инструкция 14 января 2029 По состоянию на 14 января 2029

ПДн в чат-боте записи к врачу

Чат-бот записи к врачу обрабатывает специальные категории персональных данных по ст. 10 ФЗ-152 — данные о здоровье пациента. Это наиболее защищённая категория: общий режим согласия не работает.

За утечку медицинских ПДн от 1 000 субъектов клиника платит от 3 до 15 млн ₽ по ч. 12–14 ст. 13.11 КоАП. Повторная утечка — оборотный штраф до 500 млн ₽ по ч. 15. Уголовная ответственность по ст. 272.1 УК действует с 11.12.2024.

Если вы главный врач и в клинике работает чат-бот или телемедицинский сервис — проверьте: получено ли отдельное согласие на обработку медицинских ПДн и зарегистрированы ли вы в реестре операторов РКН.

Чат-боты для записи к врачу собирают имя, дату рождения, телефон, жалобу, иногда диагноз и результаты анализов. Всё это — персональные данные, а сведения о здоровье — специальная категория по ст. 10 ФЗ-152. С 30.05.2025 действует новая редакция ст. 13.11 КоАП (ФЗ-420 от 30.11.2024): штрафы за нарушения выросли в разы. Ниже — пошаговая инструкция: как организовать обработку ПДн в чат-боте законно, что оформить до запуска и как реагировать на инцидент.

Шаг 1. Определите, какие данные обрабатывает чат-бот

Перечень данных, которые собирает чат-бот, нужно зафиксировать до запуска. Именно этот перечень войдёт в уведомление РКН и в согласие пациента. Типовой состав для бота записи к врачу:

ФИО, дата рождения, пол — общие ПДн;
номер телефона, адрес электронной почты — контактные данные;
жалоба при записи («болит спина», «нужна консультация кардиолога») — сведения о здоровье, специальная категория по ст. 10 ФЗ-152;
страховой полис ОМС/ДМС — идентификатор, связанный с медицинской помощью;
история обращений, диагнозы — специальная категория.

Если чат-бот передаёт данные в МИС или ЕГИСЗ — это отдельное действие по обработке, которое нужно отразить в политике и согласии. Специальные категории требуют явного письменного согласия пациента по п. 4 ч. 2 ст. 10 ФЗ-152. Стандартного клика «Принять» недостаточно.

«Ст. 10 ФЗ-152 — обработка специальных категорий ПДн (сведения о здоровье) допустима только при наличии явного согласия субъекта или в исключительных случаях, предусмотренных законом. Без согласия — обработка запрещена.»

Шаг 2. Оформите согласие пациента на обработку ПДн

С 01.09.2025 согласие на обработку ПДн — отдельный документ, не объединяемый с договором, офертой или информированным добровольным согласием (ИДС). Это требование ФЗ-156 от 24.06.2025. В согласии должны быть:

ФИО пациента и контактные данные;
наименование оператора (клиника);
цель обработки: «запись на приём и оказание медицинской помощи»;
перечень обрабатываемых данных с указанием специальных категорий;
перечень действий: сбор, запись, хранение, передача в МИС, ЕГИСЗ, страховым организациям;
срок действия согласия;
способ отзыва.

Если чат-бот работает через мессенджер (Telegram, WhatsApp), согласие нельзя получить простой кнопкой «Начать». Нужна форма с реквизитами или ссылка на подписанный документ. Для несовершеннолетних — согласие законного представителя.

«Ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156) — согласие оформляется отдельным документом. Объединение с другими документами не допускается.»

Согласие пациента не соответствует требованиям с 01.09.2025?

Если чат-бот запущен до введения требований ФЗ-156, а согласие встроено в договор или на сайте — это нарушение ч. 2 ст. 13.11 КоАП, штраф 300 000 — 700 000 ₽. Юристы DATUM разработают комплект согласий под требования медорганизации и проведут аудит обработки ПДн пациентов.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Разграничьте ИДС и согласие на ПДн

Информированное добровольное согласие (ИДС) по ст. 20 ФЗ-323 «Об основах охраны здоровья граждан» — это медицинский документ о согласии на вмешательство. Он не заменяет согласие на обработку ПДн. Это два разных документа с разными правовыми основаниями.

ИДС — согласие пациента на конкретное медицинское вмешательство по ст. 20 ФЗ-323. Регулируется Минздравом.
Согласие на ПДн — разрешение на сбор, хранение и использование персональных данных по ст. 9 ФЗ-152. Регулируется Роскомнадзором.

На практике клиники нередко объединяют оба документа. После 01.09.2025 это прямое нарушение: согласие на ПДн должно быть отдельным. Чат-бот, который получает ИДС в электронном виде и одновременно собирает ПДн, обязан разделить эти согласия в интерфейсе.

Врачебная тайна по ст. 13 ФЗ-323 дополнительно ограничивает передачу медицинских сведений третьим лицам. Передача данных из чат-бота в маркетинговые системы или CRM-аналитику без отдельного основания нарушает и врачебную тайну, и ст. 10 ФЗ-152.

Шаг 4. Настройте передачу данных в МИС и ЕГИСЗ

Если чат-бот интегрирован с медицинской информационной системой (МИС) или передаёт данные в ЕГИСЗ, это отдельный процесс обработки. Требования:

передача в МИС — поручение обработки по п. 3 ст. 6 ФЗ-152; нужен договор с МИС-оператором с условиями обработки;
передача в ЕГИСЗ — основание по ФЗ-323 и нормативным актам Минздрава; пациент должен быть уведомлён в согласии на ПДн;
локализация: запись, хранение и обработка ПДн граждан РФ — только на серверах в РФ (ч. 5 ст. 18 ФЗ-152). Если чат-бот работает на иностранной платформе (Telegram Bot API с серверами за рубежом), передача данных через неё формально требует уведомления РКН о трансграничной передаче.

«Ч. 5 ст. 18 ФЗ-152 — запись, систематизация, накопление, хранение ПДн граждан РФ осуществляются с использованием баз данных, расположенных на территории России. Нарушение — штраф 1–6 млн ₽ по ч. 8 ст. 13.11 КоАП.»

Что подготовить до запуска чат-бота

Уведомление РКН о намерении обрабатывать ПДн (ст. 22 ФЗ-152) с указанием чат-бота как канала сбора данных.
Отдельное согласие на обработку ПДн с перечнем специальных категорий и передачей в МИС/ЕГИСЗ.
Договор-поручение с разработчиком или оператором чат-бота (ст. 6 ФЗ-152).
Политика обработки ПДн, опубликованная на сайте клиники (ч. 2 ст. 18.1 ФЗ-152).
Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152.

Шаг 5. Определите уровень защищённости и технические меры

Медицинские ПДн — специальная категория по ст. 10 ФЗ-152. Это автоматически повышает требования к уровню защищённости информационной системы по ПП РФ №1119. Минимальный уровень для клиники с базой пациентов до 100 000 человек и угрозами второго типа — УЗ-3. При угрозах первого типа или более 100 000 субъектов — УЗ-2 или УЗ-1.

УЗ-3 требует организационных мер (приказы, регламенты, инструктажи) и базового технического набора по Приказу ФСТЭК №21: антивирус, межсетевой экран, управление доступом, резервное копирование.
Чат-бот как точка входа должен передавать данные только по защищённому каналу (TLS 1.2+).
Доступ к данным пациентов из чат-бота — только у авторизованных сотрудников с журналом обращений.
Хранение данных чат-бота — в базе на российских серверах, не в облаке иностранного провайдера.

Если чат-бот разработан внешним подрядчиком, ответственность за обработку ПДн остаётся у клиники. Подрядчик действует по поручению оператора, что закрепляется договором. При утечке через подрядчика административная и уголовная ответственность — на операторе.

Как реагировать на утечку данных из чат-бота?

При обнаружении инцидента с ПДн пациентов у клиники есть два жёстких срока по ч. 3.1 ст. 21 ФЗ-152 и Приказу РКН №187 от 14.11.2022:

24 часа — первичное уведомление РКН с описанием факта инцидента, предполагаемого объёма затронутых субъектов и предпринятых мер;
72 часа — отчёт о результатах внутреннего расследования: причины, масштаб, меры устранения.

Срок исчисляется с момента обнаружения, не с момента подтверждения. Неуведомление — штраф 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП. Утечка медицинских данных от 1 000 субъектов — дополнительно 3–5 млн ₽ по ч. 12. При утечке биометрических данных (если чат-бот собирает фото для телемедицины) — до 20 млн ₽ по ч. 17 ст. 13.11.

Если в клинике произошёл инцидент с данными пациентов через чат-бот или МИС — у вас 24 часа до первого обязательного уведомления РКН. Срок не восстанавливается. Юристы DATUM возьмут реагирование под ключ: первичное уведомление, координация расследования, отчёт за 72 часа.

Реагировать на утечку

Типовые ситуации: где клиники допускают нарушения

Ситуация 1. Чат-бот в Telegram собирает жалобы пациентов для записи. Согласие — только галочка «Принять политику конфиденциальности» при первом сообщении. После 01.09.2025 такое согласие не соответствует требованиям ст. 9 ФЗ-152: нет отдельного документа, нет перечня специальных категорий, нет указания на передачу данных в МИС. Риск: штраф по ч. 2 ст. 13.11 КоАП — 300 000–700 000 ₽ за каждый факт обработки без надлежащего согласия.

Ситуация 2. Разработчик чат-бота хранит данные пациентов на арендованном облачном сервере в Германии. Клиника не заключала договор-поручение и не уведомляла РКН о трансграничной передаче. Нарушение ч. 5 ст. 18 ФЗ-152 (локализация) и ст. 12 ФЗ-152 (трансграничная передача без уведомления). Штраф за нарушение локализации — 1–6 млн ₽ по ч. 8 ст. 13.11 КоАП. При повторном нарушении — 6–18 млн ₽ по ч. 9.

Ситуация 3. Хакеры получили доступ к базе данных чат-бота и опубликовали сведения о 15 000 пациентов. Клиника не уведомила РКН в течение 24 часов — обнаружила инцидент через 3 дня. Квалификация: ч. 11 ст. 13.11 (неуведомление, штраф 1–3 млн ₽) + ч. 13 (утечка 10 000–100 000 субъектов, штраф 5–10 млн ₽). Итого — до 13 млн ₽. Если данные содержали сведения о диагнозах — возможна ч. 17 (биометрия не применима, но специальная категория учитывается при квалификации). Параллельно — проверка по ст. 13 ФЗ-323 (врачебная тайна) прокуратурой.

Практика. В деле частной многопрофильной клиники (Приволжский ФО, осень 2025) главный врач запустил чат-бот для записи без уведомления РКН и без отдельного согласия на специальные категории ПДн. При плановой проверке РКН выявил оба нарушения. Штраф по ч. 10 ст. 13.11 (неуведомление о намерении обрабатывать) — в диапазоне 100 000–300 000 ₽; штраф по ч. 2 (обработка без надлежащего согласия) — 300 000–700 000 ₽. Суммарно — более 400 000 ₽. После сопровождения юристами клиника получила рассрочку по ст. 32.2 КоАП и устранила нарушения. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Верифицированный кейс. Арбитражный суд Москвы в деле № А40-263126/2025 рассматривал утечку 26 миллионов записей. Штраф составил 150 000 ₽ — минимальный по ст. 13.11, поскольку утечка произошла до 01.06.2025 и применялась старая редакция нормы. После 30.05.2025 аналогичная ситуация квалифицировалась бы по ч. 14 ст. 13.11 с штрафом 10–15 млн ₽. Медицинские организации, откладывающие приведение чат-ботов в соответствие, работают по новым правилам уже сейчас.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка чат-бота, согласий, МИС и ЕГИСЗ по чек-листу из 38 пунктов.
Комплект ОРД под ключ — политика, согласия пациентов, договоры-поручения, приказы и журналы.
Сопровождение проверок РКН — подготовка к проверке, представление интересов клиники, обжалование предписаний.

Частые вопросы

1. Чем отличается ИДС от согласия на ПДн?

ИДС — информированное добровольное согласие по ст. 20 ФЗ-323 «Об основах охраны здоровья граждан» — это медицинский документ, в котором пациент разрешает конкретное вмешательство. Согласие на ПДн по ст. 9 ФЗ-152 — самостоятельный документ, в котором пациент разрешает сбор и обработку его персональных данных оператором. С 01.09.2025 объединять эти документы запрещено: согласие на ПДн оформляется отдельно, с собственными реквизитами и перечнем действий.

2. Можно ли публиковать фото до-после с согласия пациента?

Публикация требует отдельного согласия на распространение ПДн по ст. 10.1 ФЗ-152. Стандартное согласие на обработку для оказания медпомощи не охватывает распространение. Согласие на распространение должно прямо называть каналы (сайт клиники, Instagram и т. д.) и допустимые действия. Молчание или отсутствие отзыва не означает разрешения: по умолчанию данные обрабатываются только для оператора.

3. Кто отвечает за утечку через МИС?

Административную ответственность несёт оператор ПДн — медицинская организация, которая решила использовать МИС и заключила договор-поручение. Поставщик МИС действует как обработчик по поручению. Если в договоре с МИС не прописаны обязательства по безопасности, клиника не сможет переложить ответственность. Уголовная ответственность по ст. 272.1 УК (с 11.12.2024) может возникнуть как у сотрудников клиники, так и у сотрудников МИС-разработчика — зависит от обстоятельств инцидента.

4. Какие данные передавать в ЕГИСЗ?

Состав сведений для ЕГИСЗ определяется нормативными актами Минздрава и Постановлением Правительства, регулирующим информационную систему. Как правило, это данные о факте обращения, поставленном диагнозе (МКБ), оказанных услугах и назначенном лечении. Пациент должен быть уведомлён о передаче в ЕГИСЗ в согласии на ПДн. Передача осуществляется по защищённому каналу; разграничение доступа — по ролям согласно требованиям оператора ЕГИСЗ.

5. Что грозит клинике за утечку данных пациентов?

Санкции зависят от масштаба. Утечка 1 000–10 000 субъектов — штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП. Утечка 10 000–100 000 субъектов — 5–10 млн ₽ по ч. 13. Более 100 000 — 10–15 млн ₽ по ч. 14. При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. Параллельно — проверка прокуратуры по ст. 13 ФЗ-323 (врачебная тайна) и возможное возбуждение дела по ст. 272.1 УК, предусматривающей до 10 лет лишения свободы.

6. Нужно ли уведомлять РКН, если чат-бот только записывает на приём?

Да. Сбор имени, телефона и жалобы при записи — уже обработка ПДн. Медицинская организация обязана уведомить РКН о намерении осуществлять обработку до начала работы чат-бота (ст. 22 ФЗ-152). Отсутствие уведомления — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП. Уведомление подаётся через портал pd.rkn.gov.ru с использованием УКЭП или через ЕСИА.

Итог

Чат-бот записи к врачу — это информационная система, обрабатывающая специальные категории ПДн. Запустить его без уведомления РКН, без отдельного согласия и без договора-поручения с разработчиком — значит создать три самостоятельных состава для штрафа. После 30.05.2025 суммарные санкции за типовой набор нарушений в медицинской организации превышают 1 млн ₽ при первичном выявлении.

DATUM сопровождает медицинские организации в приведении чат-ботов, МИС и телемедицинских сервисов в соответствие с 152-ФЗ и ФЗ-323. Разрабатываем согласия пациентов с учётом требований с 01.09.2025, готовим договоры-поручения с разработчиками, представляем клиники при проверках РКН.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, обработка ПДн несовершеннолетних.