Перейти к содержанию
инструкция 3 апреля 2028 По состоянию на 3 апреля 2028

Внутреннее расследование утечки в клинике

Утечка медицинских данных — это инцидент со спецкатегорией ПДн по ст. 10 ФЗ-152. На первичное уведомление Роскомнадзора отведено 24 часа с момента обнаружения.
Если МИС клиники скомпрометирована, а данные пациентов попали к третьим лицам, штраф по ч. 12–14 ст. 13.11 КоАП составит от 3 до 15 млн ₽. При повторном нарушении — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽.
Если вы главный врач и зафиксировали признаки инцидента — у вас есть строго ограниченное время до момента, когда РКН получит уведомление от третьих лиц раньше вас. → Действуйте по шагам ниже.

С 30.05.2025 за утечку данных пациентов от 1 000 до 10 000 субъектов клиника платит 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП. Медицинские сведения относятся к спецкатегории по ст. 10 ФЗ-152 — это означает повышенную ответственность и отдельное основание для проверки Роскомнадзора. Внутреннее расследование по Приказу РКН №187 от 14.11.2022 — обязательный элемент: без него клиника не подаст 72-часовой отчёт и рискует получить дополнительный штраф по ч. 11 ст. 13.11 (1–3 млн ₽) за ненадлежащее уведомление. Ниже — пошаговый порядок действий главного врача с момента обнаружения инцидента до закрытия расследования.

Шаг 1. Зафиксируйте факт инцидента и изолируйте источник

Как только сотрудник сообщил о подозрении на утечку или система мониторинга выдала сигнал, запустите фиксацию. Время старта расследования — это точка отсчёта 24-часового срока по ч. 3.1 ст. 21 ФЗ-152.

Действия на первом шаге:

  • Составьте служебную записку с точным временем обнаружения, подписанную сотрудником, который первым выявил инцидент.
  • Изолируйте скомпрометированный сегмент МИС или учётную запись — заблокируйте доступ без удаления данных и логов.
  • Сохраните журналы доступа к МИС и ЕГИСЗ за последние 30 суток. Удаление логов до завершения расследования квалифицируется как воспрепятствование.
  • Назначьте ответственного за расследование приказом главного врача. Если в клинике есть лицо, ответственное за обработку ПДн по ст. 22.1 ФЗ-152, — оно координирует процесс.
«Ч. 3.1 ст. 21 ФЗ-152 обязывает оператора при выявлении утечки уведомить Роскомнадзор в течение 24 часов. Через 72 часа подаётся отчёт о результатах внутреннего расследования. Порядок установлен Приказом РКН №187 от 14.11.2022 (действует с 01.03.2023).»

Шаг 2. Определите масштаб: сколько пациентов затронуто?

От числа субъектов и категории данных зависит квалификация нарушения. Медицинские сведения о пациентах — спецкатегория по ст. 10 ФЗ-152. Их утечка одновременно затрагивает врачебную тайну по ст. 13 Федерального закона №323-ФЗ «Об основах охраны здоровья граждан».

Для оценки масштаба проверьте:

  • Какие таблицы или модули МИС могли быть скомпрометированы — карточки пациентов, результаты анализов, назначения, данные телемедицинских сессий.
  • Сколько уникальных субъектов (пациентов) содержится в затронутых записях.
  • Были ли переданы данные в ЕГИСЗ и мог ли инцидент затронуть интеграционный шлюз.
  • Имелись ли в базе биометрические ПДн — фото, голосовые записи. Их утечка квалифицируется по ч. 17 ст. 13.11 КоАП (15–20 млн ₽ для юрлица).

Результат этого шага фиксируется в рабочем журнале расследования с указанием предварительного числа субъектов и категорий данных. Эти сведения войдут в 72-часовой отчёт.

Утечка уже зафиксирована — как подать уведомление за 24 часа?

24-часовой срок по ч. 3.1 ст. 21 ФЗ-152 не восстанавливается. Если главный врач не успел подать первичное уведомление — клиника автоматически получает состав по ч. 11 ст. 13.11 КоАП (штраф 1–3 млн ₽ дополнительно к штрафу за саму утечку). Юристы DATUM возьмут реагирование на себя: первичное уведомление, координация расследования, отчёт за 72 часа.

Реагировать на утечку

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Подайте первичное уведомление в РКН за 24 часа

Первичное уведомление подаётся через личный кабинет на портале pd.rkn.gov.ru с использованием УКЭП или через ЕСИА. Неполнота сведений на этом этапе — не основание для отказа от уведомления: лучше подать предварительные данные, чем нарушить срок.

В первичном уведомлении указываются:

  • Наименование оператора, ИНН, реквизиты из реестра РКН.
  • Дата и время обнаружения инцидента.
  • Предварительное описание инцидента: характер (несанкционированный доступ, утрата носителя, атака на МИС) и предполагаемый источник.
  • Предварительное число субъектов и категории ПДн (спецкатегория — здоровье пациентов).
  • Принятые оперативные меры: блокировка доступа, изоляция сегмента.

Если клиника не включена в реестр операторов ПДн по ст. 22 ФЗ-152, это отдельное нарушение — ч. 10 ст. 13.11 КоАП (100–300 тыс. ₽). Факт отсутствия в реестре не освобождает от обязанности уведомить об утечке.

Шаг 4. Проведите внутреннее расследование для 72-часового отчёта

Расследование — это документированная процедура: кто, когда и каким образом получил доступ к данным пациентов. Результаты передаются в РКН через 72 часа после первичного уведомления.

Содержание расследования:

  • Технический анализ: проверка логов МИС и шлюза ЕГИСЗ, анализ сетевого трафика, выявление точки входа (уязвимость, скомпрометированные учётные данные, инсайдер).
  • Организационный анализ: какие сотрудники имели доступ к скомпрометированным модулям, соблюдался ли регламент разграничения доступа.
  • Оценка распространения: куда могли уйти данные — публичный ресурс, даркнет, третья сторона. Мониторинг специализированных площадок.
  • Уведомление пациентов: если данные публично доступны, клиника рассматривает уведомление субъектов — с учётом требований ст. 21 ФЗ-152.
«Ст. 10 ФЗ-152 — медицинские сведения о пациенте относятся к специальным категориям ПДн. Обработка без явного согласия пациента запрещена, кроме исключений п. 2 той же статьи. Ст. 13 ФЗ-323 устанавливает режим врачебной тайны — она не снимается фактом утечки.»

Шаг 5. Оформите документы расследования и направьте отчёт в РКН

72-часовой отчёт — это форма, установленная Приказом РКН №187. Клиника подаёт его через тот же портал pd.rkn.gov.ru. Неполный или противоречивый отчёт повышает вероятность внеплановой проверки.

Пакет документов расследования включает:

  • Протокол внутреннего расследования с хронологией событий, именами ответственных и выводами.
  • Акт об инциденте с подписями ответственного за обработку ПДн и технического специалиста.
  • Перечень мер, принятых после инцидента: смена паролей, патч уязвимости, ограничение доступа, обновление регламентов.
  • План устранения нарушений с конкретными сроками и ответственными.
  • Сведения о числе субъектов и категориях данных — уточнённые по результатам расследования.

После подачи отчёта сохраните все материалы расследования минимум на 3 года — они понадобятся при плановой или внеплановой проверке РКН.

Что подготовить до прихода проверки РКН

  • Выписка из реестра операторов ПДн с pd.rkn.gov.ru — актуальная на дату проверки.
  • Информированные добровольные согласия (ИДС) пациентов с явным указанием цели обработки ПДн и отдельные согласия на обработку ПДн по ст. 9 ФЗ-152 (два документа, если согласие на лечение и согласие на ПДн объединялись).
  • Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 и действующая политика обработки ПДн клиники.
  • Журналы доступа к МИС и ЕГИСЗ за 12 месяцев, предшествующих проверке.
  • Пакет документов внутреннего расследования, если инцидент имел место: протокол, акт, 72-часовой отчёт РКН.

Как применяются нормы на практике: разбор сценариев для клиники

Сценарий 1. Взлом МИС через уязвимость в стороннем модуле. Клиника использовала МИС с устаревшим модулем записи онлайн. Хакеры получили доступ к базе: 12 000 карточек пациентов с диагнозами. Ответственный за ПДн обнаружил инцидент через 6 часов, первичное уведомление подано за 20 часов. Ситуация подпадает под ч. 13 ст. 13.11 КоАП (10 000 — 100 000 субъектов, штраф 5–10 млн ₽). Оперативность уведомления и наличие документированного расследования позволили избежать дополнительного штрафа по ч. 11. Стратегия: наличие актуального договора с вендором МИС с распределением ответственности снижает риск, но не снимает ответственность клиники как оператора.

Сценарий 2. Утечка через инсайдера — сотрудник регистратуры. Администратор клиники скопировал базу контактов пациентов (2 500 записей: ФИО, телефоны, диагнозы) и передал конкурирующей организации. Клиника — оператор ПДн — несёт ответственность за действия своего работника. Применяется ч. 12 ст. 13.11 (1 000–10 000 субъектов, штраф 3–5 млн ₽). Параллельно против сотрудника может быть возбуждено уголовное дело по ст. 272.1 УК РФ (введена 11.12.2024) — незаконная передача компьютерной информации с ПДн. Стратегия: документированные ролевые права доступа к МИС и журналы действий пользователей — ключевые доказательства при разграничении ответственности оператора и работника.

Сценарий 3. Клиника не уведомила РКН в 24-часовой срок. Главный врач решил разобраться самостоятельно, откладывая уведомление. На третий день информация об утечке появилась в открытом источнике. РКН возбудил дело по ч. 11 ст. 13.11 (неуведомление об инциденте, 1–3 млн ₽) и ч. 12 ст. 13.11 (утечка 1 000–10 000 субъектов, 3–5 млн ₽) одновременно. Итоговая санкция — два штрафа. Стратегия: даже если масштаб неизвестен, лучше подать предварительное уведомление с неполными данными, чем нарушить 24-часовой срок.

Если вы главный врач и инцидент уже произошёл — или вы хотите выстроить процедуру до того, как он случится — юристы DATUM проведут аудит документооборота клиники по ФЗ-152 и подготовят регламент реагирования на утечку. Срок подключения — 24 часа.

Заказать аудит 152-ФЗ

Частые вопросы

1. Чем отличается ИДС от согласия на обработку ПДн?

Информированное добровольное согласие (ИДС) — это медицинский документ по ст. 20 ФЗ-323, подтверждающий согласие пациента на конкретное медицинское вмешательство. Согласие на обработку ПДн — отдельный документ по ст. 9 ФЗ-152, регулирующий работу с персональными данными пациента: кто их обрабатывает, в каких целях, каков перечень действий. С 01.09.2025 согласие на ПДн не может объединяться с ИДС, договором или другими документами (ФЗ-156 от 24.06.2025). Это два самостоятельных документа с разными реквизитами и разными правовыми последствиями.

2. Можно ли публиковать фото «до и после» с согласия пациента?

Фотоизображение пациента — биометрические ПДн по ст. 11 ФЗ-152. Для публикации потребуется отдельное письменное согласие на распространение биометрических ПДн по ст. 10.1 ФЗ-152. В этом согласии должны быть прямо указаны: вид публикации (сайт, социальная сеть, рекламный материал), срок и порядок отзыва. Согласие в рамках ИДС или общего договора об оказании услуг для этой цели недостаточно. Нарушение — ч. 16 ст. 13.11 КоАП.

3. Кто отвечает за утечку через МИС?

Клиника как оператор ПДн несёт ответственность по ст. 13.11 КоАП независимо от того, является ли МИС сторонним программным продуктом. Если МИС эксплуатируется по договору с вендором, а вендор допустил уязвимость — клиника вправе взыскать убытки с подрядчика, но перед Роскомнадзором отвечает самостоятельно. Это прямо следует из принципа ответственности оператора за действия лиц, осуществляющих обработку по поручению (ст. 6 ФЗ-152). Договор с вендором МИС должен содержать условия об уровне защищённости и ответственности за инциденты.

4. Какие данные клиника обязана передавать в ЕГИСЗ?

Состав передаваемых сведений определяется нормативными актами Минздрава в рамках интеграции с государственной информационной системой в сфере здравоохранения. Клиника, подключённая к ЕГИСЗ, обрабатывает ПДн пациентов как на своих мощностях, так и через интеграционный шлюз. Передача данных в ЕГИСЗ должна быть отражена в политике обработки ПДн клиники и в согласии пациента: цель — ведение медицинской документации в государственной системе. Утечка через шлюз ЕГИСЗ также является основанием для уведомления РКН в 24-часовой срок.

5. Что грозит клинике за утечку данных пациентов?

За утечку от 1 000 до 10 000 субъектов — штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП (в редакции с 30.05.2025). За утечку 10 000–100 000 субъектов — 5–10 млн ₽ по ч. 13. Более 100 000 субъектов — 10–15 млн ₽ по ч. 14. При повторном нарушении — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽, не более 500 млн ₽. Дополнительно: штраф за неуведомление РКН в 24 часа — 1–3 млн ₽ по ч. 11. Если инцидент произошёл по вине сотрудника — возможна уголовная ответственность по ст. 272.1 УК РФ.

6. С какого момента отсчитываются 24 часа на уведомление РКН?

Срок отсчитывается с момента обнаружения инцидента, то есть с того момента, когда клиника узнала или должна была узнать о факте утечки. Зафиксируйте точное время получения первого сигнала — через мониторинговую систему, сообщение сотрудника или жалобу пациента. Именно это время войдёт в первичное уведомление и станет базой для оценки соблюдения срока Роскомнадзором. Если момент обнаружения не задокументирован, регулятор вправе исчислять срок с даты самого инцидента.

Итог

Внутреннее расследование утечки в клинике — это не формальность, а процедура, от которой зависит квалификация нарушения и размер штрафа. Клиника, которая уведомила РКН в срок, провела расследование и устранила уязвимость, имеет шансы на снижение санкции. Клиника, которая этого не сделала, получает два и более штрафа одновременно.

DATUM сопровождает медицинские организации на всех стадиях: от разработки регламента реагирования на утечку до представления интересов в РКН при проверке. Практика по ФЗ-152 в медицине — включая МИС, ЕГИСЗ, согласия пациентов и спецкатегорию данных о здоровье.

Услуги DATUM по теме

Смотрите также

ОН
Ольга Нечаева
Аналитик · Медицина и образование
Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, обработка ПДн несовершеннолетних.