Перейти к содержанию
инструкция 21 января 2029 По состоянию на 21 января 2029

ВТЭК и ПДн: специфика

Данные пациентов ВТЭК — специальная категория по ст. 10 ФЗ-152. Их обработка без надлежащего основания образует состав административного нарушения с минимальным штрафом 3 млн ₽ по ч. 12 ст. 13.11 КоАП.
Медицинские организации, участвующие в проведении медико-социальной экспертизы, одновременно обязаны соблюдать ФЗ-152, ст. 13 323-ФЗ (врачебная тайна) и требования к интеграции с ЕГИСЗ. Эти обязанности пересекаются, но не совпадают.
→ Если вы главный врач клиники, которая направляет документы на МСЭ или взаимодействует с бюро ВТЭК — прочитайте этот материал до первого запроса Роскомнадзора.

С 2022 года федеральные бюро МСЭ перешли на электронный документооборот, а медорганизации получили обязанность передавать данные через ЕГИСЗ. Параллельно ФЗ-420 от 30.11.2024 ужесточил санкции за утечку медицинских ПДн: штраф для юрлица за утечку более 100 000 субъектов достигает 15 млн ₽ (ч. 14 ст. 13.11 КоАП), а при повторном нарушении рассчитывается от годовой выручки (ч. 15). Ниже — пошаговая инструкция для главного врача: какие данные ВТЭК считаются спецкатегорией, как правильно оформить согласия, как передавать информацию в ЕГИСЗ и что делать при инциденте.

Шаг 1. Определите, какие данные ВТЭК относятся к спецкатегории

Статья 10 ФЗ-152 относит к специальным категориям сведения о состоянии здоровья. В контексте медико-социальной экспертизы к ним относятся: диагноз и его код по МКБ, степень ограничения жизнедеятельности, сведения о группе инвалидности и её причинах, данные о протезировании и реабилитации, результаты клинических обследований, вошедшие в направление на МСЭ (форма 088/у).

Сведения о занятости и профессии пациента, включённые в направление, сами по себе — общие ПДн. Но в составе документа МСЭ они становятся частью спецкатегорийного массива, поскольку неразрывно связаны с медицинскими данными. Роскомнадзор квалифицирует такие составные записи как спецкатегорию целиком.

Фотография пациента в медицинской карте — биометрические ПДн по ст. 11 ФЗ-152, если используется для идентификации личности. Обработка биометрии без письменного согласия образует отдельный состав нарушения.

«Ст. 10 ФЗ-152 — обработка специальных категорий ПДн (в том числе о состоянии здоровья) по общему правилу не допускается, за исключением случаев, перечисленных в ч. 2 той же статьи: в частности, когда обработка необходима для охраны жизни и здоровья субъекта или осуществляется в медицинских целях медицинским работником, обязанным хранить врачебную тайну.»

Шаг 2. Установите правовые основания обработки

Для первичной медицинской помощи и формирования направления на МСЭ основанием служит исполнение обязанностей в сфере медицины (п. 4 ч. 2 ст. 10 ФЗ-152). Это означает, что отдельное согласие на обработку спецкатегорийных данных для ведения медкарты и оформления направления 088/у не требуется — при условии, что цели обработки строго ограничены медицинской помощью.

Согласие пациента требуется в следующих ситуациях: передача данных страховым организациям (кроме ОМС), публикация клинических случаев, передача данных третьим лицам, не участвующим в лечении. С 01.09.2025 согласие оформляется отдельным документом (ФЗ-156 от 24.06.2025), не объединяется с договором на оказание услуг или с информированным добровольным согласием (ИДС). ИДС регулируется ст. 20 323-ФЗ и фиксирует согласие на медицинское вмешательство — это отдельный документ с иным предметом.

«Ст. 13 323-ФЗ (врачебная тайна) и ст. 10 ФЗ-152 (спецкатегория ПДн) — разные правовые режимы. Первая запрещает разглашение сведений без согласия; вторая устанавливает условия, при которых обработка допустима без согласия. Нарушение врачебной тайны — дисциплинарная и гражданская ответственность; нарушение ФЗ-152 — административная, а с 11.12.2024 возможна и уголовная по ст. 272.1 УК.»

Что грозит клинике за утечку данных МСЭ?

Ответственность определяется объёмом утечки. Медицинские данные относятся к спецкатегории, поэтому при утечке применяются нормы ст. 13.11 КоАП в редакции с 30.05.2025. Основные ориентиры для клиники:

  • от 1 000 до 10 000 субъектов — штраф 3–5 млн ₽ (ч. 12 ст. 13.11 КоАП);
  • от 10 000 до 100 000 субъектов — 5–10 млн ₽ (ч. 13);
  • более 100 000 субъектов — 10–15 млн ₽ (ч. 14);
  • повторная утечка — 1–3% совокупной годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽ (ч. 15).

Помимо административной, с 11.12.2024 действует уголовная ответственность по ст. 272.1 УК РФ (ФЗ-421). Незаконные передача или использование компьютерной информации с ПДн, повлёкшие тяжкие последствия, наказываются лишением свободы до 10 лет. Персональная ответственность ложится на сотрудника, допустившего передачу, и на руководителя, не организовавшего защиту.

Неуведомление РКН об утечке в установленный срок образует самостоятельный состав по ч. 11 ст. 13.11 КоАП — штраф 1–3 млн ₽ дополнительно к штрафу за саму утечку.

Получили запрос от Роскомнадзора или подозреваете инцидент с данными пациентов?

Если в клинике произошла утечка данных МСЭ или пришло уведомление о проверке — у вас 24 часа на первичное уведомление РКН по ч. 3.1 ст. 21 ФЗ-152. Этот срок не восстанавливается. Юристы DATUM сопроводят проверку и подготовят уведомление: от разграничения составов до взаимодействия с инспектором.

Подготовиться к проверке РКН

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Проверьте правомерность передачи данных в ЕГИСЗ

Передача медицинских данных в ЕГИСЗ осуществляется на основании ст. 91 323-ФЗ и постановлений Правительства, регулирующих состав сведений в федеральных реестрах. Согласие пациента на передачу в ЕГИСЗ не требуется — это обязанность медорганизации, установленная законом (п. 2 ч. 2 ст. 10 ФЗ-152: обработка для исполнения обязанностей оператора, возложенных законом).

Однако это не означает, что любые данные можно передавать без ограничений. Состав передаваемых сведений должен соответствовать требованиям регуляторов и не превышать необходимый минимум (принцип соответствия объёма обработки целям, ст. 5 ФЗ-152). Передача дополнительных сведений, не предусмотренных приказами Минздрава, образует самостоятельное нарушение.

При интеграции МИС с ЕГИСЗ необходимо также оформить соглашение об обработке ПДн по поручению (ст. 6 ФЗ-152) с поставщиком МИС — если передача данных осуществляется через его инфраструктуру. Отсутствие такого соглашения делает клинику ответственной за действия подрядчика.

Шаг 4. Оформите документацию для обработки данных ВТЭК

Минимальный пакет ОРД для клиники, формирующей направления на МСЭ, включает следующие документы.

Что подготовить медорганизации, работающей с данными МСЭ

  • Политика обработки ПДн с разделом о специальных категориях (ст. 18.1 ФЗ-152) — опубликована на сайте клиники;
  • Приказ о назначении ответственного за обработку ПДн (ст. 22.1 ФЗ-152);
  • Согласие пациента на обработку ПДн (отдельный документ с 01.09.2025 по ФЗ-156) — для случаев, требующих согласия;
  • Соглашение с поставщиком МИС об обработке ПДн по поручению (ст. 6 ФЗ-152);
  • Регламент реагирования на инциденты с ПДн (порядок уведомления РКН в течение 24 и 72 часов по Приказу РКН №187).

Уведомление о намерении обрабатывать ПДн в реестре РКН (ст. 22 ФЗ-152) подаётся через портал pd.rkn.gov.ru. Обработка спецкатегорийных данных указывается отдельно. Неуведомление или устаревшие сведения в реестре — штраф 100–300 тыс. ₽ по ч. 10 ст. 13.11 КоАП.

Шаг 5. Разграничьте ответственность между клиникой и МИС-оператором

МИС (медицинская информационная система) в правовом смысле — это инструмент обработки, а не самостоятельный оператор. Оператором ПДн остаётся медицинская организация. Поставщик МИС выступает лицом, осуществляющим обработку по поручению (ст. 6 ФЗ-152).

Из этого следует: если утечка произошла через уязвимость МИС — ответственность перед РКН несёт клиника. Регрессное взыскание с поставщика МИС возможно только при наличии соответствующего условия в договоре. Проверьте договор с поставщиком: в нём должны быть закреплены обязанности по защите ПДн, порядок уведомления клиники об инциденте и ответственность за нарушения.

При выборе облачного МИС с хранением данных на зарубежных серверах возникает риск нарушения ч. 5 ст. 18 ФЗ-152 (локализация). Первичное хранение ПДн граждан РФ должно осуществляться в базах данных на территории РФ. Нарушение — штраф 1–6 млн ₽ по ч. 8 ст. 13.11 КоАП.

Если главный врач не уверен, что МИС-контракт закрывает риски по 152-ФЗ — это стандартная ситуация. Договоры с поставщиками МИС редко содержат корректные нормы о поручении обработки ПДн. DATUM проверит договор и укажет, что изменить.

Заказать аудит 152-ФЗ

Как применяются нормы на практике: типовые ситуации

Ситуация 1. Запрос страховой компании на данные пациента ВТЭК. Страховщик запрашивает сведения о диагнозе и группе инвалидности для урегулирования страхового случая. Основание — договор страхования, по которому пациент дал согласие на передачу данных. Проблема: согласие в страховом договоре до 01.09.2025 могло быть включено в текст договора. После 01.09.2025 такое согласие не имеет силы — требуется отдельный документ по требованиям ФЗ-156. Стратегия: запросить у страховщика подтверждение действующего отдельного согласия пациента; при его отсутствии — отказать в предоставлении данных и зафиксировать отказ письменно.

Ситуация 2. Утечка данных через МИС в результате кибератаки. Хакеры получили доступ к базе пациентов через уязвимость в веб-интерфейсе МИС. Данные около 8 000 пациентов, включая диагнозы, оказались в открытом доступе. Применимый состав — ч. 12 ст. 13.11 КоАП (от 1 000 до 10 000 субъектов), штраф 3–5 млн ₽. У клиники 24 часа на первичное уведомление РКН. Если уведомление пропущено — дополнительный штраф 1–3 млн ₽ по ч. 11. Стратегия: зафиксировать факт инцидента в журнале, немедленно уведомить РКН, через 72 часа направить отчёт о расследовании по Приказу РКН №187. Претензии к поставщику МИС — параллельно, через юриста.

Ситуация 3. Телемедицинская консультация для пациента, направляемого на МСЭ. Врач проводит консультацию дистанционно, фиксирует данные в МИС, которая передаёт записи в ЕГИСЗ. Риск: платформа телемедицины расположена на серверах за рубежом, нарушая требование локализации. Дополнительный риск: передача медицинских данных через телемедицинскую платформу без соглашения о поручении обработки. Стратегия: проверить юрисдикцию серверов платформы, оформить соглашение о поручении, включить платформу в уведомление в реестре РКН.

Из практики (Приволжский ФО, осень 2025). Клиника передала данные пациентов через МИС стороннего поставщика без оформленного соглашения о поручении обработки. При внеплановой проверке РКН инспекторы квалифицировали это как обработку без правового основания по ч. 1 ст. 13.11 КоАП. Штраф составил несколько сотен тысяч рублей. После вмешательства юристов удалось снизить его до минимума по ч. 1 — клиника оперативно устранила нарушение и представила доказательства добросовестного поведения.

Из практики (Сибирский ФО, начало 2026). Главный врач частной клиники обнаружил, что согласия пациентов на обработку ПДн были включены в текст договора на оказание услуг. После 01.09.2025 такие согласия утратили юридическую силу (ФЗ-156). РКН возбудил дело по ч. 2 ст. 13.11 КоАП — штраф для юрлица до 700 тыс. ₽. Клиника — микропредприятие — получила предупреждение вместо штрафа по ст. 4.1.1 КоАП как при первичном нарушении. Условие: немедленное переоформление всех согласий. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Услуги DATUM по теме

Частые вопросы

1. Чем отличается ИДС от согласия на обработку ПДн?

Информированное добровольное согласие (ИДС) регулируется ст. 20 323-ФЗ и фиксирует согласие пациента на медицинское вмешательство. Согласие на обработку ПДн — отдельный документ по ст. 9 ФЗ-152, предметом которого является передача и использование персональных данных. С 01.09.2025 (ФЗ-156) согласие на ПДн не может быть объединено ни с ИДС, ни с договором на услуги. Это два самостоятельных документа с разными реквизитами и разными правовыми последствиями при их отсутствии.

2. Можно ли публиковать фото «до и после» лечения с согласия пациента?

Публикация медицинских изображений затрагивает одновременно биометрические ПДн (ст. 11 ФЗ-152), специальные категории (ст. 10 ФЗ-152, сведения о здоровье) и нормы о распространении ПДн (ст. 10.1 ФЗ-152). Необходимо отдельное согласие на распространение, которое прямо называет способ публикации, площадку и перечень данных. Согласие по умолчанию молчанием не допускается. При наличии корректного согласия публикация правомерна; при его отсутствии — нарушение ст. 10.1 ФЗ-152.

3. Кто отвечает за утечку через МИС — клиника или поставщик программы?

Оператором ПДн является медицинская организация, поэтому ответственность перед РКН и пациентами несёт клиника. Поставщик МИС — лицо, осуществляющее обработку по поручению (ст. 6 ФЗ-152). Предъявить к нему регрессные требования можно только при наличии соответствующего условия в договоре. Если договор такого условия не содержит — взыскание с поставщика потребует отдельного судебного разбирательства. Практика ВС РФ подтверждает: оператор отвечает за действия подрядчика, получившего доступ к ПДн.

4. Какие данные клиника обязана передавать в ЕГИСЗ?

Состав передаваемых сведений определяется приказами Минздрава и постановлениями Правительства об ЕГИСЗ. Согласие пациента на передачу в ЕГИСЗ не требуется — это законная обязанность медорганизации. Однако передавать можно только те категории данных, которые прямо предусмотрены регуляторными требованиями. Передача избыточных сведений нарушает принцип соответствия объёма обработки целям (ст. 5 ФЗ-152) и может образовать отдельный состав нарушения.

5. Как уведомить РКН об утечке данных пациентов за 24 часа?

Первичное уведомление подаётся через портал pd.rkn.gov.ru в течение 24 часов с момента обнаружения инцидента (ч. 3.1 ст. 21 ФЗ-152, Приказ РКН №187). В уведомлении указываются: дата и время обнаружения, предполагаемый масштаб (число субъектов), категории ПДн, предпринятые меры. Через 72 часа направляется отчёт о результатах внутреннего расследования. Срок 24 часов не восстанавливается; его пропуск — самостоятельный состав по ч. 11 ст. 13.11 КоАП со штрафом 1–3 млн ₽.

6. Нужно ли переоформлять старые согласия пациентов после 01.09.2025?

ФЗ-156 от 24.06.2025 не имеет обратной силы: согласия, полученные до 01.09.2025 в соответствии с тогда действовавшими требованиями, продолжают действовать. Переоформлять их не требуется. Однако все новые согласия с 01.09.2025 должны оформляться отдельным документом. Если клиника продолжает использовать форму, включающую согласие в текст договора или ИДС — это нарушение ч. 2 ст. 13.11 КоАП.

Итог

ВТЭК и медико-социальная экспертиза генерируют наиболее чувствительную категорию ПДн — сведения о здоровье и ограничениях жизнедеятельности. Их обработка требует чёткого разграничения оснований: медицинская цель (без согласия) и передача третьим лицам (только с отдельным согласием по ФЗ-156). Документооборот с ЕГИСЗ и МИС создаёт дополнительные риски, связанные с локализацией и поручением обработки. Санкции с 30.05.2025 кратно возросли: первая крупная утечка обойдётся клинике от 3 млн ₽, повторная рассчитывается от выручки.

DATUM сопровождает медицинские организации в вопросах соответствия ФЗ-152: от аудита обработки данных пациентов до представления интересов при проверке Роскомнадзора и оспаривания постановлений по ст. 13.11 КоАП.

Смотрите также

ОН
Ольга Нечаева
Аналитик · Медицина и образование
Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, ПДн несовершеннолетних.

21 января 2029 года