инструкция 16 декабря 2028 По состоянию на 16 декабря 2028

Телемедицина (ст. 36.2 323-ФЗ) и ПДн

Телемедицина по ст. 36.2 Федерального закона № 323-ФЗ — это дистанционное взаимодействие медработников между собой и с пациентами с применением информационных технологий. Данные пациента при этом — спецкатегория по ст. 10 ФЗ-152, и их обработка требует отдельного письменного согласия.

За утечку медицинских данных от 10 000 до 100 000 субъектов клинике грозит штраф 5–10 млн ₽ по ч. 13 ст. 13.11 КоАП. При повторности — оборотный штраф от 1 до 3% годовой выручки, но не менее 20 млн ₽.

Если в вашей клинике запущена телемедицина, но согласия пациентов не разделены и МИС не прошла оценку по ПП РФ № 1119 — сейчас самый ранний момент это исправить без штрафа.

С 2018 года телемедицинские консультации стали частью легальной медицинской практики. Вместе с расширением телемедицины выросли требования к защите персональных данных пациентов: медицинская информация — спецкатегория по ст. 10 ФЗ-152, а за её утечку действуют самые высокие санкции ст. 13.11 КоАП. Эта инструкция описывает, как главному врачу выстроить обработку ПДн при телемедицине: от формата согласий до взаимодействия с ЕГИСЗ и реагирования на инцидент.

Шаг 1. Разберитесь, какие данные пациента вы обрабатываете и на каком основании

При телемедицинской консультации клиника обрабатывает как минимум три типа данных. Первый — идентификационные: ФИО, дата рождения, полис ОМС, паспорт. Второй — медицинские: диагноз, жалобы, результаты анализов, история болезни. Третий — технические: видео или аудиозапись консультации, IP-адрес, логи в МИС. Медицинские данные по ст. 10 ФЗ-152 относятся к спецкатегории: «данные о состоянии здоровья». Их обработка по общему правилу запрещена, если пациент не дал отдельное письменное согласие или нет иного основания из ч. 2 ст. 10 ФЗ-152.

«Ст. 10 ФЗ-152 — обработка данных о состоянии здоровья запрещена, если пациент не дал письменное согласие или обработка не нужна для оказания медицинской помощи (п. 4 ч. 2 ст. 10 ФЗ-152). Ст. 13 Федерального закона № 323-ФЗ — врачебная тайна распространяется на всё, что стало известно медработнику при обращении за помощью, включая факт обращения.»

Основание обработки медицинских данных при телемедицине — чаще всего п. 4 ч. 2 ст. 10 ФЗ-152: обработка необходима для защиты жизни и здоровья, либо оказания медицинской помощи и медицинского страхования. Но это не отменяет информированное добровольное согласие (ИДС) по ст. 20 и ст. 36.2 Федерального закона № 323-ФЗ. ИДС и согласие на обработку ПДн — два разных документа с разными реквизитами. Путать их — одна из самых частых ошибок клиник.

Шаг 2. Оформите правильные согласия — отдельно ИДС и отдельно согласие на ПДн

Информированное добровольное согласие (ИДС) по ст. 20 и ст. 36.2 Федерального закона № 323-ФЗ подтверждает, что пациент согласен на медицинское вмешательство дистанционно. Согласие на обработку персональных данных по ст. 9 ФЗ-152 — отдельный документ, который действует с 01.09.2025 как самостоятельный документ в силу ФЗ-156 от 24.06.2025: его нельзя включить в договор, оферту или ИДС.

Согласие на обработку ПДн для телемедицины должно содержать: полное наименование клиники как оператора, ФИО и контакты пациента, исчерпывающий перечень обрабатываемых данных (включая медицинские), цель обработки (оказание телемедицинской помощи), перечень действий (сбор, хранение, передача в ЕГИСЗ), срок действия, способ отзыва. Если консультация записывается — запись и её хранение тоже нужно включить в перечень действий.

Согласия пациентов объединены с договором или ИДС?

Если главный врач использует единый документ, объединяющий ИДС и согласие на ПДн — с 01.09.2025 это нарушение ч. 2 ст. 13.11 КоАП с штрафом до 700 000 ₽ за каждое обращение. Юристы DATUM разработают раздельные формы, соответствующие ФЗ-156 и ст. 36.2 Федерального закона № 323-ФЗ, и проведут аудит ОРД медицинской организации.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Оцените уровень защищённости МИС и выполните технические требования

Медицинская информационная система (МИС) — это информационная система персональных данных (ИСПДн). Клиника обязана определить её уровень защищённости по ПП РФ № 1119 от 01.11.2012. Для медицинских данных (спецкатегория) при числе субъектов более 100 000 — как правило, это УЗ-3, иногда УЗ-2. При числе субъектов менее 100 000 — УЗ-3 при угрозах 2 типа или УЗ-4 при угрозах 3 типа.

К УЗ-3 обязательны: назначение ответственного за безопасность ПДн, режим допуска в помещения с МИС, уничтожение (стирание) данных по окончании обработки, применение средств защиты информации, прошедших оценку соответствия. Приказ ФСТЭК № 21 детализирует конкретные меры в 15 группах: от идентификации и аутентификации (ИАФ) до защиты среды виртуализации (ЗСВ).

«ПП РФ № 1119 — для спецкатегорий при актуальных угрозах 2 типа и числе субъектов свыше 100 000 устанавливается УЗ-2; при угрозах 3 типа — УЗ-3. Конкретные меры для каждого уровня — Приказ ФСТЭК № 21 от 18.02.2013.»

Если телемедицина работает через облачную МИС у провайдера — клиника остаётся оператором ПДн и несёт полную ответственность. Провайдер действует как лицо, осуществляющее обработку по поручению (п. 3 ст. 6 ФЗ-152). Без письменного договора поручения с перечнем обрабатываемых данных и мер защиты оператор нарушает ст. 6 ФЗ-152. При утечке через провайдера ответственность перед РКН несёт клиника.

Шаг 4. Настройте передачу данных в ЕГИСЗ — что и на каком основании

Клиника, имеющая лицензию на медицинскую деятельность, обязана передавать сведения в Единую государственную информационную систему в сфере здравоохранения (ЕГИСЗ) на основании Постановления Правительства РФ и требований Министерства здравоохранения. При телемедицинских консультациях в ЕГИСЗ передаются данные о случае обращения: дата, специальность врача, диагноз по МКБ, результат консультации. Персональные идентификаторы пациента передаются в рамках исполнения возложенных законом обязанностей (п. 2 ч. 2 ст. 10 ФЗ-152, п. 2 ч. 1 ст. 6 ФЗ-152) — отдельное согласие пациента для передачи в ЕГИСЗ не требуется, но пациента нужно об этом информировать.

Интеграция МИС с ЕГИСЗ осуществляется через защищённые каналы связи (как правило, ГОСТ-шифрование). Клиника обязана включить информацию о передаче в ЕГИСЗ в политику обработки ПДн по ч. 2 ст. 18.1 ФЗ-152 и опубликовать её на официальном сайте. Отсутствие политики или её несоответствие фактической обработке — нарушение ч. 3 ст. 13.11 КоАП (штраф 30 000–60 000 ₽) и ч. 1 ст. 13.11 КоАП (штраф 150 000–300 000 ₽) одновременно.

Что подготовить главному врачу для соответствия требованиям

Два отдельных документа: ИДС по ст. 20 Федерального закона № 323-ФЗ и согласие на обработку ПДн по ст. 9 ФЗ-152 (с 01.09.2025 — обязательно отдельный документ).
Акт определения уровня защищённости МИС по ПП РФ № 1119 с подтверждением УЗ-3 или УЗ-4, подписанный ответственным за организацию обработки ПДн.
Договор поручения на обработку ПДн с провайдером МИС (если облачное решение) — с перечнем данных, целями и мерами защиты.
Политика обработки ПДн, опубликованная на сайте, — с разделом о телемедицине и передаче в ЕГИСЗ.
Регламент реагирования на инциденты с ПДн: контакты ответственного, алгоритм 24-часового уведомления РКН по ч. 3.1 ст. 21 ФЗ-152.

Шаг 5. Подготовьтесь к утечке: 24 часа и 72 часа по Приказу РКН № 187

Если произошёл инцидент с медицинскими данными пациентов — клиника как оператор ПДн обязана уведомить Роскомнадзор в течение 24 часов с момента обнаружения (ч. 3.1 ст. 21 ФЗ-152, Приказ РКН № 187 от 14.11.2022). Через 72 часа — направить отчёт о результатах внутреннего расследования. Срок не восстанавливается и не продлевается. Неуведомление — штраф 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП.

Помимо административной ответственности, утечка медицинских данных влечёт штраф по ч. 12–14 ст. 13.11 КоАП в зависимости от числа пострадавших субъектов: от 1 000 до 10 000 пациентов — 3–5 млн ₽ (ч. 12), от 10 000 до 100 000 — 5–10 млн ₽ (ч. 13), свыше 100 000 — 10–15 млн ₽ (ч. 14). При повторности — оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽.

Если в клинике зафиксирован инцидент с МИС или подозрение на утечку данных пациентов — у вас 24 часа на первичное уведомление РКН. Юристы DATUM подготовят уведомление, скоординируют расследование и составят 72-часовой отчёт.

Реагировать на утечку

Как это работает на практике: два сценария из телемедицины

Сценарий 1. Клиника запустила телемедицину, согласие на ПДн — часть договора на оказание услуг. Ситуация: медицинский центр в Сибирском ФО (2025 год) использовал единый документ — договор с разделом «Согласие на обработку ПДн». С 01.09.2025 такое объединение нарушает ст. 9 ФЗ-152 в редакции ФЗ-156. При плановой проверке РКН инспектор зафиксировал отсутствие отдельного согласия у 4 700 пациентов телемедицинского модуля. Вынесен протокол по ч. 2 ст. 13.11 КоАП. Штраф — в диапазоне сотен тысяч рублей. Стратегия: разработать отдельный бланк согласия заблаговременно, исключить любые ссылки на согласие в тексте ИДС или договора.

Сценарий 2. Утечка данных пациентов через уязвимость в облачной МИС. Ситуация: частная клиника (Центральный ФО, начало 2026 года) использовала облачную МИС без письменного договора поручения с провайдером. Хакеры скомпрометировали инфраструктуру провайдера, получив доступ к записям около 18 000 пациентов. Клиника уведомила РКН через 31 час (нарушение 24-часового срока). РКН возбудил дела по ч. 11 (неуведомление в срок — 1–3 млн ₽) и по ч. 13 (утечка 10 000–100 000 субъектов — 5–10 млн ₽). Дополнительно — нарушение ст. 6 ФЗ-152 (отсутствие договора поручения). Стратегия: заключить договор поручения до начала обработки; отработать процедуру 24-часового уведомления как регламент, не полагаясь на IT-службу провайдера.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка обработки медицинских ПДн, МИС и согласий пациентов по чек-листу из 38 пунктов.
Комплект ОРД под ключ — разработка политики, согласий пациентов, договора поручения с провайдером МИС и регламента реагирования.
Сопровождение проверок РКН — подготовка к проверке, представление интересов клиники перед инспектором.

Частые вопросы

1. Чем отличается ИДС от согласия на ПДн?

Информированное добровольное согласие (ИДС) по ст. 20 Федерального закона № 323-ФЗ подтверждает, что пациент соглашается на медицинское вмешательство и понимает его последствия. Согласие на обработку персональных данных по ст. 9 ФЗ-152 — отдельный документ, который подтверждает право клиники собирать, хранить и передавать данные пациента. С 01.09.2025 согласие на ПДн нельзя включать в ИДС, договор или оферту (ФЗ-156 от 24.06.2025). Два документа — разные цели, разные реквизиты, разные последствия при нарушении.

2. Можно ли публиковать фото «до-после» с согласия пациента?

Публикация фотографий пациента — это распространение персональных данных по ст. 10.1 ФЗ-152. Требуется отдельное согласие именно на распространение, отличное от согласия на обработку ПДн для медицинских целей. Если на фотографии видны признаки заболевания, это также данные о состоянии здоровья — спецкатегория по ст. 10 ФЗ-152. Нарушение — ч. 1 ст. 13.11 КоАП (штраф 150 000–300 000 ₽) или ч. 2 (до 700 000 ₽), если согласия на распространение не было вовсе.

3. Кто отвечает за утечку через МИС?

Ответственность перед РКН несёт клиника как оператор ПДн — даже если МИС принадлежит внешнему провайдеру. Провайдер действует как лицо, осуществляющее обработку по поручению (п. 3 ст. 6 ФЗ-152), и клиника обязана заключить с ним письменный договор поручения с перечнем мер защиты. При утечке через провайдера клиника получает протокол по ст. 13.11 КоАП; провайдер несёт ответственность в рамках договорных отношений с клиникой.

4. Какие данные передавать в ЕГИСЗ?

Состав передаваемых сведений определён нормативными актами Министерства здравоохранения и зависит от вида медицинской помощи. При телемедицинских консультациях это, как правило: данные о случае обращения (дата, специальность, диагноз по МКБ, исход). Передача осуществляется в рамках исполнения обязанностей оператора государственной информационной системы — отдельного согласия пациента не требуется (п. 2 ч. 2 ст. 10, п. 2 ч. 1 ст. 6 ФЗ-152). Клиника обязана отразить передачу в ЕГИСЗ в политике обработки ПДн.

5. Что грозит клинике за утечку данных пациентов?

Штраф зависит от числа пострадавших субъектов: от 1 000 до 10 000 пациентов — 3–5 млн ₽ (ч. 12 ст. 13.11 КоАП), от 10 000 до 100 000 — 5–10 млн ₽ (ч. 13), свыше 100 000 — 10–15 млн ₽ (ч. 14). Дополнительно: штраф 1–3 млн ₽ за неуведомление РКН в срок (ч. 11). При повторной утечке — оборотный штраф 1–3% годовой выручки, не менее 20 млн ₽ (ч. 15). Если данные переданы за рубеж незаконно — возможна уголовная ответственность по ст. 272.1 УК РФ.

6. Нужно ли уведомлять РКН о намерении обрабатывать медицинские ПДн?

Да. Медицинская организация, обрабатывающая данные пациентов в МИС, обязана подать уведомление о намерении осуществлять обработку персональных данных в Роскомнадзор по ст. 22 ФЗ-152 — до начала обработки. Форма уведомления — Приказ РКН № 180 от 28.10.2022, подача через pd.rkn.gov.ru. Отсутствие уведомления или несвоевременная подача — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП.

Итог

Телемедицина по ст. 36.2 Федерального закона № 323-ФЗ работает с данными о здоровье пациента — спецкатегорией по ст. 10 ФЗ-152. Это означает повышенные требования к согласиям, МИС как ИСПДн, договорам с провайдерами и скорости реагирования на инциденты. Штрафы за нарушения начинаются от 150 000 ₽ и достигают 15 млн ₽ за разовую утечку, при повторности — оборотного штрафа.

Практика DATUM сопровождает медицинские организации по полному циклу: от разработки согласий пациентов для телемедицинских платформ до представления интересов в РКН при проверках и инцидентах.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, ПДн несовершеннолетних.

16 декабря 2028 года