аналитика 18 апреля 2027 По состоянию на 18 апреля 2027

Защита жизни и здоровья: применение в медицине

Защита жизни и здоровья пациента — самостоятельное правовое основание обработки специальных категорий персональных данных без согласия субъекта, предусмотренное ст. 10 ФЗ-152.

Медицинские организации ежедневно обрабатывают данные, составляющие спецкатегорию: сведения о состоянии здоровья, диагнозах, назначениях. Утечка из МИС квалифицируется по ч. 12–14 ст. 13.11 КоАП — от 3 млн до 15 млн ₽. Реестр РКН в 2024 году зафиксировал более 135 инцидентов с медицинскими данными в общей массе утечек объёмом свыше 710 млн записей.

Если вы юрист медицинской организации — разберём, когда ссылка на защиту жизни и здоровья законна, а когда оператор выходит за рамки нормы и создаёт основание для штрафа.

Основание «защита жизни и здоровья» позволяет клинике, скорой помощи или телемедицинскому сервису обрабатывать данные пациента без его согласия — но только при строгом соблюдении условий, закреплённых в ст. 10 ФЗ-152 и ст. 13 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан». Ниже — разбор применения этого основания, его границ, типовых ошибок операторов и судебной практики 2025–2026 годов.

Что такое специальные категории ПДн и почему медицина в зоне повышенного риска?

Статья 10 ФЗ-152 относит к специальным категориям данные о состоянии здоровья и интимной жизни субъекта. Обработка таких данных по общему правилу запрещена. Перечень исключений закрытый: согласие субъекта, жизненно важные интересы, публичный интерес в сфере здравоохранения, выполнение обязательств в области трудового или медицинского страхования и ряд других оснований.

«Ст. 10 ч. 2 п. 4 ФЗ-152 — обработка спецкатегорий без согласия допускается, если необходима для защиты жизни и здоровья субъекта или иных лиц, а получение согласия невозможно.»

Для юриста ключевые понятия закреплены в ст. 3 ФЗ-152. Оператор — любое лицо, самостоятельно определяющее цели и состав обрабатываемых ПДн. Применительно к медицине это частная клиника, государственная больница, лаборатория, телемедицинская платформа. Обработка — любое действие с данными: сбор, запись, хранение, передача, обезличивание, уничтожение. Субъект ПДн — сам пациент.

Принципы ст. 5 ФЗ-152 обязывают оператора не обрабатывать данных больше, чем требует конкретная медицинская цель. Типовая ошибка — собирать «на всякий случай» расширенный анамнез, передавать его смежным подразделениям или аналитическим сервисам без отдельного правового основания. Именно избыточность объёма и несовместимость целей становятся первыми пунктами в протоколах РКН при внеплановых проверках.

Каковы правовые основания обработки ПДн пациентов по ст. 6 и ст. 10 ФЗ-152?

Медицинская организация как оператор ПДн использует несколько правовых оснований одновременно. Статья 6 ФЗ-152 содержит одиннадцать оснований для обработки общих категорий данных. Для специальных категорий применяется ст. 10 ч. 2 с закрытым перечнем. На практике клиники опираются на четыре основания.

Первое — согласие пациента по ст. 9 ФЗ-152. С 01.09.2025, согласно ФЗ-156 от 24.06.2025, согласие оформляется отдельным документом, не объединяется с договором об оказании медицинских услуг. Обязательные реквизиты: наименование оператора, цель, перечень данных, перечень действий, срок, способ отзыва. Согласие, встроенное в типовой договор с пациентом, выданный до 01.09.2025, не требует обязательного переоформления — обратной силы нет. Однако новые договоры, подписываемые с этой даты, должны содержать отдельный документ.

Второе — исполнение договора об оказании медицинских услуг по ст. 6 ч. 1 п. 5 ФЗ-152. Обработка допустима в объёме, необходимом для выполнения конкретной услуги. Это основание не распространяется на передачу данных третьим лицам (страховщикам, партнёрским лабораториям) без отдельного поручения или согласия.

Третье — защита жизни и здоровья по ст. 10 ч. 2 п. 4 ФЗ-152. Применяется в ситуациях, когда получение согласия невозможно: пациент без сознания, недееспособен, неизвестен. Важно: основание действует только пока сохраняется угроза жизни. После стабилизации состояния оператор обязан либо получить согласие, либо перейти на другое основание, либо прекратить обработку данных, вышедших за рамки оказанной помощи.

Четвёртое — исполнение требований законодательства, в том числе по ведению медицинской документации (Приказ Минздрава № 834н), передаче сведений в ЕГИСЗ, уведомлению Роспотребнадзора об инфекционных заболеваниях. Здесь оператор выполняет юридическую обязанность; согласие пациента не требуется, но объём передаваемых данных ограничен требованиями конкретного нормативного акта.

Нужно проверить правовые основания обработки ПДн в клинике?

Если вы юрист медицинской организации и не уверены, корректно ли задокументированы основания обработки спецкатегорий — это типовое место, с которого начинается протокол РКН. По ч. 1 ст. 13.11 КоАП обработка без надлежащего основания грозит юрлицу штрафом от 150 000 до 300 000 ₽; повторно — от 300 000 до 500 000 ₽. Аудит по чек-листу из 38 пунктов позволяет зафиксировать все пробелы до проверки.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Где заканчивается «защита жизни и здоровья» как основание обработки?

Норма п. 4 ч. 2 ст. 10 ФЗ-152 содержит два условия одновременно: необходимость защиты жизни или здоровья и невозможность получить согласие субъекта. Оба условия должны быть выполнены. Если хотя бы одно отсутствует — основание не применяется.

Типичная ошибка операторов — расширительное толкование. Примеры ситуаций, где применение этого основания неправомерно:

Передача данных пациента страховой компании «в целях оплаты лечения» — это не угроза жизни, а договорные отношения; требуется либо согласие, либо поручение обработки по ст. 6 п. 5.
Хранение полной медицинской карты в аналитической CRM-системе для маркетинга — цель несовместима с медицинской; нарушение ст. 5 ФЗ-152.
Передача данных о диагнозе работодателю пациента без его согласия — прямое нарушение врачебной тайны по ст. 13 ФЗ-323 и ст. 10 ФЗ-152.
Использование данных пациента для обучения ИИ-модели без обезличивания — требует либо согласия, либо применения методов обезличивания по Приказу РКН (5 методов, действуют с 01.09.2025).

Принципы ст. 5 ФЗ-152 о соответствии объёма целям и недопустимости обработки, несовместимой с первоначальными целями, — главный ограничитель расширительного применения. Юрист обязан документально зафиксировать, в связи с какой конкретной угрозой применено основание и с какого момента оно прекратило действовать.

Что подготовить юристу медорганизации для подтверждения правомерности обработки

Матрицу правовых оснований по каждому бизнес-процессу: согласие / исполнение договора / законодательная обязанность / защита жизни.
Отдельные согласия на обработку спецкатегорий ПДн (ст. 10 ч. 4 ФЗ-152) — подписанные с указанием конкретных целей и перечня данных.
Журнал случаев применения основания «защита жизни и здоровья»: дата, причина, данные, период действия основания.
Политику обработки ПДн с разделом о спецкатегориях — опубликованную по ст. 18.1 ФЗ-152 и доступную пациентам.
Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 с описанием обязанностей в части медицинских данных.

Как выглядит судебная практика по нарушениям в медицине в 2025–2026 годах?

С 30.05.2025 действует обновлённая редакция ст. 13.11 КоАП (ФЗ-420 от 30.11.2024). Для медицины принципиально важны три состава: обработка без правового основания (ч. 1, 150–300 тыс. ₽), обработка спецкатегорий без письменного согласия, когда оно требуется (ч. 2, 300–700 тыс. ₽), и утечка от 1 000 до 10 000 субъектов (ч. 12, 3–5 млн ₽). При повторной утечке с оборотом за год применяется ч. 15 — от 1 до 3% совокупной выручки, не менее 20 млн ₽ и не более 500 млн ₽.

«Ст. 13.11 ч. 12 КоАП (ред. с 30.05.2025) — утечка ПДн от 1 000 до 10 000 субъектов влечёт штраф для юрлица от 3 млн до 5 млн ₽. Для медицинских данных это спецкатегория, что усиливает квалификацию по ч. 16–17 ст. 13.11.»

Уголовная ответственность по ст. 272.1 УК РФ (действует с 11.12.2024) затрагивает и медицинский сектор. Незаконные сбор, хранение или передача компьютерной информации, содержащей ПДн, — до 4 лет лишения свободы по базовому составу; при тяжких последствиях (ч. 5) — до 10 лет. Исследование СёрчИнформ (июль 2025, более 100 решений) показало, что большинство уголовных дел об утечках касается сотрудников, имевших правомерный доступ к системе.

Если вы юрист клиники и в МИС произошёл инцидент — у вас 24 часа на первичное уведомление РКН по ч. 3.1 ст. 21 ФЗ-152. Нарушение срока — штраф 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП. Юристы DATUM возьмут реагирование с первого часа.

Реагировать на утечку

Как применяется основание «защита жизни и здоровья» на практике: три сценария

Сценарий 1. Скорая помощь и бессознательный пациент. Бригада скорой доставляет пострадавшего без документов. Личность неустановлена, согласие получить невозможно. Приёмное отделение применяет ст. 10 ч. 2 п. 4 ФЗ-152 как основание для первичного сбора и передачи данных между подразделениями. После стабилизации и установления личности — оператор обязан либо получить согласие, либо перевести обработку на основание исполнения договора или законодательной обязанности. Журнал фиксирует: дату, причину применения основания, объём данных, момент прекращения. Отсутствие журнала — основание для предписания при плановой проверке РКН.

Сценарий 2. Телемедицинская платформа и передача данных партнёрской лаборатории. Платформа направляет результаты анализов в лабораторию-партнёра без заключения договора поручения обработки (ст. 6 ч. 3 ФЗ-152) и без отдельного согласия пациента. Ссылка на «защиту здоровья» в данном случае неправомерна: нет угрозы жизни, согласие получить возможно. Квалификация: ч. 2 ст. 13.11 КоАП (обработка спецкатегорий без письменного согласия) — штраф 300–700 тыс. ₽. Стратегия: заключить договор поручения + получить отдельное согласие на передачу в лабораторию при регистрации на платформе.

Сценарий 3. Частная клиника и утечка через МИС. В многопрофильной клинике (Центральный ФО, лето 2025) произошёл несанкционированный доступ к МИС через скомпрометированную учётную запись подрядчика по сопровождению ПО. Затронуто около 12 000 карточек пациентов с диагнозами. Клиника не уведомила РКН в течение 24 часов. Итог: протоколы по ч. 11 (неуведомление, штраф до 3 млн ₽) и по ч. 13 (утечка 10 000–100 000 субъектов, штраф 5–10 млн ₽). Судебная практика ВС РФ квалифицирует ответственность оператора за действия подрядчика как самостоятельную — вне зависимости от наличия договора поручения.

Кейс из практики DATUM. Медицинская лаборатория (Сибирский ФО, осень 2025) получила предписание РКН по результатам внеплановой проверки: согласия пациентов не выделены в отдельный документ, матрица правовых оснований отсутствует. Юристы DATUM подготовили возражения на акт проверки, разработали пакет ОРД из 38 документов и согласования с РКН завершились предупреждением без штрафа. Нарушение ч. 2 ст. 13.11 при оказанном содействии и первичности могло повлечь штраф в сотни тысяч рублей. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка всех оснований обработки, включая спецкатегории ПДн пациентов
Комплект ОРД под ключ — политика, согласия, матрица оснований, журналы для медицинской организации
DPO-аутсорсинг — функция ответственного по ст. 22.1 ФЗ-152 на абонентской основе

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработкой считается любое действие или совокупность действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, уничтожение. Для медицинской организации это означает, что даже хранение заполненной карточки пациента в МИС без передачи третьим лицам уже является обработкой и требует правового основания.

2. На основании чего можно обрабатывать ПДн пациентов?

Статья 6 ФЗ-152 содержит одиннадцать оснований для общих категорий данных. Для спецкатегорий (сведения о здоровье) применяется ст. 10 ч. 2 с закрытым перечнем: согласие субъекта, защита жизни и здоровья при невозможности получить согласие, исполнение законодательных обязанностей (ЕГИСЗ, медицинская документация), публичный интерес в сфере здравоохранения. Применение основания «защита жизни» требует документального подтверждения угрозы и невозможности получить согласие.

3. Что грозит за нарушение 152-ФЗ в медицине?

В редакции ст. 13.11 КоАП с 30.05.2025 (ФЗ-420 от 30.11.2024) штрафы для медицинских организаций: обработка без правового основания — 150 000–300 000 ₽ (ч. 1); обработка спецкатегорий без письменного согласия — 300 000–700 000 ₽ (ч. 2); утечка от 1 000 до 10 000 субъектов — 3 000 000–5 000 000 ₽ (ч. 12); утечка биометрии — 15 000 000–20 000 000 ₽ (ч. 17). При повторной утечке применяется оборотный штраф ч. 15 — от 1 до 3% годовой выручки, не менее 20 млн ₽.

4. Нужно ли медицинской организации уведомлять РКН?

Да. По ст. 22 ФЗ-152 оператор обязан уведомить РКН до начала обработки ПДн. Для медицинских организаций существуют исключения только в случаях, прямо указанных в ст. 22 ч. 2 (данные, полученные для разового пропуска, данные членов организации без передачи третьим лицам и ряд других). Обработка пациентских данных в МИС под большинство исключений не подпадает. Неуведомление по ч. 10 ст. 13.11 КоАП — штраф 100 000–300 000 ₽.

5. С какого возраста нужно согласие на обработку ПДн?

ФЗ-152 не устанавливает минимального возраста напрямую. По общим правилам гражданского законодательства несовершеннолетние до 14 лет не могут самостоятельно давать согласие — его дают законные представители. С 14 до 18 лет — действует принцип ограниченной дееспособности; в медицинском контексте согласие пациента старше 15 лет на медицинское вмешательство самостоятельно по ФЗ-323, однако согласие на обработку ПДн как отдельный документ рекомендуется получать у родителей до достижения ребёнком полной дееспособности.

Итог

Основание «защита жизни и здоровья» по ст. 10 ч. 2 п. 4 ФЗ-152 — не универсальный пропуск для обработки медицинских данных без согласия, а узкое исключение для ситуаций с реальной угрозой жизни при невозможности получить согласие субъекта. Большинство нарушений в медицинских организациях связано не с применением этого основания, а с его расширительным толкованием, отсутствием отдельных согласий по требованиям ФЗ-156 с 01.09.2025 и несвоевременным уведомлением РКН об инцидентах.

Юристы DATUM сопровождают медицинские организации в части соответствия 152-ФЗ: аудит оснований обработки, подготовка пакета ОРД, представление интересов при проверках РКН и в арбитражных делах по ст. 13.11 КоАП.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, обработка ПДн несовершеннолетних.

18 апреля 2027 года