инструкция 21 апреля 2027 По состоянию на 21 апреля 2027

Внеплановая проверка после жалобы пациента

Жалоба пациента в Роскомнадзор запускает внеплановую проверку: инспектор вправе прийти без предупреждения и запросить все документы по обработке персональных данных.

Данные пациента — специальная категория по ст. 10 ФЗ-152. Утечка или ненадлежащее согласие влечёт штраф от 3 до 20 млн рублей по ч. 12–17 ст. 13.11 КоАП в редакции с 30.05.2025.

Если вы главный врач и получили уведомление о проверке — у вас есть конкретный перечень документов, которые РКН запросит в первую очередь. Этот перечень ниже. →

Внеплановая проверка Роскомнадзора после жалобы пациента — не абстрактный риск. По данным РКН, в 2024 году зафиксировано 135 утечек персональных данных с более чем 710 млн скомпрометированных записей. Медицинские организации входят в группу повышенного внимания: данные о здоровье — специальная категория по ст. 10 ФЗ-152, а их неправомерная обработка даёт регулятору право возбудить дело по нескольким частям ст. 13.11 КоАП одновременно. Эта инструкция описывает семь шагов подготовки к проверке и действия в ходе неё.

Шаг 1. Установите, что именно послужило основанием жалобы

РКН обязан уведомить о внеплановой проверке, но в ряде случаев сроки уведомления сокращены до нуля — когда жалоба содержит признаки грубого нарушения. Первое, что нужно сделать, — выяснить предмет жалобы: передача данных третьим лицам без согласия, нарушение врачебной тайны по ст. 13 Федерального закона № 323-ФЗ, неправомерный доступ к МИС, публикация сведений о здоровье без разрешения пациента.

Предмет жалобы определяет, какие разделы документации запросит инспектор. Если жалоба о передаче данных страховой компании — проверяют основание передачи (договор или согласие). Если о публикации результатов анализов в личном кабинете без авторизации — проверяют технические меры защиты. Уточните у регистратуры или юридического отдела, было ли обращение пациента зафиксировано до жалобы в РКН.

Получили уведомление о проверке РКН?

Внеплановая проверка после жалобы пациента — это ограниченное время на сбор документов. Юристы DATUM подготовят медицинскую организацию к проверке: соберут пакет ОРД, проверят согласия пациентов, сопроводят в ходе визита инспектора. Срок подготовки — от 5 рабочих дней.

Подготовиться к проверке РКН

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 2. Проверьте регистрацию в реестре операторов персональных данных

Любая медицинская организация, обрабатывающая данные пациентов, обязана уведомить РКН до начала обработки по ст. 22 ФЗ-152. Инспектор в первую очередь проверяет, есть ли клиника в реестре операторов на портале pd.rkn.gov.ru и соответствуют ли заявленные цели и категории ПДн фактической обработке.

Типичное нарушение: организация указала в уведомлении цель «исполнение договора на оказание медицинских услуг», но фактически передаёт данные в страховые компании, телемедицинские платформы, ЕГИСЗ. Каждая из этих передач — отдельное основание обработки, требующее либо указания в уведомлении, либо отдельного согласия. Неуведомление или уведомление с неполными сведениями — штраф по ч. 10 ст. 13.11 КоАП от 100 000 до 300 000 рублей.

«Ст. 22 ФЗ-152 — оператор обязан уведомить РКН о намерении обрабатывать персональные данные до начала обработки. Неуведомление или несвоевременное уведомление влечёт ответственность по ч. 10 ст. 13.11 КоАП: для юридических лиц — от 100 000 до 300 000 рублей.»

Шаг 3. Проверьте согласия пациентов на обработку персональных данных

Данные о здоровье — специальная категория по ст. 10 ФЗ-152. Их обработка по общему правилу запрещена без письменного согласия субъекта. Исключения перечислены в п. 2 ст. 10 ФЗ-152: медицинская деятельность, осуществляемая лицензированной организацией с соблюдением врачебной тайны, входит в их число. Но это исключение не устраняет необходимость согласия для передачи данных третьим лицам, маркетинговых коммуникаций или публикации сведений.

С 01.09.2025 согласие на обработку ПДн должно быть оформлено отдельным документом — не включаться в текст договора на оказание медицинских услуг, информированного добровольного согласия (ИДС) или иного документа (ФЗ-156 от 24.06.2025). Если клиника использует объединённые формы — это нарушение ч. 2 ст. 13.11 КоАП с штрафом до 700 000 рублей.

Проверьте отдельно: согласие на обработку биометрических данных, если в клинике используется система контроля доступа с распознаванием лица или голоса. Биометрия регулируется ст. 11 ФЗ-152 и требует письменного согласия вне зависимости от иных оснований обработки.

Как отличить ИДС от согласия на персональные данные?

Информированное добровольное согласие (ИДС) регулируется ст. 20 Федерального закона № 323-ФЗ и подтверждает согласие пациента на медицинское вмешательство. Согласие на обработку персональных данных регулируется ст. 9 ФЗ-152 и подтверждает право оператора обрабатывать сведения о пациенте. Это два разных документа с разными обязательными реквизитами. Объединять их в одну форму с 01.09.2025 нельзя.

Состав согласия на ПДн по ст. 9 ФЗ-152: наименование и адрес оператора, фамилия, имя, отчество и адрес субъекта, цель обработки, перечень ПДн, перечень действий с ПДн, срок согласия, способ его отзыва. Если хотя бы один реквизит отсутствует — согласие считается недействительным.

Шаг 4. Подготовьте организационно-распорядительную документацию

Инспектор РКН при проверке запрашивает не отдельные документы, а пакет ОРД. Отсутствие любого документа из перечня — самостоятельное основание для штрафа по ч. 3 ст. 13.11 КоАП (до 60 000 рублей за непубликацию политики) или по ч. 1 ст. 13.11 (до 300 000 рублей за обработку без надлежащих оснований).

Что подготовить к внеплановой проверке РКН

Выписка из реестра операторов ПДн (pd.rkn.gov.ru) с актуальными сведениями о целях и категориях обработки
Политика обработки персональных данных, опубликованная на сайте клиники (ч. 2 ст. 18.1 ФЗ-152)
Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152
Отдельные согласия пациентов на обработку ПДн в редакции с 01.09.2025 (ФЗ-156)
Договоры-поручения с третьими лицами, которым передаются данные (МИС-вендор, лаборатория, страховщик), по п. 3 ст. 6 ФЗ-152

Дополнительно для медицинских организаций, подключённых к ЕГИСЗ: внутренний регламент передачи данных в государственные информационные системы с описанием состава передаваемых сведений. Избыточная передача данных (сведений, не предусмотренных нормативными актами о ЕГИСЗ) — нарушение принципа минимизации по ст. 5 ФЗ-152.

Шаг 5. Оцените риски по МИС и ЕГИСЗ

Медицинская информационная система хранит специальные категории персональных данных — сведения о здоровье, диагнозы, результаты обследований. Для таких данных ПП РФ № 1119 устанавливает повышенные требования к уровню защищённости. При числе субъектов более 100 000 и специальных категориях ПДн применяется уровень защищённости не ниже УЗ-3, что требует конкретного перечня технических мер по Приказу ФСТЭК № 21.

Инспектор РКН вправе запросить модель угроз и акт классификации информационной системы. Если документы отсутствуют или составлены формально (без учёта фактических угроз), это создаёт риск предписания об устранении нарушений по ст. 19 ФЗ-152.

Передача данных в ЕГИСЗ регулируется отдельными подзаконными актами Минздрава. Клиника передаёт только те сведения, которые прямо предусмотрены нормативными требованиями к конкретному сегменту ЕГИСЗ. Передача избыточных данных — нарушение ст. 5 ФЗ-152 (принцип соответствия объёма целям).

Если в клинике МИС и согласие пациента вшито в карту — это нарушение ч. 2 ст. 13.11 с 01.09.2025. До проверки РКН остаётся время исправить документацию. Юристы DATUM проведут аудит и соберут корректный пакет ОРД.

Заказать аудит 152-ФЗ

Шаг 6. Проведите внутреннее расследование по жалобе до прихода инспектора

Если жалоба пациента касается конкретного инцидента — передачи данных без согласия, несанкционированного доступа к МИС, рассылки сведений о здоровье, — проведите внутреннее расследование и зафиксируйте его результаты. Документированный ответ на жалобу, предоставленный пациенту до прихода инспектора, снижает риск возбуждения дела и является смягчающим обстоятельством при назначении штрафа.

Если расследование показало, что данные пациента действительно были переданы или стали доступны без его согласия, — это инцидент по ч. 3.1 ст. 21 ФЗ-152. Первичное уведомление РКН — в течение 24 часов с момента обнаружения, отчёт о результатах расследования — в течение 72 часов. Неуведомление в установленные сроки влечёт штраф по ч. 11 ст. 13.11 КоАП от 1 до 3 млн рублей.

«Ч. 3.1 ст. 21 ФЗ-152 — при обнаружении утечки оператор обязан уведомить РКН в течение 24 часов (первичное) и в течение 72 часов (отчёт о расследовании) в порядке, установленном Приказом РКН № 187 от 14.11.2022. Неуведомление — штраф по ч. 11 ст. 13.11 КоАП: для юридических лиц от 1 000 000 до 3 000 000 рублей.»

Шаг 7. Организуйте взаимодействие с инспектором в день проверки

Назначьте ответственное лицо для сопровождения инспектора. Им должен быть сотрудник, имеющий доступ к документации по обработке ПДн и полномочия предоставлять объяснения. Главный врач присутствует лично или назначает уполномоченного представителя с доверенностью.

Инспектор вправе запросить доступ к системам хранения данных, журналам событий МИС, договорам с подрядчиками. Отказ в предоставлении документов фиксируется в акте и трактуется как отягчающее обстоятельство. Предоставляйте только то, что запрошено в рамках предмета проверки. Если инспектор выходит за рамки — это основание для письменного возражения в акте.

После завершения проверки — внимательно изучите акт до подписания. Если с формулировками нарушений не согласны — подпишите акт с пометкой «с возражениями» и подайте письменные возражения в течение 15 дней. Возражения на акт — первый рубеж защиты от штрафа.

Практические сценарии: что происходит в типовых ситуациях

Сценарий 1. Жалоба на передачу данных в страховую компанию без согласия. Пациент обнаружил, что его диагноз стал известен страховщику. Инспектор запрашивает основание передачи — договор между клиникой и страховой компанией, согласие пациента или иное основание по ст. 6 ФЗ-152. Если согласие отсутствует, а передача не предусмотрена законом — дело по ч. 1 ст. 13.11 (150 000–300 000 рублей) или по ч. 2 ст. 13.11 (300 000–700 000 рублей) при отсутствии письменного согласия. Стратегия: до прихода инспектора — восстановить цепочку передачи, выявить основание, при необходимости — получить ретроспективное согласие пациента или зафиксировать законное основание. На проверке — предоставить договор-поручение или иное основание передачи.

Сценарий 2. Утечка данных через МИС после хакерской атаки. Клиника (Уральский ФО, начало 2026 года) обнаружила несанкционированный доступ к базе данных пациентов через уязвимость в МИС. Данные более 15 000 субъектов (имена, даты рождения, диагнозы) оказались в открытом доступе. Клиника направила первичное уведомление РКН в течение 20 часов, через 68 часов — отчёт. Дело возбуждено по ч. 13 ст. 13.11 КоАП (утечка от 10 000 до 100 000 субъектов — штраф 5–10 млн рублей). В ходе рассмотрения дела учтено оперативное уведомление и меры по локализации инцидента. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Сценарий 3. Жалоба на публикацию фото «до-после» на сайте клиники. Пациент заявил, что фото размещено без его разрешения или согласие было дано в составе договора на услуги. Публикация фотографий пациентов — распространение ПДн, требующее отдельного согласия по ст. 10.1 ФЗ-152. С 01.09.2025 это согласие не может быть частью договора. Штраф по ч. 2 ст. 13.11 — до 700 000 рублей. Стратегия: немедленно удалить спорные фото, подготовить доказательство удаления для инспектора, переработать форму согласия на распространение.

Услуги DATUM по теме

Сопровождение проверок РКН — подготовка, представление интересов, обжалование предписания
Аудит соответствия 152-ФЗ — проверка документации медорганизации по 38 пунктам
Комплект ОРД под ключ — согласия пациентов, политика, приказы, регламенты

Частые вопросы

1. Чем отличается ИДС от согласия на персональные данные?

Информированное добровольное согласие по ст. 20 Федерального закона № 323-ФЗ — это согласие пациента на медицинское вмешательство. Согласие на обработку персональных данных по ст. 9 ФЗ-152 — это разрешение оператору обрабатывать сведения о пациенте. С 01.09.2025 (ФЗ-156 от 24.06.2025) оба документа должны быть раздельными: объединять их в одну форму нельзя. Отсутствие отдельного согласия на ПДн — нарушение ч. 2 ст. 13.11 КоАП со штрафом до 700 000 рублей.

2. Можно ли публиковать фото «до-после» с согласия пациента?

Публикация фотографий пациентов — распространение персональных данных по ст. 10.1 ФЗ-152. Для этого требуется отдельное согласие на распространение, которое не может быть частью договора на медицинские услуги или ИДС. В согласии должны быть прямо указаны: канал распространения (сайт, социальные сети), категории передаваемых данных, срок действия. Молчание в форме согласия означает запрет распространения по умолчанию.

3. Кто отвечает за утечку через МИС — клиника или вендор?

За утечку через МИС отвечает клиника как оператор персональных данных. Если МИС обслуживается сторонней организацией, клиника обязана заключить договор-поручение по п. 3 ст. 6 ФЗ-152, в котором описаны цели, объём и меры защиты. Договор-поручение не снимает ответственности оператора перед субъектами и РКН — он лишь даёт право предъявить регрессные требования к вендору. Штраф назначается клинике.

4. Какие данные клиника обязана передавать в ЕГИСЗ?

Состав данных, передаваемых в ЕГИСЗ, определяется подзаконными актами Минздрава для каждого сегмента системы. Клиника обязана передавать только те сведения, которые прямо предусмотрены этими актами. Передача дополнительных данных (например, развёрнутых диагнозов сверх предусмотренного формата) — нарушение принципа минимизации по ст. 5 ФЗ-152. Перед подключением к ЕГИСЗ рекомендуется составить регламент с перечнем передаваемых полей.

5. Что грозит клинике за утечку медицинских данных пациентов?

Размер штрафа зависит от числа пострадавших субъектов. По ч. 12 ст. 13.11 КоАП (утечка от 1 000 до 10 000 субъектов) — 3–5 млн рублей; по ч. 13 (10 000–100 000 субъектов) — 5–10 млн рублей; по ч. 14 (свыше 100 000 субъектов) — 10–15 млн рублей. Если медицинские данные классифицируются как биометрические, применяется ч. 17 ст. 13.11 — штраф 15–20 млн рублей. При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн рублей.

6. За сколько дней РКН предупреждает о внеплановой проверке?

Срок уведомления о внеплановой проверке зависит от её основания. Если основание — жалоба пациента с признаками причинения вреда, предупреждение может не направляться вовсе или направляться в сокращённые сроки. При плановой проверке — не менее 3 рабочих дней до начала. Порядок проведения проверок РКН регулируется общими нормами о государственном контроле, конкретные сроки зависят от формата проверки (документарная или выездная).

Итог

Внеплановая проверка после жалобы пациента охватывает все аспекты обработки персональных данных: от наличия уведомления в реестре РКН до технических мер защиты МИС. Данные о здоровье — специальная категория, требующая отдельного письменного согласия и повышенного уровня защищённости информационной системы. С 01.09.2025 объединённые формы согласий недопустимы.

Юристы DATUM сопровождают медицинские организации при проверках РКН: готовят пакет ОРД, проверяют согласия пациентов, оценивают соответствие МИС требованиям ФЗ-152 и Приказа ФСТЭК № 21, представляют интересы клиники при взаимодействии с инспектором.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, обработка ПДн несовершеннолетних.