инструкция 14 января 2029 По состоянию на 14 января 2029

Защита клиники от штрафа по ч. 1 ст. 13.11

Часть 1 ст. 13.11 КоАП — штраф до 300 000 ₽ за обработку персональных данных в случаях, не предусмотренных законом, или в целях, несовместимых с изначально заявленными.

Медицинская организация обрабатывает данные пациентов — спецкатегорию по ст. 10 ФЗ-152. Любое несоответствие основания обработки цели фиксирует инспектор РКН. Повторное нарушение — ч. 1.1 ст. 13.11, штраф до 500 000 ₽.

Если вы главный врач и получили уведомление о проверке РКН — у вас есть конкретные шаги, которые снизят риск штрафа до нуля. → читайте инструкцию.

С 30 мая 2025 года ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024 — 18 частей вместо прежних 7. Для клиник ключевым остаётся ч. 1: обработка ПДн без надлежащего основания или с целями, выходящими за рамки заявленных. В 2025 году РКН зафиксировал 30 инцидентов только за первое полугодие. Типовые нарушения медорганизаций — смешение согласия на медицинское вмешательство (ИДС) с согласием на обработку ПДн, передача данных в МИС без поручения, несогласованная публикация в ЕГИСЗ. Инструкция ниже — шесть шагов, которые устраняют основание для штрафа по ч. 1.

Шаг 1. Определите правовое основание для каждой цели обработки

Ч. 1 ст. 13.11 фиксирует два состава: обработка без законного основания и обработка с целью, не совместимой с заявленной. В медицине каждая цель требует отдельного основания из ст. 6 и ст. 10 ФЗ-152.

Для лечения пациента основанием служат исполнение договора (п. 5 ч. 1 ст. 6) и защита жизни/здоровья (п. 6 ч. 2 ст. 10). Для маркетинговых рассылок, фотосъёмки, публикации отзывов — только согласие пациента по ст. 9. Совмещать эти цели в одном документе после 01.09.2025 нельзя: ФЗ-156 от 24.06.2025 требует оформлять согласие отдельным документом, не встроенным в договор или ИДС.

«Ст. 6 ФЗ-152 содержит 11 оснований обработки ПДн. Ст. 10 ФЗ-152 устанавливает запрет на обработку специальных категорий, включая сведения о состоянии здоровья, — за исключением прямо перечисленных случаев.»

Составьте реестр целей: наименование цели — правовое основание — категория ПДн — срок обработки. Это базовый документ, который инспектор РКН запрашивает первым.

Шаг 2. Разделите ИДС и согласие на обработку персональных данных

Информированное добровольное согласие (ИДС) по ст. 20 ФЗ-323 «Об основах охраны здоровья граждан» и согласие на обработку ПДн по ст. 9 ФЗ-152 — принципиально разные документы с разными реквизитами и правовыми последствиями.

ИДС подтверждает согласие пациента на конкретное медицинское вмешательство. Согласие на ПДн разрешает клинике совершать конкретные действия с персональными данными в конкретных целях. Если клиника включила согласие на ПДн в текст ИДС или в договор на медуслуги — с 01.09.2025 это нарушение ст. 9 ФЗ-152. Такое согласие считается недействительным, а обработка данных — лишённой основания по ч. 1 ст. 13.11.

«Ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156 от 24.06.2025): согласие на обработку ПДн оформляется отдельным документом и не объединяется с договором, офертой или иным документом.»

Проверьте все шаблоны, которые подписывает пациент при поступлении. Если согласие на ПДн встроено в ИДС, договор или анкету — разделите немедленно. Ранее полученные согласия переоформлять не требуется: обратной силы у нормы нет.

Нашли смешанные согласия в шаблонах клиники?

После 01.09.2025 согласие на ПДн в тексте ИДС или договора — прямое основание для штрафа по ч. 2 ст. 13.11 до 700 000 ₽. Срок исправления ограничен: при плановой проверке РКН документы запрашивают сразу. Юристы DATUM проведут аудит шаблонов и соберут корректный пакет ОРД для медорганизации.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Шаг 3. Проверьте передачу данных в МИС и ЕГИСЗ

Медицинская информационная система (МИС) обрабатывает данные пациентов по поручению клиники. По ст. 6 ч. 3 ФЗ-152 поручение обработки должно быть оформлено письменным договором с перечнем действий, целей и обязанностей по защите. Без такого договора поставщик МИС действует как самостоятельный оператор — а клиника передаёт ПДн без основания.

Передача данных в ЕГИСЗ (Единую государственную информационную систему в сфере здравоохранения) осуществляется на основании ФЗ-323 и подзаконных актов Минздрава. Клиника обязана передавать только те данные, которые прямо предусмотрены регламентом ЕГИСЗ. Передача избыточных сведений — нарушение принципа соответствия объёма целям (ст. 5 ФЗ-152) и потенциальный состав ч. 1 ст. 13.11.

«Ст. 5 ФЗ-152 закрепляет принцип соответствия: объём обрабатываемых ПДн не должен превышать необходимый для достижения конкретной цели обработки.»

Запросите у поставщика МИС актуальный текст договора поручения обработки. Проверьте, что в нём указаны: перечень действий, цели, срок, обязанность по конфиденциальности и уничтожению данных по истечении поручения.

Шаг 4. Проверьте уведомление в реестре операторов РКН

По ст. 22 ФЗ-152 клиника обязана уведомить Роскомнадзор о намерении обрабатывать ПДн до начала обработки. Отсутствие в реестре или несоответствие реестровых сведений фактической обработке — самостоятельный состав по ч. 10 ст. 13.11, штраф 100 000–300 000 ₽.

Критичный момент: если клиника расширила перечень обрабатываемых категорий (например, начала вести телемедицину, добавила биометрическую СКУД или запустила программу лояльности) — уведомление нужно обновить. Инспектор сравнивает реестровые сведения с фактической обработкой: расхождение трактуется как отсутствие основания по ч. 1 ст. 13.11.

Проверьте реестр на pd.rkn.gov.ru: найдите запись клиники, сверьте цели обработки, категории ПДн, страны передачи и наименование ответственного за обработку. При несоответствии — подайте уведомление об изменении сведений по форме Приказа РКН №180 от 28.10.2022.

Шаг 5. Составьте политику обработки персональных данных

По ч. 2 ст. 18.1 ФЗ-152 оператор обязан опубликовать политику обработки ПДн — документ с обязательными разделами: категории ПДн, цели, правовые основания, меры защиты, права субъектов, порядок обращений. Отсутствие политики или её публикация без обязательных разделов — состав по ч. 3 ст. 13.11, штраф 30 000–60 000 ₽.

Для медорганизации политика должна отдельно описывать обработку специальных категорий (ст. 10 ФЗ-152): сведения о состоянии здоровья, диагнозах, назначениях. Если клиника использует телемедицину с пациентами за рубежом — в политику включается раздел о трансграничной передаче с указанием стран. Политика размещается на сайте в открытом доступе — не за авторизацией.

«Ст. 18.1 ч. 2 ФЗ-152: оператор обязан опубликовать документ, определяющий его политику в отношении обработки ПДн, и обеспечить неограниченный доступ к нему.»

Если вы главный врач и проверка РКН уже назначена — у вас до 30 дней на устранение нарушений. Юристы DATUM подготовят клинику: политика, согласия, договор с МИС, реестр операторов. Первичная консультация — бесплатно.

Подготовиться к проверке РКН

Шаг 6. Назначьте ответственного за обработку и проведите инструктаж персонала

По ст. 22.1 ФЗ-152 клиника как юридическое лицо обязана назначить лицо, ответственное за организацию обработки ПДн. Это не обязательно штатный юрист — но человек, который понимает требования ФЗ-152 и может ответить на запрос инспектора. Отсутствие приказа о назначении — отдельное нарушение при проверке.

Персонал, работающий с данными пациентов (регистраторы, медсёстры, врачи с доступом к МИС), должен быть ознакомлен с требованиями ФЗ-152 под подпись. Ст. 13 ФЗ-323 устанавливает режим врачебной тайны: сведения о состоянии здоровья пациента не разглашаются без его согласия. Нарушение врачебной тайны может квалифицироваться одновременно как нарушение ст. 10 ФЗ-152 (спецкатегория без основания) — двойная ответственность.

«Ст. 13 ФЗ-323 «Об основах охраны здоровья граждан»: сведения о факте обращения за медицинской помощью, состоянии здоровья и диагнозе составляют врачебную тайну.»

Что подготовить к проверке РКН

Выписка из реестра операторов ПДн с pd.rkn.gov.ru — с актуальными целями и категориями
Политика обработки ПДн с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152 — опубликована на сайте
Отдельные согласия пациентов на ПДн по ст. 9 ФЗ-152 (не встроены в ИДС или договор)
Договор поручения обработки с поставщиком МИС — с перечнем действий и мер защиты
Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152

Как это применяется на практике

Кейс 1. Многопрофильная клиника (Сибирский ФО, осень 2025) прошла плановую проверку РКН. Инспектор выявил: согласие на ПДн встроено в ИДС, договор с МИС не содержит перечня действий с данными, уведомление в реестре не обновлялось с 2021 года. По результатам проверки составлены три протокола — по ч. 1 ст. 13.11, ч. 3 ст. 13.11 и ч. 10 ст. 13.11. Общая сумма штрафов — в несколько сотен тысяч рублей. После устранения нарушений в установленный РКН срок и обжалования в судебном порядке суд снизил штраф по ч. 1, применив обстоятельства, смягчающие ответственность.

Кейс 2. Стоматологическая клиника (Центральный ФО, начало 2026) опубликовала на сайте фотографии пациентов «до и после» лечения. Пациент обратился в РКН с жалобой. Согласие на публикацию изображения в маркетинговых целях клиника не получала — ИДС не распространяется на распространение ПДн по ст. 10.1 ФЗ-152. Составлен протокол по ч. 1 ст. 13.11 как обработка (распространение) без надлежащего основания. Штраф — в диапазоне 150 000–300 000 ₽. Клиника устранила нарушение, добавила отдельное согласие на публикацию в маркетинговых целях.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка шаблонов, реестра, договоров с МИС, политики
Комплект ОРД под ключ — согласия, политика, приказы, договор поручения для медорганизации
Сопровождение проверок РКН — подготовка, представительство, обжалование предписания

Частые вопросы

1. Чем отличается ИДС от согласия на обработку персональных данных?

ИДС по ст. 20 ФЗ-323 подтверждает согласие пациента на медицинское вмешательство и регулирует медицинские правоотношения. Согласие на ПДн по ст. 9 ФЗ-152 — отдельный документ, разрешающий клинике совершать конкретные действия с данными пациента в конкретных целях. После 01.09.2025 объединять их в одном документе запрещено: ФЗ-156 от 24.06.2025 требует оформлять согласие на ПДн отдельно. Нарушение — состав ч. 2 ст. 13.11, штраф до 700 000 ₽.

2. Можно ли публиковать фото «до и после» с согласия пациента?

Публикация фотографий пациента в маркетинговых целях — это распространение персональных данных по ст. 10.1 ФЗ-152. Для этого требуется отдельное согласие на распространение: оно не вытекает из ИДС или согласия на лечение. Согласие должно содержать перечень конкретных данных для публикации, каналы распространения и срок. Дефолт при молчании пациента — данные обрабатываются только внутри клиники.

3. Кто отвечает за утечку через МИС — клиника или поставщик?

Клиника остаётся оператором ПДн и несёт ответственность перед РКН и пациентами независимо от того, произошла ли утечка через МИС. Поставщик МИС — обработчик по поручению (ст. 6 ч. 3 ФЗ-152). Если договор поручения не заключён или не содержит условий о защите данных — клиника нарушает ст. 6 ФЗ-152 уже фактом передачи. Регрессные требования к поставщику — отдельный вопрос договора.

4. Какие данные пациентов передавать в ЕГИСЗ?

Перечень данных для передачи в ЕГИСЗ определяется регламентами Минздрава и ФЗ-323. Клиника передаёт только те сведения, которые прямо предусмотрены этими актами. Передача избыточных данных нарушает принцип соответствия объёма целям (ст. 5 ФЗ-152) и может квалифицироваться по ч. 1 ст. 13.11 как обработка, несовместимая с заявленными целями. Уточните актуальный состав передаваемых полей у оператора ЕГИСЗ или в Минздраве.

5. Что грозит клинике за утечку данных пациентов?

Данные о состоянии здоровья — специальная категория ст. 10 ФЗ-152. Утечка от 1 000 до 10 000 субъектов влечёт штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП (в редакции с 30.05.2025). Утечка более 100 000 субъектов — 10–15 млн ₽ по ч. 14. При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽. Дополнительно возможна уголовная ответственность по ст. 272.1 УК РФ, действующей с 11.12.2024.

6. Обязана ли клиника уведомлять пациентов об утечке?

Прямой обязанности уведомлять субъектов об утечке в ФЗ-152 нет, но есть обязанность уведомить РКН в течение 24 часов с момента обнаружения (ч. 3.1 ст. 21 ФЗ-152) и направить отчёт о результатах внутреннего расследования через 72 часа (Приказ РКН №187 от 14.11.2022). Неуведомление РКН — штраф 1–3 млн ₽ по ч. 11 ст. 13.11. Информирование пациентов снижает репутационные риски и может учитываться судом как смягчающее обстоятельство.

Итог

Защита клиники от штрафа по ч. 1 ст. 13.11 — это не разовое действие, а поддерживаемый порядок: отдельные согласия, корректный договор с МИС, актуальное уведомление в реестре РКН, опубликованная политика и назначенный ответственный. Каждый из шести шагов устраняет конкретное основание для протокола. Совокупность нарушений даёт инспектору возможность составить несколько протоколов по разным частям ст. 13.11 одновременно.

DATUM сопровождает медицинские организации при проверках РКН начиная с подготовки документов и заканчивая обжалованием постановлений о штрафе. Юристы практики специализируются на пересечении ФЗ-152 и ФЗ-323.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна.