инструкция 21 января 2028 По состоянию на 21 января 2028

Защита клиники от штрафа по ч. 12-14 (утечки)

Данные пациентов — спецкатегория по ст. 10 ФЗ-152. Утечка от 1 000 субъектов влечёт штраф от 3 до 15 млн ₽ по ч. 12–14 ст. 13.11 КоАП.

С 30.05.2025 нормы ФЗ-420 действуют в полную силу: за повторную утечку применяется оборотный штраф по ч. 15 — от 1 до 3% годовой выручки, не менее 20 млн ₽. Уголовная ответственность по ст. 272.1 УК введена с 11.12.2024.

→ Если вы главный врач и в клинике работает МИС, подключённая к ЕГИСЗ, — пройдите по шагам ниже, чтобы снизить риск штрафа до минимума.

Медицинские организации обрабатывают сразу два вида защищённых данных: персональные данные пациентов (имя, контакты, адрес) и специальные категории — сведения о состоянии здоровья по ст. 10 ФЗ-152. Любая утечка из МИС, телемедицинского сервиса или бумажной карты может квалифицироваться по ч. 12, 13 или 14 ст. 13.11 КоАП в зависимости от числа пострадавших субъектов. Эта инструкция описывает шесть последовательных шагов, которые главный врач может пройти до того, как Роскомнадзор инициирует проверку.

Шаг 1. Определите, какие данные пациентов вы обрабатываете и на каком основании

Первый шаг — инвентаризация. Составьте перечень всех систем, где хранятся ПДн пациентов: МИС, ЕГИСЗ, ЕМИАС, телемедицинская платформа, бухгалтерия, мессенджеры (если врачи пересылают результаты анализов). Для каждой системы зафиксируйте категорию данных и правовое основание обработки.

Данные о диагнозе, результатах анализов, назначениях — специальная категория по ст. 10 ФЗ-152. Обработка допустима только при наличии письменного согласия пациента или в случаях прямого указания закона (неотложная помощь, эпидемиологический контроль). Информированное добровольное согласие (ИДС) по ст. 20 323-ФЗ и согласие на обработку ПДн по ст. 9 ФЗ-152 — разные документы с разными реквизитами. Смешивать их нельзя.

«Ст. 10 ФЗ-152 запрещает обработку специальных категорий ПДн (в том числе сведений о состоянии здоровья) без письменного согласия субъекта, за исключением прямо предусмотренных законом случаев.»

Результат шага: таблица систем × категории × правовые основания. Если для какой-то системы основание отсутствует — это первоочередный риск по ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽) и по ч. 2 при отсутствии согласия (300–700 тыс. ₽).

Шаг 2. Проверьте уведомление оператора в реестре РКН

Медицинская организация обязана уведомить Роскомнадзор о намерении обрабатывать ПДн до начала обработки (ст. 22 ФЗ-152). Проверьте актуальность записи на pd.rkn.gov.ru: соответствуют ли заявленные цели, категории и системы реальной обработке. Частая ошибка — уведомление подано при открытии клиники, а за несколько лет появились новые сервисы (телемедицина, ЕГИСЗ, CRM для напоминаний о записи).

Неуведомление или устаревшие сведения в реестре — самостоятельный состав по ч. 10 ст. 13.11 КоАП (100–300 тыс. ₽). При проверке РКН инспектор сверяет реестровую запись с фактической инфраструктурой. Расхождение фиксируется отдельным протоколом.

«Ч. 10 ст. 13.11 КоАП (в ред. с 30.05.2025): неуведомление или несвоевременное уведомление РКН о намерении обрабатывать ПДн — штраф для юрлица 100 000–300 000 ₽.»

Реестровая запись устарела или отсутствует?

Если главный врач не уверен, соответствует ли запись в реестре РКН реальной обработке в клинике, это стандартная ситуация при росте медицинского бизнеса. Любое расхождение между реестром и фактом — самостоятельный штраф при проверке, независимо от наличия утечки. Юристы DATUM проверят запись, подготовят актуализированное уведомление и приведут её в соответствие.

Подготовиться к проверке РКН

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Шаг 3. Выстройте комплект документов ОРД для медицинской организации

Организационно-распорядительная документация — первое, что запрашивает РКН при проверке. Для клиники минимальный комплект включает политику обработки ПДн (обязательна к публикации по ч. 2 ст. 18.1 ФЗ-152), приказ о назначении ответственного по ст. 22.1 ФЗ-152, регламент обработки спецкатегорий, форму согласия пациента на обработку ПДн (отдельный документ от ИДС), соглашение с оператором МИС о поручении обработки (ст. 6 ч. 3 ФЗ-152), соглашение с оператором ЕГИСЗ о передаче данных.

Что подготовить главному врачу

Политика обработки ПДн (опубликована на сайте клиники, актуальная дата)
Приказ о назначении ответственного за организацию обработки ПДн (ст. 22.1 ФЗ-152)
Отдельная форма согласия пациента на обработку ПДн — не совмещённая с ИДС
Договор-поручение с вендором МИС о порядке обработки данных пациентов
Регламент реагирования на инциденты: алгоритм за 24 часа и 72 часа по Приказу РКН №187

С 01.09.2025 по ФЗ-156 согласие на обработку ПДн оформляется отдельным документом — его нельзя включить в текст договора на оказание медицинских услуг или в ИДС. Согласия, полученные до 01.09.2025, переоформлять не требуется, но новые — только по обновлённой форме.

Шаг 4. Оцените уровень защищённости МИС и устраните технические пробелы

Медицинские данные относятся к специальным категориям. Для ИСПДн, обрабатывающих спецкатегории, ПП РФ №1119 устанавливает уровень защищённости УЗ-3 или выше в зависимости от числа субъектов и типа угроз. На практике это означает обязательное применение мер из Приказа ФСТЭК №21: идентификация и аутентификация (ИАФ), управление доступом (УПД), регистрация событий (РСБ), антивирусная защита (АВЗ), защита информационной системы (ЗИС).

Если МИС — облачный сервис стороннего поставщика, клиника как оператор остаётся ответственной за соответствие уровню защищённости. Договор с вендором должен содержать обязательства по реализации мер ФСТЭК. Отсутствие такого договора или формальный договор без конкретных мер — риск при расследовании инцидента.

«ПП РФ №1119 от 01.11.2012: для ИСПДн, обрабатывающих специальные категории ПДн более 100 000 субъектов при угрозах 3-го типа, — уровень защищённости УЗ-2; при меньшем числе субъектов и угрозах 3-го типа — УЗ-3. Конкретный уровень определяет оператор через модель угроз.»

Технический аудит МИС стоит проводить не реже раза в год. Ключевые проверки: журналы доступа к записям пациентов, разграничение прав (администраторы видят всё, регистратор — только контакты), шифрование хранилища и канала передачи данных в ЕГИСЗ.

Если в клинике произошёл инцидент с МИС или данными пациентов — у главного врача есть 24 часа на первичное уведомление РКН (ч. 3.1 ст. 21 ФЗ-152). Срок не восстанавливается. Пропуск — штраф 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП.

Реагировать на утечку

Шаг 5. Отстройте процедуру реагирования на инцидент за 24 и 72 часа

Приказ РКН №187 от 14.11.2022 (действует с 01.03.2023) устанавливает двухэтапный порядок уведомления. Первичное уведомление направляется через портал pd.rkn.gov.ru в течение 24 часов с момента обнаружения инцидента. В нём фиксируются: дата и время обнаружения, предполагаемые категории и объём данных, предполагаемые причины. Через 72 часа — развёрнутый отчёт с результатами внутреннего расследования и перечнем принятых мер.

Обнаружение инцидента — это момент, когда ответственный сотрудник зафиксировал признаки неправомерного доступа, а не момент, когда данные появились в даркнете. Важно, чтобы в клинике был назначен ответственный за мониторинг и чтобы у него был доступ к порталу РКН через УКЭП или ЕСИА.

«Ч. 3.1 ст. 21 ФЗ-152: при обнаружении инцидента оператор уведомляет РКН в течение 24 часов (первичное), через 72 часа — направляет отчёт о результатах расследования. Порядок установлен Приказом РКН №187 от 14.11.2022.»

Неуведомление или нарушение сроков — ч. 11 ст. 13.11 КоАП: штраф для юрлица 1–3 млн ₽. Он применяется отдельно от штрафа за саму утечку по ч. 12–14. То есть при утечке от 10 000 субъектов клиника может получить штраф по ч. 13 (5–10 млн ₽) плюс по ч. 11 (1–3 млн ₽) — совокупно до 13 млн ₽ только за один инцидент.

Шаг 6. Подготовьте позицию для снижения штрафа в арбитраже

Если инцидент всё же произошёл и РКН составил протокол по ч. 12–14 ст. 13.11, у клиники есть инструменты для снижения санкции. Первый — ст. 4.1.1 КоАП: для субъектов малого и среднего предпринимательства при первичном нарушении без причинения вреда суд вправе заменить штраф на предупреждение. Этот инструмент не применяется к оборотному штрафу по ч. 15, но работает по ч. 12–14.

Второй инструмент — ст. 4.1 КоАП, примечание 3.4-2: если клиника вложила в информационную безопасность не менее 0,1% совокупной выручки за три предшествующих года, штраф по оборотным составам снижается до 1/10 минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽. Документировать ИБ-расходы нужно заранее — счета, акты, договоры с подрядчиками по ИБ.

Третий аргумент — оперативность реагирования. Если клиника уведомила РКН в течение 24 часов, провела расследование и устранила уязвимость до вынесения постановления, суды учитывают это как смягчающее обстоятельство по ст. 4.2 КоАП.

Как это применяется на практике

Кейс 1. Медицинский центр в Сибирском федеральном округе (лето 2025) столкнулся с утечкой через уязвимость в личном кабинете пациентов: были скомпрометированы данные около 8 000 субъектов, включая диагнозы. Главный врач уведомил РКН через 19 часов после обнаружения. Через 72 часа представлен отчёт с описанием патча и ограничением доступа к базе. РКН квалифицировал нарушение по ч. 13 ст. 13.11 (5–10 млн ₽). В арбитраже юристы представили документацию об ИБ-расходах за три года и применили ст. 4.1 КоАП — штраф снижен до нижнего предела диапазона. Кейс соответствует принципу case_generic_subpodryad: ответственность оператора сохраняется даже при атаке через сторонний модуль.

Кейс 2. Частная стоматологическая клиника в Центральном федеральном округе (начало 2026) прошла плановую проверку РКН. Инспектор выявил: согласия пациентов были включены в текст договора на оказание услуг (нарушение требований ФЗ-156 с 01.09.2025), политика конфиденциальности не опубликована на сайте, договор с вендором МИС не содержал условий о поручении обработки. Штраф по совокупности составов — в несколько сотен тысяч рублей. При наличии аудита и ОРД до проверки все три нарушения были бы устранены превентивно.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверим МИС, ОРД, реестровую запись и согласия пациентов
Комплект ОРД под ключ — политика, согласия, приказы, договоры с вендорами
Сопровождение проверок РКН — представление интересов клиники при проверке и обжаловании

Типовые ситуации: сценарии для главного врача

Ситуация 1. МИС взломали, данные 3 500 пациентов в даркнете. Доказательства: скриншоты источника, выгрузка из МИС с числом субъектов, дата обнаружения. Вероятный исход: ч. 13 ст. 13.11 КоАП (5–10 млн ₽) + ч. 11 (1–3 млн ₽ за нарушение сроков, если 24 часа пропущены). Стратегия: немедленное уведомление РКН, сбор документации ИБ-расходов, подготовка к арбитражу с применением ст. 4.1 КоАП.

Ситуация 2. Сотрудник клиники скопировал базу пациентов на личный носитель. Доказательства: журналы доступа МИС, акт внутреннего расследования. Вероятный исход: ч. 12–14 ст. 13.11 в зависимости от объёма + возможная ст. 272.1 УК для сотрудника (с 11.12.2024). Стратегия: фиксация инцидента, уведомление РКН в 24 часа, разграничение ответственности оператора и физлица в материалах расследования.

Ситуация 3. Телемедицинская платформа, через которую работает клиника, допустила утечку. Доказательства: договор с платформой, условия поручения обработки. Вероятный исход: если договор не содержал обязательств платформы по защите ПДн — клиника несёт ответственность как оператор наравне с платформой. Стратегия: проверить договор немедленно; при наличии корректного поручения — позиция оператора существенно сильнее.

Частые вопросы

1. Чем отличается ИДС от согласия на ПДн?

Информированное добровольное согласие (ИДС) по ст. 20 323-ФЗ — это медицинский документ, подтверждающий согласие пациента на конкретное медицинское вмешательство. Согласие на обработку персональных данных по ст. 9 ФЗ-152 — отдельный юридический документ с обязательными реквизитами: наименование оператора, цели, перечень данных, перечень действий, срок, способ отзыва. С 01.09.2025 по ФЗ-156 согласие на ПДн нельзя включать в ИДС или договор на услуги — только отдельный документ.

2. Можно ли публиковать фото до-после с согласия пациента?

Публикация изображений пациентов — это распространение ПДн по ст. 10.1 ФЗ-152. Для неё требуется отдельное согласие на распространение, которое нельзя совмещать с общим согласием на обработку ПДн. В согласии нужно явно указать площадку (например, сайт клиники, Instagram), тип изображений и цель (демонстрация результатов работы). Дефолт при молчании пациента — обработка только внутри клиники, без публикации.

3. Кто отвечает за утечку через МИС?

Клиника как оператор ПДн несёт ответственность за утечку через МИС в любом случае — даже если МИС принадлежит стороннему вендору. По ст. 6 ФЗ-152 оператор вправе поручить обработку третьему лицу, но ответственность перед субъектом остаётся у оператора. Обязательное условие — договор поручения с конкретными требованиями к защите данных. Если такого договора нет, риск оператора максимален.

4. Какие данные передавать в ЕГИСЗ?

Состав передаваемых в ЕГИСЗ сведений определяется Положением о системе и конкретными подсистемами (ИЭМК, РЭМД и другими). Клиника обязана уведомить РКН о передаче данных в ЕГИСЗ как об отдельной цели обработки. Передача данных в ЕГИСЗ в рамках исполнения требований 323-ФЗ является самостоятельным правовым основанием по ст. 6 ФЗ-152, однако согласие пациента на конкретные сведения целесообразно зафиксировать в договоре на медицинские услуги.

5. Что грозит клинике за утечку?

Размер штрафа зависит от числа пострадавших субъектов: от 1 000 до 10 000 субъектов — ч. 12 ст. 13.11, штраф 3–5 млн ₽; от 10 000 до 100 000 — ч. 13, 5–10 млн ₽; более 100 000 — ч. 14, 10–15 млн ₽. При повторном инциденте — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽, не более 500 млн ₽. Дополнительно — штраф по ч. 11 за нарушение сроков уведомления РКН (1–3 млн ₽). Для сотрудника-виновника возможна ст. 272.1 УК с 11.12.2024.

6. Можно ли снизить штраф, если клиника сотрудничала с РКН?

Да. Оперативное уведомление РКН в 24 часа, представление полного отчёта в 72 часа и устранение уязвимости до вынесения постановления суды учитывают как смягчающие обстоятельства по ст. 4.2 КоАП. Для субъектов МСП при первичном нарушении возможна замена штрафа на предупреждение по ст. 4.1.1 КоАП. Документально подтверждённые расходы на ИБ (не менее 0,1% выручки за 3 года) позволяют применить льготный расчёт оборотного штрафа по примечанию 3.4-2 к ст. 4.1 КоАП.

Итог

Защита клиники от штрафа по ч. 12–14 ст. 13.11 КоАП строится на шести элементах: инвентаризация данных и оснований обработки, актуальная запись в реестре РКН, полный комплект ОРД с отдельными согласиями пациентов, технические меры по УЗ-3/УЗ-2 в МИС, отлаженный процесс уведомления за 24/72 часа и подготовленная позиция для арбитража. Ни один из этих элементов не требует уникальных ресурсов — всё это стандартная комплаенс-работа, которую можно пройти превентивно.

DATUM сопровождает медицинские организации по ФЗ-152 с момента аудита до представления интересов в Роскомнадзоре и арбитражном суде. В практике — клиники разного масштаба: от частных стоматологий до многопрофильных центров с МИС и подключением к ЕГИСЗ.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна.

21 января 2028 года