инструкция 25 февраля 2029 По состоянию на 25 февраля 2029

Запрос пациента о своих ПДн (ст. 14 152-ФЗ)

Пациент вправе в любой момент запросить у медорганизации, какие его персональные данные обрабатываются, на каком основании и где хранятся — это право закреплено ст. 14 152-ФЗ.

Медицинские данные относятся к спецкатегории по ст. 10 152-ФЗ. Нарушение порядка ответа на запрос влечёт штраф до 90 000 ₽ по ч. 5 ст. 13.11 КоАП, а утечка через МИС — от 3 до 15 млн ₽ по ч. 12–14 ст. 13.11 КоАП.

Если в вашей клинике не выстроен порядок ответа на запросы пациентов — пройдите по инструкции ниже и устраните пробел до проверки Роскомнадзора.

С 01.09.2025 согласие пациента на обработку ПДн оформляется отдельным документом (ФЗ-156 от 24.06.2025). При этом право пациента на доступ к своим ПДн существовало всегда — и медорганизации всё чаще получают такие запросы. Разберём, как на них реагировать, что передавать, что скрывать и как не нарушить врачебную тайну по ст. 13 323-ФЗ.

Шаг 1. Что именно вправе запросить пациент по ст. 14 152-ФЗ?

Право субъекта на доступ к своим ПДн охватывает несколько категорий информации. Пациент может запросить подтверждение факта обработки, перечень обрабатываемых данных, цели и правовые основания обработки, сроки хранения, источник получения ПДн (если они получены не от него), а также сведения о лицах, которым данные передаются или могут быть переданы.

«Ст. 14 ФЗ-152 — субъект вправе требовать от оператора уточнения, блокирования или уничтожения ПДн, если они неполные, устаревшие, неточные или обрабатываются незаконно.»

Для медорганизации это означает следующее: нужно уметь выгрузить из МИС перечень данных конкретного пациента, указать основание обработки (информированное добровольное согласие по ст. 20 323-ФЗ либо отдельное согласие на ПДн по ст. 9 152-ФЗ), назвать сроки хранения и перечислить получателей — включая ЕГИСЗ, страховые компании, лаборатории-подрядчики.

Данные о состоянии здоровья, диагнозах, результатах анализов — спецкатегория по ст. 10 152-ФЗ. Их обработка возможна только при наличии явного согласия или иных оснований п. 2 ст. 10. Предоставлять их в ответ на запрос следует с соблюдением врачебной тайны: ответ направляется только самому пациенту или его законному представителю.

Шаг 2. Как принять запрос и в какой форме он должен поступить?

Закон не устанавливает обязательную форму запроса. Пациент вправе обратиться письменно, через электронную почту, через личный кабинет МИС или устно при визите. Рекомендуется зафиксировать любую форму обращения в журнале учёта запросов субъектов — это снизит риски при проверке.

Для идентификации заявителя достаточно паспортных данных или иного документа, удостоверяющего личность. Если запрос поступает через представителя — нужна нотариальная доверенность. Для законных представителей несовершеннолетнего — свидетельство о рождении или решение суда об опеке.

Что подготовить для приёма запросов пациентов

Журнал учёта запросов субъектов ПДн с полями: дата, ФИО заявителя, способ обращения, срок ответа, исполнитель.
Шаблон ответа на запрос — содержит перечень ПДн, основания, сроки, получателей данных.
Регламент идентификации заявителя (очно, по email с УКЭП, через личный кабинет).
Приказ о назначении ответственного за обработку ПДн по ст. 22.1 152-ФЗ — он же координирует ответы на запросы.
Актуальная политика обработки ПДн, опубликованная на сайте клиники (ст. 18.1 152-ФЗ).

Нет журнала запросов — есть риск штрафа при проверке РКН?

Отсутствие учёта обращений субъектов — типичная находка инспекторов. По ч. 4 ст. 13.11 КоАП клиника платит 40 000–80 000 ₽ только за непредоставление информации пациенту. По ч. 5 — ещё до 90 000 ₽ за нарушение сроков уточнения или уничтожения ПДн. Юристы DATUM соберут ОРД для медорганизации под ключ: шаблоны запросов, журнал, регламент ответа.

Собрать ОРД под ключ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Шаг 3. В какие сроки медорганизация обязана ответить?

По ст. 20 152-ФЗ срок предоставления информации субъекту — 10 рабочих дней с даты обращения. Если запрос требует дополнительной проверки или пациент не идентифицирован, оператор вправе продлить срок ещё на 5 рабочих дней, уведомив об этом заявителя.

Срок исчисляется с рабочего дня, следующего за датой поступления запроса. Ответ на запрос, поступивший в пятницу вечером, начинает отсчёт с понедельника. Нарушение срока без уведомления о продлении — состав по ч. 4 ст. 13.11 КоАП.

«Ст. 20 ФЗ-152 — оператор обязан предоставить субъекту сведения об обрабатываемых ПДн в течение 10 рабочих дней, с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта.»

Для МИС-систем с централизованным хранением важно, чтобы ответственный сотрудник мог сформировать выгрузку данных конкретного пациента в течение 1–2 рабочих дней. Если МИС подключена к ЕГИСЗ, в ответе нужно указать, что часть данных передаётся в федеральную систему — с указанием состава и основания передачи.

Шаг 4. Что и в каком формате передавать пациенту в ответе?

Ответ должен содержать: подтверждение факта обработки, перечень категорий ПДн (общие — ФИО, контакты; спецкатегория — диагнозы, анализы, назначения), правовое основание каждой категории, цели обработки, источник получения (направление врача, регистратура, телемедицина), перечень третьих лиц-получателей и сроки хранения.

Форма ответа — письменная или в электронном виде. Ответ в личный кабинет МИС засчитывается, если это предусмотрено регламентом и пациент подтвердил свои учётные данные. Ответ по незащищённому каналу (обычный email без шифрования) при передаче спецкатегорий ПДн создаёт риск по ст. 19 152-ФЗ — нарушение технических мер защиты.

Если главный врач получил письменный запрос пациента и не знает, что именно включить в ответ, — 10 рабочих дней истекают быстрее, чем кажется. Неполный ответ приравнивается к непредоставлению информации по ч. 4 ст. 13.11 КоАП. Юристы DATUM подготовят шаблон ответа и проведут аудит МИС на соответствие 152-ФЗ.

Заказать аудит 152-ФЗ

Шаг 5. Как разграничить запрос о ПДн и запрос медицинской документации?

Пациент нередко путает два разных права: право на доступ к ПДн по ст. 14 152-ФЗ и право на ознакомление с медицинской документацией по ст. 22 323-ФЗ. Это разные режимы с разными сроками и процедурами.

Запрос о ПДн — это запрос о факте и составе обработки данных. Запрос медицинской документации — это запрос копий карты, выписок, результатов исследований. Первый регулируется 152-ФЗ (10 рабочих дней), второй — 323-ФЗ (срок определяется внутренним регламентом клиники, как правило 30 дней). Смешивать их в одном ответе не рекомендуется: это затрудняет контроль сроков и создаёт риски при проверке.

Если пациент в одном обращении задаёт оба вопроса — зарегистрируйте два отдельных запроса с разными сроками исполнения. По каждому ведите отдельную запись в журнале.

Как это работает на практике: два сценария для главного врача

Сценарий 1. Запрос через ЕГИСЗ. Пациент подал запрос через портал Госуслуг о составе данных в ЕГИСЗ. Медорганизация обязана в течение 10 рабочих дней предоставить ответ, включая сведения о том, какие данные переданы в региональный сегмент ЕСИА. Если клиника не ведёт журнал передачи данных в ЕГИСЗ — сформировать корректный ответ невозможно. В одном из регионов ЦФО (лето 2025) клиника получила постановление по ч. 4 ст. 13.11 КоАП с штрафом в диапазоне 40 000–80 000 ₽ именно за неполный ответ: не был указан состав данных, переданных в федеральную систему.

Сценарий 2. Запрос после телемедицинской консультации. Пациент потребовал уничтожить ПДн после отказа от услуги телемедицины. Клиника обязана в течение 7 рабочих дней уничтожить ПДн, если нет законного основания для дальнейшего хранения (ст. 21 152-ФЗ). Исключение — медицинская документация: она хранится в соответствии со сроками, установленными приказами Минздрава. Разграничение «ПДн в МИС» и «медицинская документация» здесь критично: удалить запись из системы аналитики можно, карту пациента — нельзя.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка МИС, ЕГИСЗ, согласий пациентов, журналов запросов.
Комплект ОРД под ключ — шаблоны ответов на запросы субъектов, журнал учёта, политика обработки.
Сопровождение проверок РКН — представление интересов клиники при внеплановой проверке.

Частые вопросы

1. Чем отличается информированное добровольное согласие (ИДС) от согласия на обработку ПДн?

ИДС — это согласие пациента на медицинское вмешательство по ст. 20 323-ФЗ, оно подтверждает право врача проводить конкретную процедуру. Согласие на ПДн — это документ по ст. 9 152-ФЗ, дающий клинике право обрабатывать личные данные пациента в определённых целях. С 01.09.2025 (ФЗ-156) согласие на ПДн оформляется строго отдельным документом и не может быть включено в ИДС или договор на медицинские услуги. Оба документа обязательны — они регулируют разные правоотношения.

2. Можно ли публиковать фото «до и после» лечения с согласия пациента?

Да, но только при наличии отдельного согласия на распространение ПДн по ст. 10.1 152-ФЗ. Фотографии пациента, особенно позволяющие идентифицировать его или связать с диагнозом, — это спецкатегория ПДн. Согласие на публикацию должно содержать конкретное описание: какие изображения, на каких площадках, в течение какого срока. Отзыв такого согласия пациент вправе направить в любое время, после чего клиника обязана прекратить распространение.

3. Кто несёт ответственность за утечку данных через МИС?

Ответственность несёт оператор ПДн — медицинская организация, которая заключила договор с поставщиком МИС. Если утечка произошла по вине разработчика системы, это не освобождает клинику от ответственности перед РКН: оператор отвечает за действия лица, обрабатывающего ПДн по поручению (ст. 6 152-ФЗ). Штраф по ч. 12 ст. 13.11 КоАП при утечке от 1 000 до 10 000 субъектов составляет 3–5 млн ₽. Претензии к поставщику МИС клиника предъявляет отдельно — в рамках договорной ответственности.

4. Какие данные медорганизация обязана передавать в ЕГИСЗ?

Перечень и состав данных, передаваемых в ЕГИСЗ, регулируются постановлением Правительства РФ о государственной информационной системе в сфере здравоохранения. В базовый состав входят сведения об оказанных медицинских услугах, диагнозах по МКБ, назначениях и результатах лабораторных исследований. Передача осуществляется на основании ст. 91 323-ФЗ без отдельного согласия пациента. При запросе пациента о составе ПДн клиника обязана указать, что часть данных направляется в ЕГИСЗ, с описанием состава и срока хранения в федеральной системе.

5. Что грозит клинике за утечку данных пациентов?

За утечку медицинских данных как спецкатегории ПДн клинике грозит штраф по ч. 12–14 ст. 13.11 КоАП: от 3 млн ₽ при утечке от 1 000 субъектов до 15 млн ₽ при утечке более 100 000 субъектов. При повторной утечке применяется оборотный штраф по ч. 15 той же статьи — 1–3% совокупной выручки за предшествующий год, но не менее 20 млн ₽. Отдельно клинике грозит штраф 1–3 млн ₽ за неуведомление РКН об инциденте в течение 24 часов (ч. 11 ст. 13.11 КоАП).

6. Нужно ли вести отдельный журнал запросов субъектов ПДн?

Прямой нормы, обязывающей вести журнал, в 152-ФЗ нет. Однако по ст. 18.1 152-ФЗ оператор обязан принимать меры, обеспечивающие выполнение требований закона, в том числе фиксировать факты обращений. На практике РКН при проверке запрашивает доказательства того, что ответ субъекту был дан в срок. Без журнала доказать соблюдение 10-рабочедневного срока по ст. 20 152-ФЗ практически невозможно. Рекомендуется вести журнал в электронном виде с отметкой о дате получения запроса и дате отправки ответа.

Итог

Запрос пациента о своих ПДн — это стандартная процедура, которую медорганизация обязана отработать за 10 рабочих дней. Ключевые риски: отсутствие журнала учёта, смешение запросов о ПДн и медицинской документации, неполный ответ без указания получателей данных, включая ЕГИСЗ, и нарушение технических мер при пересылке спецкатегорий.

Юристы DATUM сопровождают медицинские организации в вопросах соответствия 152-ФЗ: аудит МИС и согласий пациентов, сборка ОРД, подготовка к проверкам РКН, реагирование при запросах субъектов.

Есть запрос от пациента или предстоит проверка РКН?

Если главный врач получил запрос о ПДн или уведомление о проверке Роскомнадзора — действовать нужно в строго отведённые сроки. Юристы DATUM проведут аудит соответствия 152-ФЗ по чек-листу из 38 пунктов, выдадут отчёт с приоритизированным планом устранения нарушений и при необходимости подготовят клинику к проверке. Практика «Ветров и партнёры» по 152-ФЗ с 2014 года.