инструкция 14 февраля 2027 По состоянию на 14 февраля 2027

Срок хранения медкарты по 152-ФЗ

Медицинская карта пациента — специальная категория персональных данных по ст. 10 152-ФЗ. Хранить её бессрочно нельзя, уничтожить раньше срока — тоже.

Минимальный срок хранения медкарты — 25 лет (амбулаторная) или 25 лет (стационарная). Нарушение режима хранения при неавтоматизированной обработке грозит штрафом по ч. 6 ст. 13.11 КоАП до 100 000 ₽. Утечка данных пациентов — до 15 млн ₽ по ч. 14 ст. 13.11.

Если вы главный врач и МИС обрабатывает данные пациентов — проверьте, соответствует ли политика хранения требованиям 152-ФЗ и приказа Минздрава. →

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420: 18 частей, оборотный штраф за повторную утечку — до 500 млн ₽. Медицинские организации попадают сразу под несколько составов: данные о здоровье — спецкатегория по ст. 10 152-ФЗ, врачебная тайна — по ст. 13 323-ФЗ, а хранение через МИС и передача в ЕГИСЗ создают дополнительные риски нарушения локализации и трансграничной передачи. Эта инструкция — пошаговый порядок для главного врача, который хочет привести режим хранения медкарт в соответствие с законом.

Шаг 1. Определите, какие данные пациента относятся к спецкатегории

До того как устанавливать сроки хранения, необходимо понять, с какими данными работает клиника. Медицинская карта содержит как минимум два вида персональных данных разного уровня защиты.

Первый вид — общие персональные данные: ФИО, дата рождения, адрес, телефон, номер полиса. Их обработка требует согласия или иного законного основания по ст. 6 152-ФЗ. Второй вид — специальные категории: сведения о состоянии здоровья, диагнозы, результаты анализов, сведения об операциях, психиатрический статус. Они защищены усиленным режимом по ст. 10 152-ФЗ и врачебной тайной по ст. 13 323-ФЗ.

«Ст. 10 152-ФЗ — обработка сведений о состоянии здоровья допускается только с явного письменного согласия субъекта либо в случаях, прямо предусмотренных законом. Для медицинских организаций таким основанием служит п. 4 ч. 2 ст. 10 152-ФЗ — защита жизни и здоровья пациента при невозможности получить согласие.»

Информированное добровольное согласие (ИДС) по ст. 20 323-ФЗ — это согласие на медицинское вмешательство, а не на обработку ПДн. Это два разных документа с разными реквизитами. ИДС не заменяет согласие по ст. 9 152-ФЗ. Путаница между ними — одна из самых частых ошибок при проверках РКН в медицинских организациях.

Биометрические данные пациента (фотография лица в карте, слепки при стоматологии) подпадают под ст. 11 152-ФЗ и требуют отдельного письменного согласия на обработку биометрии.

МИС обрабатывает данные пациентов — проверьте основания

Если в клинике используется медицинская информационная система и согласие пациента оформлено только в ИДС — это нарушение ст. 9 152-ФЗ. С 01.09.2025 согласие на обработку ПДн должно быть отдельным документом (ФЗ-156 от 24.06.2025). Каждое такое нарушение — повод для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽. Юристы DATUM проведут аудит оснований обработки ПДн пациентов по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 2. Установите сроки хранения по категориям документов

Сроки хранения медицинских карт определяются не только 152-ФЗ, но и ведомственными нормативными актами Минздрава. Эти два блока требований нужно соблюдать одновременно.

По приказу Минздрава (номенклатура дел медицинских организаций) установлены минимальные сроки хранения для основных видов медицинской документации. Амбулаторная карта пациента хранится 25 лет. История болезни стационарного пациента — 25 лет. Карта стоматологического пациента — 5 лет. Медицинская карта ребёнка — 25 лет после достижения совершеннолетия. Карты пациентов, умерших в стационаре, — 25 лет.

С точки зрения 152-ФЗ срок хранения ПДн ограничен целью обработки (ст. 5 152-ФЗ): хранить данные дольше, чем необходимо для достижения цели, нельзя. Однако для медицинских организаций цель обработки («оказание медицинской помощи и ведение медицинской документации») поддерживается нормативно установленными сроками хранения — они и становятся правовым основанием для длительного хранения.

«Ст. 5 152-ФЗ — хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта, не дольше, чем этого требуют цели обработки. По достижении целей или при утрате необходимости данные подлежат уничтожению или обезличиванию.»

После истечения установленного срока хранения медицинская документация подлежит уничтожению по акту. Уничтожение должно быть зафиксировано документально: составляется акт уничтожения с указанием перечня уничтоженных документов, даты, способа уничтожения и лиц, ответственных за процедуру. Для электронных документов в МИС — запись в системном журнале с подписью ответственного.

Шаг 3. Проверьте режим хранения в МИС и соответствие требованиям ЕГИСЗ

Медицинская информационная система — основной инструмент хранения ПДн пациентов в современной клинике. С точки зрения 152-ФЗ МИС является информационной системой персональных данных (ИСПДн), к которой предъявляются технические требования в зависимости от уровня защищённости.

Данные о здоровье — спецкатегория. Для ИСПДн, обрабатывающих спецкатегории ПДн более 100 000 субъектов, устанавливается уровень защищённости не ниже УЗ-3 по ПП РФ №1119. Для небольшой клиники с числом пациентов до 100 000 — УЗ-4, но при наличии угроз первого или второго типа — выше. Конкретный уровень определяется по модели угроз.

Передача данных в ЕГИСЗ (Единую государственную информационную систему в сфере здравоохранения) осуществляется на основании ст. 91 323-ФЗ. Это законное основание для обработки и передачи данных без дополнительного согласия пациента. Однако пациент должен быть уведомлён о передаче сведений в ЕГИСЗ — это требование ст. 91 323-ФЗ и принципа прозрачности обработки по ст. 5 152-ФЗ.

«Ст. 13 323-ФЗ — сведения о факте обращения за медицинской помощью, о состоянии здоровья, диагнозе и иные сведения, полученные при медицинском обследовании и лечении, составляют врачебную тайну. Разглашение допускается только в случаях, прямо предусмотренных законом.»

Локализация ПДн граждан РФ — обязательное требование ч. 5 ст. 18 152-ФЗ. МИС, хранящая данные российских пациентов, должна располагаться на серверах в России. Если клиника использует облачную МИС с серверами за рубежом — это нарушение, которое с 01.07.2025 влечёт штраф по ч. 8 ст. 13.11 КоАП от 1 до 6 млн ₽.

Если главный врач получил уведомление о проверке РКН — у вас есть ограниченное время на подготовку документов и проверку МИС. Несоответствие режима хранения ПДн при проверке фиксируется как нарушение ч. 1 или ч. 6 ст. 13.11 КоАП. Юристы DATUM подготовят клинику к проверке РКН за 5 рабочих дней.

Подготовиться к проверке РКН

Шаг 4. Подготовьте документацию: согласия, политику и журналы

Без надлежащей организационно-распорядительной документации (ОРД) любое техническое решение по защите ПДн не имеет юридической силы при проверке РКН. Для медицинской организации минимальный пакет включает несколько обязательных элементов.

Что подготовить главному врачу для соответствия 152-ФЗ

Отдельное согласие пациента на обработку ПДн по ст. 9 152-ФЗ в редакции ФЗ-156 от 24.06.2025 — отдельный документ, не совмещённый с ИДС или договором на оказание услуг.
Политика обработки персональных данных, опубликованная на сайте клиники, с обязательными разделами по ч. 2 ст. 18.1 152-ФЗ: цели, категории, сроки, меры защиты, права субъектов.
Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 152-ФЗ с описанием обязанностей.
Журнал учёта обращений субъектов ПДн (запросов пациентов) с входящими датами и сроками ответа — 10 рабочих дней по ст. 20 152-ФЗ.
Акты уничтожения медицинских документов после истечения сроков хранения с указанием перечня, даты, способа и ответственных лиц.

Согласие на обработку ПДн для целей телемедицины оформляется отдельно: при дистанционном консультировании данные могут обрабатываться третьими сервисами (платформы телемедицины, облачные хранилища). Каждый такой сервис — либо оператор, либо обработчик по поручению клиники. Договор поручения обработки по п. 3 ст. 6 152-ФЗ обязателен.

Публикация фотографий пациентов («до и после») требует не только согласия на обработку ПДн, но и согласия на распространение ПДн по ст. 10.1 152-ФЗ — это отдельный документ. Использование таких фото без согласия на распространение — нарушение, которое влечёт штраф по ч. 1 ст. 13.11 КоАП от 150 000 до 300 000 ₽.

Как клиники несут ответственность за нарушения: два сценария

Практика привлечения медицинских организаций к ответственности по ст. 13.11 КоАП формируется активно. Рассмотрим два характерных сценария.

Сценарий 1. Утечка данных из МИС через подрядчика. Клиника Центрального ФО (осень 2025) использовала облачную МИС, серверы которой располагались у IT-подрядчика. В результате инцидента у подрядчика данные более 15 000 пациентов оказались в открытом доступе. Клиника не уведомила РКН в течение 24 часов, поскольку считала ответственным подрядчика. Итог: протокол по ч. 13 ст. 13.11 КоАП (утечка 10 000–100 000 субъектов, штраф 5–10 млн ₽) и дополнительно по ч. 11 (неуведомление об утечке, штраф 1–3 млн ₽). Оператор ПДн — клиника, а не подрядчик, и именно клиника несёт ответственность независимо от вины IT-поставщика.

Сценарий 2. Публикация фото пациентов без согласия на распространение. Стоматологическая клиника Северо-Западного ФО (начало 2026) публиковала в Instagram* результаты лечения с фотографиями улыбок пациентов. Согласие на обработку ПДн было, но согласие на распространение по ст. 10.1 152-ФЗ — отдельного документа не было. Жалоба пациента в РКН повлекла внеплановую проверку. Штраф по ч. 1 ст. 13.11 — в диапазоне нижней трети установленного предела. Клиника дополнительно урегулировала спор с пациентом в досудебном порядке. * деятельность Meta признана нежелательной в РФ.

Что грозит клинике за утечку ПДн пациентов?

Ответственность медицинской организации за нарушения в сфере ПДн многоуровневая. Административная ответственность по ст. 13.11 КоАП в редакции с 30.05.2025 — основной инструмент РКН.

При утечке данных о здоровье пациентов от 1 000 до 10 000 субъектов — штраф по ч. 12 ст. 13.11 КоАП от 3 до 5 млн ₽. От 10 000 до 100 000 субъектов — по ч. 13, от 5 до 10 млн ₽. Более 100 000 субъектов — по ч. 14, от 10 до 15 млн ₽. При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽.

Уголовная ответственность по ст. 272.1 УК РФ, введённой ФЗ-421 от 30.11.2024 и действующей с 11.12.2024, распространяется на незаконное использование, передачу, сбор или хранение компьютерной информации, содержащей ПДн. Для медицинских работников, передавших данные пациентов третьим лицам, — до 10 лет лишения свободы по ч. 5 при тяжких последствиях.

«Ст. 272.1 УК РФ (ФЗ-421 от 30.11.2024, действует с 11.12.2024) — незаконные использование, передача, сбор или хранение компьютерной информации, содержащей персональные данные. Квалифицирующий признак ч. 5 — тяжкие последствия — предусматривает лишение свободы до 10 лет.»

Гражданская ответственность перед пациентами — компенсация морального вреда. Судебная практика 2023–2025 годов показывает взыскания от 5 000 до 50 000 ₽ за одного пациента. При коллективных исках (десятки и сотни пострадавших) совокупная сумма становится существенной.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка режима хранения ПДн пациентов, МИС и ОРД
Комплект ОРД под ключ — согласия пациентов, политика, приказы, журналы учёта
Сопровождение проверок РКН — подготовка и представление интересов клиники

Частые вопросы

1. Чем отличается ИДС от согласия на обработку ПДн?

ИДС (информированное добровольное согласие) по ст. 20 323-ФЗ — это согласие пациента на конкретное медицинское вмешательство. Оно не содержит обязательных реквизитов согласия на обработку ПДн по ст. 9 152-ФЗ: перечня действий с данными, срока обработки, способа отзыва. С 01.09.2025 согласие на обработку ПДн должно быть оформлено отдельным документом (ФЗ-156 от 24.06.2025) и не может быть совмещено с ИДС, договором или офертой. Клиника обязана получить оба документа.

2. Можно ли публиковать фото «до и после» с согласия пациента?

Согласия на обработку ПДн недостаточно. Для публикации фотографий, на которых можно идентифицировать пациента, требуется отдельное согласие на распространение персональных данных по ст. 10.1 152-ФЗ. В нём должно быть прямо указано, в каких именно ресурсах и каким способом будет осуществляться распространение. Молчание или общая формулировка в согласии на обработку ПДн означает запрет на распространение.

3. Кто отвечает за утечку через МИС — клиника или IT-поставщик?

Ответственность несёт оператор ПДн — медицинская организация, а не IT-поставщик, если тот является обработчиком по поручению по п. 3 ст. 6 152-ФЗ. Отсутствие договора поручения обработки или несоответствие его требованиям 152-ФЗ дополнительно усугубляет положение клиники. Оператор обязан контролировать соблюдение IT-поставщиком требований 152-ФЗ. Подрядчик может быть привлечён к ответственности по ст. 272.1 УК РФ, но административный штраф по ст. 13.11 КоАП платит клиника.

4. Какие данные пациентов нужно передавать в ЕГИСЗ?

Состав сведений, передаваемых в ЕГИСЗ, определён ст. 91 323-ФЗ и подзаконными актами Минздрава. Передача в ЕГИСЗ осуществляется на законном основании — во исполнение обязанности, установленной законом, — и не требует отдельного согласия пациента. Однако пациент должен быть уведомлён о передаче его данных в ЕГИСЗ в рамках информирования об обработке ПДн. Это требование нужно отразить в политике конфиденциальности клиники.

5. Что грозит клинике за утечку данных пациентов в 2026 году?

При утечке данных о здоровье пациентов административный штраф по ст. 13.11 КоАП (ред. с 30.05.2025) зависит от числа пострадавших субъектов: от 3 до 5 млн ₽ (1 000–10 000 пациентов), от 5 до 10 млн ₽ (10 000–100 000), от 10 до 15 млн ₽ (более 100 000). При повторной утечке — оборотный штраф: 1–3% годовой выручки, минимум 20 млн ₽, максимум 500 млн ₽. Дополнительно — уголовная ответственность виновных сотрудников по ст. 272.1 УК РФ и гражданские иски пациентов о компенсации морального вреда.

6. Нужно ли переоформлять согласия пациентов после 01.09.2025?

Согласия, полученные до 01.09.2025, обратной силы не имеют — ФЗ-156 от 24.06.2025 не обязывает переоформлять ранее полученные документы. Однако если согласие было совмещено с ИДС или договором и не содержало всех обязательных реквизитов по ст. 9 152-ФЗ — оно было недействительным уже на момент получения. Новые пациенты с 01.09.2025 должны подписывать отдельное согласие на обработку ПДн по актуальным требованиям.

Итог

Срок хранения медкарты — это пересечение требований 152-ФЗ о минимально необходимом сроке и отраслевых норм Минздрава о минимальном сроке хранения медицинской документации. Оба блока обязательны одновременно. Нарушение режима хранения при неавтоматизированной обработке, утечка через МИС, публикация фото пациентов без надлежащего согласия или непередача данных в ЕГИСЗ — каждое из этих нарушений имеет конкретный состав по ст. 13.11 КоАП с суммами до 15 млн ₽ и оборотным штрафом при повторности.

Практика DATUM по медицинскому сектору охватывает аудит ИСПДн клиник, подготовку ОРД (согласия пациентов, политика, договоры поручения с IT-поставщиками), сопровождение проверок РКН и защиту интересов медицинских организаций при привлечении к ответственности по ст. 13.11 КоАП.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, ПДн несовершеннолетних.