инструкция 14 января 2029 По состоянию на 14 января 2029

Срок хранения по нормативам Минздрава

Медицинская документация содержит специальные категории персональных данных — сведения о состоянии здоровья пациента. Нормативы Минздрава устанавливают минимальные сроки хранения, а 152-ФЗ накладывает требования к безопасности обработки на всём этом сроке.

Утечка медицинских ПДн квалифицируется по ч. 12–14 ст. 13.11 КоАП: от 3 до 15 млн ₽ в зависимости от числа пострадавших субъектов. Повторная утечка — оборотный штраф до 500 млн ₽ по ч. 15 той же статьи.

Если вы главный врач и не уверены, совмещены ли сроки хранения МИС с требованиями 152-ФЗ — эта инструкция описывает порядок приведения документооборота в соответствие.

С 30.05.2025 действует новая редакция ст. 13.11 КоАП (ФЗ-420 от 30.11.2024): за утечку медицинских данных более 100 000 субъектов клиника платит 10–15 млн ₽, а при повторном инциденте — от 1 до 3% годовой выручки, но не менее 20 млн ₽. Минздрав в своих нормативах определяет, сколько лет хранить документы; 152-ФЗ определяет, как именно их защищать в течение всего этого времени. Настоящая инструкция объединяет оба требования в шесть последовательных шагов.

Шаг 1. Определите состав медицинской документации и применимые нормативы

Медицинская организация работает с несколькими категориями документов, для каждой из которых Минздрав установил собственный срок. Приказ Минздрава России № 834н от 15.12.2014 регулирует формы первичной медицинской документации амбулаторного звена. Для стационарных карт применяется более ранний нормативный акт Минздрава СССР (1988 год), действие которого в части сроков хранения сохраняется на основании ст. 4 ФЗ-323. Перечень типовых управленческих архивных документов, утверждённый Росархивом, дополнительно регулирует административную документацию клиники.

Ключевые сроки хранения медицинской документации по нормативам Минздрава:

Медицинская карта амбулаторного больного (форма № 025/у) — 5 лет с момента последнего обращения
История болезни стационарного больного (форма № 003/у) — 25 лет
Медицинская карта ребёнка (форма № 026/у) — 15 лет после окончания наблюдения
Результаты инструментальных и лабораторных исследований — как правило, совпадают со сроком хранения основной карты
Информированное добровольное согласие на медицинское вмешательство (ИДС) — 25 лет (хранится в составе истории болезни)
Согласие на обработку персональных данных (отдельный документ по ст. 9 152-ФЗ) — в течение срока обработки ПДн плюс 3 года после его окончания (общий подход судебной практики)

«Ст. 10 ФЗ-152 — данные о состоянии здоровья относятся к специальным категориям персональных данных. Их обработка по общему правилу запрещена; исключение — наличие письменного согласия субъекта или иного законного основания из закрытого перечня п. 2 ст. 10.»

Обратите внимание: срок хранения ИДС и срок хранения согласия на ПДн — разные документы с разными сроками и разными правовыми основаниями. Их нельзя объединять в один бланк после 01.09.2025 (ФЗ-156 от 24.06.2025 ввёл требование отдельного документа для согласия по ст. 9 ФЗ-152).

Шаг 2. Проверьте, как сроки реализованы в МИС и смежных системах

Большинство медицинских информационных систем (МИС) содержат встроенный механизм архивирования, но он настроен под операционные нужды, а не под требования Минздрава и 152-ФЗ одновременно. Главный врач обязан убедиться, что срок автоматического удаления или архивирования в МИС соответствует нормативному.

Типичные расхождения, которые выявляет аудит:

МИС удаляет карты через 3 года неактивности — при нормативном сроке 25 лет для стационара
Данные переносятся в «холодный» архив без сохранения прав доступа и журнала обращений
Резервные копии МИС хранятся дольше основной базы, что создаёт несанкционированный доступ к данным
При подключении к ЕГИСЗ данные реплицируются в федеральную систему, но срок хранения в ЕГИСЗ не совпадает с внутренним регламентом клиники

«Ч. 5 ст. 18 ФЗ-152 — запись, накопление, хранение, уточнение и извлечение персональных данных граждан РФ должны осуществляться с использованием баз данных, находящихся на территории России. Это требование распространяется и на облачные МИС с зарубежной инфраструктурой.»

Если МИС работает на серверах иностранного провайдера или данные реплицируются за рубеж, клиника нарушает требование локализации. Штраф по ч. 8 ст. 13.11 КоАП — 1–6 млн ₽, при повторном нарушении — 6–18 млн ₽.

МИС подключена к ЕГИСЗ, но политика хранения не описана?

Это стандартная уязвимость: данные пациентов хранятся дольше нормативного срока в резервных копиях и реплицируются в федеральные системы без явного правового основания. Юристы DATUM проведут аудит обработки ПДн в медицинской организации по 38-пунктному чек-листу и выявят расхождения с нормативами Минздрава и 152-ФЗ.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Разграничьте правовые основания хранения медицинских ПДн

Хранение медицинской карты после завершения лечения — это обработка персональных данных без активного согласия пациента. 152-ФЗ допускает такую обработку при наличии законного основания. Для медицинских организаций применяются два основных:

Исполнение обязанностей, возложенных законодательством (п. 2 ч. 1 ст. 6 ФЗ-152) — хранение документации предписано нормативами Минздрава и ст. 79 ФЗ-323
Защита жизни и здоровья субъекта или третьих лиц (п. 4 ч. 1 ст. 6 ФЗ-152) — применяется при экстренном лечении

«Ст. 13 ФЗ-323 — сведения о факте обращения за медицинской помощью, состоянии здоровья, диагнозе и иные сведения, полученные при медицинском обследовании и лечении, составляют врачебную тайну. Её разглашение допускается только в случаях, прямо предусмотренных законом.»

Врачебная тайна и режим специальных категорий ПДн по ст. 10 ФЗ-152 — это параллельные правовые конструкции. Нарушение врачебной тайны влечёт ответственность по ст. 13.14 КоАП и ст. 137 УК РФ, а нарушение 152-ФЗ — по ст. 13.11 КоАП. При утечке медицинских ПДн обе нормы могут применяться одновременно.

Согласие пациента на обработку ПДн (по ст. 9 ФЗ-152) требуется отдельно от информированного добровольного согласия на медицинское вмешательство (по ст. 20 ФЗ-323). Это разные документы, регулируемые разными законами. Объединение их в один бланк с 01.09.2025 — нарушение ФЗ-156.

Как определить уровень защищённости МИС: что требует ФСТЭК?

Медицинская информационная система обрабатывает специальные категории ПДн — данные о состоянии здоровья. По правилам ПП РФ № 1119 от 01.11.2012 это автоматически исключает нижние уровни защищённости. Уровень определяется пересечением трёх параметров: категория ПДн, тип угроз и число субъектов.

Специальные ПДн + угрозы 3-го типа (только внутренние нарушители) + более 100 000 субъектов — УЗ-2
Специальные ПДн + угрозы 2-го типа (уязвимости прикладного ПО) — УЗ-1 независимо от числа субъектов
Специальные ПДн + угрозы 3-го типа + менее 100 000 субъектов — УЗ-3

«Приказ ФСТЭК № 21 от 18.02.2013 — устанавливает состав и содержание организационных и технических мер защиты информации в информационных системах персональных данных. Для каждого уровня защищённости определён базовый набор мер из 15 групп (ИАФ, УПД, ОПС и др.).»

Клиника с МИС, подключённой к ЕГИСЗ, обрабатывает данные более 100 000 пациентов. Для неё минимальный уровень защищённости — УЗ-2, что требует ряда технических мер: многофакторная аутентификация, шифрование каналов передачи, защита от внешних угроз, регулярный контроль защищённости. Документальное подтверждение выбранного уровня защищённости — часть пакета ОРД, который проверяет РКН при плановой и внеплановой проверке.

Если главный врач получил уведомление о плановой проверке РКН — до её начала необходимо подготовить документы, подтверждающие уровень защищённости МИС и соответствие сроков хранения нормативам Минздрава. Срок включения в реестр операторов после уведомления — 30 дней (ч. 4 ст. 22 ФЗ-152).

Подготовиться к проверке РКН

Шаг 5. Оформите регламент уничтожения ПДн по истечении срока хранения

152-ФЗ требует уничтожения или обезличивания персональных данных при достижении целей обработки (ст. 5, принцип 7). Для медицинской организации это означает: по истечении нормативного срока хранения медицинской карты клиника обязана уничтожить содержащиеся в ней ПДн в порядке, исключающем восстановление.

Регламент уничтожения должен охватывать:

Бумажные носители — шредирование с составлением акта, подписанного комиссией
Электронные записи в МИС — безвозвратное удаление из основной базы
Резервные копии МИС — удаление из всех хранилищ резервного копирования с подтверждением
Данные в ЕГИСЗ — уточнение у оператора ЕГИСЗ порядка прекращения обработки
Данные у подрядчиков (лаборатории, телемедицинские платформы) — условие в договоре поручения обработки (п. 3 ст. 6 ФЗ-152)

«Ст. 21 ФЗ-152 — оператор обязан уничтожить персональные данные в срок, не превышающий 30 дней с даты достижения целей обработки, если иной срок не установлен федеральным законом или договором.»

Акт об уничтожении ПДн — обязательный документ в пакете ОРД. При проверке РКН его отсутствие фиксируется как самостоятельное нарушение по ч. 1 ст. 13.11 КоАП (штраф 150–300 тыс. ₽).

Шаг 6. Актуализируйте ОРД с учётом всех источников обязательств

Пакет организационно-распорядительной документации медицинской организации охватывает несколько нормативных источников одновременно: ФЗ-152, ФЗ-323, нормативы Минздрава и приказы ФСТЭК. ОРД должна отражать все сроки и основания хранения, а не только один из источников.

Что подготовить главному врачу к проверке РКН

Выписка из реестра операторов ПДн с pd.rkn.gov.ru с актуальными сведениями об обработке медицинских данных
Политика обработки персональных данных с разделами по ч. 2 ст. 18.1 ФЗ-152, включая сроки хранения по категориям документов
Отдельные согласия пациентов на обработку ПДн по новым требованиям ст. 9 ФЗ-152 (ред. ФЗ-156 от 24.06.2025, действует с 01.09.2025)
Приказ о назначении ответственного за обработку ПДн (ст. 22.1 ФЗ-152) и договор поручения с оператором МИС
Регламент уничтожения ПДн с актами за последние 3 года и журнал обращений субъектов

Отдельного внимания требует телемедицина. При дистанционном консультировании данные пациента передаются через платформу третьей стороны. Это обработка по поручению (п. 3 ст. 6 ФЗ-152), которая требует письменного договора с телемедицинской платформой, определяющего цели, состав данных, сроки и порядок уничтожения. Если платформа расположена за рубежом — обязательно уведомление РКН о трансграничной передаче до начала обработки (ст. 12 ФЗ-152).

Практические сценарии для главного врача

Сценарий 1. МИС хранит карты сверх нормативного срока. Клиника в Сибирском ФО (осень 2025) при внутреннем аудите обнаружила, что МИС содержит амбулаторные карты с последним обращением в 2015 году — при нормативном сроке 5 лет. Карты не удалялись из-за отсутствия регламента уничтожения. Главный врач поручил юристам составить акт уничтожения и внести изменения в политику ОРД. РКН при последующей плановой проверке нарушения не зафиксировал, поскольку регламент и акт были в наличии.

Сценарий 2. Утечка через подрядчика лаборатории. Многопрофильная клиника (Центральный ФО, начало 2026) передавала биоматериал в стороннюю лабораторию без письменного договора поручения обработки ПДн. После утечки базы лаборатории РКН возбудил дело против клиники как оператора — ответственность оператора за утечку через подрядчика подтверждена судебной практикой. Штраф составил несколько сотен тысяч рублей. Главный врач мог избежать ответственности, заключив договор с регламентом безопасности.

Сценарий 3. Согласие пациента — объединённый бланк после 01.09.2025. Городская поликлиника продолжала использовать форму согласия, совмещавшую ИДС и согласие на ПДн в одном документе. После 01.09.2025 такая форма нарушает ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156. При проверке РКН по жалобе пациента составлен протокол по ч. 2 ст. 13.11 КоАП — штраф для юридических лиц 300–700 тыс. ₽.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — выявление расхождений с нормативами Минздрава и требованиями 152-ФЗ
Комплект ОРД под ключ — политика, согласия, регламент уничтожения, договоры поручения
Сопровождение проверок РКН — подготовка, представление интересов, обжалование предписаний

Частые вопросы

1. Чем отличается ИДС от согласия на ПДн?

Информированное добровольное согласие (ИДС) — документ по ст. 20 ФЗ-323, подтверждающий согласие пациента на конкретное медицинское вмешательство. Согласие на обработку персональных данных — отдельный документ по ст. 9 ФЗ-152, дающий правовое основание для обработки ПДн. С 01.09.2025 (ФЗ-156) согласие на ПДн нельзя включать в состав иных документов. Хранятся они также по-разному: ИДС — в составе медицинской карты (до 25 лет), согласие на ПДн — в течение срока обработки плюс 3 года.

2. Можно ли публиковать фото «до-после» с согласия пациента?

Публикация фотографий пациента — это распространение персональных данных по ст. 10.1 ФЗ-152, которое требует отдельного согласия, прямо указывающего на цель (публикация), перечень ПДн (изображение лица, имя) и площадки размещения. Молчание или подпись под общей формой согласия на ПДн не дают права на распространение. Пациент вправе в любой момент отозвать это согласие, и клиника обязана удалить публикацию.

3. Кто отвечает за утечку через МИС?

Медицинская организация как оператор персональных данных несёт ответственность по ст. 13.11 КоАП вне зависимости от того, произошла ли утечка из собственной инфраструктуры или через подрядчика — разработчика или хостинг-провайдера МИС. Судебная практика подтверждает: оператор отвечает за утечку через обработчика. Снизить риск позволяет грамотный договор поручения (п. 3 ст. 6 ФЗ-152) с требованиями к безопасности и условием о возмещении убытков.

4. Какие данные передавать в ЕГИСЗ?

Перечень сведений, передаваемых в ЕГИСЗ, установлен постановлениями Правительства РФ в рамках ФЗ-323. Передача данных в ЕГИСЗ — обработка по законному основанию (п. 2 ч. 1 ст. 6 ФЗ-152), отдельного согласия пациента не требует. Вместе с тем клиника обязана указать ЕГИСЗ как получателя в политике обработки ПДн и уведомлении РКН. Передача данных, не предусмотренных нормативным перечнем, — нарушение принципа минимизации ст. 5 ФЗ-152.

5. Что грозит клинике за утечку медицинских ПДн?

Ответственность зависит от масштаба утечки. За утечку данных 1 000–10 000 пациентов — штраф 3–5 млн ₽ (ч. 12 ст. 13.11 КоАП). За 10 000–100 000 пациентов — 5–10 млн ₽ (ч. 13). За более 100 000 пациентов — 10–15 млн ₽ (ч. 14). Дополнительно — штраф за несвоевременное уведомление РКН: 1–3 млн ₽ (ч. 11). При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽.

6. Нужно ли уведомлять РКН, если клиника уже стоит в реестре с прежних времён?

Да, если фактический состав обработки изменился. Уведомление о намерении обрабатывать ПДн (ст. 22 ФЗ-152) подаётся до начала обработки; при изменении сведений оператор обязан направить уведомление об изменениях. Если клиника подключила МИС, начала передавать данные в ЕГИСЗ или запустила телемедицину — это новые цели и получатели, которые требуют обновления уведомления через pd.rkn.gov.ru. Неуведомление — штраф 100–300 тыс. ₽ по ч. 10 ст. 13.11 КоАП.

Итог

Нормативы Минздрава устанавливают минимальные сроки хранения медицинской документации — от 5 до 25 лет в зависимости от типа. Всё это время данные пациентов остаются специальными категориями ПДн по ст. 10 ФЗ-152 и требуют соответствующего уровня защиты. Расхождение между нормативным сроком и настройками МИС, отсутствие регламента уничтожения или объединённые бланки согласий — каждый из этих пунктов даёт РКН основание для протокола.

Практика DATUM охватывает медицинские организации различного профиля: от частных клиник до многопрофильных центров с подключением к ЕГИСЗ. Юристы специализируются на пересечении ФЗ-323, нормативов Минздрава и 152-ФЗ.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, обработка ПДн несовершеннолетних.

14 января 2029 года