Перейти к содержанию
инструкция 21 февраля 2029 По состоянию на 21 февраля 2029

ПДн пациента в записи телефонного звонка

Запись телефонного разговора с пациентом содержит голос, имя, симптомы, дату обращения — всё это персональные данные, а голос в сочетании с именем и диагнозом относится к специальным категориям по ст. 10 ФЗ-152.
С 30.05.2025 действуют новые составы ст. 13.11 КоАП: утечка данных более 10 000 пациентов — штраф от 5 до 10 млн ₽, повторная утечка — оборотный штраф до 500 млн ₽. Данные пациента защищены одновременно врачебной тайной (ст. 13 ФЗ-323) и режимом спецкатегорий ФЗ-152.
Если вы главный врач и в клинике ведётся запись звонков без отдельного согласия пациента — каждый такой разговор создаёт состав нарушения по ч. 2 ст. 13.11 КоАП (300–700 тыс. ₽ за отсутствие письменного согласия). → Разберём, как правильно выстроить процесс.

Медицинские организации записывают звонки для контроля качества, обучения персонала, разрешения споров с пациентами. При этом большинство клиник либо не получают согласие на запись вовсе, либо ограничиваются устным предупреждением «разговор может быть записан». Оба варианта нарушают требования ФЗ-152 применительно к медицинским данным. Ниже — пошаговый порядок: как организовать запись звонков так, чтобы не получить предписание Роскомнадзора или протокол по ст. 13.11 КоАП.

Шаг 1. Определите правовой статус записи звонка с пациентом

Голосовая запись телефонного разговора с пациентом содержит несколько категорий данных одновременно. Имя и номер телефона — общие персональные данные. Содержание разговора: жалобы, диагноз, назначения, дата обращения — это данные о состоянии здоровья, то есть специальная категория по ст. 10 ФЗ-152. Голос как физиологическая характеристика человека в сочетании с его именем формально может быть признан биометрическими ПДн по ст. 11 ФЗ-152 — если используется для идентификации личности.

«Ст. 10 ФЗ-152 запрещает обработку данных о состоянии здоровья без явного письменного согласия субъекта, кроме случаев, прямо предусмотренных ч. 2 той же статьи. Ст. 11 ФЗ-152 устанавливает аналогичное требование для биометрических данных. Ст. 13 ФЗ-323 закрепляет режим врачебной тайны — запрет разглашения без согласия пациента или законного представителя.»

Практически это означает: запись звонка с пациентом подпадает одновременно под три правовых режима — общий (ФЗ-152), специальный (ст. 10 ФЗ-152, ст. 13 ФЗ-323) и потенциально биометрический (ст. 11 ФЗ-152). Применяется наиболее строгий из них. Ошибка большинства клиник: они рассматривают запись как технический инструмент, не относящийся к обработке ПДн. Это неверно: хранение, воспроизведение, анализ записи — всё это обработка по ст. 3 ФЗ-152.

Шаг 2. Проверьте, есть ли основание для обработки голосовых данных

Для обработки специальных категорий ПДн (данные о здоровье) ст. 10 ФЗ-152 допускает ограниченный перечень оснований. Применительно к записи звонков в медицинской организации реально применимы два: письменное согласие пациента или необходимость для оказания медицинской помощи при угрозе жизни без возможности получить согласие. Второе основание для плановых записей входящих звонков не применимо.

Устное уведомление «звонок записывается» не является согласием на обработку ПДн. Оно не содержит обязательных реквизитов согласия по ст. 9 ФЗ-152 и с 01.09.2025 (ФЗ-156 от 24.06.2025) согласие на обработку должно быть оформлено отдельным документом — не встроено в договор, не объединено с информированным добровольным согласием на медицинское вмешательство (ИДС).

Записи звонков уже ведутся, а согласий нет?

Если в клинике хранится архив записей переговоров с пациентами без отдельных согласий на обработку ПДн — это действующее нарушение ч. 2 ст. 13.11 КоАП (штраф 300–700 тыс. ₽). При проверке РКН протокол составляется по каждому выявленному факту. Юристы DATUM проведут аудит обработки ПДн в медицинской организации по чек-листу из 38 пунктов, включая звонковую инфраструктуру, и выдадут план устранения нарушений.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Подготовьте согласие на запись звонка по требованиям ФЗ-156

С 01.09.2025 согласие на обработку персональных данных — это отдельный документ. Нельзя включить его в договор об оказании медицинских услуг, в анкету пациента или объединить с ИДС. Для записи телефонных переговоров это создаёт практическую сложность: пациент звонит до визита, согласие нужно до начала записи.

Решение: двухэтапный процесс. Первый этап — автоматическое голосовое уведомление в начале звонка с предложением продолжить или отключиться (отказ от записи). Второй этап — при первом визите или через личный кабинет МИС пациент подписывает отдельное согласие на обработку голосовых данных с указанием цели (контроль качества, обучение), перечня действий (запись, хранение, воспроизведение), срока хранения и порядка отзыва. До получения подписанного согласия запись звонков с этим пациентом должна быть отключена или данные обезличены сразу после разговора.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025: согласие субъекта должно содержать цель обработки, перечень ПДн, перечень действий, срок действия и порядок отзыва. Оформляется отдельным документом, не совмещается с иными соглашениями.»

Шаг 4. Разграничьте хранение записей и доступ к ним

Записи звонков с медицинским содержанием — спецкатегория данных. К ним применяются требования об уровне защищённости информационной системы персональных данных (ИСПДн) по ПП РФ №1119. Данные о здоровье при числе субъектов до 100 000 требуют не ниже УЗ-3, при превышении — УЗ-2. Это означает конкретные технические меры: шифрование, разграничение доступа, аудит событий, защита от НСД.

Типовые ошибки при хранении архива звонков: хранение на сетевом диске без шифрования, доступ всего персонала регистратуры без разграничения по ролям, отсутствие журнала обращений к файлам записей. Каждое из этих нарушений фиксируется при проверке ФСТЭК или при внутреннем аудите по Приказу ФСТЭК №21. При интеграции с МИС или ЕГИСЗ записи могут автоматически прикрепляться к карте пациента — в этом случае они попадают под требования к защите медицинской информационной системы.

Что подготовить для соответствия ФЗ-152 при записи звонков

  • Отдельное согласие пациента на запись звонка с полными реквизитами по ст. 9 ФЗ-152 (не совмещать с ИДС или договором)
  • Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 с включением голосовых записей в перечень обрабатываемых ПДн
  • Политика обработки ПДн с разделом о голосовых данных: цели, сроки хранения, порядок уничтожения
  • Технические меры защиты архива записей согласно уровню защищённости ИСПДн (УЗ-2 или УЗ-3 по ПП РФ №1119)
  • Регламент реагирования на инцидент: утечка записей = 24 часа на уведомление РКН по ч. 3.1 ст. 21 ФЗ-152

Шаг 5. Обновите уведомление в реестре РКН

Запись звонков с пациентами — самостоятельный вид обработки ПДн, который должен быть отражён в уведомлении оператора по ст. 22 ФЗ-152. Если клиника ранее подавала уведомление без указания голосовых данных — его необходимо актуализировать через pd.rkn.gov.ru. Обработка категорий ПДн, не заявленных в реестре, является нарушением ч. 10 ст. 13.11 КоАП (штраф 100–300 тыс. ₽).

В уведомлении следует указать: цель обработки (контроль качества обслуживания, обучение персонала), категории субъектов (пациенты, их законные представители), перечень ПДн (голосовые записи, включая данные о здоровье, имя, контактный телефон), способы обработки (автоматизированная — запись и хранение на сервере), трансграничная передача (если облачное хранение используется у иностранного провайдера).

Если главный врач получил запрос РКН или уведомление о плановой проверке — важно проверить уведомление в реестре операторов прежде всего. Несоответствие фактической обработки заявленной создаёт отдельный состав нарушения. Юристы DATUM подготовят клинику к проверке РКН за 10 рабочих дней.

Подготовиться к проверке РКН

Шаг 6. Выстройте регламент реагирования на утечку голосовых данных

Утечка архива записей звонков с пациентами — это утечка данных о здоровье, то есть спецкатегории. Такая утечка квалифицируется строже, чем утечка общих ПДн. По ч. 3.1 ст. 21 ФЗ-152 оператор обязан уведомить РКН в течение 24 часов с момента обнаружения, а через 72 часа — направить отчёт о результатах расследования по Приказу РКН №187. Неуведомление — отдельный штраф по ч. 11 ст. 13.11 КоАП от 1 до 3 млн ₽.

В регламенте должны быть закреплены: критерии инцидента (несанкционированный доступ к папке с записями, жалоба пациента на распространение информации, аномальный трафик с сервера хранения), ответственный за уведомление РКН, порядок блокирования доступа к скомпрометированным данным, форма отчёта. При интеграции записей с МИС — инцидент может одновременно затронуть ЕГИСЗ, что требует уведомления ФОМС и Минздрава по отдельным регламентам.

Как это применяется на практике

Кейс 1. Многопрофильная клиника (Сибирский ФО, начало 2026) вела запись входящих звонков в колл-центре. Согласие было встроено в договор об оказании платных медуслуг — одним пунктом о «согласии на обработку ПДн». При внеплановой проверке РКН инспектор квалифицировал это как нарушение ч. 2 ст. 13.11 КоАП: письменное согласие на обработку спецкатегорий отсутствовало, объединение с договором после 01.09.2025 недопустимо. Штраф составил сотни тысяч рублей. Клиника переработала форму согласия и разделила документы. ⚠️ Точный номер дела и сумма — менеджер уточняет при публикации.

Кейс 2. Стоматологическая сеть (Центральный ФО, осень 2025) использовала облачный сервис записи звонков с серверами за рубежом. При аудите выявлено: данные о здоровье пациентов (диагнозы, дата обращения, ФИО врача) передавались иностранному провайдеру без уведомления РКН о трансграничной передаче по ст. 12 ФЗ-152. Дополнительно — нарушение требований локализации (ч. 5 ст. 18 ФЗ-152): первичное хранение должно осуществляться в базах в РФ. Клиника перешла на отечественного провайдера, уведомление в РКН актуализировано. Штраф по ч. 8 ст. 13.11 КоАП за нарушение локализации — от 1 до 6 млн ₽.

Какие сценарии нарушений встречаются у клиник чаще всего?

Сценарий 1: согласие объединено с ИДС. Информированное добровольное согласие на медицинское вмешательство по ст. 20 ФЗ-323 и согласие на обработку ПДн — разные документы с разной правовой природой. До 01.09.2025 многие клиники добавляли в ИДС пункт о согласии на обработку данных. После вступления в силу ФЗ-156 это незаконно. Доказательная позиция РКН при проверке: отдельный документ отсутствует — нарушение зафиксировано. Стратегия: немедленно разделить документы, ввести отдельную форму согласия на обработку голосовых данных для колл-центра.

Сценарий 2: запись хранится дольше заявленного срока. Принцип ст. 5 ФЗ-152: данные хранятся не дольше, чем необходимо для достижения цели. Если в согласии указан срок хранения записей — 3 месяца, а фактически архив не чистится годами, это нарушение. При проверке РКН инспектор запрашивает политику и сверяет с фактическими файлами. Стратегия: настроить автоматическое удаление записей по истечении срока, зафиксировать в регламенте и проверить технически.

Сценарий 3: утечка через подрядчика колл-центра. Если запись ведёт аутсорсинговый колл-центр, он является обработчиком ПДн по поручению клиники (ст. 6 ФЗ-152). Ответственность перед пациентом и РКН несёт оператор — медицинская организация. Договор поручения обработки должен содержать обязательные условия по ст. 6 ФЗ-152: перечень разрешённых действий, требования безопасности, запрет передачи третьим лицам. Отсутствие такого договора при утечке через подрядчика — основание для протокола по ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽) в дополнение к составу по факту утечки.

Услуги DATUM по теме

Частые вопросы

1. Чем отличается ИДС от согласия на обработку ПДн?

Информированное добровольное согласие (ИДС) по ст. 20 ФЗ-323 — это согласие пациента на конкретное медицинское вмешательство. Оно регулирует медицинско-правовые отношения. Согласие на обработку ПДн по ст. 9 ФЗ-152 — отдельный документ, регулирующий информационные права пациента: какие данные собирает клиника, как использует, сколько хранит, кому передаёт. После 01.09.2025 их нельзя объединять в один документ: ФЗ-156 прямо требует оформлять согласие на ПДн отдельно. Нарушение — состав по ч. 2 ст. 13.11 КоАП, штраф 300–700 тыс. ₽.

2. Можно ли публиковать фото «до–после» с согласия пациента?

Фотографии пациента, по которым возможно его идентифицировать, — это биометрические ПДн (ст. 11 ФЗ-152). Публикация фото «до–после» — это обработка ПДн в целях распространения по ст. 10.1 ФЗ-152, которая требует отдельного согласия, прямо указывающего на разрешение распространения. Общего согласия на обработку ПДн для этого недостаточно. Согласие на распространение должно быть подписано отдельно и содержать конкретные площадки размещения (сайт, Instagram, буклет). При отзыве такого согласия пациентом клиника обязана удалить публикации в разумный срок.

3. Кто отвечает за утечку через МИС?

Ответственность несёт оператор ПДн — медицинская организация — вне зависимости от того, произошла ли утечка через собственную инфраструктуру или через МИС, приобретённую у вендора. Если МИС обрабатывает данные по поручению, между клиникой и вендором должен быть договор поручения обработки по ст. 6 ФЗ-152 с требованиями к безопасности. Отсутствие такого договора при утечке — дополнительный состав нарушения. При утечке от 1 000 до 10 000 пациентов штраф по ч. 12 ст. 13.11 КоАП составит 3–5 млн ₽; от 10 000 до 100 000 — 5–10 млн ₽ по ч. 13.

4. Какие данные пациентов обязательно передавать в ЕГИСЗ?

Обязанность передачи сведений в ЕГИСЗ установлена Постановлением Правительства РФ о ГИС в сфере здравоохранения. Передаются: сведения об оказанной медицинской помощи, электронные медицинские документы, данные о застрахованных лицах. Эта передача является обязательной в силу закона и не требует отдельного согласия пациента — она осуществляется на основании п. 2 ч. 2 ст. 10 ФЗ-152 (обработка необходима для исполнения обязанности оператора, предусмотренной законом). Клиника обязана отразить передачу в ЕГИСЗ в политике обработки ПДн.

5. Что грозит клинике за утечку данных пациентов?

Ответственность зависит от масштаба утечки. За утечку от 1 000 до 10 000 субъектов — штраф 3–5 млн ₽ (ч. 12 ст. 13.11 КоАП); от 10 000 до 100 000 — 5–10 млн ₽ (ч. 13); более 100 000 — 10–15 млн ₽ (ч. 14). За утечку медицинских ПДн как спецкатегории дополнительно возможна квалификация по ч. 1 ст. 13.11. При повторной утечке — оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽. Помимо административной ответственности — уголовная по ст. 272.1 УК РФ для сотрудников, виновных в незаконной передаче данных пациентов.

6. За сколько нужно уведомить РКН при утечке голосовых записей пациентов?

Первичное уведомление — в течение 24 часов с момента обнаружения инцидента (ч. 3.1 ст. 21 ФЗ-152, Приказ РКН №187 от 14.11.2022). Через 72 часа — отчёт о результатах внутреннего расследования с описанием причин, масштаба и принятых мер. Срок не восстанавливается. Неуведомление в 24 часа — самостоятельный состав по ч. 11 ст. 13.11 КоАП, штраф 1–3 млн ₽. Голосовые записи с медицинским содержанием — спецкатегория ПДн, что не меняет сроков уведомления, но может влиять на размер штрафа по основному составу.

Итог

Запись телефонного звонка с пациентом — это обработка данных о здоровье, требующая отдельного письменного согласия по ст. 9 и ст. 10 ФЗ-152, хранения по уровню защищённости УЗ-2 или УЗ-3, корректного договора с подрядчиком и обновлённого уведомления в реестре РКН. Использование облачных зарубежных сервисов добавляет требования о локализации и трансграничной передаче. После 01.09.2025 объединение согласия с ИДС или договором прямо запрещено ФЗ-156.

DATUM сопровождает медицинские организации в части соответствия ФЗ-152 с учётом отраслевой специфики: 323-ФЗ, врачебная тайна, МИС, ЕГИСЗ. Мы проводим аудит обработки ПДн пациентов, формируем комплект ОРД, включая согласия под новые требования, и представляем интересы клиник при проверках РКН.

Смотрите также

ОН
Ольга Нечаева
Аналитик · Медицина и образование
Специализация: ПДн в медицине (323-ФЗ × 152-ФЗ), МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, ПДн несовершеннолетних.