Перейти к содержанию
инструкция 16 февраля 2029 По состоянию на 16 февраля 2029

Врачебная тайна (ст. 13 323-ФЗ) vs 152-ФЗ

Врачебная тайна и персональные данные пациента — два самостоятельных правовых режима, которые в медицинской организации работают одновременно и пересекаются почти в каждой точке обработки информации.
Ст. 13 323-ФЗ запрещает разглашение сведений о факте обращения, состоянии здоровья и диагнозе. Ст. 10 152-ФЗ относит эти же данные к специальной категории ПДн с отдельным режимом согласия. Нарушение любого из режимов даёт основание для штрафа — по ч. 12–14 ст. 13.11 КоАП от 3 до 15 млн ₽.
Если вы главный врач и в клинике работает МИС с подключением к ЕГИСЗ — у вас уже идут обе обязанности: и по 323-ФЗ, и по 152-ФЗ. Ниже — пошаговый разбор, что и как оформлять.

С 2023 года Роскомнадзор проводит плановые и внеплановые проверки медицинских организаций отдельным индикатором риска: отсутствие политики обработки ПДн или её несоответствие требованиям ч. 2 ст. 18.1 152-ФЗ. По данным РКН за 2024 год, среди операторов с выявленными нарушениями медицинские учреждения входят в тройку наиболее часто проверяемых секторов. При этом данные о состоянии здоровья — спецкатегория по ст. 10 152-ФЗ, что влечёт повышенные требования к согласию и к мерам защиты. Эта инструкция описывает конкретные шаги главного врача: от разграничения двух режимов до оформления документов для МИС и ЕГИСЗ.

Шаг 1. Разграничьте два правовых режима: что охраняет 323-ФЗ, а что — 152-ФЗ?

Врачебная тайна по ст. 13 323-ФЗ — это запрет на разглашение сведений о факте обращения за медицинской помощью, состоянии здоровья, диагнозе и иных сведениях, полученных при обследовании и лечении. Запрет распространяется на медицинских работников и иных лиц, которым эти сведения стали известны при исполнении трудовых, должностных, служебных и иных обязанностей.

Персональные данные о состоянии здоровья по ст. 10 152-ФЗ — это специальная категория ПДн. Их обработка по общему правилу запрещена, кроме прямо указанных исключений: письменного согласия субъекта, необходимости оказания медицинской помощи, и ряда других оснований п. 2 ст. 10 152-ФЗ.

«Ст. 10 152-ФЗ — обработка ПДн о состоянии здоровья допустима в медицинских целях лицом, профессионально обязанным сохранять врачебную тайну, без согласия субъекта; во всех остальных случаях — только с его письменного согласия.»

Практическое разграничение: 323-ФЗ отвечает на вопрос «кому нельзя передавать», 152-ФЗ — на вопрос «как оформить обработку и защиту». Обе нормы работают одновременно. Нарушение 323-ФЗ — административная и уголовная ответственность медработника; нарушение 152-ФЗ — штраф на организацию как оператора ПДн.

Шаг 2. Определите, какие данные пациента попадают в оба режима одновременно

Не любые ПДн пациента являются врачебной тайной. Имя и контактный телефон — ПДн, но не тайна сами по себе. Диагноз, назначение, результат анализа — и врачебная тайна, и спецкатегория ПДн. Важно правильно классифицировать каждый поток данных в МИС.

Данные, попадающие в оба режима одновременно: диагноз и код МКБ, результаты лабораторных и инструментальных исследований, назначения и режим лечения, сведения о госпитализации, данные об обращении за наркологической, психиатрической или онкологической помощью, история болезни в электронном виде.

Данные только под 152-ФЗ (не всегда врачебная тайна): ФИО, дата рождения, СНИЛС, полис ОМС, адрес для направления документов — если они не связаны с фактом обращения за помощью в конкретной ситуации.

«Ст. 13 323-ФЗ — перечень сведений, составляющих врачебную тайну, включает сам факт обращения за медицинской помощью. Это расширяет тайну за пределы диагноза: достаточно, что человек обратился в клинику.»

Главный врач: МИС уже работает, а документы по 152-ФЗ не оформлены?

Отсутствие отдельного согласия на обработку спецкатегорий ПДн по ст. 10 152-ФЗ — это основание для штрафа по ч. 2 ст. 13.11 КоАП от 300 000 до 700 000 ₽ за каждый факт нарушения. Если в клинике нет политики обработки ПДн и приказа об ответственном — ч. 3 ст. 13.11 добавит ещё 60 000 ₽. Срок на устранение нарушений по предписанию РКН — обычно 30 дней.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Оформите два раздельных согласия: ИДС и согласие на ПДн

Информированное добровольное согласие (ИДС) по ст. 20 323-ФЗ и согласие на обработку ПДн по ст. 9 152-ФЗ — это два разных документа с разными реквизитами и разными правовыми последствиями отзыва. Объединение их в один документ не запрещено прямо, однако создаёт риск: отзыв согласия на ПДн может быть интерпретирован как отзыв ИДС и наоборот.

Реквизиты согласия на ПДн по ст. 9 152-ФЗ в редакции ФЗ-156 от 24.06.2025 (с 01.09.2025): ФИО субъекта, контактные данные, наименование и адрес оператора, цель обработки, перечень ПДн, перечень действий с ними, срок действия, способ отзыва. Для спецкатегорий по ст. 10 согласие должно быть письменным.

Практика: оформляйте ИДС и согласие на ПДн как два отдельных листа в пакете первичной документации. В МИС фиксируйте дату и способ получения каждого из них отдельными атрибутами.

«Ст. 9 152-ФЗ в ред. ФЗ-156 от 24.06.2025 — с 01.09.2025 согласие на обработку ПДн оформляется отдельным документом и не объединяется с договором, офертой или иными документами.»

Как МИС и ЕГИСЗ влияют на обязанности клиники по 152-ФЗ?

МИС (медицинская информационная система) — это информационная система персональных данных (ИСПДн) в терминах 152-ФЗ. Для неё обязательно определить уровень защищённости по ПП РФ №1119. Данные о состоянии здоровья — спецкатегория, что при обработке более 100 000 субъектов даёт УЗ-3, при меньшем числе — УЗ-2 или УЗ-3 в зависимости от типа угроз.

Передача данных в ЕГИСЗ — это не самостоятельная цель обработки ПДн, а отдельное действие, которое должно быть отражено в согласии пациента или обосновано иным основанием ст. 10 152-ФЗ (например, исполнение требований законодательства об охране здоровья). Перечень данных, передаваемых в ЕГИСЗ, определяется нормативными актами Минздрава — клиника не вправе передавать больше, чем предусмотрено.

«ПП РФ №1119 — уровень защищённости УЗ-2 требует выполнения не менее 19 мер из Приказа ФСТЭК №21, включая журналирование действий пользователей в ИСПДн.»

Подключение МИС к ЕГИСЗ требует заключения соглашения об обмене данными. В этом соглашении клиника выступает оператором, передающим данные по поручению или в рамках межведомственного взаимодействия. Форму соглашения и перечень передаваемых атрибутов согласовывает региональный оператор ЕГИСЗ.

Что подготовить главному врачу

  • Два раздельных документа: ИДС по ст. 20 323-ФЗ и согласие на ПДн по ст. 9 152-ФЗ — с реквизитами в соответствии с редакцией ФЗ-156 от 24.06.2025.
  • Политику обработки ПДн с разделом о спецкатегориях и описанием МИС как ИСПДн — опубликовать на сайте клиники по ч. 2 ст. 18.1 152-ФЗ.
  • Приказ о назначении ответственного за обработку ПДн по ст. 22.1 152-ФЗ и должностную инструкцию к нему.
  • Акт классификации МИС с определением уровня защищённости по ПП РФ №1119 и перечень реализованных мер по Приказу ФСТЭК №21.
  • Уведомление в реестр операторов ПДн через pd.rkn.gov.ru, если клиника ещё не включена или сведения устарели (ст. 22 152-ФЗ).

Шаг 4. Урегулируйте телемедицину: трансграничная передача и особый порядок согласия

Телемедицинские консультации с участием иностранных специалистов или через зарубежные платформы создают риск трансграничной передачи ПДн. По ст. 12 152-ФЗ до передачи данных в страну без адекватной защиты необходимо уведомить РКН. Если платформа расположена в ЕС или другой стране из перечня адекватной защиты — уведомление не требуется, но договорные гарантии сохранности данных обязательны.

При телемедицинской консультации по видеосвязи фиксация записи сеанса содержит биометрические данные пациента (изображение лица) и сведения о состоянии здоровья. Это двойная спецкатегория: и по ст. 10, и по ст. 11 152-ФЗ. Согласие на запись должно быть отдельным, письменным, с указанием цели хранения и срока.

«Ст. 11 152-ФЗ — биометрические ПДн (изображение лица, используемое для идентификации личности) обрабатываются только с письменного согласия субъекта, кроме случаев, прямо предусмотренных законом.»

Шаг 5. Настройте реагирование на утечку из МИС за 24 и 72 часа

Утечка из МИС — это не только инцидент ИБ, но и нарушение врачебной тайны одновременно. По ч. 3.1 ст. 21 152-ФЗ у клиники есть 24 часа с момента обнаружения факта на первичное уведомление РКН по Приказу РКН №187 от 14.11.2022. Через 72 часа — отчёт о результатах внутреннего расследования. Срок не восстанавливается.

В первичном уведомлении указываются: дата и время обнаружения, предполагаемый масштаб, категории затронутых ПДн, принятые оперативные меры. При утечке медицинских данных особо важно указать, что речь идёт о спецкатегории — это влияет на оценку тяжести инцидента регулятором.

Неуведомление об утечке в 24 часа — штраф по ч. 11 ст. 13.11 КоАП от 1 000 000 до 3 000 000 ₽. Если утекло от 1 000 до 10 000 записей пациентов — дополнительно ч. 12 ст. 13.11: 3 000 000 — 5 000 000 ₽. При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки клиники, не менее 20 млн ₽.

«Ч. 3.1 ст. 21 152-ФЗ и Приказ РКН №187 — первичное уведомление об инциденте в течение 24 часов, отчёт о результатах расследования — в течение 72 часов с момента обнаружения.»

Если в клинике произошёл инцидент с МИС или поступил запрос от РКН — у вас не более 24 часов на первичное уведомление. Юристы DATUM подготовят уведомление, оценят масштаб и организуют расследование под ключ.

Подготовиться к проверке РКН

Типовые ситуации: как работают нормы на практике

Ситуация 1. Публикация фото до-после без разграничения ИДС и согласия на ПДн. Косметологическая клиника опубликовала на сайте фотографии результатов процедур с устного согласия пациентки. В публикации не использовалось имя, но лицо было различимо. Это одновременно нарушение ст. 10 и ст. 10.1 152-ФЗ (распространение биометрических данных и данных о состоянии здоровья без отдельного письменного согласия) и потенциальное нарушение врачебной тайны, поскольку факт обращения за косметологической процедурой стал публичным. Регулятор вправе квалифицировать это по ч. 2 ст. 13.11 КоАП — штраф 300 000 — 700 000 ₽. Стратегия: оформить отдельное письменное согласие с явным указанием цели «публикация на сайте», описанием изображений и сроком размещения; до оформления — снять фото с публикации.

Ситуация 2. Утечка через уязвимость в МИС (Северо-Западный ФО, осень 2024). Медицинская организация обнаружила, что данные пациентов (ФИО, диагноз, назначения) стали доступны через незакрытый API МИС. Затронуто около 8 000 записей. CISO зафиксировал инцидент, клиника направила первичное уведомление в РКН за 20 часов, отчёт — за 68 часов. Регулятор квалифицировал инцидент по ч. 12 ст. 13.11 КоАП (утечка от 1 000 до 10 000 субъектов). Штраф составил сумму в нижней части диапазона 3 000 000 — 5 000 000 ₽ с учётом своевременного уведомления как смягчающего обстоятельства. Параллельно главному врачу и IT-директору предъявлены обвинения в нарушении врачебной тайны. Стратегия: оперативное уведомление РКН критически важно для снижения штрафа; защита в арбитраже строилась на соответствии срокам и задокументированных мерах по устранению.

Ситуация 3. Запрос родственника на сведения о состоянии пациента. Взрослый пациент не оставил доверенности. Родственник требует выдать историю болезни, ссылаясь на семейные отношения. По ст. 13 323-ФЗ выдача сведений третьим лицам без согласия пациента или без законного основания — нарушение врачебной тайны. По ст. 14 152-ФЗ субъект ПДн — только сам пациент. Выдача данных родственнику без доверенности — нарушение ч. 1 ст. 13.11 КоАП (обработка ПДн без основания). Стратегия: разработать регламент ответов на запросы третьих лиц с обязательной проверкой основания (доверенность, судебное решение, законодательное исключение), ознакомить регистратуру.

Услуги DATUM по теме

Частые вопросы

1. Чем отличается ИДС от согласия на ПДн?

ИДС (информированное добровольное согласие) по ст. 20 323-ФЗ — это согласие пациента на конкретное медицинское вмешательство. Его отзыв означает отказ от лечения. Согласие на обработку ПДн по ст. 9 152-ФЗ — это разрешение оператору обрабатывать персональные данные в заявленных целях. Его отзыв обязывает клинику прекратить обработку, но не лечение. Документы имеют разные реквизиты, разные последствия отзыва и разные сроки хранения. С 01.09.2025 согласие на ПДн обязательно оформляется отдельным документом по ФЗ-156 от 24.06.2025.

2. Можно ли публиковать фото до-после с согласия пациента?

Публикация фотографий результатов лечения допустима при наличии отдельного письменного согласия по ст. 10.1 152-ФЗ — на распространение данных о состоянии здоровья. Если лицо пациента различимо, дополнительно требуется согласие на обработку биометрических ПДн по ст. 11 152-ФЗ. Согласие должно указывать конкретный ресурс для публикации, срок размещения и возможность отзыва. Устного согласия недостаточно — нарушение грозит штрафом по ч. 2 ст. 13.11 КоАП от 300 000 до 700 000 ₽.

3. Кто отвечает за утечку через МИС?

Клиника как оператор ПДн несёт административную ответственность по ст. 13.11 КоАП независимо от того, кто технически допустил утечку — собственный IT-персонал или подрядчик по обслуживанию МИС. Если МИС предоставляется по договору поручения обработки, клиника должна включить в него требования по безопасности и меры ответственности подрядчика. Главный врач и руководитель IT могут быть привлечены к ответственности за нарушение врачебной тайны по ст. 13.14 КоАП или ст. 137 УК РФ персонально.

4. Какие данные передавать в ЕГИСЗ?

Перечень сведений, передаваемых в ЕГИСЗ, определяется нормативными актами Минздрава России и условиями подключения к региональному сегменту. Клиника не вправе передавать данные сверх установленного перечня. Основанием для передачи служит исполнение требований законодательства об охране здоровья — это самостоятельное основание по п. 2 ст. 10 152-ФЗ, отдельного согласия пациента не требует. Однако факт передачи и состав данных должны быть отражены в политике обработки ПДн клиники.

5. Что грозит клинике за утечку данных пациентов?

Штраф зависит от числа затронутых субъектов: от 1 000 до 10 000 пациентов — ч. 12 ст. 13.11 КоАП, от 3 000 000 до 5 000 000 ₽; от 10 000 до 100 000 — ч. 13, от 5 000 000 до 10 000 000 ₽; свыше 100 000 — ч. 14, от 10 000 000 до 15 000 000 ₽. При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 000 000 ₽. Дополнительно — штраф за неуведомление РКН по ч. 11 ст. 13.11: 1 000 000 — 3 000 000 ₽. Все суммы в редакции ФЗ-420 от 30.11.2024, действуют с 30.05.2025.

6. Нужно ли уведомлять РКН о МИС как о системе обработки ПДн?

Да. Клиника как оператор ПДн обязана уведомить РКН о намерении осуществлять обработку персональных данных до начала обработки — ст. 22 152-ФЗ. В уведомлении указываются цели обработки, категории данных (включая спецкатегории по ст. 10), меры защиты и сведения о МИС. Неуведомление или несвоевременное уведомление влечёт штраф по ч. 10 ст. 13.11 КоАП от 100 000 до 300 000 ₽. Форма уведомления — Приказ РКН №180 от 28.10.2022, подача через pd.rkn.gov.ru.

Итог

Врачебная тайна и режим ПДн — не взаимозаменяемые нормы, а два независимых правовых слоя. Клиника, работающая с МИС и ЕГИСЗ, обязана одновременно соблюдать ст. 13 323-ФЗ и весь пакет требований 152-ФЗ: от классификации ИСПДн до раздельных согласий и уведомления РКН об инцидентах за 24 часа.

Юристы DATUM сопровождают медицинские организации по 152-ФЗ: от аудита МИС и оформления пакета ОРД до представительства при проверке РКН и реагирования на утечки. Практика «Ветров и партнёры» в сфере здравоохранения — с 2014 года.

Смотрите также

ОН
Ольга Нечаева
Аналитик · Медицина и образование
Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна.

16 февраля 2029 года