аналитика 22 июля 2027 По состоянию на 22 июля 2027

Жалоба пациента в РКН: связь с 323-ФЗ

Жалоба пациента в Роскомнадзор — это юридический механизм, который запускает проверку медицинской организации одновременно по нормам 152-ФЗ и 323-ФЗ. Данные о состоянии здоровья относятся к специальным категориям ПДн по ст. 10 ФЗ-152, а врачебная тайна охраняется ст. 13 ФЗ-323.

С 30.05.2025 штраф за утечку медицинских данных от 1 000 до 10 000 пациентов — от 3 до 5 млн ₽ по ч. 12 ст. 13.11 КоАП. При повторном нарушении возможен оборотный штраф по ч. 15 — от 1 до 3% годовой выручки, но не менее 20 млн ₽.

Если вы юрист клиники и получили запрос РКН по жалобе пациента — у вас 10 рабочих дней на ответ субъекту и ограниченное время до внеплановой проверки.

Жалоба пациента в РКН — не просто обращение гражданина. Это индикатор риска, который переводит клинику в категорию приоритетного надзора. РКН вправе назначить внеплановую проверку или профилактический визит в течение 30 дней после получения жалобы. В 2024 году регулятор зафиксировал свыше 135 случаев компрометации данных в здравоохранении — специальная категория ПДн присутствует в каждом таком инциденте. Настоящий материал разбирает, как связаны 152-ФЗ и 323-ФЗ при поступлении жалобы, какой порядок действий даёт клинике возможность пройти проверку без штрафа, и где правовые точки уязвимости.

Как пересекаются 152-ФЗ и 323-ФЗ при жалобе пациента?

Данные о состоянии здоровья, диагнозе, методах лечения и результатах обследований — это одновременно медицинская информация по ст. 13 Федерального закона № 323-ФЗ «Об основах охраны здоровья граждан» и специальная категория персональных данных по ст. 10 ФЗ-152. Оба закона устанавливают запрет на раскрытие этих сведений без согласия пациента, но режимы регулирования различаются.

По 323-ФЗ медицинская организация обязана соблюдать врачебную тайну: сведения о пациенте не передаются третьим лицам без его письменного согласия. Исключения установлены в ч. 4 ст. 13 того же закона — они исчерпывающие (угроза жизни, расследование, судебный запрос и др.). По 152-ФЗ данные о здоровье — специальная категория по ст. 10, и их обработка по общему правилу запрещена. Допускается только при наличии письменного согласия субъекта либо в исключениях, перечисленных в ч. 2 ст. 10 того же закона.

«Ст. 10 ФЗ-152 запрещает обработку данных о состоянии здоровья без письменного согласия субъекта. Ст. 13 ФЗ-323 устанавливает режим врачебной тайны с исчерпывающим перечнем исключений. Нарушение обоих режимов одновременно — типичная ситуация при несанкционированной передаче сведений о пациенте.»

Когда пациент обращается в РКН с жалобой на то, что его данные переданы страховой компании, работодателю, родственникам или опубликованы в рекламных материалах клиники, — регулятор проверяет как наличие надлежащего согласия на обработку ПДн по ст. 9 ФЗ-152, так и соблюдение режима врачебной тайны. В ходе проверки истребуются оба пласта документов. Отсутствие отдельного согласия на обработку специальных категорий ПДн — самостоятельное основание для протокола по ч. 2 ст. 13.11 КоАП с санкцией 300 000 — 700 000 ₽ для юридического лица.

Какие индикаторы риска применяет РКН в отношении медицинских организаций?

С 2023 года РКН применяет индикаторы риска при принятии решения о проведении внеплановой проверки. Индикаторы утверждаются Минцифры и публикуются. Для медицины наиболее значимы следующие сигналы.

Первый — жалоба субъекта ПДн, в которой указывается на несанкционированную передачу медицинской информации третьим лицам или публикацию данных без согласия. Второй — факт утечки, зафиксированный в реестре инцидентов РКН: если медицинская информационная система (МИС) фигурирует в открытых источниках как источник компрометации, клиника попадает в приоритетный план. Третий — отсутствие сведений оператора в реестре по ст. 22 ФЗ-152 либо несоответствие реестровой записи фактической обработке.

«Внеплановая проверка по жалобе субъекта ПДн проводится без предварительного уведомления оператора (ч. 2 ст. 11 ФЗ-294) при условии её согласования с прокуратурой. С 2022 года действует мораторий на ряд проверок бизнеса, но жалобы субъектов ПДн — специальное основание, на которое мораторий не распространяется в полном объёме.»

Профилактический визит — более мягкая форма надзора: РКН уведомляет оператора за 5 рабочих дней, визит не заканчивается предписанием (только рекомендациями), однако выявленные нарушения могут стать основанием для полноценной проверки. Клиника вправе отказаться от профвизита, но это само по себе повышает вероятность последующей внеплановой проверки — практика РКН показывает именно такую динамику.

Получили запрос РКН или жалобу пациента уже передали в регулятор?

Срок ответа субъекту по ст. 20 ФЗ-152 — 10 рабочих дней с даты обращения. Для медицинской организации жалоба пациента в РКН означает, что проверка может быть назначена без предупреждения. Юристы DATUM проанализируют запрос, подготовят ответ регулятору и выработают позицию для документального сопровождения проверки.

Подготовиться к проверке РКН

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Как проходит проверка РКН по жалобе пациента: порядок и права клиники

Плановая проверка включается в ежегодный план РКН и проводится не чаще одного раза в три года. Медицинские организации, обрабатывающие специальные категории ПДн, попадают в план с повышенной частотой. Внеплановая проверка — результат жалобы, индикатора риска или поручения прокуратуры. Для юриста клиники ключевой вопрос: что вправе потребовать инспектор и какие документы обязательны к предъявлению.

В ходе проверки инспектор РКН истребует: уведомление о постановке на учёт в реестре операторов по приказу РКН № 180 от 28.10.2022; политику обработки персональных данных по ч. 2 ст. 18.1 ФЗ-152 с разделами о специальных категориях; согласия пациентов на обработку ПДн, включая отдельное согласие на обработку специальных категорий по ст. 10 ФЗ-152; приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152; договоры с подрядчиками, обрабатывающими ПДн по поручению (МИС-провайдер, лаборатория, страховщик), — п. 3 ст. 6 ФЗ-152; журнал обращений субъектов ПДн.

Что подготовить до начала проверки РКН

Выписку из реестра операторов ПДн с pd.rkn.gov.ru с актуальными сведениями об обрабатываемых данных и категориях субъектов
Политику обработки ПДн с разделом о специальных категориях и описанием режима врачебной тайны
Пакет согласий пациентов: общее согласие на обработку ПДн + отдельное согласие на обработку данных о здоровье (с 01.09.2025 — отдельный документ по ФЗ-156)
Договоры с обработчиками ПДн по поручению: МИС-провайдер, страховая, лаборатория — с описанием передаваемых данных и целей
Журнал учёта обращений субъектов ПДн за последние 12 месяцев с ответами на запросы

Если проверяемая жалоба касается конкретной передачи данных — например, передачи сведений о диагнозе работодателю пациента — клинике необходимо представить доказательство того, что такая передача имела правовое основание: либо согласие пациента, либо ссылку на исключение из ч. 4 ст. 13 ФЗ-323. Отсутствие такого доказательства означает два самостоятельных нарушения: по ФЗ-152 (обработка без надлежащего согласия) и по ФЗ-323 (нарушение врачебной тайны).

Какие типовые сценарии приводят к протоколу по ст. 13.11 КоАП

Анализ практики проверок медицинских организаций показывает три устойчивых сценария, каждый из которых заканчивается составлением протокола.

Сценарий 1. МИС и подрядчик без договора о поручении. Клиника использует облачную МИС, данные пациентов хранятся на серверах провайдера, договор об обработке по поручению по п. 3 ст. 6 ФЗ-152 не заключён либо не содержит перечня обрабатываемых данных и мер безопасности. Пациент подаёт жалобу, что его данные доступны третьим лицам через личный кабинет. Инспектор выявляет отсутствие договора. Протокол — ч. 1 ст. 13.11 КоАП (обработка в случаях, не предусмотренных законом). Санкция для юрлица — 150 000 — 300 000 ₽. Стратегия: заключить договор немедленно, представить его инспектору до составления протокола — это может перевести ситуацию в предписание без штрафа.

Сценарий 2. Согласие в составе договора на медицинские услуги. Клиника включила согласие на обработку ПДн в договор оказания медицинских услуг единым документом. С 01.09.2025 ФЗ-156 установил требование: согласие — отдельный документ, не объединяемый с договором. Пациент подаёт жалобу, ссылаясь на то, что не давал самостоятельного согласия. Инспектор квалифицирует как нарушение ч. 2 ст. 13.11 КоАП. Санкция — 300 000 — 700 000 ₽. При повторном нарушении — до 1 500 000 ₽ по ч. 2.1. Стратегия: переработать формы согласий до проверки, представить новые формы и доказательство их фактического применения.

Сценарий 3. Передача данных родственникам без согласия или законного основания. Сотрудник регистратуры сообщил диагноз пациента его родственнику по телефону. Пациент подаёт жалобу одновременно в РКН и региональный орган здравоохранения. РКН возбуждает дело по ч. 2 ст. 13.11 (обработка без согласия). Орган здравоохранения рассматривает нарушение врачебной тайны по ст. 13 ФЗ-323. Клиника получает два параллельных производства. Стратегия: провести внутреннее расследование, установить виновное лицо, представить дисциплинарные документы как доказательство принятых мер — это учитывается при назначении штрафа по ч. 1 ст. 4.1 КоАП.

Если юрист клиники уже готовится к визиту инспектора РКН — важно понимать, какие документы отсутствуют и какова максимальная санкция. Юристы DATUM проведут экспресс-аудит комплектности ОРД по медицинской организации и сформируют позицию защиты.

Защитить от штрафа 13.11

Как применяются смягчающие обстоятельства и можно ли заменить штраф на предупреждение

Для медицинских организаций, впервые привлекаемых к ответственности по ст. 13.11 КоАП, существуют два механизма снижения санкции.

Первый — замена штрафа на предупреждение по ст. 4.1.1 КоАП. Применяется для субъектов малого и среднего предпринимательства при первичном нарушении, если отсутствует имущественный вред субъекту ПДн. Частные клиники малого бизнеса могут на него претендовать. Важно: замена не применяется к оборотным составам (ч. 15 и ч. 18 ст. 13.11). Для успешного применения ст. 4.1.1 необходимо доказать отсутствие вреда пациенту и первичность нарушения.

Второй — скидка за инвестиции в информационную безопасность по примечанию 3.4-2 к ст. 4.1 КоАП. Если клиника инвестировала в защиту ПДн не менее 0,1% выручки за три предшествующих года, штраф по оборотным составам снижается до 1/10 минимального размера. Минимум по этому основанию — 15 млн ₽, максимум — 50 млн ₽. Для большинства частных клиник этот механизм актуален при угрозе оборотного штрафа по ч. 15.

«Ст. 4.1.1 КоАП позволяет заменить административный штраф предупреждением для СМП при первичном нарушении без причинения вреда. Не применяется к ч. 15 и ч. 18 ст. 13.11. Примечание 3.4-2 к ст. 4.1 КоАП — снижение оборотного штрафа при подтверждённых инвестициях в ИБ от 0,1% выручки за 3 года.»

В практике региональных арбитражных судов (после 28.12.2025 — мировых судей по ФЗ-508) встречаются дела, где медицинские организации добились замены штрафа на предупреждение, представив документы о принятых мерах после жалобы: переработанные согласия, заключённые договоры с МИС-провайдером, инструктаж персонала. Суды принимают эти меры как смягчающие по ч. 1 ст. 4.2 КоАП и как основание для применения ст. 4.1.1.

Практика: как клиники проходят проверку по жалобе пациента

Кейс 1. Многопрофильная частная клиника Сибирского ФО (осень 2025). Пациент подал жалобу в РКН: его персональные данные, включая диагноз, были переданы МИС-провайдером третьей стороне без оснований. РКН провёл внеплановую документарную проверку. Юрист клиники до начала проверки при сопровождении специализированных консультантов успел заключить договор о поручении обработки с МИС-провайдером и представить переработанные формы согласий. РКН вынес предписание об устранении нарушений без составления протокола об административном правонарушении. Ключевой фактор: оперативное устранение нарушений до завершения проверки сузило основание для штрафа. ⚠️ Номер дела и точная дата — менеджер уточняет при публикации.

Кейс 2. Стоматологическая сеть Центрального ФО (начало 2026). Жалоба пациента касалась передачи сведений о лечении его работодателю. РКН составил протокол по ч. 2 ст. 13.11 КоАП (обработка без письменного согласия на передачу специальных категорий ПДн). Компания относилась к субъектам МСП, нарушение — первичное. Мировой судья заменил штраф на предупреждение по ст. 4.1.1 КоАП с учётом отсутствия имущественного вреда пациенту и документально подтверждённого устранения нарушения. Сеть переработала форму согласия и ввела регламент передачи данных страховщикам и работодателям. ⚠️ Номер дела — менеджер уточняет при публикации.

Услуги DATUM по теме

Сопровождение проверок РКН — подготовка, представление интересов, обжалование предписания
Аудит соответствия 152-ФЗ — проверка комплектности ОРД для медицинской организации
Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11 КоАП

Частые вопросы

1. Как подготовиться к проверке РКН медицинской организации?

Подготовка включает четыре направления. Первое — проверка реестровой записи на pd.rkn.gov.ru: сведения об обрабатываемых категориях ПДн (специальные категории, биометрия), целях и правовых основаниях должны соответствовать фактической обработке. Второе — комплектность ОРД: политика конфиденциальности, приказ об ответственном по ст. 22.1 ФЗ-152, формы согласий в редакции ФЗ-156 (отдельный документ с 01.09.2025). Третье — договоры с МИС-провайдером и иными подрядчиками по п. 3 ст. 6 ФЗ-152. Четвёртое — журнал обращений субъектов с зафиксированными ответами в 10-рабочедневный срок по ст. 20 ФЗ-152.

2. Какие индикаторы риска применяет РКН к медицинским организациям?

Основные индикаторы: жалоба субъекта ПДн на несанкционированную обработку медицинских данных; отсутствие или недостоверность сведений в реестре операторов по ст. 22 ФЗ-152; публичная информация об утечке из МИС; отсутствие политики обработки ПДн в открытом доступе (нарушение ч. 2 ст. 18.1 ФЗ-152). Наличие любого из этих индикаторов делает клинику приоритетным объектом для внеплановой проверки или профилактического визита.

3. Можно ли отказаться отвечать на запрос РКН по жалобе пациента?

Нет. Отказ предоставить документы в ходе проверки — самостоятельное основание для привлечения к административной ответственности по ст. 19.7 КоАП (непредставление сведений государственному органу). Кроме того, непредставление документов расценивается как отягчающее обстоятельство при назначении штрафа по ст. 13.11 КоАП. Медицинская организация вправе представить правовую позицию, возражения и доказательства устранения нарушений — но не отказываться от взаимодействия с регулятором.

4. Что грозит за невыполнение предписания РКН?

Невыполнение предписания в установленный срок — ст. 19.5 ч. 1 КоАП. Для юридического лица штраф составляет от 10 000 до 20 000 ₽. Однако практическая угроза серьёзнее: невыполнение предписания автоматически становится основанием для повторной внеплановой проверки, и при её проведении выявленные нарушения квалифицируются как повторные — с санкцией в 2–5 раз выше первоначальной по соответствующим частям ст. 13.11 КоАП.

5. Куда обжаловать постановление РКН по ст. 13.11 КоАП?

С 28.12.2025 (ФЗ-508) постановления по ст. 13.11 КоАП рассматривают мировые судьи. Обжалование — в районный суд в течение 10 дней с момента вручения постановления. Основания: нарушение процедуры проверки (ФЗ-294), неправильная квалификация состава (например, ч. 1 вместо ч. 2 или наоборот), наличие оснований для применения ст. 4.1.1 КоАП (замена штрафа предупреждением), истечение срока давности привлечения к ответственности.

Итог

Жалоба пациента в РКН — это пересечение двух режимов: специальных категорий ПДн по ст. 10 ФЗ-152 и врачебной тайны по ст. 13 ФЗ-323. Медицинская организация, не имеющая отдельных согласий на обработку данных о здоровье, действующих договоров с МИС-провайдером и актуальной реестровой записи, рискует получить протокол по нескольким частям ст. 13.11 КоАП одновременно — от 150 000 ₽ до нескольких миллионов рублей. Превентивный аудит и переработка ОРД в редакции ФЗ-156 (с 01.09.2025) снижают этот риск до управляемого уровня.

Практика DATUM по сопровождению медицинских организаций в проверках РКН показывает: большинство штрафов в отрасли назначается не за факт обработки данных, а за отсутствие документарного оформления — согласий, договоров с подрядчиками и внутренних регламентов. Эти пробелы устраняются в ходе предпроверочного аудита за 3–5 рабочих дней.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, ПДн несовершеннолетних.

22 июля 2027 года