инструкция 14 января 2029 По состоянию на 14 января 2029

Право пациента на копию медкарты (323-ФЗ)

Q: Какие данные передавать в ЕГИСЗ и нужно ли согласие?

Передача данных в ЕГИСЗ в целях организации медицинской помощи может осуществляться без согласия пациента на основании ч. 4 ст. 13 323-ФЗ. Однако цель передачи должна быть отражена в политике обработки ПДн клиники по ч. 2 ст. 18.1 ФЗ-152, иначе это нарушение принципа целевой обработки по ст. 5 ФЗ-152.

Пациент вправе получить копию медицинской карты — это прямое право по ст. 22 и 31 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан». Медицинская документация содержит данные о состоянии здоровья — специальную категорию ПДн по ст. 10 ФЗ-152.

С 30.05.2025 за утечку медицинских данных от 10 000 субъектов минимальный штраф составляет 5 млн ₽ (ч. 13 ст. 13.11 КоАП). Если обращение пациента не исполнено в срок — отдельный штраф по ч. 4 ст. 13.11 до 80 000 ₽ за каждый случай.

→ Если вы главный врач: ниже — пошаговый порядок выдачи копии медкарты, правовые основания и типовые ошибки, которые превращают отказ в протокол РКН.

Право пациента на копию медкарты — одна из наиболее конфликтных зон в практике медицинских организаций. Клиника одновременно обязана исполнить запрос по ст. 22 и ст. 31 323-ФЗ, соблюсти режим врачебной тайны по ст. 13 того же закона, выполнить требования ст. 10 ФЗ-152 о спецкатегории ПДн и корректно взаимодействовать с МИС и ЕГИСЗ. Ошибка на любом из этих уровней — основание для жалобы в РКН, прокуратуру или суд. В этой инструкции — последовательность действий для медицинской организации.

Шаг 1. Определите, кто вправе запросить копию медкарты

Право на получение медицинских документов принадлежит пациенту лично. Если пациент недееспособен, несовершеннолетен до 15 лет (до 16 лет — для наркологии) или умер, документы вправе получить законный представитель либо, после смерти, — супруг, дети, родители или другие наследники по ст. 13 323-ФЗ. Третьим лицам — только при наличии нотариально удостоверенной доверенности или оформленного согласия пациента в рамках ст. 9 ФЗ-152.

«Ст. 22 323-ФЗ закрепляет право пациента на получение информации о состоянии здоровья, включая документацию. Ст. 31 323-ФЗ уточняет право на копии медицинских документов, относящихся к состоянию здоровья пациента.»

Практическая ошибка: выдать копию по устной просьбе родственника пациента без доверенности или без его письменного согласия. Такая выдача нарушает врачебную тайну по ст. 13 323-ФЗ и создаёт основание для привлечения клиники по ч. 1 ст. 13.11 КоАП — обработка ПДн без законного основания.

Шаг 2. Примите запрос и зафиксируйте дату обращения

Запрос принимается в письменной форме. В медицинской организации должен быть утверждён регламент приёма обращений субъектов ПДн — это требование ст. 18.1 ФЗ-152 и ст. 22.1 ФЗ-152 о назначении ответственного за обработку ПДн. Дата приёма запроса — точка отсчёта для соблюдения срока ответа.

«Ст. 20 ФЗ-152 устанавливает срок предоставления информации субъекту — 10 рабочих дней с даты обращения. При необходимости срок может быть продлён ещё на 5 рабочих дней с уведомлением субъекта.»

Регистрируйте каждое обращение в журнале учёта — это ключевое доказательство для РКН при проверке. Отсутствие журнала — самостоятельный индикатор риска при плановой проверке Роскомнадзора.

МИС выдаёт копии без регламента или журнала учёта?

Если в клинике нет утверждённого порядка работы с обращениями пациентов как субъектов ПДн, каждый запрос — потенциальный повод для протокола по ч. 4 или ч. 5 ст. 13.11 КоАП. Срок на ответ — 10 рабочих дней, и он не восстанавливается. Юристы DATUM проведут аудит обработки ПДн в медицинской организации: проверят МИС, согласия пациентов, политику и ОРД по чек-листу из 38 пунктов, выдадут приоритизированный план устранения нарушений.

Заказать аудит 152-ФЗ

+7 (383) 310-38-76 · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Шаг 3. Проверьте согласие пациента на обработку спецкатегорий ПДн

Медицинская карта содержит данные о состоянии здоровья — специальную категорию ПДн по ст. 10 ФЗ-152. Для обработки таких данных требуется отдельное письменное согласие по п. 4 ч. 2 ст. 10 ФЗ-152 либо иное из перечисленных в законе оснований (например, оказание медицинской помощи по ст. 13 323-ФЗ, когда согласие в рамках 152-ФЗ не требуется).

С 01.09.2025 вступили в силу изменения ФЗ-156 от 24.06.2025: согласие на обработку ПДн оформляется отдельным документом и не объединяется с информированным добровольным согласием (ИДС) или договором на медицинские услуги. Это означает, что клиники, использующие комбинированные бланки «ИДС + согласие на ПДн», должны были разделить их до 01.09.2025. Ранее полученные согласия обратной силы не имеют — переоформлять их не требуется, но новые пациенты должны подписывать раздельные документы.

«Ст. 10 ФЗ-152 запрещает обработку данных о состоянии здоровья без явного законного основания. Ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156) требует оформления согласия на обработку ПДн отдельным документом.»

Шаг 4. Подготовьте копию с соблюдением режима врачебной тайны

Копия медкарты предоставляется в объёме, охватывающем медицинские вмешательства, проводившиеся в данной организации. Передавать сведения о третьих лицах, которые могут содержаться в медкарте (например, данные о донорах, контактных лицах или результаты анализов, связанных с иными субъектами), без их согласия недопустимо — это нарушение врачебной тайны по ст. 13 323-ФЗ.

Если МИС формирует выгрузку автоматически, убедитесь, что в выгрузку не попадают данные других пациентов. Известны случаи, когда ошибка в логике МИС приводила к тому, что пациент получал фрагменты карт других лиц — это квалифицируется как утечка спецкатегорийных ПДн.

Что подготовить перед выдачей копии медкарты

Письменное заявление пациента (или доверенность / согласие на представителя) с датой приёма в журнале обращений
Актуальное согласие на обработку ПДн в формате отдельного документа (по ФЗ-156, с 01.09.2025)
Проверка выгрузки из МИС: в копию не попали данные третьих лиц
Отметка о выдаче копии в журнале учёта обращений субъектов ПДн
Документ о передаче (расписка или уведомление о направлении почтой / через ЕГИСЗ)

Шаг 5. Выдайте копию в установленный срок

Закон не устанавливает единый унифицированный срок выдачи именно копии медкарты в рамках 323-ФЗ — на практике применяется срок ответа субъекту ПДн по ст. 20 ФЗ-152: 10 рабочих дней с даты обращения, с возможностью продления на 5 рабочих дней при уведомлении пациента. Ряд регионов и ведомственных актов устанавливает более короткие сроки — уточняйте применительно к своей лицензии и типу организации.

Способы передачи: лично под роспись, по почте с уведомлением, через личный кабинет МИС (при наличии технической возможности и идентификации пациента), через защищённые каналы ЕГИСЗ. Передача по обычной электронной почте без шифрования — нарушение требований к техническим мерам защиты по ст. 19 ФЗ-152 и Приказу ФСТЭК № 21 от 18.02.2013.

Если главный врач уже получил предписание РКН или жалобу от пациента — срок на устранение нарушений исчисляется с момента вручения. Юристы DATUM подготовят клинику к сопровождению проверки: представят интересы в РКН, оспорят предписание при необходимости.

Подготовиться к проверке РКН

Как применяются эти правила на практике — типовые сценарии

Сценарий 1. Отказ в выдаче по мотиву врачебной тайны. Клиника отказала пациенту в выдаче копии медкарты, сославшись на то, что документация составляет врачебную тайну. Пациент направил жалобу в РКН. Однако ст. 13 323-ФЗ прямо предусматривает, что врачебная тайна не является основанием для отказа самому пациенту — напротив, ст. 22 и ст. 31 323-ФЗ гарантируют ему право на информацию. РКН возбудил дело по ч. 5 ст. 13.11 КоАП (невыполнение требования субъекта об уточнении или предоставлении ПДн в установленный срок). Стратегия: выдавать копию в срок и фиксировать факт выдачи документально.

Сценарий 2. Утечка через МИС — кто отвечает. В медицинской организации (Сибирский ФО, весна 2025) подрядчик, обслуживавший МИС, скопировал базу пациентов без ведома клиники. РКН установил, что между клиникой и подрядчиком не было заключено поручение на обработку ПДн по п. 3 ст. 6 ФЗ-152 и не были согласованы меры защиты. Штраф был предъявлен клинике как оператору — по принципу ответственности оператора за действия подрядчика. Итог: штраф в сотни тысяч рублей по ч. 1 ст. 13.11 КоАП. Стратегия: заключать поручение обработки ПДн со всеми вендорами МИС и прописывать требования к защите данных. ⚠️ Конкретный номер дела и точная сумма — менеджер уточняет при публикации.

Сценарий 3. Передача данных в ЕГИСЗ без законного основания. Клиника передавала медицинские данные в ЕГИСЗ в рамках интеграции МИС, не уведомив пациентов об этой цели обработки. Проверка РКН выявила, что согласие на обработку ПДн не содержало цели «передача в ЕГИСЗ». Это нарушение принципа ст. 5 ФЗ-152 об обработке только в рамках заявленных целей. Стратегия: включить передачу в ЕГИСЗ как отдельную цель обработки в согласие и политику конфиденциальности.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка МИС, согласий пациентов и ОРД медицинской организации
Комплект ОРД под ключ — политика, согласия по ФЗ-156, приказы и журналы для клиники
Сопровождение проверок РКН — представление интересов медицинской организации при проверке

Частые вопросы

1. Чем отличается ИДС от согласия на ПДн?

Информированное добровольное согласие (ИДС) — это документ по ст. 20 323-ФЗ, подтверждающий право пациента на медицинское вмешательство. Согласие на обработку ПДн — документ по ст. 9 ФЗ-152, дающий клинике право обрабатывать персональные данные. С 01.09.2025 по ФЗ-156 от 24.06.2025 согласие на ПДн оформляется только отдельным документом — его нельзя включить в ИДС, договор или карту пациента. Оба документа обязательны, но преследуют разные правовые цели.

2. Можно ли публиковать фото «до-после» с согласия пациента?

Публикация фотографий пациента, на которых видны состояние здоровья или результаты лечения, — это обработка биометрических ПДн (изображение лица) и спецкатегорийных ПДн одновременно. Требуется отдельное согласие на распространение ПДн по ст. 10.1 ФЗ-152, причём с явным указанием цели (публикация в интернете, в рекламных материалах) и возможности отзыва. Молчание пациента или его пассивное поведение не считается согласием на распространение — дефолт по ст. 10.1 ФЗ-152 запрещает обработку в пользу неограниченного круга лиц.

3. Кто отвечает за утечку через МИС — клиника или вендор?

Клиника как оператор ПДн по ст. 3 ФЗ-152 несёт ответственность перед РКН и субъектами вне зависимости от того, кто технически допустил утечку. Вендор МИС — обработчик по поручению (п. 3 ст. 6 ФЗ-152). Договор поручения обработки ПДн обязателен: без него клиника лишается возможности переложить ответственность на подрядчика. С вендора можно взыскать убытки в порядке регресса, но штраф по ст. 13.11 КоАП будет предъявлен оператору.

4. Какие данные передавать в ЕГИСЗ и нужно ли согласие?

Перечень данных, передаваемых в ЕГИСЗ, определён нормативными актами Минздрава в рамках государственной информационной системы. Передача данных в государственные информационные системы в целях организации медицинской помощи может осуществляться без согласия пациента на основании ч. 4 ст. 13 323-ФЗ (передача сведений в целях контроля качества медицинской помощи). Однако цель передачи должна быть отражена в политике обработки ПДн клиники по ч. 2 ст. 18.1 ФЗ-152, иначе это нарушение принципа целевой обработки по ст. 5 ФЗ-152.

5. Что грозит клинике за утечку данных пациентов?

Данные о состоянии здоровья — спецкатегория по ст. 10 ФЗ-152. За утечку от 1 000 до 10 000 субъектов штраф составляет 3–5 млн ₽ (ч. 12 ст. 13.11 КоАП в редакции с 30.05.2025), от 10 000 до 100 000 субъектов — 5–10 млн ₽ (ч. 13), свыше 100 000 субъектов — 10–15 млн ₽ (ч. 14). При повторной утечке — оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. Дополнительно возможна уголовная ответственность по ст. 272.1 УК РФ (действует с 11.12.2024) — до 10 лет лишения свободы при тяжких последствиях.

6. Обязана ли клиника хранить копию выданной медкарты и сколько?

Клиника хранит подлинник медицинской документации согласно срокам, установленным Приказом Минздрава (для амбулаторной карты — не менее 25 лет, для ряда документов — 75 лет). Факт выдачи копии фиксируется в журнале учёта обращений субъектов ПДн. Сама копия пациенту выдаётся, и клиника не обязана хранить её отдельно — достаточно записи в журнале с указанием даты, заявителя и объёма переданных документов.

Итог

Право пациента на копию медкарты — это пересечение трёх правовых режимов: права на информацию по 323-ФЗ, режима спецкатегорийных ПДн по ст. 10 ФЗ-152 и требований к согласию в редакции с 01.09.2025 по ФЗ-156. Ошибка на любом из этих уровней — от неправильно оформленного согласия до отсутствия договора поручения с вендором МИС — создаёт основание для административной или уголовной ответственности.

Практика DATUM по медицинскому сектору охватывает аудиты МИС, согласий пациентов и ОРД, подготовку к проверкам РКН и сопровождение клиник при инцидентах с ПДн.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, обработка ПДн несовершеннолетних.