Перейти к содержанию
инструкция 11 февраля 2029 года По состоянию на 11 февраля 2029 года

Шаблон согласия пациента на телемедицину

Согласие пациента на телемедицину — это два отдельных документа: информированное добровольное согласие по ст. 20 и ст. 36.2 323-ФЗ и согласие на обработку персональных данных-спецкатегории по ст. 9 и ст. 10 152-ФЗ.
С 01.09.2025 согласие на обработку ПДн не объединяется с другими документами (ФЗ-156 от 24.06.2025). Утечка медицинских данных через МИС — штраф по ч. 12–14 ст. 13.11 КоАП от 3 до 15 млн ₽.
→ Если в вашей клинике согласия пациентов вшиты в амбулаторную карту или договор — каждый такой документ создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽.

Телемедицина создаёт двойной правовой риск для медицинской организации: нарушения одновременно подпадают под 323-ФЗ (отсутствие ИДС) и под 152-ФЗ (незаконная обработка спецкатегории ПДн). В этой инструкции — шаблон согласия с разбором обязательных реквизитов, типовые ошибки и алгоритм действий при проверке Роскомнадзора.

Шаг 1. Разграничьте ИДС и согласие на обработку ПДн: в чём принципиальная разница?

Информированное добровольное согласие (ИДС) и согласие на обработку персональных данных — разные правовые инструменты с разными основаниями, реквизитами и последствиями нарушений. Объединять их в одном документе с 01.09.2025 прямо запрещено ФЗ-156.

«Ст. 20 и ст. 36.2 323-ФЗ — ИДС: информирование о методе, рисках, альтернативах, подпись пациента. Ст. 9 152-ФЗ в редакции ФЗ-156 (с 01.09.2025) — согласие на обработку ПДн: отдельный документ, обязательные реквизиты, право отзыва. Ст. 10 152-ФЗ — медицинские данные относятся к спецкатегории: обработка по общему правилу запрещена, кроме случаев п. 2 той же статьи.»

При телемедицинской консультации врач работает с медицинскими данными пациента дистанционно. Это означает: передача данных через МИС, хранение в ЕГИСЗ, возможная трансграничная передача при использовании иностранных видеоплатформ. Каждое из этих действий требует собственного правового основания.

Ключевое разграничение для главного врача: ИДС подписывается на конкретную медицинскую манипуляцию или формат оказания помощи, согласие на обработку ПДн — на конкретные цели, перечень данных и действия с ними. Одна подпись не закрывает оба документа.

Пациент подписывает один документ вместо двух?

Если в клинике действует единая форма «согласие на лечение + обработку данных», она недействительна с 01.09.2025 по ФЗ-156. Каждый такой документ — основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽. Юристы DATUM соберут раздельный пакет согласий по новым требованиям и проведут аудит всей ОРД медицинской организации.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Шаг 2. Заполните шаблон согласия на обработку ПДн для телемедицины: обязательные реквизиты

Согласие на обработку персональных данных пациента при телемедицинской консультации должно содержать все реквизиты, установленные ст. 9 152-ФЗ. Ниже — структура документа с пояснениями по каждому разделу.

Раздел 1. Стороны. Полное наименование медицинской организации (оператора ПДн), ОГРН, юридический адрес. ФИО пациента (субъекта ПДн), дата рождения, паспортные данные или СНИЛС, контактный телефон и email. Если пациент — несовершеннолетний до 14 лет: данные законного представителя, реквизиты документа, подтверждающего полномочия.

Раздел 2. Цели обработки. Перечислить конкретно: оказание телемедицинской консультации по ст. 36.2 323-ФЗ, ведение медицинской документации, передача сведений в ЕГИСЗ в соответствии с требованиями Минздрава, организация дистанционного взаимодействия врача и пациента через информационные системы.

Раздел 3. Перечень обрабатываемых данных. Для телемедицины к общим категориям ПДн добавляются спецкатегории по ст. 10 152-ФЗ: диагноз, анамнез, результаты исследований, сведения о назначенном лечении, фото- и видеоматериалы консультации (при записи сеанса), данные медицинских устройств (если пациент использует носимые гаджеты с передачей показателей).

Раздел 4. Действия с данными. Сбор, запись, систематизация, хранение, уточнение (обновление), извлечение, использование, передача в ЕГИСЗ и Минздрав, обезличивание (если предусмотрено), блокирование, уничтожение. Если видеозапись консультации не ведётся — указать прямо: «видеозапись не осуществляется».

Раздел 5. Передача третьим лицам. Если МИС предоставляет вендор на условиях SaaS — укажите наименование вендора как лица, осуществляющего обработку по поручению (п. 3 ст. 6 152-ФЗ). Если используется иностранная видеоплатформа — трансграничная передача по ст. 12 152-ФЗ требует отдельного уведомления РКН до начала передачи.

Раздел 6. Срок действия и порядок отзыва. Срок: на период оказания медицинской помощи и хранения медицинской документации согласно требованиям 323-ФЗ. Порядок отзыва: письменное заявление в адрес медицинской организации; после отзыва оператор обязан прекратить обработку и уничтожить данные, если иное не предусмотрено законом. Медицинская документация хранится по срокам 323-ФЗ независимо от отзыва согласия.

Раздел 7. Подпись пациента. Дата, собственноручная подпись (или усиленная квалифицированная электронная подпись при дистанционном подписании). При дистанционном формировании согласия — укажите способ верификации личности пациента (ЕСИА, СНИЛС + код подтверждения).

Что подготовить для телемедицинской практики

  • Два отдельных документа: ИДС по ст. 20, 36.2 323-ФЗ и согласие на обработку ПДн по ст. 9 152-ФЗ (редакция ФЗ-156)
  • Договор-поручение с вендором МИС — наименование, перечень действий, обязательства по защите (п. 3 ст. 6 152-ФЗ)
  • Уведомление РКН о трансграничной передаче — если видеоплатформа зарегистрирована за рубежом (ст. 12 152-ФЗ)
  • Политика обработки ПДн с разделом о медицинских данных, опубликованная на сайте (ст. 18.1 152-ФЗ)
  • Приказ о назначении ответственного за обработку ПДн и регламент реагирования на утечки (ст. 22.1 152-ФЗ, Приказ РКН №187)

Шаг 3. Проверьте интеграцию МИС и ЕГИСЗ: какие данные передавать законно?

Медицинская информационная система и ЕГИСЗ — две точки, где чаще всего возникают нарушения при телемедицине. МИС хранит первичные данные пациента; ЕГИСЗ получает сведения в формате HL7 FHIR или через шлюз Минздрава.

Передача данных в ЕГИСЗ основана не на согласии пациента, а на прямой норме закона — требованиях Минздрава по ведению федерального регистра. Это означает: отдельное согласие на передачу в ЕГИСЗ технически не требуется, однако пациент вправе знать о факте передачи. Укажите ЕГИСЗ в разделе 5 согласия как сведение, а не как основание.

Для вендора МИС — договор на обработку по поручению обязателен независимо от того, работает ли система в облаке или on-premise. Если сервер вендора физически расположен за рубежом — это нарушение ч. 5 ст. 18 152-ФЗ о локализации: хранение данных граждан РФ только в базах на территории РФ. Штраф по ч. 8 ст. 13.11 КоАП — от 1 до 6 млн ₽.

«Ч. 5 ст. 18 152-ФЗ — запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан РФ осуществляются только в базах данных, расположенных на территории РФ. Ч. 8 ст. 13.11 КоАП — нарушение локализации: штраф для юрлица 1–6 млн ₽. Ч. 9 ст. 13.11 — повторное нарушение: 6–18 млн ₽.»

Данные, которые законно передаются в ЕГИСЗ: сведения об обращениях, диагнозах (МКБ-коды), назначениях, выданных листках нетрудоспособности, сведения о прикреплении к медицинской организации. Данные, которые в ЕГИСЗ не передаются без специального основания: видеозаписи консультаций, результаты генетических исследований, психиатрические диагнозы (регулируются отдельными нормами).

Если вендор МИС хранит данные пациентов на зарубежном сервере — это нарушение локализации с штрафом до 6 млн ₽. Юристы DATUM проверят договор с вендором и помогут устранить нарушение до проверки РКН.

Подготовиться к проверке РКН

Шаг 4. Определите уровень защищённости ИСПДн клиники и технические меры по УЗ

Медицинские данные относятся к спецкатегории ПДн по ст. 10 152-ФЗ. Это автоматически повышает минимальный уровень защищённости информационной системы персональных данных (ИСПДн) клиники.

По ПП РФ №1119, уровень защищённости определяется пересечением трёх параметров: тип угроз (1–3), категория данных (общие / специальные / биометрические), число субъектов. Для медицинской организации с данными пациентов при типе угроз 3 и числе субъектов менее 100 000 — минимум УЗ-3. При угрозах 2-го типа или числе субъектов свыше 100 000 — УЗ-2.

УЗ-3 требует: разграничение прав доступа к МИС, протоколирование действий пользователей, антивирусная защита, межсетевое экранирование. УЗ-2 добавляет: обнаружение вторжений (СОВ), анализ защищённости, более строгие требования к аутентификации. Конкретный набор мер — в Приказе ФСТЭК №21.

Типовая проблема: клиника не провела классификацию ИСПДн, не определила уровень угроз, не зафиксировала результат в акте. При проверке РКН отсутствие акта классификации — один из первых вопросов инспектора.

Как это применяется на практике

Кейс 1. Медицинский центр (Сибирский ФО, осень 2025) использовал единый документ «Договор + согласие на обработку данных + ИДС» для телемедицинских пациентов. После проверки РКН, инициированной жалобой пациента, регулятор квалифицировал отсутствие отдельного согласия по ч. 2 ст. 13.11 КоАП. Медцентр получил штраф в диапазоне нескольких сотен тысяч рублей. Переработка документации под новые требования заняла три недели; оспорить штраф не удалось, поскольку нарушение было зафиксировано до 01.09.2025 и относилось к старой редакции — применение ст. 4.1.1 КоАП для замены на предупреждение суд отклонил ввиду наличия вреда субъекту.

Кейс 2. Телемедицинская платформа (Центральный ФО, начало 2026) работала с вендором МИС, сервер которого физически находился в Германии. Факт выявлен в ходе внеплановой проверки РКН, поводом послужила утечка медицинских данных через API-интеграцию. Платформа получила протокол по ч. 8 ст. 13.11 КоАП (нарушение локализации) и по ч. 12 ст. 13.11 (утечка от 1 000 до 10 000 субъектов). Суммарный штраф составил несколько миллионов рублей. После инцидента платформа мигрировала на российский облачный сервис и заключила договор-поручение с новым вендором.

Услуги DATUM по теме

Частые вопросы

1. Чем отличается ИДС от согласия на обработку персональных данных?

Информированное добровольное согласие по ст. 20 и ст. 36.2 323-ФЗ — медицинский документ: пациент соглашается на конкретное медицинское вмешательство или формат помощи (в том числе телемедицину), получив сведения о методе, рисках и альтернативах. Согласие на обработку ПДн по ст. 9 152-ФЗ — правовой документ: пациент разрешает оператору работать с конкретным перечнем данных ради конкретных целей. С 01.09.2025 (ФЗ-156) согласие на обработку ПДн оформляется только отдельным документом — не вшивается в договор, ИДС или политику конфиденциальности.

2. Можно ли публиковать фото «до–после» с согласия пациента?

Публикация медицинских фотографий — это распространение ПДн, включающих спецкатегорию (состояние здоровья). Для этого требуется отдельное согласие на распространение по ст. 10.1 152-ФЗ. Стандартное согласие на обработку ПДн не охватывает распространение: молчание субъекта означает запрет. Дополнительно: публикация фото, по которому идентифицируется пациент, может нарушать врачебную тайну по ст. 13 323-ФЗ — даже при наличии согласия, если пациент впоследствии отзовёт его.

3. Кто отвечает за утечку через МИС?

Оператор ПДн — медицинская организация — несёт ответственность за утечку независимо от того, произошла ли она через собственную инфраструктуру или через МИС вендора. Это прямое следствие принципа ответственности оператора: договор-поручение не снимает с клиники обязанность по обеспечению безопасности данных. При утечке через МИС регулятор предъявляет претензии оператору; вендор несёт ответственность перед клиникой в порядке гражданского судопроизводства. Штраф по ч. 12–14 ст. 13.11 КоАП — от 3 до 15 млн ₽ в зависимости от числа пострадавших субъектов.

4. Какие данные пациентов передавать в ЕГИСЗ?

Перечень сведений, передаваемых в ЕГИСЗ, определён нормативными актами Минздрава. В общем случае: сведения об обращениях за медицинской помощью, установленных диагнозах (коды МКБ), назначениях лекарственных препаратов, выданных листках нетрудоспособности, данные о прикреплении к медицинской организации. Видеозаписи телемедицинских консультаций, психиатрические диагнозы и результаты генетических исследований передаются в ЕГИСЗ только при наличии специального правового основания. Отдельного согласия пациента на передачу в ЕГИСЗ не требуется — основание в законе; однако пациент должен быть об этом информирован.

5. Что грозит клинике за утечку медицинских данных?

Медицинские данные — спецкатегория ПДн по ст. 10 152-ФЗ. Утечка от 1 000 до 10 000 субъектов квалифицируется по ч. 12 ст. 13.11 КоАП — штраф 3–5 млн ₽; от 10 000 до 100 000 — ч. 13 — 5–10 млн ₽; свыше 100 000 — ч. 14 — 10–15 млн ₽. При повторной утечке применяется оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽, не более 500 млн ₽. Дополнительно: неуведомление РКН об утечке в течение 24 часов — штраф по ч. 11 ст. 13.11 от 1 до 3 млн ₽. Параллельно возможна уголовная ответственность должностных лиц по ст. 272.1 УК РФ, введённой с 11.12.2024.

6. Нужно ли получать новые согласия от действующих пациентов после 01.09.2025?

ФЗ-156 от 24.06.2025 не имеет обратной силы: согласия, полученные до 01.09.2025, переоформлять не требуется. Однако если документ был оформлен с нарушениями по действовавшим на момент подписания требованиям (например, без обязательных реквизитов ст. 9 152-ФЗ в старой редакции) — он недействителен независимо от даты. Все новые согласия, полученные от пациентов после 01.09.2025, обязаны соответствовать требованию об отдельном документе.

Итог

Телемедицина требует двух отдельных правовых документов: ИДС по 323-ФЗ и согласия на обработку спецкатегории ПДн по 152-ФЗ. Объединение в одном документе — прямое нарушение с 01.09.2025. Передача данных через МИС зарубежного вендора создаёт риск по ч. 8 ст. 13.11 КоАП (до 6 млн ₽). Утечка медицинских данных влечёт штраф от 3 до 500 млн ₽ в зависимости от масштаба и повторности.

DATUM сопровождает медицинские организации по полному циклу соответствия 152-ФЗ: от разработки раздельных форм согласий до защиты интересов при проверке РКН и оспаривании штрафов в арбитраже.

Смотрите также

ОН
Ольга Нечаева
Аналитик · Медицина и образование
Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, ПДн несовершеннолетних.