Перейти к содержанию
инструкция 14 января 2029 По состоянию на 14 января 2029

Утечка МИС: ч. 12-14 ст. 13.11

Утечка данных из медицинской информационной системы — это инцидент с персональными данными особой категории: сведения о состоянии здоровья пациентов защищены ст. 10 ФЗ-152 и ст. 13 ФЗ-323.
С 30.05.2025 за утечку от 1 000 субъектов медорганизация платит от 3 до 15 млн ₽ по ч. 12–14 ст. 13.11 КоАП. При повторности — оборотный штраф до 500 млн ₽ по ч. 15.
Если в вашей клинике произошёл инцидент с МИС или ЕГИСЗ — у вас 24 часа на первичное уведомление РКН. → Читайте пошаговый порядок действий.

Медицинские организации хранят данные, которые закон относит к специальной категории: диагнозы, назначения, результаты анализов, сведения об интимной жизни пациентов. Любая утечка из МИС автоматически квалифицируется по ч. 12–14 ст. 13.11 КоАП в редакции с 30.05.2025 — в зависимости от числа затронутых субъектов. По данным РКН, в 2024 году зафиксировано более 135 случаев компрометации баз, свыше 710 млн записей. Медицина входит в тройку наиболее уязвимых отраслей. В этой инструкции — пошаговый порядок действий главного врача и ответственного за обработку ПДн от момента обнаружения инцидента до закрытия расследования.

Шаг 1. Чем отличаются данные МИС от обычных персональных данных?

Медицинская информационная система обрабатывает сведения о состоянии здоровья пациентов, поставленных диагнозах, назначенном лечении, результатах обследований. Всё это — специальные категории персональных данных по ст. 10 ФЗ-152. Их обработка по общему правилу запрещена, допускается только при наличии письменного согласия или при оказании медицинской помощи по ст. 13 ФЗ-323 (врачебная тайна).

«Ст. 10 ФЗ-152 — специальные категории ПДн, в том числе сведения о состоянии здоровья, обрабатываются только при наличии оснований из закрытого перечня п. 2 той же статьи. Ст. 13 ФЗ-323 — врачебная тайна; сведения, составляющие её, не подлежат разглашению без согласия пациента, за исключением случаев, прямо указанных в законе.»

Помимо этого, МИС, как правило, подключена к ЕГИСЗ (Единой государственной информационной системе в сфере здравоохранения). Передача данных в ЕГИСЗ — это самостоятельная операция обработки, требующая отдельного правового основания. Если интеграция настроена с нарушениями, утечка через канал ЕГИСЗ влечёт те же последствия, что и прямая атака на МИС.

Биометрические данные пациентов — изображения лица при видеоприёмах телемедицины, слепки пальцев в СКУД — обрабатываются дополнительно по ст. 11 ФЗ-152 и требуют письменного согласия. Их утечка квалифицируется по ч. 17 ст. 13.11 КоАП: штраф 15–20 млн ₽ за один инцидент.

Главный врач: когда МИС стала источником инцидента — что делать первые два часа?

Если в клинике зафиксирован неправомерный доступ к МИС или подозрение на него — у вас 24 часа на первичное уведомление РКН по ч. 3.1 ст. 21 ФЗ-152. Срок начинается с момента обнаружения, не с момента подтверждения. Задержка влечёт штраф 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП дополнительно к штрафу за саму утечку.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 2. Как квалифицируется утечка из МИС по ч. 12-14 ст. 13.11?

Части 12–14 ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024 дифференцируют ответственность по числу субъектов, чьи данные скомпрометированы:

  • Ч. 12: от 1 000 до 10 000 субъектов (или 10 000–100 000 идентификаторов) — штраф для юрлица 3 000 000–5 000 000 ₽.
  • Ч. 13: от 10 000 до 100 000 субъектов (или 100 000–1 000 000 идентификаторов) — штраф 5 000 000–10 000 000 ₽.
  • Ч. 14: более 100 000 субъектов (или более 1 000 000 идентификаторов) — штраф 10 000 000–15 000 000 ₽.
  • Ч. 15 (повторность): при повторном инциденте — 1–3% совокупной годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽.
«Ст. 13.11 КоАП в редакции с 30.05.2025 (ФЗ-420 от 30.11.2024) — ч. 12–14 устанавливают градуированную ответственность за утечку ПДн в зависимости от масштаба инцидента. Ч. 15 — оборотный штраф при повторности.»

Важно: в медицине почти любая утечка МИС затрагивает данные здоровья — специальную категорию по ст. 10 ФЗ-152. Это не меняет квалификацию по ч. 12–14, но влияет на оценку тяжести при назначении конкретного размера штрафа в рамках диапазона. Суды и РКН принимают во внимание категорию ПДн при выборе между минимальным и максимальным значением.

Кроме административной ответственности, с 11.12.2024 действует ст. 272.1 УК РФ (ФЗ-421): незаконное использование, передача или хранение компьютерной информации, содержащей персональные данные. По ч. 5 — до 10 лет лишения свободы при тяжких последствиях. Уголовная ответственность распространяется на сотрудника, допустившего утечку, и на руководителя при наличии умысла.

Шаг 3. Как зафиксировать инцидент и подать уведомление в РКН за 24 часа?

Первые действия определяют исход всего расследования. Чем точнее зафиксирован момент обнаружения — тем проще доказать соблюдение 24-часового срока.

Что подготовить для уведомления РКН в первые 24 часа

  • Внутренний акт фиксации инцидента: дата и время обнаружения, кто обнаружил, каким способом, какие системы затронуты.
  • Предварительная оценка числа субъектов: выгрузка из МИС по затронутым таблицам или журналу доступа.
  • Категория скомпрометированных данных: диагнозы, назначения, контактные данные, биометрия — каждая категория влияет на квалификацию.
  • Принятые первичные меры: блокировка учётных записей, изоляция сегмента сети, уведомление ИТ-службы.
  • Заполненная форма первичного уведомления по Приказу РКН №187 от 14.11.2022 — направляется через pd.rkn.gov.ru.

Через 72 часа после обнаружения необходимо направить в РКН отчёт о результатах внутреннего расследования: уточнённое число субъектов, перечень скомпрометированных категорий данных, установленные причины инцидента и принятые меры по устранению. Отчёт по форме Приказа РКН №187 подаётся через тот же портал.

Неуведомление или просрочка первичного уведомления — самостоятельный состав по ч. 11 ст. 13.11 КоАП, штраф 1 000 000–3 000 000 ₽ для юрлица. Этот штраф назначается независимо от штрафа за саму утечку по ч. 12–14.

Если клиника уже получила запрос РКН или протокол по ст. 13.11 — юристы DATUM возьмут защиту от момента протокола до постановления арбитражного суда. Применим ст. 4.1 и ст. 4.1.1 КоАП для снижения или замены штрафа.

Подготовиться к проверке РКН

Шаг 4. Как провести внутреннее расследование и восстановить ОРД?

Внутреннее расследование решает две задачи: установить причину инцидента и собрать доказательную базу для РКН и возможного арбитражного разбирательства. Результаты расследования напрямую влияют на размер штрафа — суды учитывают оперативность и полноту мер.

Расследование включает анализ журналов доступа МИС, аудит прав учётных записей, проверку интеграционных каналов с ЕГИСЗ и сторонними лабораторными системами. Если утечка произошла через подрядчика (аутсорсинговая ИТ-поддержка, облачный провайдер МИС) — оператор всё равно несёт ответственность перед РКН, поскольку поручение обработки не снимает обязанности контролировать меры защиты у обработчика (ст. 6 ФЗ-152).

После установления причины — восстановление организационно-распорядительной документации: приказ о назначении ответственного по ст. 22.1 ФЗ-152, обновлённая политика обработки ПДн по ст. 18.1, регламент реагирования на инциденты, пересмотренные согласия пациентов. Если клиника работает с телемедициной — проверьте, оформлено ли правовое основание для трансграничной передачи данных, если пациент находится за рубежом.

Как применяются ч. 12-14 ст. 13.11 на практике: три сценария для клиники

Сценарий 1. Атака на МИС, затронуто 4 500 пациентов. Клиника (Сибирский ФО, лето 2025) зафиксировала несанкционированный доступ к базе МИС через уязвимость в модуле записи онлайн. Скомпрометированы ФИО, даты рождения, контактные телефоны и коды МКБ-10 диагнозов. Число субъектов — 4 500. Квалификация: ч. 12 ст. 13.11 КоАП, диапазон штрафа 3–5 млн ₽. Клиника уведомила РКН за 19 часов, отчёт направила через 68 часов. При рассмотрении дела суд учёл оперативность и назначил штраф в нижней части диапазона. ⚠️ Конкретный номер дела и точная сумма — менеджер уточняет при публикации.

Сценарий 2. Инсайдерская утечка через сотрудника регистратуры, затронуто 23 000 записей. Сотрудник частной клиники (Центральный ФО, осень 2025) скопировал базу пациентов и продал её фармацевтическому агентству. Данные включали номера телефонов, диагнозы и назначения. Квалификация: ч. 13 ст. 13.11, штраф 5–10 млн ₽ для клиники. Дополнительно возбуждено уголовное дело по ст. 272.1 УК против сотрудника. Клиника не имела регламента разграничения прав доступа к МИС — это отягчило оценку принятых мер защиты.

Сценарий 3. Утечка через интеграцию с ЕГИСЗ, число субъектов не установлено быстро. Региональная больница (Приволжский ФО, начало 2026) обнаружила компрометацию данных через API-интеграцию с ЕГИСЗ. Число затронутых субъектов не удалось установить в течение 24 часов. Первичное уведомление подано с отметкой «число уточняется». РКН принял уведомление как поданное в срок. Через 72 часа в отчёте указано более 120 000 субъектов — квалификация сдвинулась на ч. 14, диапазон штрафа 10–15 млн ₽. Стратегия: при неизвестном числе субъектов подавать первичное уведомление с оговоркой и уточнять в отчёте за 72 часа.

Услуги DATUM по теме

Частые вопросы

1. Чем отличается ИДС от согласия на обработку персональных данных?

Информированное добровольное согласие (ИДС) по ст. 20 ФЗ-323 — это согласие пациента на медицинское вмешательство. Согласие на обработку персональных данных по ст. 9 ФЗ-152 — это отдельный документ, разрешающий оператору собирать, хранить и использовать данные пациента. С 01.09.2025 согласие на ПДн оформляется отдельным документом (ФЗ-156 от 24.06.2025) и не может быть включено в ИДС или договор об оказании медицинских услуг. Клиники, совмещавшие оба документа, обязаны разделить их.

2. Можно ли публиковать фотографии «до и после» с согласия пациента?

Публикация фотографий пациента требует соблюдения двух условий одновременно. Первое — отдельное согласие на распространение персональных данных по ст. 10.1 ФЗ-152: по умолчанию молчание пациента означает запрет на распространение. Второе — согласие на использование изображения по ст. 152.1 ГК РФ. Если фотография сделана в ходе лечения, она может дополнительно содержать сведения о диагнозе — специальную категорию по ст. 10 ФЗ-152. Отсутствие надлежащего согласия на распространение — состав по ч. 1 ст. 13.11 КоАП, штраф 150 000–300 000 ₽.

3. Кто отвечает за утечку через МИС: клиника или разработчик системы?

Перед РКН и судом отвечает клиника как оператор персональных данных. Разработчик или поставщик МИС, которому передана обработка данных по договору, выступает обработчиком по ст. 6 ФЗ-152. Договор поручения не освобождает оператора от ответственности: если обработчик допустил утечку, штраф по ст. 13.11 получит клиника. Возмещение ущерба с обработчика возможно в рамках гражданского иска, но это отдельное разбирательство. Поэтому в договоре с поставщиком МИС необходимо прямо прописать требования к защите данных и ответственность за инциденты.

4. Какие данные клиника обязана передавать в ЕГИСЗ?

Состав данных, передаваемых в ЕГИСЗ, определяется постановлениями Правительства РФ и регулируется ст. 91.1 ФЗ-323. Передача ПДн пациентов в ЕГИСЗ осуществляется на основании п. 2 ст. 10 ФЗ-152 (обработка в целях медицинской деятельности без согласия) либо на основании согласия — в зависимости от конкретного подсистемного модуля. Передача данных сверх установленного состава или с нарушением технических требований интеграции создаёт риск квалификации по ч. 1 ст. 13.11 КоАП. Точный состав обязательных передач — в действующей версии технических требований ФОМС и Минздрава.

5. Что грозит клинике за утечку данных пациентов в 2025-2026 году?

Административный штраф по ч. 12–14 ст. 13.11 КоАП в зависимости от числа субъектов: 3–5 млн ₽ (до 10 000 чел.), 5–10 млн ₽ (до 100 000 чел.), 10–15 млн ₽ (более 100 000 чел.). Дополнительно — штраф 1–3 млн ₽ за нарушение 24-часового срока уведомления РКН (ч. 11 ст. 13.11). При повторном инциденте — оборотный штраф до 500 млн ₽ (ч. 15). Для виновного сотрудника или руководителя — уголовная ответственность по ст. 272.1 УК РФ до 10 лет лишения свободы при тяжких последствиях. Гражданские иски пациентов о компенсации морального вреда рассматриваются параллельно.

6. Обязательно ли переоформлять согласия пациентов после 01.09.2025?

ФЗ-156 от 24.06.2025 не имеет обратной силы: согласия, полученные до 01.09.2025, считаются действительными при условии, что они содержат все обязательные реквизиты ст. 9 ФЗ-152 в редакции, действовавшей на момент их получения. Переоформление требуется в двух случаях: если новое согласие получается после 01.09.2025 (оно уже должно быть отдельным документом) или если клиника хочет изменить цели или состав обрабатываемых данных. Рекомендуется провести аудит действующих форм согласий — при несоответствии требованиям закон создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП (300 000–700 000 ₽).

Итог

Утечка данных МИС — это одновременно административный штраф по ч. 12–14 ст. 13.11 КоАП (от 3 до 15 млн ₽), потенциальный оборотный штраф при повторности (до 500 млн ₽), риск уголовного преследования по ст. 272.1 УК и гражданские иски пациентов. Три ключевых действия после обнаружения: зафиксировать инцидент, направить первичное уведомление в РКН в течение 24 часов, подготовить отчёт за 72 часа.

Юристы DATUM специализируются на защите медицинских организаций при инцидентах с персональными данными: сопровождают уведомление РКН, проводят аудит МИС и ОРД, защищают в арбитражном суде при оспаривании протоколов по ст. 13.11 КоАП.

Смотрите также

ОН
Ольга Нечаева
Аналитик · Медицина и образование
Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна.