Перейти к содержанию
инструкция 21 января 2029 По состоянию на 21 января 2029

Бумажная карта и переход на электронную

Медицинская карта пациента содержит спецкатегорию ПДн по ст. 10 ФЗ-152 — данные о здоровье. Перевод с бумажного носителя в МИС без соблюдения требований 152-ФЗ и 323-ФЗ создаёт основание для штрафа от 3 млн ₽ и проверки Роскомнадзора.
С 30.05.2025 действует обновлённая ст. 13.11 КоАП (ФЗ-420 от 30.11.2024): утечка медицинских ПДн от 1 000 субъектов — штраф от 3 до 15 млн ₽, при повторности — оборотный до 500 млн ₽. Подключение МИС к ЕГИСЗ требует отдельного правового основания и актуальной документации.
→ Если вы главный врач и готовите клинику к переходу на электронный документооборот — этот порядок действий позволит пройти переход без нарушений ФЗ-152.

Переход с бумажной карты на электронную медицинскую карту (ЭМК) в МИС — это не только IT-задача. Для главного врача это смена правовой модели обработки ПДн пациентов: от бумажного хранения под врачебной тайной к автоматизированной обработке спецкатегории в информационной системе, подключённой к ЕГИСЗ. Ниже — пошаговый порядок перехода с учётом требований ст. 10, ст. 13, ст. 19, ст. 21, ст. 22 ФЗ-152 и ст. 13 323-ФЗ.

Шаг 1. Определите правовые основания обработки данных пациентов в МИС

Данные о здоровье пациента — спецкатегория по ст. 10 ФЗ-152. По общему правилу их обработка запрещена. Исключение — п. 4 ч. 2 ст. 10: обработка допустима в целях медицинской помощи при условии соблюдения врачебной тайны по ст. 13 323-ФЗ. Это означает: перенос бумажных данных в МИС требует либо явного информированного добровольного согласия (ИДС) пациента, либо подтверждения, что обработка ведётся исключительно медицинским персоналом в рамках оказания помощи.

Ключевое разграничение — между информированным добровольным согласием (ИДС) по ст. 20 323-ФЗ и согласием на обработку ПДн по ст. 9 ФЗ-152. Это два разных документа с разными реквизитами и разными правовыми последствиями. ИДС даёт право проводить вмешательство; согласие на ПДн даёт право обрабатывать данные в информационной системе, передавать в ЕГИСЗ и хранить в МИС. С 01.09.2025 согласие на обработку ПДн должно быть отдельным документом — не встроенным в договор или ИДС (ФЗ-156 от 24.06.2025).

«Ст. 10 ФЗ-152 — обработка данных о состоянии здоровья допустима в медицинских целях при условии сохранения врачебной тайны по ст. 13 323-ФЗ; отдельного согласия по ст. 9 ФЗ-152 для МИС и передачи в ЕГИСЗ — недостаточно без правового основания по ч. 2 ст. 10.»

Что проверить на этом шаге: есть ли у клиники актуальный перечень целей обработки ПДн пациентов, охватывающий МИС, ЕГИСЗ и телемедицину; соответствуют ли формы согласий требованиям ст. 9 ФЗ-152 в редакции с 01.09.2025.

Согласия пациентов оформлены до 01.09.2025?

С 01.09.2025 согласие на обработку ПДн — отдельный документ, не часть ИДС или договора об оказании услуг. Если в клинике действуют старые формы согласий, встроенные в медицинскую карту или договор, — каждая такая форма даёт основание для штрафа по ч. 2 ст. 13.11 КоАП (до 700 000 ₽ за нарушение, до 1 500 000 ₽ при повторности). Юристы DATUM проведут аудит форм согласий и пакета ОРД клиники по чек-листу из 38 пунктов.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 2. Проведите инвентаризацию бумажных носителей и категорий данных

Перед переносом данных в МИС необходимо установить, что именно хранится в бумажных картах. Медицинская карта содержит несколько категорий ПДн одновременно: общие (ФИО, дата рождения, адрес, контакты), специальные (диагнозы, история болезни, результаты анализов — ст. 10 ФЗ-152), а в ряде случаев биометрические (фотография лица при первичном приёме — ст. 11 ФЗ-152) и данные о судимости (для психиатрических и наркологических учреждений).

Каждая категория требует самостоятельного правового основания для переноса и последующей обработки в МИС. Смешение категорий в одной базе без разграничения целей нарушает принцип ограничения целями по ст. 5 ФЗ-152 и создаёт риск штрафа по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽).

На этом шаге также фиксируются сроки хранения: бумажные карты хранятся по приказам Минздрава; после оцифровки сроки хранения в МИС должны им соответствовать. Уничтожение бумажного носителя после оцифровки — отдельная процедура с актом.

Шаг 3. Актуализируйте организационно-распорядительную документацию

Переход на ЭМК меняет состав обрабатываемых ПДн и способы обработки. Это требует обновления уведомления в реестре операторов РКН по ст. 22 ФЗ-152 — если в уведомлении не указана МИС как информационная система или ЕГИСЗ как получатель данных. Срок обновления — немедленно при изменении сведений.

«Ст. 22 ФЗ-152 — оператор обязан уведомить РКН об изменении сведений, указанных в уведомлении, в течение 10 рабочих дней с момента изменения. Форма изменения — через личный кабинет на pd.rkn.gov.ru по Приказу РКН №180 от 28.10.2022.»

Помимо уведомления в РКН, переход на МИС требует обновления или разработки следующих документов: политики обработки ПДн (ст. 18.1 ФЗ-152) с указанием МИС и ЕГИСЗ; приказа о назначении ответственного за обработку ПДн (ст. 22.1 ФЗ-152); регламента разграничения доступа к МИС (кто из медперсонала имеет доступ к каким данным); договора поручения обработки с вендором МИС (ч. 3 ст. 6 ФЗ-152), если МИС размещена в облаке или сопровождается подрядчиком.

Договор поручения обработки — критичный документ. Без него вендор МИС де-факто получает доступ к спецкатегории ПДн пациентов без правового основания. По сложившейся практике ВС РФ оператор несёт ответственность за утечку через подрядчика наравне с собственной — даже если подрядчик действовал самостоятельно.

Что подготовить для перехода на ЭМК

  • Актуальное уведомление в реестре РКН с указанием МИС, ЕГИСЗ, целей и категорий обработки
  • Обновлённые формы согласий на обработку ПДн по ст. 9 ФЗ-152 в редакции с 01.09.2025 — отдельным документом
  • Политика обработки ПДн с разделом о МИС, ЕГИСЗ и мерах защиты по ст. 18.1 ФЗ-152
  • Договор поручения обработки с вендором МИС по ч. 3 ст. 6 ФЗ-152 с перечнем допустимых действий
  • Приказ о назначении ответственного за обработку ПДн и регламент доступа к МИС по ст. 22.1 ФЗ-152

Шаг 4. Настройте технические меры защиты под уровень УЗ-3

Медицинская информационная система, обрабатывающая данные о здоровье пациентов, относится к специальным категориям ПДн. Уровень защищённости определяется по ПП РФ №1119 от 01.11.2012. Для большинства клиник с числом пациентов менее 100 000 при угрозах 2-го типа — это УЗ-3. Для крупных многопрофильных стационаров или при угрозах 1-го типа — УЗ-1 или УЗ-2.

Состав технических мер для УЗ-3 определяется Приказом ФСТЭК №21 от 18.02.2013: идентификация и аутентификация пользователей МИС (ИАФ), управление доступом (УПД), регистрация событий безопасности (РСБ), антивирусная защита (АВЗ), контроль целостности (ОЦЛ), защита среды виртуализации (ЗСВ) при облачном размещении МИС. Минимальный набор мер — базовый по УЗ-3, дополненный по результатам моделирования угроз.

Отдельное требование — локализация: данные пациентов — граждан РФ должны записываться, накапливаться и храниться в базах данных, расположенных на территории России (ч. 5 ст. 18 ФЗ-152, действует с 01.09.2015). МИС в облаке зарубежного провайдера без зеркалирования в российском ЦОД — нарушение локализации, штраф по ч. 8 ст. 13.11 КоАП от 1 до 6 млн ₽.

Шаг 5. Организуйте передачу данных в ЕГИСЗ в соответствии с нормами

Передача данных из МИС в ЕГИСЗ — это трансграничная передача в федеральную государственную информационную систему. Правовое основание передачи — исполнение обязанностей медицинской организации по ч. 2 ст. 91 323-ФЗ (ведение медицинской документации) и нормативные требования Минздрава по интеграции с ЕГИСЗ. Отдельного согласия пациента на передачу в ЕГИСЗ в этом случае не требуется — достаточно основания по п. 2 ч. 2 ст. 10 ФЗ-152 (исполнение требований законодательства).

Вместе с тем клиника обязана указать передачу в ЕГИСЗ в политике обработки ПДн, в уведомлении в реестре РКН и в формах согласий — в части, где субъекту сообщается о получателях его данных. Непрозрачность передачи — нарушение ст. 18.1 ФЗ-152 и основание для штрафа по ч. 3 ст. 13.11 КоАП (30 000–60 000 ₽ за непубликацию политики).

Если клиника использует телемедицину с участием пациентов, находящихся за рубежом, или подключает зарубежный сервис видеоконсультаций — возникает вопрос трансграничной передачи по ст. 12 ФЗ-152. В этом случае до начала передачи необходимо уведомить РКН и убедиться, что страна назначения входит в перечень с адекватной защитой либо получено разрешение РКН.

Если главный врач подключает МИС к ЕГИСЗ или переходит на облачную систему — проверьте договор поручения обработки с вендором и состав уведомления в РКН. Отсутствие договора при утечке через МИС — это ответственность клиники по ч. 12–14 ст. 13.11 КоАП (от 3 до 15 млн ₽), а не вендора. Юристы DATUM помогут собрать ОРД под ключ.

Собрать ОРД под ключ

Как это применяется на практике: типовые ситуации главного врача

Ситуация 1. МИС в облаке зарубежного вендора. Многопрофильная клиника (Сибирский ФО, начало 2026) перешла на МИС иностранного вендора, сервер которого расположен в ЕС. При плановой проверке РКН установил отсутствие локализации — данные пациентов не записывались в российскую базу данных. Возбуждено дело по ч. 8 ст. 13.11 КоАП. Штраф для юрлица по данной части — от 1 до 6 млн ₽. Клиника заключила договор с российским ЦОД и подала ходатайство о смягчении — штраф назначен в минимальном диапазоне. Рекомендация: перед выбором МИС проверяйте место размещения серверов и наличие в договоре с вендором гарантий локализации.

Ситуация 2. Утечка данных пациентов через МИС. Стоматологическая клиника (Центральный ФО, осень 2025) получила сообщение о появлении базы пациентов в открытом доступе — ФИО, диагнозы, телефоны около 4 000 человек. Источником оказался доступ уволенного сотрудника, не отключённый своевременно. РКН получил уведомление об инциденте через 26 часов после обнаружения — с нарушением 24-часового срока по ч. 3.1 ст. 21 ФЗ-152. Возбуждено дело по ч. 12 ст. 13.11 (утечка от 1 000 до 10 000 субъектов, штраф 3–5 млн ₽) и по ч. 11 ст. 13.11 (неуведомление в срок, штраф 1–3 млн ₽). Доказательства принятых мер позволили снизить итоговое взыскание. Рекомендация: регламент реагирования на инциденты с чёткими ролями — обязателен до перехода на МИС, а не после.

Услуги DATUM по теме

Частые вопросы

1. Чем отличается ИДС от согласия на ПДн?

Информированное добровольное согласие (ИДС) по ст. 20 323-ФЗ — это согласие пациента на медицинское вмешательство. Оно регулирует право врача проводить диагностику и лечение. Согласие на обработку ПДн по ст. 9 ФЗ-152 — это разрешение на внесение данных в информационную систему, передачу в ЕГИСЗ и хранение в МИС. Это два разных документа с разными реквизитами. С 01.09.2025 согласие на ПДн не может быть частью ИДС, договора или медицинской карты — только отдельный документ (ФЗ-156 от 24.06.2025).

2. Можно ли публиковать фото «до-после» с согласия пациента?

Фотография лица пациента относится к биометрическим ПДн по ст. 11 ФЗ-152. Её публикация в рекламных целях — это обработка с распространением, требующая отдельного согласия по ст. 10.1 ФЗ-152. Дефолт — молчание пациента означает запрет распространения. Согласие должно прямо указывать: что публикуется (фото), где (сайт, соцсети), в каких целях (реклама, кейс), срок действия и порядок отзыва. Нарушение — штраф по ч. 2 ст. 13.11 КоАП до 700 000 ₽.

3. Кто отвечает за утечку через МИС?

Ответственность несёт оператор ПДн — клиника, а не вендор МИС. Вендор несёт ответственность только при наличии договора поручения обработки по ч. 3 ст. 6 ФЗ-152, в котором прямо установлены его обязанности по защите данных. Без такого договора весь объём ответственности — на клинике. По сложившейся практике ВС РФ оператор отвечает за действия подрядчика, получившего доступ к ПДн без надлежащего правового оформления.

4. Какие данные передавать в ЕГИСЗ?

Состав передаваемых сведений определяется нормативными актами Минздрава по интеграции медицинских информационных систем с ЕГИСЗ — в частности, документами по СИМИ (сведениям о медицинских работниках) и РЭМД (реестру электронных медицинских документов). Правовое основание передачи — ч. 2 ст. 91 323-ФЗ и исполнение требований законодательства по п. 2 ч. 2 ст. 10 ФЗ-152. Передача персонифицированных данных о пациентах должна быть отражена в политике обработки ПДн и уведомлении в реестре РКН.

5. Что грозит клинике за утечку медицинских данных?

Медицинские данные — спецкатегория по ст. 10 ФЗ-152. За утечку от 1 000 до 10 000 субъектов — штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП (в редакции с 30.05.2025). От 10 000 до 100 000 — 5–10 млн ₽ (ч. 13). Свыше 100 000 — 10–15 млн ₽ (ч. 14). За неуведомление РКН об инциденте в течение 24 часов — дополнительный штраф 1–3 млн ₽ по ч. 11. При повторной утечке возникает оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽.

6. С какого момента нужно подать уведомление в РКН при переходе на МИС?

Если клиника уже числится в реестре операторов РКН, но не указывала МИС или ЕГИСЗ в уведомлении — необходимо подать изменение в течение 10 рабочих дней с момента начала обработки в новой системе (ст. 22 ФЗ-152). Если клиника вообще не подавала уведомление — подать до начала обработки. Запоздалое уведомление или его отсутствие при переходе на МИС — штраф по ч. 10 ст. 13.11 КоАП от 100 000 до 300 000 ₽.

Итог

Переход с бумажной карты на ЭМК в МИС — это изменение правовой модели обработки спецкатегории ПДн пациентов. Каждый из пяти шагов: правовые основания, инвентаризация, ОРД, технические меры и интеграция с ЕГИСЗ — требует отдельного юридического контроля. Ошибка на любом этапе создаёт риск штрафа от 1 до 15 млн ₽ или оборотного взыскания при повторности.

Практика DATUM сопровождала переход медицинских организаций на МИС с точки зрения 152-ФЗ: от аудита документации до формирования полного пакета ОРД и представительства при проверках РКН.

Смотрите также

ОН
Ольга Нечаева
Аналитик · Медицина и образование
Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, ПДн несовершеннолетних.