Управление

152-ФЗ для клиники 2026: договор с МИС и оборотные штрафы

С 2025 года утечка данных пациентов стоит клинике от 3 до 500 млн рублей. Разбираем договор поручения с МИС-провайдером и compliance-план без юриста.

152-ФЗ для клиники 2026: договор с МИС-провайдером и оборотные штрафы — обложка

Представьте: администратор случайно отправила выписку не тому пациенту. Или техподдержка вашего МИС зашла на сервер для отладки. Или бывший врач продолжает видеть карточки пациентов через год после увольнения. Каждый из этих сценариев в 2026 году может стоить клинике от 3 до 500 млн рублей.

Это не преувеличение. В мае и ноябре 2025 года вступили в силу поправки к 152-ФЗ и КоАП, которые кардинально изменили цену нарушений в области персональных данных. При этом большинство частных клиник по-прежнему работает без базового compliance-пакета — и даже не знает об этом.

В этой статье разберём, что именно изменилось, где главные риски для медицинского бизнеса и как выстроить защиту без штатного юриста и огромного бюджета.

Почему 152-ФЗ стал опасен именно сейчас

До 2025 года штрафы за нарушения в области персональных данных были скромными по меркам бизнеса: максимум 75 000–100 000 рублей для организации. Многие клиники осознанно игнорировали требования закона, справедливо считая, что административный риск несоразмерен затратам на compliance.

Это изменилось в два этапа.

30 мая 2025 года вступили в силу новые фиксированные штрафы за утечку персональных данных. Теперь первая утечка обходится юридическому лицу в 3–15 млн рублей в зависимости от масштаба. Порядок цифр вырос в 150–200 раз.

30 ноября 2025 года заработали оборотные штрафы за повторные утечки. Повторное нарушение в течение установленного периода влечёт штраф 1–3% от годовой выручки клиники, но не менее 20–25 млн рублей и не более 500 млн рублей.

Медицинские данные попадают в отдельную, самую жёсткую категорию. Сведения о здоровье, диагнозах и результатах анализов — это особые категории персональных данных по смыслу 152-ФЗ. За их утечку штраф за первый случай достигает 15–20 млн рублей. Фотографии пациентов и рентгеновские снимки могут быть квалифицированы как биометрические данные — с ещё более высокой ответственностью.

Для понимания масштаба: в 2024 году Роскомнадзор зафиксировал 135 фактов утечек персональных данных. Штрафы по старым нормам составили суммарно около 2 млн рублей — то есть в среднем 15 000 рублей за инцидент. По новым нормам каждый из этих инцидентов мог обойтись организации в десятки миллионов.

Регулятор давно сигнализировал о грядущем ужесточении. Теперь санкции стали реальными.

Какие штрафы грозят клинике в 2026 году

Разберём конкретные цифры, которые должен знать каждый владелец частной клиники или стоматологии.

Первая утечка персональных данных (с 30 мая 2025):

Размер зависит от количества пострадавших: - От 1 000 до 10 000 субъектов или от 10 000 до 100 000 идентификаторов — 3–5 млн рублей - От 10 000 до 100 000 субъектов или от 100 000 до 1 000 000 идентификаторов — 5–10 млн рублей - Более 100 000 субъектов или свыше 1 000 000 идентификаторов — 10–15 млн рублей

Для типичной частной стоматологии с базой в несколько тысяч пациентов первая утечка сразу попадает в диапазон 3–5 млн рублей. База из 10 000+ активных пациентов — уже 5–10 млн рублей.

Медицинские и биометрические данные — отдельная статья:

Диагнозы, анализы, результаты обследований — это особые категории ПДн, и за их утечку штраф за первый случай составляет 15–20 млн рублей. Это принципиально важно, поскольку именно такие данные хранятся в каждой МИС.

Повторная утечка (с 30 ноября 2025) — оборотный штраф:

  • 1–3% от годовой выручки клиники
  • Минимум 20 млн рублей (25 млн для медицинских данных)
  • Максимум 500 млн рублей

Для клиники с выручкой 50 млн рублей в год повторная утечка стоит 20 млн рублей минимум — это 40% годовой выручки.

Смежные нарушения, которые также штрафуются:

  • Нет надлежащего согласия пациента на обработку ПДн — до 700 000 рублей для организации, при повторном нарушении — до 1,5 млн рублей
  • Нарушение обязанности уведомить Роскомнадзор об инциденте — до 3 млн рублей
  • Нецелевая обработка ПДн пациентов — 150 000–500 000 рублей
  • Отсутствие политики обработки ПДн на сайте — до 60 000 рублей

Реальный пример: в 2026 году стало известно о деле против поликлиники в Пушкине — сотрудник выдал пациенту талон с данными другого человека. Это типичная организационная ошибка, а не хакерская атака. Но именно такие ошибки составляют большинство нарушений.

Штрафы за утечку персональных данных в клинике 2025

Где клиника нарушает 152-ФЗ, не подозревая об этом

Большинство руководителей клиник думают о нарушениях в области ПДн как о чём-то, что происходит при взломе систем или крупных утечках. Реальность иная: нарушения возникают ежедневно, в ходе обычных рабочих процессов.

Отсутствие договора поручения с МИС-провайдером — это самая частая и одновременно самая дорогостоящая слепая зона. Подробнее о ней — в следующем разделе.

WhatsApp с анализами пациента. Врач делает фото результатов лабораторного исследования и отправляет пациенту в мессенджер. Удобно, быстро — и является передачей специальных категорий ПДн через незащищённый канал без надлежащего правового основания. Роскомнадзор квалифицирует подобные ситуации как неправомерную передачу данных о здоровье.

Форма записи на сайте без политики обработки ПДн. Если на вашем сайте есть форма «Записаться на приём» или «Оставьте телефон, мы перезвоним», но нет ссылки на политику обработки ПДн и явного согласия — это нарушение. Причём пациент, оставляя телефон, не давал согласия на обработку данных в понимании 152-ФЗ.

Бывший сотрудник с доступом в МИС. После увольнения врача или администратора их аккаунты в медицинской информационной системе нередко остаются активными неделями и месяцами. Каждый факт доступа к данным пациентов через такой аккаунт — это потенциальная утечка.

Посторонние данные на экране. Администратор видит не только свою очередь записей, но и карточки пациентов других врачей, финансовые данные, информацию о диагнозах. Неправильное разграничение доступа в МИС — нарушение требований к безопасности обработки ПДн.

С 1 сентября 2025 года ужесточились и требования к содержанию согласий: теперь нужны отдельные согласия на каждую цель обработки данных. Согласие на лечение не охватывает рассылку напоминаний о визитах или маркетинговые сообщения.

Договор поручения с МИС-провайдером: что это и зачем

Это наименее очевидная, но одна из самых важных точек риска для клиник. Разберём механизм.

По 152-ФЗ существуют чёткие роли в процессе обработки персональных данных. Оператор — это организация, которая определяет цели и состав обработки. Ваша клиника является оператором ПДн пациентов. Лицо, обрабатывающее ПДн по поручению — это организация, которой оператор поручает технические операции с данными. Ваш МИС-провайдер, как правило, является именно таким лицом.

По части 3 статьи 6 152-ФЗ оператор вправе поручить обработку ПДн другому лицу только на основании договора, который содержит строго определённые условия. Без этого договора — или при наличии договора без обязательных условий — вся ответственность за действия МИС-провайдера с данными пациентов остаётся на клинике.

Когда требуется договор поручения? В каждом из следующих случаев: - МИС хранит данные пациентов на своих серверах (облачная МИС) - Техподдержка МИС-провайдера имеет доступ к вашей базе данных - МИС выполняет резервное копирование данных - Провайдер администрирует вашу установку МИС - При обращении в поддержку сотрудники провайдера могут видеть карточки пациентов

Фактически это означает практически любую современную МИС с облачным размещением или профессиональной техподдержкой.

Почему клиники не оформляют этот договор? Причин несколько, и все они понятны.

Во-первых, большинство руководителей воспринимают МИС как программное обеспечение, а не как обработчика персональных данных. Купили лицензию — значит, своё ПО, не чужое.

Во-вторых, стандартные договоры с МИС-провайдерами написаны как лицензионные соглашения или договоры об оказании услуг. Раздел о поручении на обработку ПДн в них просто отсутствует.

В-третьих, клиники пытаются решить вопрос только согласиями пациентов — но согласие пациента регулирует отношения между клиникой и пациентом, а не между клиникой и МИС-провайдером.

Что должен содержать договор поручения? Согласно ч. 3 ст. 6 152-ФЗ, обязательными являются следующие условия:

  1. Цели обработки ПДн — для чего МИС-провайдер получает доступ к данным
  2. Перечень персональных данных — ФИО, дата рождения, СНИЛС, сведения о здоровье, диагнозы, назначения, результаты исследований
  3. Перечень допустимых действий — хранение, систематизация, резервное копирование, восстановление, передача
  4. Обязанность конфиденциальности — провайдер не вправе использовать данные для своих целей
  5. Обязанность обеспечивать безопасность по требованиям ст. 19 152-ФЗ
  6. Условия прекращения обработки — что происходит с данными после расторжения договора (возврат или уничтожение)
  7. Обязанность уведомлять об инцидентах — провайдер должен немедленно сообщать вам о любых инцидентах

Дополнительно стоит зафиксировать: где физически расположены серверы, кто из сотрудников провайдера имеет доступ, как ведётся журналирование действий, можно ли привлекать субподрядчиков без вашего согласия.

Как проверить ваш текущий договор с МИС прямо сейчас? Задайте три вопроса: - Есть ли в договоре слова «поручение на обработку персональных данных» или «обработка персональных данных по поручению»? - Перечислены ли конкретные категории данных и допустимые операции? - Написано ли, что происходит с данными после расторжения договора?

Если хотя бы на один вопрос ответ отрицательный — ваш договор не соответствует требованиям 152-ФЗ. Это можно исправить дополнительным соглашением к действующему договору — необязательно переписывать всё с нуля.

Уведомление Роскомнадзора: 24 часа и 72 часа

Часто упускаемый, но критически важный блок требований — это обязательное уведомление регулятора об инцидентах с персональными данными. Штраф за нарушение срока уведомления может быть сопоставим со штрафом за саму утечку.

Кто является оператором ПДн? Любая организация, которая обрабатывает персональные данные физических лиц. Ваша клиника является оператором ПДн пациентов, сотрудников, контрагентов. Для оформления этого статуса нужно направить уведомление в Роскомнадзор — через личный кабинет на сайте РКН или через Госуслуги.

Схема реагирования на инцидент:

При обнаружении любого инцидента с ПДн — от случайной отправки выписки не тому пациенту до взлома базы данных — клиника обязана:

  • В течение 24 часов направить первичное уведомление в Роскомнадзор через форму на сайте pd.rkn.gov.ru/incidents/form/
  • В течение 72 часов направить уточнённое уведомление с результатами внутреннего расследования: причины инцидента, перечень мер, оценка последствий, план предотвращения повторения

Первичное уведомление содержит: сведения о клинике, дату и время обнаружения, краткое описание инцидента, предполагаемую причину, категории затронутых данных, оценку масштаба, предварительные меры.

Что будет, если не уведомить? За несвоевременное уведомление или его отсутствие штраф для организации составляет до 3 млн рублей по нормам, действующим с 2025 года. Это самостоятельный состав нарушения — дополнительный к штрафу за саму утечку.

Простая инструкция на случай утечки. Напечатайте и повесьте у администратора и главного врача:

  1. Зафиксируйте факт и время обнаружения инцидента
  2. Заблокируйте доступ к скомпрометированным данным
  3. Уведомите руководителя и ответственного за ПДн
  4. Не позднее 24 часов — подайте первичное уведомление на pd.rkn.gov.ru
  5. Проведите внутреннее расследование
  6. Не позднее 72 часов — направьте уточнённое уведомление
  7. Уведомите пациентов, если это требуется

Compliance-план для клиники: 7 шагов без штатного юриста

Привести клинику в соответствие с 152-ФЗ реально за несколько недель, если действовать методично. Вот минимальный план.

Шаг 1. Аудит: что обрабатываем и где. Составьте список всех мест, где хранятся данные пациентов: МИС, CRM, таблицы Excel, мессенджеры, бумажные карты, форма на сайте, email-рассылки. Определите, какие данные — базовые (ФИО, телефон) и специальные (диагнозы, анализы). Это основа для всех последующих шагов.

Шаг 2. Документы — минимальный пакет. Вам нужны: Политика обработки персональных данных (размещается на сайте), форма согласия пациента на обработку ПДн, отдельная форма согласия на маркетинговые рассылки, локальный приказ о назначении ответственного за ПДн, инструкция по действиям при инциденте, перечень информационных систем, где обрабатываются ПДн.

Шаг 3. Договор поручения с МИС-провайдером. Свяжитесь с вашим МИС-провайдером и запросите дополнительное соглашение о поручении на обработку ПДн. Большинство крупных провайдеров (IDENT, DentalPRO, Medesk) имеют готовые шаблоны. Проверьте, что в документе есть все 7 обязательных условий, перечисленных в предыдущем разделе.

Шаг 4. Разграничение доступов в МИС. Проверьте, кто сейчас имеет доступ к каким данным. Врач должен видеть только своих пациентов. Администратор — только расписание и контактные данные. Уволенные сотрудники — никаких доступов. Настройте роли в МИС и включите журналирование действий.

Шаг 5. Сайт — форма записи и политика ПДн. Рядом с любой формой сбора данных на сайте (запись, обратный звонок, форма вопроса) добавьте чекбокс с текстом «Я даю согласие на обработку персональных данных» и ссылкой на Политику ПДн. Политика должна быть в открытом доступе по ссылке из подвала сайта.

Шаг 6. Уведомление в Роскомнадзор. Если ваша клиника ещё не подавала уведомление об обработке ПДн — сделайте это через личный кабинет на сайте РКН или через Госуслуги. Это обязательное требование закона.

Шаг 7. Инструкция на случай инцидента. Напишите простую инструкцию (не более одной страницы) с чётким алгоритмом действий при обнаружении утечки, телефонами ответственных лиц и ссылкой на форму уведомления РКН. Распечатайте и ознакомьте всех сотрудников под подпись.

Сколько стоит compliance? Разовая работа с юридическим консультантом по ПДн для небольшой клиники обходится в диапазоне 50 000–150 000 рублей. Ежегодная поддержка — ещё 30 000–60 000 рублей. Это несопоставимо с минимальным штрафом в 3–5 млн рублей за первую утечку.

7 шагов compliance-плана по 152-ФЗ для медицинской клиники

Как Клиник Бот помогает снизить риски по 152-ФЗ

Работа с персональными данными пациентов пронизывает все процессы клиники — от первого звонка до выдачи результатов лечения. Клиник Бот помогает выстроить эти процессы так, чтобы минимизировать риски нарушений.

Система позволяет собирать и хранить согласия пациентов в цифровом виде с автоматической привязкой к карточке. Каждое согласие зафиксировано с датой, временем и содержанием — это ваше доказательство в случае проверки.

Все взаимодействия с пациентами — напоминания о визитах, отправка документов — ведутся через защищённые каналы без передачи медицинских данных через личные мессенджеры сотрудников. Журналирование действий персонала в системе позволяет отслеживать, кто и когда получал доступ к данным пациентов.

При подозрении на инцидент руководитель клиники получает мгновенное уведомление — что критически важно для соблюдения 24-часового срока уведомления Роскомнадзора.


Ужесточение 152-ФЗ — это не бюрократическая нагрузка ради нагрузки. За последние годы медицинские данные стали одним из самых ценных объектов для злоумышленников, а организационные ошибки с доступами и передачей данных происходят в клиниках ежедневно. Закон просто привёл санкции в соответствие с реальным масштабом ущерба от утечек.

Семь шагов compliance-плана можно пройти постепенно, за 4–8 недель, без найма штатного юриста. Начните с договора поручения с вашим МИС-провайдером — это самый важный и при этом технически простой шаг, который закрывает одну из главных точек риска.

Частые вопросы

Нужен ли договор поручения с МИС-провайдером, если мы просто купили лицензию на программу?
Да, если ваш МИС-провайдер имеет технический доступ к данным пациентов — через облачное хранение, техподдержку или резервное копирование — договор поручения на обработку ПДн обязателен по ч. 3 ст. 6 152-ФЗ. Купленная лицензия без этого раздела не защищает клинику от ответственности.
Когда вступили в силу оборотные штрафы по 152-ФЗ?
Фиксированные штрафы за первую утечку (3–15 млн рублей) вступили в силу 30 мая 2025 года. Оборотные штрафы за повторные утечки (1–3% выручки, минимум 20 млн рублей) действуют с 30 ноября 2025 года.
Считаются ли диагнозы и результаты анализов пациентов персональными данными?
Да, и это особая категория персональных данных по 152-ФЗ — сведения о состоянии здоровья. За их утечку установлены повышенные штрафы: до 15–20 млн рублей за первый случай. Снимки и фото также могут квалифицироваться как биометрические данные.
За какое время нужно уведомить Роскомнадзор при утечке?
В течение 24 часов с момента обнаружения — первичное уведомление. В течение 72 часов — уточнённое с результатами внутреннего расследования. Форма подачи: pd.rkn.gov.ru/incidents/form/. За нарушение сроков — штраф до 3 млн рублей.
Можно ли отправить анализы пациенту через WhatsApp?
Формально это обработка специальных категорий ПДн через незащищённый канал без надлежащего правового основания. Роскомнадзор квалифицирует такие случаи как неправомерную передачу данных. Безопаснее использовать защищённый личный кабинет пациента или зашифрованные каналы связи.

Возможно, вас заинтересует

Клиник Бот

Запись и подтверждение визитов в чате, каскадные уведомления через Telegram, Max, WhatsApp и SMS, перехват негатива в отзывах.

Узнать подробнее

Похожие статьи

Управление

ЕГИСЗ и ФЗ-152 для стоматологий 2026: подключение и штрафы

Полное руководство по подключению к ЕГИСЗ и соблюдению ФЗ-152 для стоматологических клиник. Пошаговая инструкция, штрафы до 1,5 млн рублей, сроки и типичные ошибки.

Управление

Юридические риски стоматологии 2026: суды, согласие, жалобы

Как частной стоматологии избежать судебных исков в 2026 году: требования к ИДС, договорам, защите данных пациентов. Чек-лист и готовые решения.

Управление

CRM для медицинской клиники: как выбрать и внедрить систему

Полный гайд по выбору CRM-системы для клиники. Сравнение популярных решений, критерии выбора и пошаговое внедрение.

Управление

Удержание персонала в стоматологии: 3 стратегии против текучки

74% клиник теряют сотрудников из-за выгорания и зарплат. Разбираем 3 рабочие стратегии удержания персонала с кейсами и статистикой.

Управление

НДС и УСН для стоматологии в 2026: как не потерять маржу

Что изменилось в налогах для стоматологий с 2026 года: новые пороги УСН, освобождение от НДС и стратегии сохранения маржи.