Перейти к содержанию
инструкция 14 января 2029 По состоянию на 14 января 2029

Утечка МИС: ч. 17 (биометрия) если есть

Утечка из медицинской информационной системы затрагивает спецкатегорию ПДн (ст. 10 ФЗ-152) и, если МИС содержит биометрию, — состав ч. 17 ст. 13.11 КоАП: штраф 15–20 млн ₽.
С 30.05.2025 каждая утечка от 1 000 субъектов образует самостоятельный состав ч. 12–14 ст. 13.11 (3–15 млн ₽); при наличии биометрии — ч. 17 (15–20 млн ₽) накладывается дополнительно. Повторная утечка — оборотный штраф по ч. 15 (1–3% выручки, но не менее 20 млн ₽).
Если в клинике произошёл инцидент с МИС — у вас 24 часа на первичное уведомление РКН. Действуйте по инструкции ниже или передайте реагирование юристам DATUM.

С 30.05.2025 медицинские организации обязаны уведомлять Роскомнадзор об утечке из МИС в течение 24 часов (ч. 3.1 ст. 21 ФЗ-152, Приказ РКН №187). Данные пациентов — это спецкатегория по ст. 10 ФЗ-152; фотографии для СКУД или сканы биометрических документов переводят дело в состав ч. 17 ст. 13.11 КоАП. Инструкция ниже описывает порядок действий главного врача с момента обнаружения инцидента до закрытия 72-часового отчёта РКН.

Какие данные МИС считаются биометрией?

Биометрические персональные данные по ст. 11 ФЗ-152 — это сведения, которые характеризуют физиологические и биологические особенности человека и позволяют установить его личность. В контексте медицинской организации к ним относятся: фотографии пациентов, если они используются для идентификации (СКУД, учётная карточка с фото), результаты ДНК-тестирования, данные об отпечатках пальцев, радужке глаза при входе в учреждение, образцы голоса в телемедицине при их хранении. Диагноз, анализы крови, история болезни — это спецкатегория по ст. 10 ФЗ-152, а не биометрия по ст. 11, даже если они содержат уникальные физиологические показатели. Разграничение принципиально: при утечке спецкатегории применяется ч. 12–14 ст. 13.11 КоАП (3–15 млн ₽ в зависимости от числа субъектов), а при утечке биометрии — ч. 17 (15–20 млн ₽).

«Ст. 11 ФЗ-152: биометрические ПДн — сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность. Обработка допускается только с письменного согласия субъекта, кроме случаев, предусмотренных законом.»

Практический тест для МИС: откройте карту пациента и проверьте, есть ли поле с фотографией, к которой привязана функция идентификации. Если фото хранится только в архиве и не используется для верификации личности при доступе в систему или учреждение, квалификация как биометрии под вопросом. Если же в МИС интегрирован СКУД с фотоверификацией или телемедицинская платформа с голосовой авторизацией — биометрия присутствует.

Шаг 1. Зафиксируйте факт инцидента в первые два часа

Как только ИТ-служба или сотрудник сообщает о подозрении на утечку, главный врач или назначенный ответственный за обработку ПДн (ст. 22.1 ФЗ-152) обязан немедленно запустить фиксацию. Промедление сокращает время на подготовку уведомления РКН: срок 24 часа отсчитывается с момента обнаружения, а не с момента подтверждения.

Что зафиксировать в первые два часа:

  • Точное время и дату, когда стало известно об инциденте (скриншот, письмо, устное сообщение с пометкой в журнале).
  • Предположительный источник — сервер МИС, интеграционный шлюз ЕГИСЗ, резервная копия, действия сотрудника.
  • Категория затронутых данных: диагнозы, анализы (спецкатегория по ст. 10 ФЗ-152), фотографии с идентификацией (биометрия по ст. 11 ФЗ-152), контактные данные, паспортные данные.
  • Предварительная оценка числа субъектов — от этого зависит часть ст. 13.11 (ч. 12 — от 1 000 до 10 000; ч. 13 — от 10 000 до 100 000; ч. 14 — более 100 000).
  • Наличие биометрии в утёкшем массиве — если есть, фиксируется отдельно для квалификации по ч. 17.

Запись о фиксации ведётся в журнале инцидентов с ПДн (часть ОРД по ст. 18.1 ФЗ-152). Если журнала нет — создайте документ немедленно, это будет доказательством оперативности при проверке РКН.

Инцидент уже произошёл, а уведомление не отправлено?

Если главный врач получил сообщение об инциденте с МИС и с момента обнаружения прошло менее 24 часов — есть время на корректное уведомление РКН. Если 24 часа уже истекли, необходимо немедленно оценить, как минимизировать последствия нарушения срока. Любая задержка фиксируется РКН и усиливает позицию по ч. 11 ст. 13.11 КоАП (штраф 1–3 млн ₽ за неуведомление).

Получить консультацию по утечке

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 2. Направьте первичное уведомление в РКН в течение 24 часов

Первичное уведомление подаётся через портал pd.rkn.gov.ru с использованием УКЭП или через ЕСИА. Порядок определён Приказом РКН №187 от 14.11.2022. Уведомление не требует завершённого расследования — его цель состоит в том, чтобы РКН знал о факте инцидента.

Обязательные сведения в первичном уведомлении:

  • Наименование оператора ПДн и регистрационный номер в реестре РКН.
  • Дата и время обнаружения инцидента.
  • Предполагаемая причина и характер инцидента.
  • Категории ПДн, которые могли быть скомпрометированы (спецкатегория по ст. 10 или биометрия по ст. 11 ФЗ-152 — указывается отдельно).
  • Предварительная оценка числа затронутых субъектов.
  • Принятые немедленные меры по блокированию распространения.
  • Контактные данные ответственного за обработку ПДн (ст. 22.1 ФЗ-152).

Не указывайте в первичном уведомлении сведения, которые вы ещё не подтвердили. Расхождение между первичным уведомлением и 72-часовым отчётом допустимо и предусмотрено форматом: первое — оперативное, второе — по результатам расследования.

«Ч. 3.1 ст. 21 ФЗ-152: оператор обязан уведомить уполномоченный орган (РКН) об инциденте в течение 24 часов с момента его обнаружения. Неуведомление или нарушение срока влечёт ответственность по ч. 11 ст. 13.11 КоАП.»

Шаг 3. Проведите внутреннее расследование за 72 часа

Расследование проводится силами ИТ-службы, ответственного за ПДн и при необходимости привлечённых специалистов. Цель — установить точный объём утечки, причины, виновных и принятые меры. Результаты фиксируются в отчёте, который направляется в РКН не позднее 72 часов с момента обнаружения.

Что должно быть установлено в рамках расследования:

  • Точное число субъектов, чьи ПДн скомпрометированы (для квалификации по ч. 12, 13 или 14 ст. 13.11).
  • Наличие или отсутствие биометрических ПДн в утёкшем массиве (для квалификации по ч. 17 ст. 13.11).
  • Вектор атаки или причина инцидента: внешняя атака, ошибка конфигурации, действия сотрудника, уязвимость интеграции с ЕГИСЗ.
  • Была ли информация реально доступна третьим лицам или утечка осталась на уровне внутренней сети.
  • Какие меры приняты: изоляция сервера, смена учётных данных, уведомление пострадавших субъектов.

Отдельного уведомления пациентов ФЗ-152 не требует — но уведомление пострадавших субъектов фиксируется РКН как смягчающее обстоятельство при назначении санкций. Врачебная тайна по ст. 13 ФЗ-323 не освобождает от обязанности уведомить РКН, но может ограничивать публичное раскрытие деталей.

Шаг 4. Оцените квалификацию и возможные санкции

После установления объёма утечки необходимо определить, какие составы ст. 13.11 КоАП могут быть вменены. В медицинской организации квалификация, как правило, формируется из нескольких частей одновременно.

Матрица квалификации для МИС:

  • Утечка данных о состоянии здоровья (диагнозы, анализы) без биометрии: ч. 12 (1 000–10 000 субъектов, 3–5 млн ₽), ч. 13 (10 000–100 000, 5–10 млн ₽), ч. 14 (более 100 000, 10–15 млн ₽).
  • Утечка фотографий с функцией идентификации или иной биометрии: ч. 17 (15–20 млн ₽) — применяется независимо от числа субъектов.
  • Нарушение срока 24-часового уведомления РКН: ч. 11 (1–3 млн ₽).
  • Повторная утечка в течение года: ч. 15 — оборотный штраф 1–3% совокупной годовой выручки, не менее 20 млн ₽, не более 500 млн ₽.
«Ч. 17 ст. 13.11 КоАП (в редакции с 30.05.2025): утечка биометрических ПДн — штраф для юридических лиц 15–20 млн ₽. Применяется за исключением случаев, охватываемых ст. 13.11.3 КоАП (нарушения при размещении биометрии в ЕБС).»

Штрафы по разным частям могут суммироваться, если составы независимы. Так, за утечку биометрии медицинская организация может получить постановление одновременно по ч. 17 (15–20 млн ₽) и ч. 11 (1–3 млн ₽) за нарушение срока уведомления.

Если главный врач получил предписание или протокол по ст. 13.11 КоАП после утечки из МИС — срок на подачу возражений составляет 10 дней. Промедление лишает возможности применить смягчающие обстоятельства и ст. 4.1.1 КоАП.

Защитить от штрафа 13.11

Шаг 5. Устраните причины и подготовьте документацию

После направления 72-часового отчёта в РКН необходимо закрыть выявленные уязвимости и привести документацию в соответствие. Это важно как для предотвращения повторного инцидента, так и для демонстрации добросовестности при последующей проверке.

Минимальный перечень действий:

  • Обновить перечень обрабатываемых ПДн в уведомлении РКН (ст. 22 ФЗ-152), если выяснилось, что реальный состав данных отличается от заявленного.
  • Проверить наличие письменных согласий пациентов на биометрическую обработку (ст. 11 ФЗ-152) — при их отсутствии возникает дополнительный состав по ч. 2 ст. 13.11.
  • Актуализировать политику обработки ПДн (ст. 18.1 ФЗ-152) с учётом изменений в инфраструктуре.
  • Проверить договоры с оператором МИС и интегратором ЕГИСЗ на предмет наличия надлежащего поручения обработки по п. 3 ст. 6 ФЗ-152 и распределения ответственности за утечку.
  • Провести инструктаж персонала о порядке обращения с ПДн пациентов и зафиксировать его в журнале.

Документированные меры по устранению снижают риск повторного инцидента и служат основанием для применения ч. 1 ст. 4.1 КоАП (смягчающие обстоятельства) при назначении штрафа.

Типовые ситуации: как развивается дело после утечки МИС

Ситуация 1. Утечка без биометрии, уведомление направлено вовремя. Клиника в Сибирском федеральном округе (лето 2025) столкнулась с взломом сервера МИС: утекли диагнозы и контакты около 12 000 пациентов. Биометрии в системе не было. Ответственный за ПДн направил первичное уведомление РКН через 18 часов, через 70 часов — отчёт о расследовании. Квалификация: ч. 13 ст. 13.11 (10 000–100 000 субъектов, 5–10 млн ₽). В ходе арбитражного оспаривания применены смягчающие: оперативное уведомление, добровольное устранение уязвимости, первичное нарушение. Штраф снижен до минимума диапазона. Состав по ч. 11 предъявлен не был ввиду соблюдения срока. ⚠️ Номер дела и точная сумма — менеджер верифицирует при публикации.

Ситуация 2. Утечка с биометрией (фото в СКУД-интеграции), уведомление просрочено. Медицинский центр в Центральном федеральном округе (осень 2025) обнаружил утечку через неделю после инцидента — сработала система мониторинга даркнета. В МИС была интегрирована СКУД с фотографиями пациентов. Число субъектов — около 3 200. Квалификация: ч. 12 (3–5 млн ₽) + ч. 17 (15–20 млн ₽) + ч. 11 (1–3 млн ₽ за нарушение срока уведомления). При отсутствии письменных согласий на биометрию дополнительно рассматривался состав по ч. 2 ст. 13.11 (300 тыс. – 700 тыс. ₽). Итоговый риск — до 28 млн ₽ по совокупности составов. ⚠️ Номер дела и точная сумма — менеджер верифицирует при публикации.

Ситуация 3. Утечка через подрядчика-интегратора МИС. По устоявшейся позиции судебной практики, оператор ПДн несёт ответственность за действия лица, осуществляющего обработку по поручению (п. 3 ст. 6 ФЗ-152), если надлежащее поручение не оформлено или не содержит обязательных условий. Медицинская организация, передавшая данные пациентов компании-разработчику МИС без письменного договора поручения, рискует получить штраф по ст. 13.11 за утечку, которую технически совершил подрядчик.

Что подготовить до инцидента

  • Журнал учёта инцидентов с ПДн и регламент реагирования (часть ОРД по ст. 18.1 ФЗ-152) — с назначенным ответственным по ст. 22.1.
  • Письменные согласия пациентов на обработку биометрии (ст. 11 ФЗ-152) — если в МИС или СКУД есть фотографии с идентификацией.
  • Договоры поручения обработки с оператором МИС и интегратором ЕГИСЗ (п. 3 ст. 6 ФЗ-152) с условиями о конфиденциальности и ответственности.
  • Актуальное уведомление в реестре РКН (ст. 22 ФЗ-152) с корректным перечнем категорий ПДн, включая спецкатегорию и биометрию.
  • Доступ к порталу pd.rkn.gov.ru с УКЭП — чтобы не тратить время на это при инциденте.

Услуги DATUM по теме

Частые вопросы

1. Чем отличается информированное добровольное согласие пациента от согласия на обработку персональных данных?

Информированное добровольное согласие (ИДС) по ст. 20 ФЗ-323 — это согласие пациента на медицинское вмешательство; оно регулирует отношения между пациентом и врачом в части лечения. Согласие на обработку ПДн по ст. 9 ФЗ-152 — это отдельный юридический документ, регулирующий, какие данные о пациенте собирает клиника, с какой целью и как долго хранит. После 01.09.2025 (ФЗ-156) согласие на ПДн не может быть включено в ИДС или договор на медицинские услуги — только отдельным документом. Клиника обязана иметь оба документа.

2. Можно ли публиковать фотографии пациентов «до и после» с их согласия?

Публикация фотографий «до/после» относится к распространению ПДн, на которое требуется отдельное согласие по ст. 10.1 ФЗ-152 — помимо согласия на саму обработку. Если изображение позволяет установить личность пациента и содержит сведения о состоянии здоровья, оно одновременно является спецкатегорией по ст. 10 ФЗ-152. Согласие должно прямо указывать: право на публикацию в конкретных каналах (сайт, социальные сети), срок, право на отзыв. При отсутствии такого согласия публикация образует состав по ч. 1 или ч. 2 ст. 13.11 КоАП.

3. Кто несёт ответственность за утечку через МИС — клиника или разработчик системы?

Медицинская организация как оператор ПДн несёт ответственность перед РКН и субъектами независимо от того, кто технически допустил утечку. Если разработчик МИС обрабатывает данные по поручению (п. 3 ст. 6 ФЗ-152), клиника всё равно остаётся ответственным оператором. Претензии к разработчику предъявляются в гражданско-правовом порядке по договору поручения. Именно поэтому договор с оператором МИС должен содержать чёткое распределение ответственности и требования к защите ПДн.

4. Какие данные клиника обязана передавать в ЕГИСЗ и как это связано с ПДн?

Передача сведений в ЕГИСЗ осуществляется на основании ФЗ-242 и нормативных актов Минздрава; медицинская документация передаётся без отдельного согласия пациента, поскольку это исполнение юридической обязанности (п. 2 ч. 1 ст. 6 ФЗ-152). Клиника обязана указать ЕГИСЗ как получателя ПДн в уведомлении РКН (ст. 22 ФЗ-152) и в политике обработки. Интегратор, осуществляющий техническое подключение к ЕГИСЗ, должен действовать по договору поручения обработки (п. 3 ст. 6 ФЗ-152).

5. Что грозит клинике за утечку из МИС после 30.05.2025?

Если утекли данные о состоянии здоровья без биометрии: ч. 12 ст. 13.11 (1 000–10 000 субъектов — 3–5 млн ₽), ч. 13 (10 000–100 000 — 5–10 млн ₽), ч. 14 (более 100 000 — 10–15 млн ₽). При наличии биометрии в утёкшем массиве дополнительно применяется ч. 17 (15–20 млн ₽). За нарушение срока 24-часового уведомления — ч. 11 (1–3 млн ₽). При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽, не более 500 млн ₽. С 11.12.2024 возможна уголовная ответственность по ст. 272.1 УК РФ для сотрудника, допустившего утечку умышленно.

6. Применима ли замена штрафа на предупреждение по ст. 4.1.1 КоАП для клиники?

Да, для микропредприятий и субъектов малого предпринимательства при первичном нарушении и отсутствии вреда замена штрафа на предупреждение по ст. 4.1.1 КоАП допустима — кроме составов ч. 15 и ч. 18 ст. 13.11 (оборотные). Небольшая частная клиника, впервые допустившая утечку и оперативно уведомившая РКН, имеет основания для подачи ходатайства о замене санкции. Юридическое сопровождение на этапе рассмотрения дела существенно повышает вероятность положительного исхода.

Итог

Утечка из МИС — это одновременно инцидент со спецкатегорией ПДн (ст. 10 ФЗ-152) и, при наличии биометрии, с составом по ч. 17 ст. 13.11 КоАП (15–20 млн ₽). Ключевой фактор, разграничивающий «управляемое дело» и «неуправляемое» — соблюдение срока 24 часов на уведомление РКН. Остальные риски — масштаб штрафа, возможность его снижения, применимость ст. 4.1.1 КоАП — определяются документацией, которую клиника готовит заранее.

Юристы DATUM специализируются на сопровождении медицинских организаций при проверках РКН, составлении пакетов ОРД под МИС и ЕГИСЗ-интеграцию, а также на защите от штрафов по ст. 13.11 КоАП в арбитражных судах после 30.05.2025.

Смотрите также

ОН
Ольга Нечаева
Аналитик · Медицина и образование
Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, обработка ПДн несовершеннолетних.

14 января 2029 года