Перейти к содержанию
инструкция 22 января 2029 По состоянию на 22 января 2029

Хранение записей телемедицины

Записи телемедицинских консультаций — специальная категория персональных данных по ст. 10 ФЗ-152. За утечку от 1 000 субъектов — штраф от 3 млн ₽ по ч. 12 ст. 13.11 КоАП в редакции с 30.05.2025.
Медицинская организация обязана хранить записи в МИС на серверах в России (ч. 5 ст. 18 ФЗ-152), получить отдельное согласие на обработку спецкатегории ПДн (ст. 10 ФЗ-152) и обеспечить передачу сведений в ЕГИСЗ по Приказу Минздрава. При нарушении врачебной тайны — дополнительная ответственность по ст. 13 Федерального закона № 323-ФЗ.
Если вы главный врач и записи телеконсультаций хранятся без структурированного регламента — прочитайте инструкцию и проверьте каждый из шести шагов.

Телемедицина обязала клиники вести и хранить записи дистанционных консультаций с 2018 года. С 30.05.2025 штрафы за утечку медицинских ПДн кратно выросли: повторная утечка влечёт оборотный штраф до 500 млн ₽ по ч. 15 ст. 13.11 КоАП. Эта инструкция даёт шесть последовательных шагов: от правовой квалификации данных до регламента реагирования на инциденты. Каждый шаг содержит перечень документов и конкретные нормы.

Шаг 1. Определите категорию данных и правовые основания для хранения

Запись телемедицинской консультации содержит сведения о состоянии здоровья пациента — это специальная категория персональных данных по ст. 10 ФЗ-152. Обработка таких данных запрещена, за исключением случаев, прямо предусмотренных законом: прежде всего — письменное согласие субъекта (пп. 1 п. 2 ст. 10 ФЗ-152) или необходимость защиты жизни и здоровья (пп. 4 п. 2 ст. 10 ФЗ-152).

Одновременно запись относится к медицинской документации по ст. 22 Федерального закона № 323-ФЗ «Об основах охраны здоровья граждан». Срок хранения медицинской документации — не менее 25 лет для историй болезни стационаров; для амбулаторных карт — 5 лет после последнего обращения (приказ Минздрава № 932н). Телеконсультация, как правило, фиксируется в амбулаторной карте или отдельном протоколе дистанционного приёма.

«Ст. 10 ФЗ-152: обработка специальных категорий ПДн (сведения о состоянии здоровья) допустима только при наличии письменного согласия субъекта или иного прямого основания из перечня п. 2. Устное или конклюдентное согласие для спецкатегорий недостаточно.»

Правовые основания для хранения следует зафиксировать в политике обработки ПДн и в карточке цели обработки: цель — «оказание медицинской помощи в дистанционной форме», категория — «специальные (данные о здоровье)», основание — «письменное согласие и исполнение договора об оказании медицинских услуг».

Шаг 2. Оформите раздельные согласия: ИДС и согласие на обработку ПДн

Медицинские организации нередко объединяют информированное добровольное согласие на медицинское вмешательство (ИДС по ст. 20 Федерального закона № 323-ФЗ) и согласие на обработку персональных данных в один документ. После 01.09.2025 такой подход нарушает ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025: согласие на обработку ПДн должно быть оформлено отдельным документом и не может быть совмещено с договором, офертой или иным документом.

Обязательные реквизиты согласия на обработку ПДн в медицинской организации: полное наименование оператора, ФИО и контакты пациента, цель обработки, перечень обрабатываемых данных (включая записи консультаций, аудио- и видеофайлы, протоколы), перечень действий, срок обработки, способ отзыва согласия. Для несовершеннолетних пациентов согласие подписывает законный представитель.

«Ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156 от 24.06.2025): согласие субъекта на обработку его ПДн оформляется отдельным документом. Объединение с ИДС, договором или правилами оказания услуг — нарушение, влекущее штраф по ч. 2 ст. 13.11 КоАП от 300 000 до 700 000 ₽.»

ИДС по ст. 20 Федерального закона № 323-ФЗ сохраняется как самостоятельный документ, регулирующий информированность пациента о медицинском вмешательстве. Согласие на ПДн — отдельный лист или отдельная электронная форма. Оба документа хранятся в МИС с привязкой к записи приёма.

Согласия пациентов объединены с ИДС или договором?

С 01.09.2025 каждое такое согласие — нарушение ч. 2 ст. 13.11 КоАП со штрафом до 700 000 ₽. Если телемедицинская платформа подключена к МИС и записи хранятся без раздельных форм согласия, риск предписания РКН при проверке высокий. Юристы DATUM проведут аудит форм согласий, приведут пакет документов в соответствие с ФЗ-156 и составят регламент работы с пациентскими ПДн.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Настройте МИС и локализацию данных

Запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных граждан России должны выполняться только в базах, физически расположенных на территории России (ч. 5 ст. 18 ФЗ-152). Это требование распространяется на МИС, на телемедицинскую платформу и на любое облачное хранилище, где сохраняются файлы консультаций.

Если клиника использует зарубежный SaaS-сервис для телемедицины или облако с серверами вне России — это нарушение локализации. Санкция по ч. 8 ст. 13.11 КоАП — от 1 000 000 до 6 000 000 ₽; при повторном нарушении по ч. 9 — от 6 000 000 до 18 000 000 ₽.

«Ч. 5 ст. 18 ФЗ-152 (локализация): первичная запись и хранение ПДн граждан РФ — только в базах данных, расположенных на территории России. ч. 8 ст. 13.11 КоАП (ред. с 30.05.2025): нарушение локализации — штраф для юрлица от 1 до 6 млн ₽.»

При настройке МИС проверьте: где физически размещены серверы основной базы, где хранятся резервные копии, через какой API телемедицинская платформа передаёт данные и куда. Если используется сторонняя платформа, в договоре должно быть указано место хранения данных — Россия. Сведения о месте хранения фиксируются в уведомлении оператора в реестре РКН (форма по Приказу РКН № 180 от 28.10.2022).

Шаг 4. Организуйте передачу данных в ЕГИСЗ

Медицинские организации, осуществляющие телемедицинские консультации, обязаны передавать сведения в Единую государственную информационную систему в сфере здравоохранения (ЕГИСЗ). Состав и порядок передачи определяются Приказом Минздрава и соглашением об информационном взаимодействии с оператором ЕГИСЗ.

Передача данных в ЕГИСЗ является самостоятельной обработкой ПДн. В уведомлении РКН по ст. 22 ФЗ-152 необходимо указать ЕГИСЗ как получателя данных. Если клиника этого не сделала при первичной подаче уведомления — нужно подать изменения через портал pd.rkn.gov.ru.

Состав передаваемых сведений: результаты консультации, код МКБ-10, назначения, дата и время консультации, идентификатор пациента в СНИЛС. Аудио- и видеозаписи консультаций в ЕГИСЗ, как правило, не передаются — они остаются в МИС и хранятся согласно регламенту клиники.

«Ст. 91 Федерального закона № 323-ФЗ: медицинские организации обязаны вести персонифицированный учёт и передавать сведения в государственные информационные системы здравоохранения в установленном порядке. Нарушение — административная ответственность по нескольким составам.»

Если вы главный врач и клиника подключена к ЕГИСЗ без актуального уведомления в реестре РКН — у вас двойной риск: штраф по ч. 10 ст. 13.11 (100–300 тыс. ₽) за неуведомление и предписание по результатам проверки. Срок подачи изменений в реестр — до начала обработки по новому основанию, а не после.

Подготовиться к проверке РКН

Шаг 5. Установите уровень защищённости и технические меры

Уровень защищённости информационной системы персональных данных (ИСПДн) определяется по матрице ПП РФ № 1119 от 01.11.2012. Для медицинских данных — спецкатегория. При актуальных угрозах 2-го типа и числе субъектов менее 100 000 — уровень защищённости УЗ-3; при угрозах 1-го типа или числе субъектов более 100 000 — УЗ-2 или УЗ-1.

Для большинства частных клиник с телемедицинской практикой актуален УЗ-3. Минимальный набор мер по Приказу ФСТЭК № 21: идентификация и аутентификация пользователей МИС (двухфакторная для удалённого доступа), управление доступом по ролям, защита носителей информации, регистрация событий безопасности (логирование), антивирусная защита, обнаружение вторжений, защита каналов передачи данных (шифрование при передаче записей в ЕГИСЗ и на телемедицинскую платформу).

«ПП РФ № 1119 от 01.11.2012: 4 уровня защищённости ИСПДн. Специальные категории ПДн при угрозах 2-го типа и числе субъектов менее 100 000 — УЗ-3. Приказ ФСТЭК № 21 от 18.02.2013 определяет базовый набор мер по 15 группам для каждого уровня.»

Ответственный за обработку ПДн (ст. 22.1 ФЗ-152) должен не реже одного раза в год проверять соответствие применяемых технических мер актуальному уровню защищённости. Результаты проверки фиксируются актом внутреннего контроля.

Шаг 6. Разработайте регламент реагирования на инциденты с медицинскими ПДн

При обнаружении утечки или несанкционированного доступа к записям телеконсультаций медицинская организация как оператор ПДн обязана уведомить РКН в течение 24 часов с момента обнаружения (ч. 3.1 ст. 21 ФЗ-152). Уведомление подаётся через портал pd.rkn.gov.ru по форме, установленной Приказом РКН № 187 от 14.11.2022. Через 72 часа — отчёт о результатах внутреннего расследования.

Несоблюдение срока уведомления — штраф по ч. 11 ст. 13.11 КоАП от 1 000 000 до 3 000 000 ₽. Утечка медицинских данных от 1 000 до 10 000 субъектов — штраф по ч. 12 от 3 000 000 до 5 000 000 ₽ дополнительно. Биометрические данные (если клиника собирает изображения лиц через видеоконсультации в качестве идентификаторов) — штраф по ч. 17 от 15 000 000 до 20 000 000 ₽.

«Ч. 3.1 ст. 21 ФЗ-152 и Приказ РКН № 187: 24 часа — первичное уведомление, 72 часа — отчёт о расследовании. Срок 24 часов не восстанавливается. Ч. 11 ст. 13.11 КоАП (ред. с 30.05.2025): неуведомление об инциденте — от 1 до 3 млн ₽.»

Регламент реагирования должен включать: порядок фиксации факта инцидента, список ответственных с контактами, шаблон первичного уведомления в РКН, порядок уведомления пострадавших пациентов, форму отчёта о расследовании. Регламент утверждается приказом руководителя и доводится до сотрудников МИС и ИТ-отдела под роспись.

Что подготовить главному врачу

  • Отдельное согласие на обработку ПДн (спецкатегория — здоровье) по ст. 9 ФЗ-152 в редакции с 01.09.2025 — не совмещённое с ИДС или договором.
  • Уведомление в реестре РКН с актуальными сведениями: место хранения МИС (Россия), состав обрабатываемых данных, ЕГИСЗ как получатель.
  • Акт классификации ИСПДн с определённым уровнем защищённости (УЗ-3 или выше) и подтверждённым набором мер по Приказу ФСТЭК № 21.
  • Регламент реагирования на инциденты с шаблоном уведомления РКН за 24 часа по Приказу РКН № 187.
  • Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 с описанием его функций.

Как эти требования применяются на практике

Кейс 1. Медицинская организация (Приволжский ФО, лето 2025) использовала телемедицинскую платформу с серверами подрядчика, которые частично располагались за пределами России. При внеплановой проверке РКН установил нарушение локализации по ч. 5 ст. 18 ФЗ-152. Клинике предъявили протокол по ч. 8 ст. 13.11 КоАП — штраф в диапазоне 1–6 млн ₽. Организация своевременно привлекла юристов, доказала, что основная первичная запись велась в МИС с серверами в России, и добилась снижения суммы. Договор с платформой пересмотрен: добавлены условия о локализации и поручение на обработку ПДн.

Кейс 2. Частная клиника (Центральный ФО, весна 2026) получила жалобу пациента в РКН: его данные о диагнозе стали известны третьему лицу через утечку из МИС. Клиника не уведомила РКН в течение 24 часов — инцидент обнаружил сам пациент и сообщил регулятору. РКН возбудил дела по ч. 11 (неуведомление) и ч. 12 (утечка от 1 000 до 10 000 субъектов) ст. 13.11 КоАП — суммарный диапазон штрафов от 4 до 8 млн ₽. Отсутствие регламента реагирования и неназначение ответственного по ст. 22.1 ФЗ-152 суд учёл как отягчающие обстоятельства.

Частые вопросы

1. Чем отличается ИДС от согласия на обработку персональных данных?

Информированное добровольное согласие (ИДС) регулируется ст. 20 Федерального закона № 323-ФЗ и подтверждает, что пациент получил информацию о медицинском вмешательстве и согласился на него. Согласие на обработку персональных данных регулируется ст. 9 ФЗ-152 и разрешает оператору выполнять конкретные действия с ПДн — хранить, передавать, обрабатывать в МИС и ЕГИСЗ. После 01.09.2025 согласие на ПДн оформляется исключительно отдельным документом; совмещение с ИДС, договором или офертой нарушает ч. 1 ст. 9 ФЗ-152 и влечёт штраф по ч. 2 ст. 13.11 КоАП от 300 000 до 700 000 ₽.

2. Можно ли публиковать фотографии «до и после» с согласия пациента?

Публикация изображений пациента — распространение персональных данных по ст. 10.1 ФЗ-152 и использование биометрических данных (изображение лица) по ст. 11 ФЗ-152. Для этого требуется отдельное письменное согласие на распространение ПДн с явным указанием целей публикации, площадок и срока. Общее согласие на обработку ПДн для оказания медицинских услуг для публикации недостаточно. Нарушение — штраф по ч. 2 ст. 13.11 КоАП; если фото квалифицируется как биометрия — по ч. 16 ст. 13.11.

3. Кто отвечает за утечку через МИС — клиника или разработчик?

Клиника как оператор ПДн несёт ответственность перед РКН и субъектами независимо от того, кто допустил техническую уязвимость. Если МИС разрабатывается или обслуживается подрядчиком, в договоре должно быть поручение на обработку ПДн по п. 3 ст. 6 ФЗ-152 с обязательствами подрядчика по безопасности. При отсутствии поручения клиника отвечает за действия подрядчика как за собственные. Регрессные претензии к разработчику МИС — отдельный гражданско-правовой спор, не освобождающий от административной ответственности.

4. Какие данные телеконсультации нужно передавать в ЕГИСЗ?

Состав сведений определяется Приказом Минздрава и техническими требованиями к интеграции с ЕГИСЗ: дата и время консультации, идентификатор медицинской организации и врача, идентификатор пациента (СНИЛС или полис ОМС), результат консультации, код МКБ-10, назначения. Аудио- и видеозаписи сеанса в ЕГИСЗ не передаются — они хранятся в МИС клиники. Факт передачи сведений в ЕГИСЗ необходимо отразить в уведомлении оператора ПДн в реестре РКН как отдельная цель и получатель данных.

5. Что грозит клинике за утечку медицинских данных пациентов?

По ст. 13.11 КоАП в редакции с 30.05.2025: утечка от 1 000 до 10 000 субъектов — ч. 12, штраф 3–5 млн ₽; от 10 000 до 100 000 субъектов — ч. 13, штраф 5–10 млн ₽; более 100 000 субъектов — ч. 14, штраф 10–15 млн ₽. Если клиника уже привлекалась по ч. 12–14 — повторная утечка влечёт оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. За нарушение врачебной тайны — отдельная ответственность по ст. 13 Федерального закона № 323-ФЗ вплоть до приостановления лицензии.

6. Нужно ли отдельное согласие для записи видеоконсультации?

Да. Видеозапись консультации содержит изображение лица пациента — биометрические персональные данные по ст. 11 ФЗ-152. Для их обработки необходимо письменное согласие, отдельное от согласия на обработку медицинских данных и от ИДС. В согласии указывают цель записи, место хранения, срок хранения и порядок уничтожения. При отсутствии согласия на биометрию — штраф по ч. 16 ст. 13.11 КоАП; при утечке видеозаписей — по ч. 17 от 15 000 000 до 20 000 000 ₽.

Итог

Хранение записей телемедицины — это пересечение трёх правовых режимов: медицинской документации по Федеральному закону № 323-ФЗ, специальных категорий ПДн по ст. 10 ФЗ-152 и требований информационной безопасности по ПП РФ № 1119 и Приказу ФСТЭК № 21. Ни одно из этих требований не отменяет другие. С 30.05.2025 стоимость ошибки — от 3 млн ₽ при единичной утечке и до 500 млн ₽ при повторной.

DATUM сопровождает медицинские организации по всем шести шагам: от классификации данных и оформления согласий до аудита МИС и подготовки к проверке РКН. Практика охватывает частные клиники, телемедицинские платформы и сети медицинских центров.

Услуги DATUM по теме

Смотрите также

ОН
Ольга Нечаева
Аналитик · Медицина и образование
Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, обработка ПДн несовершеннолетних.

22 января 2029 года