инструкция 4 июля 2026 По состоянию на 4 июля 2026

Уведомление МВД при огнестрельных ранениях

Q: Какие данные передавать в ЕГИСЗ?

Перечень и формат данных для ЕГИСЗ определяются Порядком Минздрава. Передаются медицинские данные учётного характера: диагноз по МКБ, дата обращения, объём медицинской помощи, исход. Персональные идентификаторы — СНИЛС, полис ОМС — передаются для привязки случая к застрахованному. Данные о передаче сведений в МВД в ЕГИСЗ не вносятся — это отдельный документооборот с другим правовым основанием.

Q: Нужно ли уведомлять РКН об утечке данных пациентов?

Да. При утечке персональных данных оператор обязан уведомить РКН в течение 24 часов с момента обнаружения по ч. 3.1 ст. 21 152-ФЗ. Через 72 часа направляется отчёт о результатах внутреннего расследования по Приказу РКН №187 от 14.11.2022. Неуведомление или просрочка влечёт штраф 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП. Срок не восстанавливается.

Медицинская организация обязана уведомить МВД при выявлении огнестрельного ранения — это требование закона, а не право. Данные пациента при этом относятся к специальным категориям по ст. 10 152-ФЗ.

Передача сведений о состоянии здоровья без законного основания нарушает ст. 13 323-ФЗ о врачебной тайне и создаёт риск штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽ за каждый неверно оформленный документ.

Если вы главный врач и не уверены, как уведомить МВД, не нарушив 152-ФЗ, — этот алгоритм даст пошаговый порядок действий.

Огнестрельное ранение — это медицинский случай, при котором закон прямо обязывает клинику взаимодействовать с МВД. Проблема не в самом уведомлении, а в том, что каждый шаг этого процесса затрагивает специальные категории персональных данных пациента. С 30.05.2025 за нарушения при обработке таких данных действуют штрафы по обновлённой ст. 13.11 КоАП в редакции ФЗ-420. Инструкция даёт шесть последовательных шагов: от первичной фиксации в МИС до закрытия цикла в ЕГИСЗ.

Шаг 1. Зафиксируйте факт ранения и правовое основание передачи сведений

При поступлении пациента с огнестрельным ранением медицинский работник обязан внести сведения в МИС немедленно. Это первичная запись, которая станет основанием для всех последующих действий.

Данные о характере ранения — это сведения о состоянии здоровья. По ст. 10 152-ФЗ они относятся к специальным категориям персональных данных и по общему правилу не могут обрабатываться без письменного согласия субъекта. Исключение — п. 4 ч. 2 ст. 10 152-ФЗ: обработка без согласия допускается в целях защиты жизни и здоровья, когда субъект физически не способен дать согласие. Ещё одно основание — п. 7 ч. 2 ст. 10 152-ФЗ: обработка необходима для осуществления прав и законных интересов в области здравоохранения, включая обязанности, прямо установленные законом.

«Ст. 13 ч. 4 323-ФЗ — сведения, составляющие врачебную тайну, могут передаваться без согласия пациента по запросу органов дознания и следствия, а также при угрозе распространения инфекционных и иных заболеваний. Передача МВД сведений об огнестрельном ранении прямо подпадает под этот перечень.»

Укажите в МИС: дату и время поступления, характер повреждения (огнестрельное), правовое основание передачи сведений — ссылку на ч. 4 ст. 13 323-ФЗ. Это защитит клинику при последующей проверке.

Шаг 2. Уведомите МВД в установленный срок

Закон не устанавливает точный срок в часах, однако судебная практика и позиция Минздрава исходят из немедленного уведомления — в течение дежурной смены, то есть фактически в течение нескольких часов с момента выявления ранения.

Форма уведомления — телефонное сообщение дежурному по территориальному органу МВД, затем письменное подтверждение. Регламент конкретной клиники должен закрепить: кто звонит (дежурный врач, администратор), по какому номеру, какую информацию сообщает, как фиксирует факт уведомления.

«Приказ Минздрава №834н и подзаконные акты по организации скорой и неотложной помощи предусматривают уведомление органов МВД при поступлении пациентов с травмами криминального характера. Конкретный регламент уведомления закрепляется внутренним положением медицинской организации.»

Минимальный объём сведений для уведомления МВД: ФИО пациента (если установлено), возраст, дата и время поступления, характер ранения. Сведения о диагнозе и лечении в уведомление не включаются — это выходит за пределы цели передачи и нарушает ст. 5 152-ФЗ о соответствии объёма данных целям обработки.

Регламент уведомления МВД уже есть — но соответствует ли он 152-ФЗ?

Если главный врач не уверен, что внутренний порядок передачи сведений МВД оформлен правильно — риск штрафа по ч. 2 ст. 13.11 КоАП остаётся. Нарушение при обработке специальных категорий ПДн без надлежащего основания влечёт штраф до 700 000 ₽. Юристы DATUM проверят политику обработки ПДн, согласия пациентов и регламент взаимодействия с МВД.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Оформите документальное подтверждение передачи сведений

Устное уведомление МВД без письменной фиксации — это нарушение ст. 18.1 152-ФЗ, которая обязывает оператора документировать меры по обеспечению законности обработки. При проверке Роскомнадзора отсутствие записи о передаче сведений = отсутствие самого основания.

В МИС или в бумажном журнале уведомлений фиксируется: дата и время звонка, ФИО дежурного, кому передано сообщение (должность, фамилия сотрудника МВД), регистрационный номер сообщения (если МВД его присвоило). Журнал уведомлений — часть комплекта ОРД по 152-ФЗ.

«Ст. 18.1 ч. 1 152-ФЗ — оператор обязан принимать меры, необходимые и достаточные для обеспечения обязательств, предусмотренных законом. К таким мерам относится документирование всех случаев передачи ПДн третьим лицам, включая государственные органы.»

Письменное уведомление МВД (факс, защищённый канал, нарочный) направляется в течение суток. Копия с отметкой о получении хранится в деле пациента. Срок хранения — не менее 5 лет или по сроку хранения медицинской документации (в зависимости от того, что длиннее).

Как правильно оформить согласие пациента и врачебную тайну при взаимодействии с МВД?

Пациент в состоянии, допускающем дачу согласия, должен быть уведомлён о передаче его данных в МВД. Это не то же самое, что согласие на обработку ПДн по ст. 9 152-ФЗ — уведомление МВД происходит по закону независимо от воли пациента. Но информированность субъекта — обязательное условие принципа прозрачности по ст. 5 152-ФЗ.

Информированное добровольное согласие (ИДС) по ст. 20 323-ФЗ и согласие на обработку персональных данных по ст. 9 152-ФЗ — разные документы с разными реквизитами. После 01.09.2025 (ФЗ-156 от 24.06.2025) согласие на обработку ПДн оформляется отдельным документом и не может включаться в ИДС или договор об оказании медицинских услуг.

«Ст. 9 152-ФЗ в ред. ФЗ-156 от 24.06.2025 — с 01.09.2025 согласие на обработку персональных данных оформляется в виде отдельного документа, не объединяемого с иными документами. ИДС по 323-ФЗ и согласие по 152-ФЗ должны быть разными бумагами.»

При ранении в бессознательном состоянии согласие на обработку ПДн оформляется ретроактивно при появлении возможности. В журнале уведомлений делается отметка об основании передачи без согласия — со ссылкой на п. 4 ч. 2 ст. 10 152-ФЗ.

Шаг 5. Отразите сведения в ЕГИСЗ в установленном объёме

Медицинские организации, подключённые к ЕГИСЗ, передают сведения об оказанной помощи в рамках Порядка, утверждённого Минздравом. Объём передаваемых данных строго регламентирован: передаётся минимально необходимая информация для учёта случая оказания помощи.

Факт огнестрельного ранения как криминальный инцидент в ЕГИСЗ отдельно не маркируется. В систему вносится медицинская часть: диагноз по МКБ, виды и объём помощи, исход. Сведения о передаче данных в МВД в ЕГИСЗ не дублируются — это разные информационные потоки с разными правовыми основаниями.

«Ст. 91 323-ФЗ — медицинские организации обязаны вести медицинскую документацию в установленном порядке и передавать сведения в государственные информационные системы здравоохранения. Состав и порядок передачи определяются Минздравом.»

Техническая передача данных в ЕГИСЗ через МИС квалифицируется как передача ПДн по поручению в рамках ст. 6 ч. 3 152-ФЗ. Если МИС — внешний подрядчик, с ним должен быть заключён договор поручения на обработку ПДн с обязательными условиями по ч. 3 ст. 6 152-ФЗ.

Если МИС работает без договора поручения на обработку ПДн — клиника несёт полную ответственность за утечку через подрядчика. Штраф по ч. 12 ст. 13.11 КоАП за утечку от 1 000 до 10 000 субъектов составляет 3–5 млн ₽. Оцените документацию до проверки РКН.

Подготовиться к проверке РКН

Шаг 6. Проверьте пакет ОРД на соответствие текущим требованиям

Уведомление МВД при огнестрельных ранениях — только один из регламентированных случаев передачи медицинских ПДн третьим лицам. Клиника обязана иметь полный пакет ОРД, охватывающий все случаи: передачу в МВД, ФСС, ФОМС, страховые компании, ЕГИСЗ, сторонним МО.

Что подготовить главному врачу

Политика обработки персональных данных с разделом о спецкатегориях (ст. 10 152-ФЗ) и перечнем оснований передачи без согласия
Отдельный документ согласия пациента на обработку ПДн (не ИДС) — по требованиям ФЗ-156 с 01.09.2025
Журнал учёта случаев передачи ПДн третьим лицам (МВД, прокуратура, суды) с фиксацией оснований
Договор поручения с поставщиком МИС на обработку ПДн по ч. 3 ст. 6 152-ФЗ
Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 152-ФЗ

Отсутствие любого из этих документов — отдельное основание для привлечения по ст. 13.11 КоАП. Роскомнадзор при плановой проверке проверяет наличие каждого элемента ОРД.

Типовые сценарии нарушений и их последствия

Сценарий 1. Клиника передала в МВД полную выписку из истории болезни с диагнозом, назначениями и результатами анализов вместо минимально необходимых сведений об огнестрельном ранении. Ситуация: нарушение принципа минимизации ст. 5 152-ФЗ и ст. 10 152-ФЗ о спецкатегориях. Доказательства: запись в МИС, исходящее письмо в МВД с избыточным объёмом данных. Вероятный исход: штраф по ч. 2 ст. 13.11 КоАП в диапазоне 300 000–700 000 ₽ за обработку без надлежащего основания в части избыточных данных. Стратегия: разработать регламент с чётким перечнем сведений для МВД; обучить персонал; переоформить шаблон уведомления.

Сценарий 2. Согласие пациента на обработку ПДн включено в текст ИДС (как это делалось большинством клиник до 01.09.2025). В клинику поступил пациент с огнестрельным ранением. При проверке РКН обнаружено, что согласие не является отдельным документом. Ситуация: нарушение ст. 9 152-ФЗ в ред. ФЗ-156. Доказательства: действующие формы согласий, показания персонала. Вероятный исход: предписание об устранении нарушения + штраф по ч. 3 ст. 13.11 КоАП (30 000–60 000 ₽) за нарушение требований к публикации политики обработки. Стратегия: разделить ИДС и согласие на ПДн; ввести новые формы не позднее 01.09.2025.

Сценарий 3. МИС медицинской организации (Сибирский ФО, начало 2026 года) передавала данные пациентов в ЕГИСЗ. Договора поручения на обработку ПДн с поставщиком МИС не было. После инцидента безопасности у поставщика произошла утечка данных пациентов. Арбитражный суд региона квалифицировал ответственность медицинской организации как оператора ПДн в полном объёме — по принципу ответственности оператора за действия обработчика. Штраф составил сотни тысяч рублей; параллельно РКН выдал предписание о заключении договора поручения. Стратегия: заключить договор поручения с МИС-подрядчиком, включить в него условия по ч. 3 ст. 6 152-ФЗ об ответственности за безопасность.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка политики, согласий и ОРД медицинской организации
Комплект ОРД под ключ — полный пакет документов с учётом специфики медицины и 323-ФЗ
Сопровождение проверок РКН — подготовка и представление интересов при проверке

Частые вопросы

1. Чем отличается ИДС от согласия на обработку персональных данных?

Информированное добровольное согласие (ИДС) по ст. 20 323-ФЗ — это медико-правовой документ о согласии пациента на медицинское вмешательство. Согласие на обработку ПДн по ст. 9 152-ФЗ — это документ о праве клиники обрабатывать персональные данные пациента. Реквизиты, цели и последствия у этих документов разные. С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие на ПДн обязано быть отдельным документом — его нельзя включать в ИДС, договор или оферту. Клиники, которые не разделили эти документы, нарушают ст. 9 152-ФЗ и рискуют штрафом по ч. 2 ст. 13.11 КоАП до 700 000 ₽.

2. Можно ли публиковать фото пациентов до-после с их согласия?

Фотографии, по которым можно идентифицировать пациента, — это биометрические или общие персональные данные. Публикация фото до-после в медицинских целях (демонстрация результатов операций) квалифицируется как распространение ПДн по ст. 10.1 152-ФЗ и требует отдельного согласия на распространение — с явным указанием, что данные будут доступны неограниченному кругу лиц. Если изображение содержит информацию о состоянии здоровья (рубцы, повреждения), оно дополнительно относится к спецкатегории по ст. 10 152-ФЗ. Общего согласия на обработку ПДн для публикации недостаточно.

3. Кто отвечает за утечку через МИС?

Медицинская организация как оператор ПДн несёт ответственность за утечку независимо от того, произошла ли она через собственные серверы или через МИС-подрядчика. Это прямо следует из конструкции ст. 6 ч. 3 152-ФЗ: поручение обработки не снимает ответственности с оператора. Подрядчик (поставщик МИС) несёт ответственность перед оператором по договору поручения. Если договора нет — оператор несёт риски в полном объёме, включая штрафы по ч. 12–14 ст. 13.11 КоАП от 3 до 15 млн ₽ при утечке от 1 000 субъектов.

4. Какие данные о пациенте передавать в ЕГИСЗ?

Перечень и формат данных для ЕГИСЗ определяются Порядком, утверждённым Минздравом. Передаются медицинские данные учётного характера: диагноз по МКБ, дата обращения, объём медицинской помощи, исход. Персональные идентификаторы — СНИЛС, полис ОМС — передаются для привязки случая к конкретному застрахованному. Данные о том, что сведения переданы в МВД, в ЕГИСЗ не вносятся — это отдельный документооборот с другим правовым основанием и другим получателем.

5. Что грозит клинике за утечку медицинских данных пациентов?

Медицинские данные — спецкатегория по ст. 10 152-ФЗ. При утечке от 1 000 до 10 000 субъектов штраф по ч. 12 ст. 13.11 КоАП составляет 3–5 млн ₽; от 10 000 до 100 000 субъектов — 5–10 млн ₽ по ч. 13; свыше 100 000 субъектов — 10–15 млн ₽ по ч. 14. При повторной утечке применяется оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. Параллельно — административная ответственность руководителя и возможное уголовное преследование по ст. 272.1 УК РФ.

6. Нужно ли уведомлять РКН об утечке данных пациентов?

Да. Если произошла утечка персональных данных (в том числе медицинских), оператор обязан уведомить РКН в течение 24 часов с момента обнаружения по ч. 3.1 ст. 21 152-ФЗ. Через 72 часа направляется отчёт о результатах внутреннего расследования по Приказу РКН №187 от 14.11.2022. Неуведомление или просрочка влечёт штраф 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП. Срок не восстанавливается.

Итог

Уведомление МВД при огнестрельных ранениях — это законная обязанность медицинской организации, которая реализуется в строго ограниченном объёме: только необходимые для идентификации сведения, с документальной фиксацией каждого шага. Передача избыточных данных, отсутствие журнала уведомлений и неоформленный договор с МИС-подрядчиком — три типовые точки нарушений, которые выявляет РКН при проверках медицинских организаций.

DATUM сопровождает медицинские организации в части 152-ФЗ: разработка политики обработки ПДн с учётом спецкатегорий по 323-ФЗ, разделение ИДС и согласий на ПДн после ФЗ-156, аудит договоров с поставщиками МИС, подготовка к проверкам РКН.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна.