Перейти к содержанию
инструкция 21 января 2029 По состоянию на 21 января 2029

Электронная медкарта: правовой статус

Электронная медицинская карта содержит специальные категории персональных данных — сведения о состоянии здоровья пациента. Их обработка регулируется одновременно ст. 10 ФЗ-152 и ст. 13 ФЗ-323 «Об основах охраны здоровья граждан».
За утечку медицинских данных от 1 000 субъектов клиника несёт ответственность по ч. 12 ст. 13.11 КоАП — от 3 до 5 млн ₽. При повторной утечке применяется оборотный штраф по ч. 15: от 1 до 3% годовой выручки, не менее 20 млн ₽.
Если вы главный врач и в клинике работает МИС с подключением к ЕГИСЗ — проверьте правовые основания обработки и актуальность согласий пациентов прямо сейчас. →

С 2025 года большинство медицинских организаций обязаны вести медицинскую документацию в электронном виде и передавать сведения в ЕГИСЗ. Это означает, что данные о диагнозах, назначениях и результатах анализов хранятся в МИС и доступны через федеральную инфраструктуру. При этом правовой статус электронной медкарты остаётся источником практических ошибок: операторы путают информированное добровольное согласие с согласием на обработку персональных данных, а подключение к ЕГИСЗ считают достаточным основанием для любой обработки. Ниже — пошаговый порядок для главного врача, который приводит работу с электронными медкартами в соответствие с ФЗ-152 и ФЗ-323.

Что такое электронная медкарта с точки зрения закона?

Электронная медицинская карта — это медицинский документ, содержащий сведения о состоянии здоровья конкретного пациента, то есть специальные категории персональных данных по ст. 10 ФЗ-152. Их обработка по умолчанию запрещена, если не выполнено хотя бы одно условие из исчерпывающего перечня, предусмотренного ч. 2 ст. 10 ФЗ-152.

«Ст. 10 ФЗ-152 запрещает обработку данных о состоянии здоровья без прямого правового основания. Допустимые основания: письменное согласие субъекта, медицинская необходимость при невозможности получить согласие, осуществление медицинской деятельности медицинскими работниками, обязанными сохранять тайну, либо установленное законом исключение (п. 2 ч. 2 ст. 10 ФЗ-152).»

Параллельно действует режим врачебной тайны по ст. 13 ФЗ-323: сведения о факте обращения за медицинской помощью, состоянии здоровья, диагнозе, результатах обследования и лечения не могут разглашаться без согласия пациента или его законного представителя. Исключения строго перечислены в ч. 4 ст. 13 ФЗ-323 (военкомат, следствие, эпидемиологический надзор и другие). Эти два режима — ФЗ-152 и ФЗ-323 — действуют одновременно и взаимно дополняют друг друга.

Электронная форма карты не меняет правовой статус содержащихся в ней данных: она остаётся специальной категорией ПДн независимо от того, ведётся ли в МИС или на бумаге. Однако электронный формат расширяет круг рисков: данные доступны большему числу сотрудников, передаются в ЕГИСЗ и потенциально — в сторонние информационные системы через API.

Шаг 1. Определите правовое основание обработки в МИС

Медицинская организация как оператор обязана до начала обработки определить правовое основание по ст. 6 и ст. 10 ФЗ-152. Для электронной медкарты применяется несколько оснований одновременно.

Медицинская деятельность (п. 4 ч. 2 ст. 10 ФЗ-152). Обработка данных о здоровье допустима без отдельного согласия, если её осуществляют медицинские работники, обязанные соблюдать врачебную тайну по профессиональному законодательству. Это основание покрывает ведение медкарты, постановку диагнозов, назначение лечения и запись результатов обследований теми сотрудниками, которые непосредственно оказывают медицинскую помощь.

Исполнение договора (п. 5 ч. 1 ст. 6 ФЗ-152). Если пациент заключил договор на оказание платных медицинских услуг, обработка данных, необходимых для его исполнения, допустима без отдельного согласия на ПДн. Это основание действует для общих категорий данных (ФИО, контакты, дата рождения).

Согласие субъекта (п. 1 ч. 2 ст. 10 ФЗ-152). Для целей, выходящих за пределы непосредственного оказания медицинской помощи (маркетинг, телемедицина, передача данных третьим лицам), требуется отдельное письменное согласие. С 01.09.2025 по ФЗ-156 согласие оформляется отдельным документом — включить его в договор или информированное добровольное согласие (ИДС) нельзя.

МИС подключена к ЕГИСЗ, но согласия пациентов — в составе договора?

С 01.09.2025 согласие на обработку ПДн не может быть частью другого документа (ФЗ-156). Если в клинике согласие включено в договор или ИДС — каждое новое обращение пациента создаёт риск нарушения ч. 2 ст. 13.11 КоАП (до 700 тыс. ₽). Юристы DATUM проведут аудит комплекта документов и приведут согласия в соответствие с актуальными требованиями.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 2. Оформите согласие пациента по требованиям ФЗ-152

Согласие на обработку ПДн и информированное добровольное согласие на медицинское вмешательство (ИДС) — разные документы с разными требованиями.

ИДС регулируется ст. 20 ФЗ-323 и касается разрешения пациента на конкретные медицинские процедуры. Он не является правовым основанием для обработки персональных данных в смысле ФЗ-152.

Согласие на ПДн по ст. 9 ФЗ-152 должно содержать: наименование и адрес оператора (клиники), ФИО и контактные данные пациента, цель обработки, перечень обрабатываемых данных, перечень действий с данными, срок действия согласия и порядок его отзыва. С 01.09.2025 этот документ оформляется отдельно от договора, ИДС и любых других бумаг.

Если клиника передаёт данные в ЕГИСЗ, это основание возникает из закона (ФЗ-323, ФЗ-242 об основах охраны здоровья с поправками об обязательной интеграции), а не из согласия. Однако в согласии на ПДн необходимо указать соответствующих получателей данных — ЕГИСЗ и Минздрав — если их не предусматривает прямая норма закона.

Отдельного письменного согласия требует распространение данных (ст. 10.1 ФЗ-152): публикация фотографий пациента, размещение отзывов с данными о состоянии здоровья, кейсы «до-после». Дефолт молчания здесь означает запрет: если пациент не подписал специальное согласие на распространение — данные нельзя публиковать даже при наличии общего согласия на обработку.

Что подготовить для правомерной обработки медкарты

  • Отдельное согласие на ПДн по требованиям ст. 9 ФЗ-152 в редакции ФЗ-156 (с 01.09.2025) — отдельный документ, не совмещённый с договором или ИДС.
  • Перечень целей обработки с указанием передачи в ЕГИСЗ и иных получателей данных.
  • Положение о конфиденциальности МИС: разграничение прав доступа сотрудников к медкартам (врач видит только своих пациентов, администратор — без медицинских данных).
  • Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 с фиксацией полномочий.
  • Политика обработки ПДн, размещённая на сайте клиники в открытом доступе (ст. 18.1 ФЗ-152).

Шаг 3. Настройте передачу данных в ЕГИСЗ по правилам локализации

Обязанность медицинских организаций передавать сведения в ЕГИСЗ закреплена ФЗ-323 с поправками. Но это не означает, что любая передача данных из МИС законна автоматически.

Локализация. По ч. 5 ст. 18 ФЗ-152 запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан России должны осуществляться в базах данных на территории России. ЕГИСЗ размещена в российской инфраструктуре, поэтому требование локализации соблюдается. Но если клиника дополнительно использует облачную МИС с серверами за рубежом — это нарушение ч. 5 ст. 18 ФЗ-152, влекущее штраф по ч. 8 ст. 13.11 КоАП от 1 до 6 млн ₽.

Поручение обработки. Если МИС предоставляется сторонним вендором (SaaS), он является лицом, осуществляющим обработку по поручению оператора (п. 3 ст. 6 ФЗ-152). Необходимо заключить договор-поручение с перечнем разрешённых действий с данными, требованиями к защите и ответственностью вендора. Отсутствие такого договора означает, что вендор обрабатывает ПДн без правового основания.

Уровень защищённости. Медицинские данные относятся к специальным категориям ПДн. По ПП РФ №1119 информационная система обработки специальных категорий с числом субъектов более 100 000 требует обеспечения УЗ-2. При числе менее 100 000 — как минимум УЗ-3. Конкретный состав организационных и технических мер определяется Приказом ФСТЭК №21.

Шаг 4. Подготовьте уведомление в Роскомнадзор

Медицинская организация, обрабатывающая ПДн пациентов в МИС, обязана уведомить РКН о намерении осуществлять такую обработку до её начала (ст. 22 ФЗ-152). За отсутствие уведомления или нарушение срока — штраф по ч. 10 ст. 13.11 КоАП от 100 до 300 тыс. ₽.

В уведомлении необходимо указать категории субъектов (пациенты, сотрудники), категории данных (включая специальные), цели обработки, описание мер защиты, наименование МИС и адреса серверов. Уведомление подаётся через портал pd.rkn.gov.ru с использованием УКЭП или через ЕСИА. Срок включения в реестр операторов ПДн — 30 дней с момента уведомления.

Если в уведомлении указана обработка специальных категорий ПДн — РКН вправе провести внеплановую проверку для подтверждения соответствия заявленным мерам защиты. На такую проверку клиника должна представить полный комплект ОРД (организационно-распорядительной документации).

Если главный врач получил уведомление о проверке РКН — у вас есть от 3 до 10 рабочих дней на подготовку документов. Без полного комплекта ОРД и актуальных согласий пациентов проверка заканчивается протоколом по ст. 13.11 КоАП.

Подготовиться к проверке РКН

Шаг 5. Выстройте регламент реагирования на утечку данных МИС

Утечка медицинских данных — наиболее чувствительный инцидент для клиники. Данные о здоровье пациентов относятся к специальным категориям, и их неправомерное распространение нарушает одновременно ФЗ-152 и режим врачебной тайны по ФЗ-323.

При выявлении утечки оператор обязан направить первичное уведомление в РКН в течение 24 часов с момента обнаружения (ч. 3.1 ст. 21 ФЗ-152, Приказ РКН №187 от 14.11.2022). Через 72 часа — отчёт о результатах внутреннего расследования. Срок не восстанавливается. Неуведомление или нарушение срока влечёт штраф по ч. 11 ст. 13.11 КоАП от 1 до 3 млн ₽.

Штраф за саму утечку медицинских данных зависит от числа пострадавших субъектов. Утечка данных от 1 000 до 10 000 пациентов — ч. 12 ст. 13.11 КоАП, от 3 до 5 млн ₽. Утечка данных 10 000–100 000 пациентов — ч. 13, от 5 до 10 млн ₽. Утечка более 100 000 пациентов — ч. 14, от 10 до 15 млн ₽.

Регламент реагирования должен включать: порядок фиксации инцидента (скриншоты, логи МИС), порядок формирования первичного уведомления РКН, список ответственных лиц с контактами, шаблоны уведомлений и форму отчёта о расследовании по Приказу РКН №187.

Как это применяется на практике

Кейс 1. Многопрофильная клиника Сибирского федерального округа (весна 2025) прошла плановую проверку РКН после уведомления о намерении обрабатывать специальные категории ПДн. Главный врач представил комплект ОРД: согласия пациентов были включены в договор об оказании медицинских услуг. Инспектор квалифицировал это как нарушение требований к составу согласия (ч. 2 ст. 13.11 КоАП в редакции, действовавшей до 30.05.2025) и вынес предписание. Клиника устранила нарушение в установленный срок и избежала штрафа благодаря первичности нарушения и отсутствию вреда пациентам.

Кейс 2. Стоматологическая сеть Центрального федерального округа (осень 2025) использовала облачную МИС зарубежного вендора без договора-поручения на обработку ПДн и без уведомления РКН о трансграничной передаче. После жалобы пациента РКН возбудил административное производство по ч. 8 ст. 13.11 (нарушение локализации). Итоговый штраф составил сотни тысяч рублей. Если бы выручка сети была выше, применялись бы санкции в диапазоне 1–6 млн ₽, предусмотренные ч. 8 ст. 13.11 КоАП в редакции с 30.05.2025.

Услуги DATUM по теме

Частые вопросы

1. Чем отличается ИДС от согласия на ПДн?

Информированное добровольное согласие (ИДС) по ст. 20 ФЗ-323 — это разрешение пациента на конкретное медицинское вмешательство. Согласие на обработку ПДн по ст. 9 ФЗ-152 — отдельный документ с обязательными реквизитами (оператор, цели, перечень данных, срок, порядок отзыва). С 01.09.2025 по ФЗ-156 согласие на ПДн нельзя включать в договор, ИДС или любой другой документ. Это два разных документа с разными правовыми основаниями и разными последствиями за нарушение.

2. Можно ли публиковать фото до-после с согласия пациента?

Публикация фотографий с данными о состоянии здоровья — это распространение специальных категорий ПДн. По ст. 10.1 ФЗ-152 для распространения требуется отдельное согласие с явным указанием на то, что данные будут переданы неограниченному кругу лиц. Общего согласия на обработку ПДн для этого недостаточно. Если пациент не подписал специальное согласие на распространение — публикация фото до-после нарушает ст. 10.1 ФЗ-152 и режим врачебной тайны по ст. 13 ФЗ-323.

3. Кто отвечает за утечку через МИС?

Оператор ПДн — медицинская организация — несёт ответственность за утечку независимо от того, произошла она через собственную инфраструктуру или через МИС вендора. Если МИС предоставляется по SaaS-модели, вендор обрабатывает данные по поручению оператора (п. 3 ст. 6 ФЗ-152). Ответственность перед РКН и пациентами несёт клиника. Вендор может нести договорную ответственность перед клиникой, если в договоре-поручении предусмотрены соответствующие санкции.

4. Какие данные передавать в ЕГИСЗ?

Состав сведений, передаваемых в ЕГИСЗ, определяется ФЗ-323 и подзаконными актами Минздрава. В общем случае это сведения об оказанной медицинской помощи, диагнозах, назначениях и результатах обследований. Обязанность передачи установлена законом, поэтому согласие пациента для этой конкретной операции не требуется. Однако в согласии на ПДн, которое подписывает пациент, необходимо указать ЕГИСЗ и Минздрав как получателей данных — для прозрачности обработки по ст. 14 ФЗ-152.

5. Что грозит клинике за утечку медицинских данных?

Размер штрафа зависит от числа пострадавших пациентов. Утечка данных 1 000–10 000 субъектов — от 3 до 5 млн ₽ (ч. 12 ст. 13.11 КоАП). Утечка 10 000–100 000 субъектов — от 5 до 10 млн ₽ (ч. 13). Более 100 000 субъектов — от 10 до 15 млн ₽ (ч. 14). При повторной утечке — оборотный штраф по ч. 15: от 1 до 3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. Дополнительно — штраф 1–3 млн ₽ за нарушение срока уведомления РКН (ч. 11 ст. 13.11). Нормы действуют в редакции ФЗ-420 с 30.05.2025.

6. Нужно ли уведомлять пациентов об утечке их данных?

Прямой обязанности уведомлять пациентов в ФЗ-152 нет — закон обязывает уведомить РКН (24 часа на первичное уведомление, 72 часа на отчёт по Приказу РКН №187). Однако пациент вправе потребовать информацию об обработке своих данных в порядке ст. 14 ФЗ-152, и клиника обязана ответить в течение 10 рабочих дней. Кроме того, пациент вправе обратиться с иском о компенсации морального вреда — судебная практика по таким делам формируется, суммы компенсаций варьируются.

Итог

Электронная медкарта — это специальная категория ПДн, обработка которой требует одновременного соблюдения ФЗ-152 и ФЗ-323. Правильная конструкция включает: разграниченные правовые основания для разных целей обработки, отдельное согласие на ПДн по требованиям ФЗ-156, договор-поручение с вендором МИС, соответствующий уровень защищённости ИСПДн по ПП РФ №1119 и регламент реагирования на инциденты в 24 и 72 часа.

Практика DATUM охватывает аудит медицинских организаций, разработку комплекта ОРД с учётом специфики ФЗ-323, сопровождение проверок РКН в клиниках и подготовку регламентов реагирования на утечки данных МИС.

Смотрите также

ОН
Ольга Нечаева
Аналитик · Медицина и образование
Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, ПДн несовершеннолетних.

21 января 2029 года