в медицинских целях медицинским персоналом). Отдельного согласия пациента на передачу данных в ЕГИСЗ закон, как правило, не требует, однако пациент должен быть уведомлён об этом в рамках политики обработки ПДн клиники.

4. Что грозит клинике за утечку данных пациентов?

Совокупность возможных санкций включает административный штраф по ст. 13.11 КоАП: от 3 млн ₽ (утечка от 1 000 субъектов, ч. 12) до 15 млн ₽ (более 100 000 субъектов, ч. 14); при повторной утечке — оборотный штраф до 500 млн ₽ по ч. 15. Дополнительно: ответственность за нарушение врачебной тайны по ст. 13 Федерального закона № 323-ФЗ, ст. 137 УК РФ за незаконное распространение сведений о частной жизни и ст. 272.1 УК РФ (введена с 11.12.2024) — до 10 лет лишения свободы при тяжких последствиях.

5. Можно ли публиковать фото пациентов «до и после» с их согласия?

Публикация фотографий пациентов — это распространение персональных данных, а изображение лица в ряде случаев квалифицируется как биометрические ПДн (ст. 11 ФЗ-152). По ст. 10.1 ФЗ-152 распространение ПДн допустимо только при наличии отдельного согласия субъекта именно на распространение — оно не может быть частью общего согласия на обработку. Согласие должно содержать исчерпывающий перечень ПДн, разрешённых для распространения, и указание на конкретные площадки публикации. Молчание пациента или его пассивное поведение не считается согласием на распространение.

6. С какого момента отсчитываются 24 часа для уведомления РКН?

Срок 24 часа по ч. 3.1 ст. 21 ФЗ-152 отсчитывается с момента, когда оператор выявил (или должен был выявить) факт инцидента. Если сотрудник обнаружил подозрительную активность, а главный врач узнал об этом спустя несколько часов — срок начался в момент первичного обнаружения, а не информирования руководства. Поэтому регламент реагирования на инциденты должен предусматривать немедленное уведомление ответственного за обработку ПДн при любых признаках несанкционированного доступа.

Итог

Утечка через подрядчика-разработчика МИС — это не ответственность разработчика перед пациентами. Это ответственность медицинской организации как оператора ПДн: от штрафа по ст. 13.11 КоАП до уголовного преследования по ст. 272.1 УК при тяжких последствиях. Порядок действий простой: договор-поручение до начала работ, контроль прав доступа в МИС, уведомление РКН в 24 часа при инциденте.

DATUM сопровождает медицинские организации по вопросам соответствия ФЗ-152: от аудита договоров с подрядчиками МИС и оформления ОРД до представления интересов при проверке РКН и реагирования на утечки в установленные сроки.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, обработка ПДн несовершеннолетних.