Перейти к содержанию
инструкция 14 января 2029 По состоянию на 14 января 2029

Уведомление РКН для клиники

Медицинская организация обрабатывает специальные категории персональных данных пациентов — сведения о состоянии здоровья по ст. 10 ФЗ-152. До начала такой обработки клиника обязана встать на учёт в реестре операторов ПДн.
Роскомнадзор проверяет медицинские организации по индикаторам риска: отсутствие уведомления, несоответствие реестра фактической обработке, утечка через МИС. Штраф за несвоевременное уведомление — 100 000 — 300 000 ₽ по ч. 10 ст. 13.11 КоАП; за утечку данных пациентов от 10 000 субъектов — от 5 до 10 млн ₽ по ч. 13.
→ Если вы главный врач и ваша клиника работает с МИС, ЕГИСЗ или телемедициной — проверьте статус уведомления в реестре pd.rkn.gov.ru прямо сейчас.

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: 18 частей вместо прежних семи, оборотный штраф при повторной утечке — до 500 млн ₽. Для клиники, ведущей МИС и подключённой к ЕГИСЗ, каждый шаг обработки данных пациентов — это отдельное основание для проверки. Инструкция ниже охватывает пять ключевых действий: от анализа оснований уведомления до постановки на учёт и поддержания реестра в актуальном состоянии.

Шаг 1. Установите, обязана ли ваша клиника уведомить РКН

Обязанность подать уведомление следует из ст. 22 ФЗ-152: оператор уведомляет РКН до начала обработки персональных данных. Медицинская организация является оператором в момент, когда регистрирует пациента, заводит медицинскую карту, ведёт записи в МИС или передаёт сведения в ЕГИСЗ.

Исключения из ст. 22 ч. 2 ФЗ-152 для медицины почти не работают на практике: они рассчитаны на случаи, когда ПДн обрабатываются исключительно без средств автоматизации и только сотрудниками в рамках трудового договора. Любая МИС, электронная медицинская карта или интеграция с ЕГИСЗ означает автоматизированную обработку — и обязанность уведомить РКН.

«Ст. 22 ч. 1 ФЗ-152 — оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своём намерении осуществлять обработку персональных данных.»

Отдельно проверьте: обрабатываете ли вы данные в рамках телемедицины (видеоконсультации, передача результатов дистанционно). Телемедицина порождает дополнительные основания — в том числе вопрос трансграничной передачи, если платформа расположена за рубежом.

Клиника работает с МИС или подключена к ЕГИСЗ — что проверить в первую очередь?

Если ваша медицинская организация уже ведёт электронные карты пациентов, но уведомление в реестре РКН не подано или подано более двух лет назад — это действующее нарушение. Штраф по ч. 10 ст. 13.11 КоАП составляет 100 000 — 300 000 ₽, а проверка может последовать по индикатору риска без предупреждения. Юристы DATUM проведут аудит соответствия по чек-листу из 38 пунктов и определят, что именно нужно подать в РКН и в какой срок.

Заказать аудит 152-ФЗ

Ответим в течение рабочего дня · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 2. Определите состав обрабатываемых данных и правовые основания

Прежде чем заполнять форму уведомления, составьте реестр (карту) обработки персональных данных клиники. Это перечень категорий ПДн, целей, оснований, сроков хранения и получателей. Без него уведомление будет неполным — и РКН вправе потребовать его уточнения.

Для медицинской организации типичный состав выглядит так:

  • Данные пациентов — ФИО, дата рождения, паспорт, СНИЛС, полис ОМС/ДМС, диагнозы, результаты анализов, назначения. Это специальные категории по ст. 10 ФЗ-152 и сведения, составляющие врачебную тайну по ст. 13 323-ФЗ. Правовое основание — письменное согласие пациента (ст. 9 ФЗ-152) или исполнение обязанностей по договору (ст. 6 п. 5).
  • Данные сотрудников — трудовые данные, зарплата, биометрия для СКУД. Основание — ст. 86–88 ТК РФ и согласие.
  • Данные контрагентов — ФИО представителей, контактные данные в договорах. Основание — ст. 6 п. 5 ФЗ-152.

Важно: согласие пациента на медицинское вмешательство (информированное добровольное согласие, ИДС) по ст. 20 323-ФЗ и согласие на обработку ПДн по ст. 9 ФЗ-152 — это два разных документа с разными реквизитами. ИДС не заменяет согласие на ПДн.

«Ст. 10 ч. 1 ФЗ-152 — обработка специальных категорий персональных данных, касающихся состояния здоровья, допускается только при наличии явного согласия субъекта или в иных случаях, прямо предусмотренных законом.»

С 01.09.2025 согласие на обработку ПДн оформляется отдельным документом — не включается в текст договора, медицинской карты или ИДС (ФЗ-156 от 24.06.2025). Проверьте свои формы.

Шаг 3. Заполните форму уведомления через портал pd.rkn.gov.ru

Уведомление подаётся в электронной форме через портал pd.rkn.gov.ru с использованием ЕСИА или усиленной квалифицированной электронной подписи (УКЭП). Форма определена Приказом РКН №180 от 28.10.2022.

Ключевые разделы формы для клиники:

  • Наименование и реквизиты оператора — полное наименование, ИНН, адрес, контактное лицо по вопросам обработки ПДн.
  • Цели обработки — оказание медицинской помощи, ведение медицинской документации, передача данных в ЕГИСЗ, расчёты по ОМС/ДМС, трудовые отношения. Формулировки должны быть конкретными: «организация записи на приём» и «обеспечение непрерывности лечения» — разные цели.
  • Категории ПДн — обязательно отметить специальные категории (данные о состоянии здоровья). Это влияет на класс ИСПДн и требуемые меры защиты.
  • Категории субъектов — пациенты, сотрудники, контрагенты.
  • Получатели ПДн — страховые компании по ОМС/ДМС, ЕГИСЗ (Минздрав), лаборатории по договору, телемедицинские платформы. Каждый получатель — отдельная запись.
  • Сроки обработки и уничтожения — для медицинских карт это 25 лет (Приказ Минздрава №662н), для личных дел сотрудников — 75 лет. Укажите сроки по категориям.
  • Трансграничная передача — если используете зарубежные платформы телемедицины или облачные МИС с серверами за рубежом, отметить страны. Передача в страны без адекватной защиты требует отдельного уведомления по ст. 12 ФЗ-152.
  • Меры защиты — уровень защищённости ИСПДн по ПП РФ №1119 (для клиники с данными о здоровье при угрозах 2–3 типа — не ниже УЗ-3), организационные и технические меры по Приказу ФСТЭК №21.

После подачи уведомления РКН включает организацию в реестр в течение 30 дней. До включения обработка формально уже началась — поэтому подавайте уведомление до запуска МИС или до начала приёма пациентов.

Если ваша клиника получила запрос от РКН или предписание — у вас ограниченное время на ответ. Юристы DATUM подготовят позицию и представят интересы организации в РКН с момента обращения.

Подготовиться к проверке РКН

Шаг 4. Синхронизируйте уведомление с МИС и ЕГИСЗ

Распространённая ошибка: уведомление подано, но в нём не отражены реальные потоки данных через МИС и передача в ЕГИСЗ. РКН при проверке сопоставляет содержание реестра с фактической обработкой — расхождение фиксируется как отдельное нарушение.

Что проверить после регистрации в реестре:

  • МИС обменивается данными с ЕГИСЗ — это передача третьему лицу. В уведомлении должно быть указано Минздрав России (оператор ЕГИСЗ) как получатель ПДн.
  • Лаборатории и диагностические центры, работающие по договору подряда, получают персональные данные пациентов — укажите их как получателей или оформите поручение на обработку по ст. 6 ч. 3 ФЗ-152.
  • Страховые медицинские организации по ОМС и ДМС — отдельные получатели с отдельными правовыми основаниями.
  • Телемедицинские платформы — если платформа хранит данные, уточните, где расположены серверы. Локализация ПДн граждан РФ обязательна в России по ч. 5 ст. 18 ФЗ-152.
«Ч. 5 ст. 18 ФЗ-152 — при сборе персональных данных граждан Российской Федерации запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных должны осуществляться с использованием баз данных, находящихся на территории Российской Федерации.»

Нарушение требования локализации — штраф 1 000 000 — 6 000 000 ₽ по ч. 8 ст. 13.11 КоАП. При повторном нарушении — 6 000 000 — 18 000 000 ₽ по ч. 9.

Шаг 5. Поддерживайте реестр в актуальном состоянии

Уведомление — не разовое действие. При изменении любого параметра обработки (новая цель, новый получатель, новая МИС, подключение телемедицины) оператор обязан уведомить РКН об изменениях в течение 10 рабочих дней. Форма изменения подаётся через тот же портал pd.rkn.gov.ru.

Типичные события, требующие актуализации реестра для клиники:

  • Смена МИС или переход на другого вендора.
  • Подключение к региональному сегменту ЕГИСЗ или расширение интеграции.
  • Запуск телемедицинского сервиса.
  • Открытие нового филиала — если обработка ведётся как единый оператор.
  • Смена ответственного за обработку ПДн по ст. 22.1 ФЗ-152.
  • Изменение сроков хранения в связи с новыми требованиями Минздрава.

Проверяйте реестр не реже одного раза в год. Назначьте ответственного по ст. 22.1 ФЗ-152 — он ведёт журнал изменений и следит за сроками подачи уведомлений об изменениях.

Что подготовить для уведомления РКН

  • Карта (реестр) обработки ПДн — цели, категории, основания, получатели, сроки хранения по каждому потоку данных клиники.
  • Комплект согласий пациентов по ст. 9 ФЗ-152 в редакции с 01.09.2025 — отдельный документ, не включённый в ИДС или договор.
  • Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 с указанием ФИО и контактов.
  • Политика обработки персональных данных по ч. 2 ст. 18.1 ФЗ-152 — опубликованная на сайте клиники до подачи уведомления.
  • УКЭП или доступ через ЕСИА для подписания и подачи уведомления через pd.rkn.gov.ru.

Типичные ситуации: как это работает на практике

Ситуация 1. Многопрофильная клиника в Сибирском федеральном округе (осень 2025) подключила МИС трёх разных вендоров после слияния с малой медицинской сетью. Уведомление в реестре РКН числилось с 2019 года и не обновлялось. При плановой проверке инспектор РКН выявил расхождение: в реестре указан один получатель (ЕГИСЗ), фактически данные передавались ещё в две страховые организации и в лабораторию-подрядчика. Клинике предъявлен протокол по ч. 10 ст. 13.11 КоАП. Штраф составил сумму в диапазоне нижней трети санкции. Главный врач в дальнейшем инициировал полный аудит с актуализацией реестра и пакета ОРД.

Ситуация 2. Стоматологическая клиника (Центральный федеральный округ, начало 2026) не подавала уведомление в РКН с момента открытия — три года. Уведомление о намерении обрабатывать ПДн так и не было направлено. После жалобы пациента на нераскрытие информации об обработке его данных РКН провёл внеплановую проверку. Одновременно зафиксировано отсутствие политики обработки ПДн на сайте (ч. 3 ст. 13.11 КоАП). Итог: два протокола, штрафы в сотни тысяч рублей. Сопровождение юристов позволило добиться рассмотрения дел отдельно, без суммирования санкций, и применить смягчающие обстоятельства.

Услуги DATUM по теме

Частые вопросы

1. Чем отличается ИДС от согласия на обработку персональных данных?

Информированное добровольное согласие на медицинское вмешательство (ИДС) регулируется ст. 20 Федерального закона №323-ФЗ и фиксирует волеизъявление пациента на конкретную медицинскую процедуру. Согласие на обработку персональных данных регулируется ст. 9 ФЗ-152 и должно содержать иные обязательные реквизиты: перечень обрабатываемых данных, цели, действия, срок и способ отзыва. С 01.09.2025 по ФЗ-156 согласие на ПДн оформляется отдельным документом — не включается в текст ИДС, медицинской карты или договора. Два согласия — два разных документа.

2. Можно ли публиковать фото «до и после» с согласия пациента?

Публикация фотографий, связанных с состоянием здоровья пациента, затрагивает одновременно несколько правовых режимов: врачебная тайна по ст. 13 ФЗ №323-ФЗ, специальные категории ПДн по ст. 10 ФЗ-152, а также право на изображение по ст. 152.1 ГК РФ. Согласие требуется отдельное для каждого правового основания: согласие на распространение ПДн по ст. 10.1 ФЗ-152, согласие на публикацию изображения и согласие на раскрытие врачебной тайны. Формы, совмещающие эти согласия в одном документе, после 01.09.2025 необходимо разделить.

3. Кто отвечает за утечку данных пациентов через МИС?

Ответственность несёт оператор персональных данных — медицинская организация, которая заключила договор с вендором МИС. Вендор в данном случае является лицом, осуществляющим обработку по поручению (ст. 6 ч. 3 ФЗ-152), и его ответственность перед субъектом не наступает автоматически — она определяется договором поручения. При утечке через МИС от 1 000 до 10 000 субъектов штраф для клиники составит 3 000 000 — 5 000 000 ₽ по ч. 12 ст. 13.11 КоАП. Первичное уведомление РКН — в течение 24 часов с момента обнаружения (ч. 3.1 ст. 21 ФЗ-152).

4. Какие данные пациентов клиника обязана передавать в ЕГИСЗ?

Перечень сведений, подлежащих передаче в ЕГИСЗ, определяется Федеральным законом №323-ФЗ и подзаконными актами Минздрава России: сведения об оказанной медицинской помощи, диагнозах, назначениях, результатах диспансеризации. Согласие пациента на передачу в ЕГИСЗ, как правило, охватывается общим согласием на обработку ПДн, если ЕГИСЗ прямо указан как получатель. Отсутствие такого указания в уведомлении РКН и в форме согласия — нарушение, которое РКН фиксирует при проверке.

5. Что грозит клинике за утечку персональных данных пациентов?

Ответственность многоуровневая. По КоАП: за утечку от 1 000 до 10 000 субъектов — 3–5 млн ₽ (ч. 12 ст. 13.11), от 10 000 до 100 000 — 5–10 млн ₽ (ч. 13), более 100 000 — 10–15 млн ₽ (ч. 14). При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽, не более 500 млн ₽. За неуведомление РКН в течение 24 часов — дополнительно 1–3 млн ₽ по ч. 11. С 11.12.2024 действует ст. 272.1 УК РФ: незаконные сбор или передача ПДн — уголовная ответственность для конкретных физических лиц вплоть до лишения свободы.

6. Нужно ли обновлять уведомление при открытии нового филиала?

Если клиника является единым юридическим лицом и обработка в филиале ведётся от его имени — необходимо подать уведомление об изменении сведений в реестре в течение 10 рабочих дней с момента начала обработки в новом подразделении. Если филиал — отдельное юридическое лицо, оно подаёт самостоятельное уведомление. Срок включения в реестр — 30 дней с момента подачи (ст. 22 ч. 4 ФЗ-152).

Итог

Уведомление РКН для клиники — не формальность, а первый рубеж правовой защиты при проверке или инциденте. Реестр, который отражает реальные потоки данных пациентов через МИС, ЕГИСЗ и лаборатории, даёт регулятору понимание, что организация контролирует обработку. Несоответствие реестра фактической обработке — самостоятельное основание для штрафа независимо от наличия других нарушений.

Юристы DATUM специализируются на сопровождении медицинских организаций по 152-ФЗ: от первичного уведомления и комплекта ОРД до защиты при проверке РКН и реагирования на инциденты с данными пациентов.

Смотрите также

ОН
Ольга Нечаева
Аналитик · Медицина и образование
Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, обработка ПДн несовершеннолетних.

14 января 2029 года