Регулирование · · 9 мин чтения · Команда МСС МедОС

Как ФЗ-152 (УЗ-3) применяется к медицинским клиникам в 2026

Что входит в УЗ-3, какие документы должны быть у клиники, какие технические меры обязательны и как проверить, что ваша медицинская информационная система им соответствует.

С 2026 года Роскомнадзор и ФСТЭК продолжают усиливать контроль за обработкой персональных данных в медицине. Для большинства клиник, обрабатывающих сведения о здоровье пациентов, актуален третий уровень защищённости (УЗ-3) — это базовый, но обязательный набор требований ФЗ-152 «О персональных данных» с учётом постановления Правительства №1119 и приказов ФСТЭК №21 и Минздрава №118н.

Почему именно УЗ-3 для большинства клиник

Уровень защищённости определяется по трём параметрам: тип угроз (1, 2 или 3), категория данных (специальные, биометрические, иные, общедоступные) и количество субъектов. Сведения о здоровье — специальная категория. Если клиника обрабатывает данные сотрудников и менее 100 000 пациентов и считает, что у неё актуальны угрозы 3-го типа (без недекларированных возможностей в ПО), требуется именно УЗ-3.

Что обязательно должно быть у клиники

1. Организационные документы

  • Приказ о назначении ответственного за обработку ПДн
  • Политика обработки персональных данных (опубликованная на сайте)
  • Положение об обработке и защите ПДн
  • Согласия пациентов на обработку специальной категории ПДн
  • Перечень ИСПДн с моделью угроз и моделью нарушителя
  • Журналы учёта машинных носителей и съёмных накопителей

2. Технические меры (приказ ФСТЭК №21)

  • Идентификация и аутентификация пользователей и устройств
  • Управление доступом по ролям, ограничение прав администратора
  • Регистрация событий безопасности и хранение журналов не менее 6 месяцев
  • Защита машинных носителей и резервное копирование
  • Антивирусная защита и контроль целостности системы
  • Использование сертифицированных СКЗИ при передаче ПДн по открытым каналам

3. Хранение данных на территории РФ

Часть 5 статьи 18 ФЗ-152 требует, чтобы запись, систематизация, накопление, хранение и уточнение персональных данных граждан РФ выполнялись с использованием баз данных на территории России. Облачные МИС и SaaS-сервисы должны явно подтверждать локализацию: указывать ЦОД, реквизиты дата-центра и наличие договоров.

Что нового в 2026 году

  • Расширены оборотные штрафы за утечки ПДн — до 3% от выручки за повторное нарушение
  • Усилены требования к уведомлению Роскомнадзора об инцидентах: 24 часа на первичное уведомление и 72 часа на детальный отчёт
  • Появилась обязанность подтверждать согласие отдельным действием — нельзя «склеивать» согласие на обработку ПДн с офертой
  • Для медицинских ИС применяется приказ Минздрава №118н — отдельный чек-лист для МИС

Как проверить свою клинику за 30 минут

  1. Есть ли у вас актуальная политика обработки ПДн на сайте и ссылка из формы записи?
  2. Подписывают ли пациенты отдельное согласие на обработку специальной категории данных?
  3. Хранятся ли журналы доступа к карте пациента и кто их регулярно просматривает?
  4. Где физически находятся серверы вашей МИС? Есть ли подтверждение размещения в РФ?
  5. Используется ли двухфакторная аутентификация для администраторов и врачей?
  6. Есть ли регламент действий при утечке и кто отвечает за уведомление Роскомнадзора?

Вывод

ФЗ-152 для клиники — это не разовый проект, а постоянный процесс. В 2026 году цена ошибки выросла, а проверки стали системными. Минимальный безопасный путь — выбрать МИС, которая закрывает требования УЗ-3 «из коробки», и поддерживать актуальные внутренние документы.