инструкция 21 января 2029 По состоянию на 21 января 2029

Уведомление пациентов об утечке

Данные пациентов — специальная категория по ст. 10 ФЗ-152. Утечка из МИС или ЕГИСЗ обязывает клинику уведомить Роскомнадзор в течение 24 часов и провести внутреннее расследование в течение 72 часов.

С 30.05.2025 штраф за утечку медицинских данных от 1 000 субъектов — от 3 млн ₽ по ч. 12 ст. 13.11 КоАП; при повторной утечке действует оборотный штраф до 500 млн ₽ по ч. 15.

Если вы главный врач и в клинике произошёл инцидент с данными пациентов — ниже пошаговый порядок действий с указанием сроков и норм. →

Медицинская организация обрабатывает сведения о здоровье, диагнозах, назначениях — это специальная категория персональных данных по ст. 10 ФЗ-152. Её утечка несёт одновременно риск по ФЗ-152 и по ст. 13 Федерального закона № 323-ФЗ «Об основах охраны здоровья граждан» — нарушение врачебной тайны. Инструкция описывает шесть шагов: от фиксации инцидента до уведомления пациентов и закрытия расследования.

Чем опасна утечка медицинских данных для главного врача?

Медицинские данные попадают под двойную защиту: ст. 10 ФЗ-152 запрещает обработку сведений о состоянии здоровья без явного согласия субъекта, а ст. 13 323-ФЗ устанавливает режим врачебной тайны. При инциденте клиника рискует получить штраф одновременно по нескольким основаниям.

«Ст. 10 ФЗ-152 — сведения о состоянии здоровья относятся к специальным категориям персональных данных. Их обработка по общему правилу запрещена, кроме случаев, прямо указанных в п. 2 той же статьи — в том числе для оказания медицинской помощи при наличии согласия.»

За утечку специальных категорий ПДн применяется ч. 12–14 ст. 13.11 КоАП в редакции с 30.05.2025. Диапазон — 3–15 млн ₽ в зависимости от числа субъектов. При повторном инциденте включается оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽. Параллельно прокуратура или Роскомнадзор вправе инициировать проверку по ст. 13 323-ФЗ — нарушение врачебной тайны.

Уголовная ответственность по ст. 272.1 УК РФ, введённой с 11.12.2024, предусматривает лишение свободы до 10 лет по ч. 5 при тяжких последствиях. Это означает, что ответственность несут не только организация, но и конкретные сотрудники.

Получили сигнал об инциденте с данными пациентов?

Если главный врач узнал о возможной утечке из МИС или ЕГИСЗ — у вас 24 часа на первичное уведомление РКН по ч. 3.1 ст. 21 ФЗ-152. Срок отсчитывается с момента обнаружения и не восстанавливается. Юристы DATUM возьмут реагирование под контроль: первичное уведомление, координация расследования, отчёт за 72 часа.

Реагировать на утечку

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 1. Зафиксируйте факт инцидента и определите масштаб

Как только поступил сигнал об инциденте — от сотрудника МИС, от пациента или от службы мониторинга, — немедленно зафиксируйте дату и время обнаружения. Это момент, от которого отсчитываются все процессуальные сроки.

Определите: какие данные затронуты (диагнозы, назначения, контактная информация, паспортные данные), через какую систему произошла утечка (МИС, ЕГИСЗ, телемедицинский сервис, почта), сколько записей пациентов потенциально скомпрометировано. Медицинская информационная система нередко содержит одновременно общие ПДн (ФИО, телефон, адрес) и специальные категории (анамнез, диагноз, результаты анализов).

Что зафиксировать на старте

Дата и время обнаружения инцидента — в письменном акте с подписью ответственного лица
Источник сигнала (сотрудник, пациент, автоматическая система, внешний исследователь)
Предварительный перечень затронутых систем и категорий данных
Предварительное число субъектов — даже приблизительно (влияет на квалификацию по ч. 12–14 ст. 13.11)
Состояние доступа: инцидент продолжается или уже локализован

Шаг 2. Локализуйте угрозу и заблокируйте несанкционированный доступ

До подачи уведомления в РКН необходимо предпринять меры по прекращению утечки. Это требование ч. 3.1 ст. 21 ФЗ-152: оператор обязан не только уведомить регулятора, но и принять меры по устранению последствий.

Технический специалист или ИТ-подрядчик должен изолировать скомпрометированный сегмент сети или систему, сменить учётные данные доступа, сохранить логи (они потребуются для отчёта за 72 часа). Если МИС интегрирована с ЕГИСЗ — необходимо уведомить оператора сегмента ЕГИСЗ о возможной компрометации данных, переданных в федеральную систему.

Параллельно назначьте внутреннего координатора расследования — ответственного за обработку ПДн по ст. 22.1 ФЗ-152 или юридическую службу. Все действия фиксируются в хронологическом журнале инцидента.

Шаг 3. Уведомите Роскомнадзор в течение 24 часов

Первичное уведомление подаётся через портал pd.rkn.gov.ru в форме, установленной Приказом РКН №187 от 14.11.2022. Срок — 24 часа с момента обнаружения (ч. 3.1 ст. 21 ФЗ-152). Срок не восстанавливается. Опоздание влечёт штраф 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП.

«Ч. 3.1 ст. 21 ФЗ-152 — при выявлении неправомерной или случайной передачи ПДн оператор обязан в течение 24 часов уведомить уполномоченный орган по защите прав субъектов ПДн о произошедшем инциденте, а в течение 72 часов — о результатах внутреннего расследования.»

Первичное уведомление содержит: описание инцидента, предварительное число субъектов и категории затронутых данных, принятые меры по локализации, контактное лицо. На этом этапе допустима неполная информация — главное уложиться в срок. Неточность в первичном уведомлении не является самостоятельным нарушением, если данные уточнены в отчёте за 72 часа.

Для клиники, интегрированной с ЕГИСЗ, параллельно направляется уведомление в адрес Минздрава или регионального органа управления здравоохранением — в зависимости от уровня интеграции. Уточните порядок в региональном регламенте подключения к ЕГИСЗ.

Если главный врач не уверен, что первичное уведомление РКН составлено корректно — ошибка в нём сужает возможности при дальнейшем диалоге с регулятором. Юристы DATUM проверят и подадут уведомление в установленный срок.

Подготовиться к проверке РКН

Шаг 4. Проведите внутреннее расследование и подайте отчёт за 72 часа

В течение 72 часов с момента обнаружения инцидента в РКН направляется отчёт о результатах внутреннего расследования. Форма — также по Приказу РКН №187. Отчёт включает: установленные причины утечки, точный перечень категорий данных и число субъектов, меры по устранению последствий и предотвращению повторения.

Для медицинской организации в отчёте важно разграничить: какие данные являлись специальными категориями по ст. 10 ФЗ-152 (диагнозы, назначения, результаты исследований), а какие — общими (контактные данные). Это влияет на квалификацию по ст. 13.11 КоАП и на размер штрафа.

К отчёту прикладываются: акт фиксации инцидента, хронологический журнал действий, копии уведомлений, отправленных пациентам (если такие уведомления предусмотрены внутренним регламентом или договором с пациентом), выписки из логов системы.

Шаг 5. Уведомите пациентов — когда и как это обязательно?

ФЗ-152 не устанавливает прямой обязанности оператора уведомлять субъектов об утечке — в отличие от законодательства ЕС. Однако обязанность может возникать из договора с пациентом, внутренней политики клиники или предписания РКН.

Уведомление пациентов целесообразно в случаях: утечка содержит данные, которые могут причинить реальный вред (диагнозы психиатрического профиля, ВИЧ-статус, онкология), данные попали в публичный доступ или передаются третьим лицам, число субъектов значительно и сокрытие факта несёт репутационный риск. Уведомление снижает вероятность коллективных исков о компенсации морального вреда.

Форма уведомления пациента: письменно (почтой или через личный кабинет МИС/телемедицинского сервиса), с указанием: какие данные затронуты, когда произошёл инцидент, что сделала клиника для устранения, контактное лицо для обращений. Уведомление не должно содержать данные, раскрывающие детали уязвимости системы.

Если пациент направил запрос об инциденте самостоятельно — ответить обязаны в течение 10 рабочих дней по ст. 20 ФЗ-152 (с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта).

Шаг 6. Устраните нарушение и обновите документацию

После закрытия инцидента клиника обязана устранить выявленные нарушения в сроки, указанные в предписании РКН (если оно выдано), либо самостоятельно в разумный срок. Типичные меры для медицинской организации: пересмотр прав доступа к МИС, обновление договоров с ИТ-подрядчиком (поручение обработки по п. 3 ст. 6 ФЗ-152), переоформление согласий пациентов на обработку ПДн, аудит интеграционных шлюзов ЕГИСЗ.

Согласие пациента на обработку медицинских ПДн с 01.09.2025 оформляется отдельным документом по требованиям ФЗ-156 от 24.06.2025. Согласие, включённое в текст информированного добровольного согласия (ИДС) по 323-ФЗ, с этой даты недостаточно — нужен отдельный документ по ст. 9 ФЗ-152 со всеми обязательными реквизитами.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — согласие на обработку ПДн оформляется отдельным документом и не может быть включено в другой документ (договор, согласие на медицинское вмешательство, оферту). Действует с 01.09.2025; ранее выданные согласия переоформлять не требуется.»

Обновите политику обработки ПДн, журнал инцидентов, регламент реагирования. Если в МИС или ЕГИСЗ выявлены технические уязвимости — зафиксируйте меры по их устранению в акте и направьте в РКН как дополнение к отчёту расследования.

Как это работает на практике

Кейс 1. Частная клиника (Северо-Западный ФО, осень 2025) обнаружила утечку базы пациентов через стороннего разработчика мобильного приложения. В базе — ФИО, телефоны и краткие сведения о назначениях, всего около 4 500 субъектов. Главный врач направил первичное уведомление в РКН за 21 час, через 70 часов — отчёт. Роскомнадзор квалифицировал нарушение по ч. 12 ст. 13.11 КоАП (1 000–10 000 субъектов). Клиника подтвердила первичность нарушения, предоставила журнал действий и акт о смягчающих обстоятельствах. Штраф назначен в нижней части диапазона ч. 12 — около 3 млн ₽. Параллельный иск пациента о компенсации морального вреда был прекращён в связи с добровольным уведомлением.

Кейс 2. Многопрофильный медицинский центр (Приволжский ФО, начало 2026) не уведомил РКН об инциденте в установленные сроки — первичное уведомление направлено через 4 дня после обнаружения. Инцидент затронул данные более 12 000 пациентов, включая диагнозы. РКН составил протокол по ч. 11 ст. 13.11 (неуведомление в 24 часа) и по ч. 13 ст. 13.11 (утечка 10 000–100 000 субъектов). Совокупный штраф составил от 6 млн ₽. Возможность применения ст. 4.1.1 КоАП (замена на предупреждение) была утрачена из-за нарушения процессуальных сроков.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка документации и процессов клиники по чек-листу из 38 пунктов
Комплект ОРД под ключ — пакет документов: политика, согласия пациентов, приказы, регламент реагирования
Сопровождение проверок РКН — представление интересов при проверке и обжалование предписания

Частые вопросы

1. Чем отличается ИДС от согласия на обработку ПДн?

Информированное добровольное согласие (ИДС) — это документ по ст. 20 323-ФЗ, подтверждающий согласие пациента на медицинское вмешательство. Согласие на обработку персональных данных — отдельный документ по ст. 9 ФЗ-152, регулирующий именно действия оператора с данными. С 01.09.2025 (ФЗ-156) согласие на ПДн не может быть включено в ИДС или любой другой документ. Клиника обязана получать оба документа раздельно.

2. Можно ли публиковать фото «до и после» с согласия пациента?

Изображение лица пациента является биометрическими ПДн по ст. 11 ФЗ-152, а контекст «до и после лечения» — сведения о состоянии здоровья по ст. 10. Для публикации необходимо: отдельное согласие на обработку биометрических данных (ст. 11), отдельное согласие на распространение ПДн (ст. 10.1) и соблюдение режима врачебной тайны по ст. 13 323-ФЗ. Три согласия, оформленных отдельно. При нарушении — штраф по ч. 2 ст. 13.11 КоАП до 700 тыс. ₽, а также ответственность по 323-ФЗ.

3. Кто отвечает за утечку через МИС?

По общему правилу ФЗ-152, ответственность несёт оператор — медицинская организация. Если МИС предоставляется по договору с вендором, клиника обязана заключить соглашение о поручении обработки по п. 3 ст. 6 ФЗ-152 с прямым перечнем допустимых действий. При утечке через МИС-вендора без такого соглашения или при его несоответствии требованиям — вся ответственность остаётся на клинике. Это подтверждается общим принципом практики: оператор отвечает за утечку через подрядчика.

4. Какие данные передавать в ЕГИСЗ?

Перечень сведений, подлежащих передаче в ЕГИСЗ, определён постановлениями Правительства РФ в рамках реализации 323-ФЗ. Медицинские организации передают данные об оказанных услугах, диагнозах, выписанных рецептах в обезличенном или идентифицированном виде — в зависимости от уровня интеграции и категории сведений. Правовым основанием обработки является исполнение обязанности, возложенной законодательством (п. 2 ч. 1 ст. 6 ФЗ-152), что освобождает от необходимости получать отдельное согласие пациента на передачу данных в ЕГИСЗ.

5. Что грозит клинике за утечку данных пациентов?

Последствия зависят от масштаба. Утечка от 1 000 до 10 000 субъектов — штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП; от 10 000 до 100 000 — 5–10 млн ₽ по ч. 13; свыше 100 000 — 10–15 млн ₽ по ч. 14. При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. Дополнительно: иски пациентов о компенсации морального вреда, проверки по 323-ФЗ (врачебная тайна), уголовная ответственность для конкретных сотрудников по ст. 272.1 УК.

6. Нужно ли переоформлять старые согласия пациентов после 01.09.2025?

ФЗ-156 от 24.06.2025 не имеет обратной силы: согласия, полученные до 01.09.2025, переоформлять не требуется. Однако все согласия, оформляемые после этой даты, должны быть отдельным документом по ст. 9 ФЗ-152 — не включаться в ИДС, договор или оферту. Рекомендуется провести аудит форм, используемых в регистратуре и на сайте клиники, и привести их в соответствие до начала применения новой нормы.

Итог

Утечка данных пациентов — это одновременно нарушение ФЗ-152 и режима врачебной тайны по 323-ФЗ. Соблюдение сроков 24 и 72 часа по Приказу РКН №187 — ключевой фактор, влияющий на размер штрафа и возможность применения смягчающих обстоятельств. Уведомление пациентов не является формальным требованием закона, но снижает репутационные и судебные риски.

DATUM сопровождает медицинские организации при реагировании на инциденты с ПДн: от первичного уведомления РКН до отчёта расследования и обжалования протоколов по ст. 13.11 КоАП.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна.

21 января 2029 года