инструкция 5 июня 2026 По состоянию на 5 июня 2026

Согласие на телемедицинскую консультацию

Телемедицинская консультация требует двух отдельных согласий: на обработку персональных данных по ст. 9 ФЗ-152 и на медицинское вмешательство по ст. 20 ФЗ-323. С 01.09.2025 согласие на ПДн не может входить в текст договора или карты пациента.

Нарушение требований к форме согласия — штраф до 700 000 ₽ по ч. 2 ст. 13.11 КоАП в редакции с 30.05.2025. Если клиника обрабатывает специальные категории данных о здоровье без надлежащего согласия, риск возрастает до состава по ч. 12–14 той же статьи при утечке.

→ Если вы юрист клиники или телемедицинской платформы: проверьте, соответствует ли действующая форма согласия требованиям ФЗ-156 от 24.06.2025, вступившего в силу с 01.09.2025.

Телемедицина объединяет два правовых режима: медицинский (ФЗ-323 «Об основах охраны здоровья граждан») и режим обработки персональных данных (ФЗ-152). Юрист клиники или телемедицинского сервиса должен обеспечить соответствие обоим. Ниже — пошаговая инструкция по составлению, проверке и актуализации согласия на телемедицинскую консультацию с учётом норм, действующих в 2026 году.

Шаг 1. Разграничьте два вида согласия

Первая ошибка — объединять согласие на медицинское вмешательство и согласие на обработку ПДн в один документ. Это разные правовые конструкции с разными основаниями и последствиями.

Согласие на медицинское вмешательство требует письменной формы по ст. 20 ФЗ-323. Для телемедицины его особенность в том, что пациент не находится в присутствии врача: документ подписывается дистанционно через квалифицированную электронную подпись или иной механизм идентификации, предусмотренный регламентом платформы.

Согласие на обработку ПДн с 01.09.2025 оформляется отдельным документом по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025. Оно не может быть частью договора об оказании медицинских услуг, политики конфиденциальности или регистрационной карты.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 (действует с 01.09.2025): согласие субъекта персональных данных оформляется в виде отдельного документа и не может объединяться с иными документами, включая договор и оферту. Ранее полученные согласия, соответствующие старым требованиям, обратной силы закон не имеет — переоформлять их не требуется.»

Практический вывод: в пакете документов телемедицинской консультации всегда два самостоятельных документа — форма согласия на медицинское вмешательство и форма согласия на обработку ПДн.

Шаг 2. Проверьте состав реквизитов согласия на обработку ПДн

Согласие пациента на обработку ПДн в рамках телемедицинской консультации должно содержать обязательные реквизиты, установленные ст. 9 ФЗ-152. Отсутствие любого из них делает согласие дефектным, что создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП (300 000–700 000 ₽ для юридического лица).

Обязательные реквизиты согласия на обработку ПДн (ст. 9 ФЗ-152)

Фамилия, имя, отчество и контактные данные субъекта ПДн (пациента)
Наименование и адрес оператора — клиники или телемедицинской платформы
Цель обработки: оказание телемедицинской консультации, ведение медицинской документации, исполнение договора
Перечень персональных данных, на обработку которых даётся согласие (ФИО, дата рождения, СНИЛС, диагноз, жалобы, история болезни)
Перечень действий с ПДн: сбор, запись, систематизация, хранение, уточнение, передача врачу, уничтожение
Срок действия согласия и порядок его отзыва

Телемедицина добавляет специфику: если платформа передаёт данные пациента сторонним врачам-консультантам или медицинским организациям, это поручение обработки по ст. 6 ФЗ-152. Цепочка передачи должна быть прозрачно отражена в согласии или в договоре-поручении с третьей стороной.

Данные о здоровье относятся к специальным категориям по ст. 10 ФЗ-152. Их обработка по общему правилу запрещена. Исключение — письменное согласие субъекта (п. 4 ч. 2 ст. 10) или необходимость для оказания медицинской помощи медицинским работником (п. 5 ч. 2 ст. 10). В телемедицине оба основания могут применяться одновременно, но лучше прямо указать оба в тексте согласия.

Форма согласия уже есть, но не обновлялась с 2024 года?

Если юрист клиники или сервиса проверяет документы после 01.09.2025 — каждое несоответствие новым требованиям ст. 9 ФЗ-152 (ред. ФЗ-156) создаёт риск штрафа до 700 000 ₽ по ч. 2 ст. 13.11 КоАП. Специалисты DATUM соберут пакет ОРД для телемедицины под ключ: согласия, политика, приказы, журналы.

Собрать ОРД под ключ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Определите правовое основание для обработки биометрии

Ряд телемедицинских платформ использует видеоконсультации с идентификацией пациента по изображению лица или голосу. Изображение лица и голосовая запись, применяемые для установления личности, относятся к биометрическим ПДн по ст. 11 ФЗ-152.

Обработка биометрии допускается только с отдельного письменного согласия пациента. Если платформа использует видеозапись консультации исключительно как медицинскую документацию и не идентифицирует пациента автоматически — биометрический режим не применяется. Но если есть автоматическая идентификация или система хранит шаблоны лиц — требуется согласие по ст. 11.

«Ст. 11 ФЗ-152: биометрические персональные данные — сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность. Обработка допускается только с письменного согласия субъекта, за исключением случаев, установленных законом.»

Хранение биометрии в государственных информационных системах регулируется ФЗ-572. Для коммерческих телемедицинских платформ правило иное: если сервис не является участником ЕБС, он вправе хранить биометрию только в соответствии со ст. 11 ФЗ-152 при наличии письменного согласия. Нарушение — штраф по ч. 16 ст. 13.11 КоАП.

Как настроить политику конфиденциальности и ОРД для телемедицинского сервиса?

Политика обработки персональных данных обязательна по ст. 18.1 ФЗ-152. Для телемедицины её содержание шире стандартного: нужно отразить особенности дистанционного взаимодействия, передачу данных врачам-консультантам, хранение медицинской документации.

Минимальное содержание политики по ч. 2 ст. 18.1 ФЗ-152 включает: цели и правовые основания обработки, категории субъектов и состав ПДн, порядок хранения и уничтожения, перечень третьих лиц, которым передаются данные, права субъектов и порядок их реализации, сведения об ответственном за обработку ПДн.

Для телемедицинского сервиса в политику дополнительно включают: описание трансграничной передачи (если используются зарубежные облачные сервисы), порядок обработки специальных категорий ПДн (данные о здоровье), регламент видеоконсультаций и хранения видеозаписей.

Политика должна быть размещена в открытом доступе на сайте или в приложении. Её отсутствие или несоответствие ч. 2 ст. 18.1 — штраф по ч. 3 ст. 13.11 КоАП (30 000–60 000 ₽), но более значимый риск — предписание РКН устранить нарушение с угрозой внеплановой проверки.

Если юрист проверяет политику конфиденциальности телемедицинского сервиса — проверьте, отражает ли она передачу данных врачам-консультантам и хранение медицинской документации. Типовой шаблон из интернета этого не содержит. DATUM проведёт аудит ОРД и доработает политику под специфику сервиса.

Заказать аудит 152-ФЗ

Шаг 4. Уведомьте Роскомнадзор о намерении обрабатывать ПДн

Телемедицинский сервис или клиника, впервые начинающая дистанционные консультации, обязаны до начала обработки уведомить РКН по ст. 22 ФЗ-152. Уведомление подаётся через портал pd.rkn.gov.ru по форме Приказа РКН №180 от 28.10.2022.

Если организация уже включена в реестр операторов ПДн, но добавляет новый вид обработки (телемедицина — это новая цель и новый состав данных), необходимо подать уведомление об изменении сведений. Фактическое расширение обработки без актуализации реестра — нарушение ст. 22 ФЗ-152.

«Ст. 22 ФЗ-152: оператор уведомляет уполномоченный орган о намерении осуществлять обработку ПДн до начала такой обработки. Включение в реестр производится в течение 30 дней с момента подачи уведомления. Неуведомление или несвоевременное уведомление — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП (в редакции с 30.05.2025).»

В уведомлении для телемедицинского сервиса важно корректно указать: цели обработки (оказание медицинских услуг дистанционно, ведение медицинской документации), категории ПДн (специальные — данные о здоровье), меры защиты, трансграничную передачу (при наличии). Ошибки в уведомлении создают несоответствие между реестром и фактической обработкой — это самостоятельный риск при проверке.

Шаг 5. Назначьте ответственного за обработку ПДн

Оператор-юридическое лицо обязан назначить лицо, ответственное за организацию обработки персональных данных, по ст. 22.1 ФЗ-152. Это внутреннее назначение (приказом руководителя), не требующее согласования с РКН.

Для телемедицинского сервиса выбор ответственного имеет практическое значение: именно это лицо взаимодействует с субъектами ПДн при обращениях по ст. 20 ФЗ-152, организует реагирование на инциденты по Приказу РКН №187, поддерживает актуальность уведомления в реестре и ОРД.

Требования к квалификации ответственного установлены ч. 4 ст. 22.1 ФЗ-152. Если в штате нет специалиста с необходимыми компетенциями, функцию можно передать на аутсорсинг — DPO-аутсорсинг по модели ст. 22.1 без нарушения закона.

Отсутствие приказа о назначении ответственного — одна из типовых находок при проверке РКН. Инспектор запрашивает этот документ в числе первых. Наличие приказа само по себе не закрывает риск, но его отсутствие гарантированно формирует замечание.

Как это работает на практике: два сценария

Сценарий 1. Телемедицинский стартап без уведомления в реестре

Ситуация: платформа дистанционных консультаций работает около года. Пользователи подписывают согласие в мобильном приложении — оно встроено в пользовательское соглашение. Уведомление в РКН не подавалось.

Доказательства при проверке: реестр РКН не содержит записи об операторе; согласие не является отдельным документом (нарушение ст. 9 ФЗ-152 в ред. с 01.09.2025); политика обработки ПДн размещена только как часть пользовательского соглашения без отдельной страницы.

Вероятный исход: протоколы по ч. 3 ст. 13.11 (отсутствие политики — 30 000–60 000 ₽), ч. 10 ст. 13.11 (неуведомление — 100 000–300 000 ₽), ч. 2 ст. 13.11 (ненадлежащее согласие — 300 000–700 000 ₽). Стратегия: одновременная подача уведомления в РКН, переработка согласия в отдельный документ, выделение политики на отдельную страницу сайта. При первичном нарушении и оперативном устранении возможно применение ст. 4.1.1 КоАП для замены штрафа на предупреждение (для субъектов МСП).

Сценарий 2. Клиника расширила практику на телемедицину без обновления ОРД

Ситуация: частная клиника с действующим уведомлением в реестре запустила телемедицинские консультации через сторонний сервис. В уведомление изменения не вносились; согласие пациента включает обработку ПДн в тексте медицинской карты.

Доказательства при проверке: уведомление в реестре не отражает новый вид обработки и передачу данных сторонней платформе; согласие на ПДн встроено в медицинскую документацию, а не оформлено отдельным документом; договор-поручение со сторонней платформой отсутствует или не соответствует требованиям ст. 6 ФЗ-152.

Вероятный исход: предписание актуализировать уведомление и привести ОРД в соответствие, штраф по ч. 2 ст. 13.11. Стратегия: обновление уведомления в РКН, заключение договора-поручения с платформой, переработка формы согласия в отдельный документ, проверка наличия договора на обработку ПДн со всеми подрядчиками.

Услуги DATUM по теме

Комплект ОРД под ключ — 38 документов для оператора ПДн, включая специальные формы для медицины
Аудит соответствия 152-ФЗ — проверка текущих согласий, политики и уведомления РКН
DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании

Частые вопросы

1. Какие документы должны быть у оператора ПДн в телемедицине?

Минимальный пакет включает: уведомление в реестре РКН (ст. 22 ФЗ-152), политику обработки ПДн с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152, отдельное согласие пациента на обработку ПДн (ст. 9 ФЗ-152 в редакции с 01.09.2025), согласие на обработку специальных категорий ПДн (данные о здоровье) по ст. 10 ФЗ-152, приказ о назначении ответственного за обработку ПДн (ст. 22.1 ФЗ-152), договор-поручение с каждым подрядчиком, получающим доступ к ПДн пациентов. Для платформ с видеоидентификацией — отдельное согласие на биометрию по ст. 11 ФЗ-152.

2. Как составить политику обработки ПДн для телемедицинского сервиса?

Политика составляется в соответствии с ч. 2 ст. 18.1 ФЗ-152 и должна содержать: цели обработки, правовые основания, категории субъектов и состав данных, порядок хранения и уничтожения, перечень третьих лиц с доступом к данным (врачи-консультанты, IT-подрядчики), права субъектов и порядок их реализации. Для телемедицины специфика — отдельный раздел о трансграничной передаче, если используются зарубежные облачные сервисы (ст. 12 ФЗ-152), и раздел об обработке специальных категорий данных. Политика публикуется в открытом доступе на сайте или в приложении.

3. Кого назначить ответственным за обработку ПДн по ст. 22.1 ФЗ-152?

Ответственным назначается штатный сотрудник с компетенциями в области защиты ПДн: юрист, специалист по ИБ, DPO. Требования к квалификации установлены ч. 4 ст. 22.1 ФЗ-152. Назначение оформляется приказом руководителя. Если в штате нет подходящего специалиста — функцию можно передать на аутсорсинг: это не противоречит закону и позволяет выполнить требование без найма нового сотрудника.

4. Можно ли использовать шаблон политики конфиденциальности из интернета?

Типовые шаблоны из открытых источников, как правило, не учитывают отраслевую специфику и устаревают. Для телемедицины критично отразить: обработку специальных категорий ПДн (ст. 10 ФЗ-152), передачу данных врачам-консультантам по договору-поручению (ст. 6 ФЗ-152), требования к согласию в редакции с 01.09.2025 (ФЗ-156). Шаблон, не содержащий этих разделов, формирует реальные основания для штрафа при проверке.

5. Какие согласия нужно переоформить после 01.09.2025?

ФЗ-156 от 24.06.2025 не имеет обратной силы: согласия, полученные до 01.09.2025 и соответствующие требованиям, действовавшим на момент их получения, остаются действительными. Переоформлять весь массив согласий не требуется. Однако новые согласия — для пациентов, впервые обращающихся после 01.09.2025, — должны оформляться отдельным документом. Если платформа собирала согласия внутри договора или пользовательского соглашения, такой порядок необходимо изменить для новых обращений.

6. Что проверяет РКН при плановой проверке телемедицинской организации?

Инспектор запрашивает: выписку из реестра операторов ПДн, политику обработки ПДн и подтверждение её публикации, формы согласий пациентов, приказ о назначении ответственного по ст. 22.1 ФЗ-152, журнал обращений субъектов за последние 12 месяцев, договоры-поручения с подрядчиками. При телемедицине дополнительно — документы, подтверждающие правовое основание обработки специальных категорий ПДн (данных о здоровье) по ст. 10 ФЗ-152.

Итог

Согласие на телемедицинскую консультацию — это не один документ, а система: отдельное согласие на обработку ПДн (ст. 9 ФЗ-152 в редакции с 01.09.2025), согласие на обработку специальных категорий данных о здоровье (ст. 10 ФЗ-152), при необходимости — согласие на биометрию (ст. 11 ФЗ-152). Каждый документ требует самостоятельной формы с обязательными реквизитами. Объединение этих согласий с договором или медицинской картой с 01.09.2025 недопустимо.

DATUM сопровождает телемедицинские организации и платформы в части 152-ФЗ: от разработки ОРД и форм согласий до сопровождения проверок РКН и актуализации уведомления в реестре. Практика по медицинским операторам ПДн — с 2014 года.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна.

5 июня 2026 года