инструкция 21 января 2029 По состоянию на 21 января 2029

Уничтожение медкарты: процедура

Медицинская карта содержит специальные категории персональных данных по ст. 10 ФЗ-152 — данные о состоянии здоровья. Хранить их после достижения целей обработки запрещено.

С 30.05.2025 штраф за утечку данных пациентов составляет от 3 до 15 млн рублей в зависимости от числа субъектов (ч. 12–14 ст. 13.11 КоАП). Неправильное уничтожение медкарты или несвоевременное уничтожение — основание для проверки Роскомнадзора.

Если вы главный врач и в клинике нет регламента уничтожения медкарт — разбираем процедуру пошагово: от выявления истёкших карт до акта об уничтожении.

Уничтожение медицинской карты — обязанность, прямо вытекающая из ст. 5 и ст. 21 ФЗ-152: оператор обязан уничтожить персональные данные по достижении целей обработки или при отзыве согласия. Для медорганизаций это пересекается с требованиями ст. 13 Федерального закона №323-ФЗ о врачебной тайне и приказами Минздрава о сроках хранения медицинской документации. В 2025 году Роскомнадзор зафиксировал более 250 публичных утечек с медицинскими данными в числе наиболее пострадавших категорий. Ниже — пошаговый регламент для медицинской организации.

Что такое медкарта как объект персональных данных по 152-ФЗ?

Медицинская карта пациента содержит как минимум две категории данных. Общие персональные данные — фамилия, имя, отчество, дата рождения, адрес, СНИЛС. И специальные категории по ст. 10 ФЗ-152 — сведения о состоянии здоровья, диагнозы, результаты обследований, записи врачей. Специальные категории защищаются строже: их обработка по общему правилу запрещена, кроме случаев прямого согласия пациента или исполнения обязательств в сфере охраны здоровья.

«Ст. 10 ФЗ-152 запрещает обработку сведений о состоянии здоровья, за исключением случаев, когда субъект дал явное согласие, либо обработка необходима для охраны жизни или в целях медицинской профилактики, диагностики, оказания медицинской помощи.»

Помимо ФЗ-152, медкарта охраняется ст. 13 Федерального закона №323-ФЗ как носитель врачебной тайны. Разглашение сведений из неё — самостоятельный состав нарушения. Из этого следует: при уничтожении медкарты клиника одновременно выполняет требования двух законов. Если МИС хранит данные в электронном виде, уничтожению подлежат и электронные записи в системе, и резервные копии.

Шаг 1. Определите, какие медкарты подлежат уничтожению

Первым делом нужно установить сроки хранения. Для медицинских организаций они определяются Приказом Минздрава №205н от 31.03.2021 «Об утверждении перечней документов» (и смежными НПА, которые менеджер уточняет при публикации). Типовые сроки для амбулаторных карт — 25 лет; для историй болезни стационарных пациентов — 25 лет; для карт детей — до достижения 18 лет плюс установленный срок. Ряд документов (карты с онкологическими диагнозами, туберкулёзом и ВИЧ) хранятся бессрочно.

Порядок отбора карт к уничтожению:

Сформируйте список пациентов, у которых истёк срок хранения медицинской документации.
Для МИС — выгрузите реестр записей с датой последнего обращения и отметкой о прекращении медицинской деятельности.
Проверьте, нет ли действующих судебных споров или запросов от страховых организаций — в этих случаях уничтожение приостанавливается.
Уточните статус пациента в ЕГИСЗ: если данные переданы в региональный сегмент, возможны дополнительные требования регионального оператора.

Шаг 2. Создайте комиссию и подготовьте акт отбора

Уничтожение медкарт — коллегиальная процедура. Приказом руководителя медорганизации создаётся комиссия не менее чем из трёх человек: представитель администрации, ответственный за обработку персональных данных (назначенный по ст. 22.1 ФЗ-152) и медицинский работник. Комиссия составляет акт отбора документов к уничтожению с перечнем карт, сроками хранения и основанием для уничтожения.

Акт отбора должен содержать:

наименование медицинской организации и её реквизиты;
перечень документов с указанием периодов, к которым они относятся;
основание для уничтожения — истечение срока хранения или отзыв согласия пациента;
подписи всех членов комиссии и дату составления.

Нет регламента уничтожения медкарт — как быть главному врачу?

Роскомнадзор при проверке медорганизации запрашивает не только политику обработки ПДн, но и регламент уничтожения с актами за последние 12 месяцев. Отсутствие документов — основание для штрафа по ч. 1 ст. 13.11 КоАП (до 300 тыс. рублей). Если у вас нет пакета ОРД для клиники — юристы DATUM соберут его под ключ: политика, согласия пациентов, регламенты уничтожения, приказ об ответственном лице.

Собрать ОРД под ключ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Уничтожьте бумажные медкарты

Бумажные медицинские карты уничтожаются способом, исключающим восстановление данных. Сжигание, шредирование или передача специализированной организации по договору — все три варианта допустимы. Ключевое требование ст. 19 ФЗ-152 и ч. 6 ст. 13.11 КоАП: условия хранения и уничтожения материальных носителей не должны допускать неправомерного доступа к ПДн.

При передаче сторонней организации на уничтожение:

Заключите договор на уничтожение документов с указанием конфиденциальности.
Получите акт об уничтожении с указанием способа и даты.
Сохраните акт как доказательство выполнения обязанности по ст. 21 ФЗ-152.

Шредирование собственными силами: степень измельчения — не ниже P-4 по стандарту DIN 66399 (поперечный разрез не более 160 кв. мм). Зола от сжигания — сделайте фото фиксацию процесса и внесите в акт.

Шаг 4. Уничтожьте электронные записи в МИС и ЕГИСЗ

Электронные медкарты в МИС требуют отдельной процедуры. Простое удаление файла не является уничтожением по смыслу ст. 3 ФЗ-152 — данные остаются в резервных копиях и журналах системы. Уничтожение электронных ПДн означает действия, после которых восстановление становится невозможным.

«Ст. 3 ФЗ-152 определяет уничтожение персональных данных как действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе и уничтожаются материальные носители.»

Порядок для МИС:

Удалите записи из основной базы данных МИС с применением сертифицированного инструмента затирания.
Уничтожьте или перезапишите резервные копии, содержащие подлежащие уничтожению данные.
Очистите журналы аудита или перенесите их в обезличенный формат — сохранив факт обращения, но исключив идентификаторы пациента.
Если МИС подключена к ЕГИСЗ — направьте в региональный сегмент уведомление о прекращении хранения в соответствии с регламентом оператора регионального сегмента.

Уровень защищённости МИС с данными о здоровье пациентов — как правило УЗ-3 или УЗ-2 по ПП РФ №1119 (специальные категории ПДн, тип угрозы зависит от инфраструктуры). Это означает, что процедура уничтожения должна быть задокументирована в модели угроз и в регламентах оператора.

Что подготовить для уничтожения медкарт

Приказ о создании комиссии по уничтожению документов с персональными данными.
Акт отбора медкарт к уничтожению с перечнем и основаниями.
Акт об уничтожении (бумажные носители) или протокол затирания (электронные записи).
Договор со сторонней организацией — если уничтожение передано на аутсорс.
Регламент уничтожения ПДн как часть пакета ОРД по ст. 18.1 ФЗ-152.

Шаг 5. Составьте акт об уничтожении

Акт об уничтожении — финальный документ, подтверждающий выполнение обязанности по ст. 21 ФЗ-152. Он подписывается всеми членами комиссии и хранится в делах медорганизации. Срок хранения акта об уничтожении — не менее 3 лет (рекомендация исходя из общих сроков исковой давности и сроков давности по ст. 13.11 КоАП).

Обязательные элементы акта:

дата и место уничтожения;
перечень уничтоженных медкарт (или ссылка на прилагаемый реестр);
способ уничтожения;
состав комиссии с подписями;
для электронных носителей — наименование и версия ПО, использованного для затирания.

Если главный врач получил предписание РКН или запрос об уничтожении ПДн пациентов — срок исполнения по ст. 21 ФЗ-152 составляет 7 рабочих дней. Пропуск срока фиксируется как повторное нарушение по ч. 5.1 ст. 13.11 КоАП (штраф до 500 тыс. рублей). Юристы DATUM сопроводят взаимодействие с регулятором и подготовят ответ в срок.

Подготовиться к проверке РКН

Какие риски возникают при нарушении процедуры уничтожения?

Медицинские данные — специальная категория по ст. 10 ФЗ-152. Это означает повышенную ответственность за любое нарушение обработки, включая уничтожение. Рассмотрим три типичных сценария.

Сценарий 1. Медкарты хранятся дольше установленного срока. Ситуация: в архиве клиники обнаружены амбулаторные карты пациентов 1990-х годов без признаков их включения в текущую деятельность. Основание для проверки — жалоба бывшего пациента или плановая проверка РКН. Вероятный исход: предписание об уничтожении и штраф по ч. 1 ст. 13.11 КоАП (150–300 тыс. рублей). Стратегия: немедленно провести инвентаризацию архива, составить акт отбора и уничтожить карты с истёкшим сроком до проверки.

Сценарий 2. Электронные данные в МИС не удалены после уничтожения бумажной карты. Ситуация: клиника уничтожила бумажные носители, но не удалила записи в МИС и резервные копии. При инциденте с МИС утекают данные пациентов, которые формально уже должны были быть уничтожены. Исход: штраф по ч. 12–14 ст. 13.11 КоАП (от 3 до 15 млн рублей в зависимости от числа субъектов) плюс ответственность по ст. 13 Федерального закона №323-ФЗ. Стратегия: регламент уничтожения должен охватывать все форматы хранения — бумажный, электронный в МИС, резервные копии.

Сценарий 3. Пациент отозвал согласие и требует уничтожения ПДн. Ситуация: бывший пациент направил письменный отзыв согласия на обработку персональных данных. Клиника не отреагировала в течение 30 дней. Исход: жалоба в РКН, проверка, штраф по ч. 5 ст. 13.11 КоАП (50–90 тыс. рублей) плюс обязательное уничтожение. Стратегия: установить процедуру обработки заявлений об отзыве согласия с фиксацией срока и результата — в соответствии с ч. 5 ст. 9 ФЗ-152.

Как это применяется на практике

Кейс 1. Частная клиника в Приволжском федеральном округе (зима 2025–2026) прошла плановую проверку РКН. Проверяющие запросили акты об уничтожении медкарт за последние три года. Клиника представила акты по бумажным носителям, однако не смогла подтвердить уничтожение электронных записей в МИС. По итогам проверки вынесено предписание об устранении нарушений и составлен протокол по ч. 1 ст. 13.11 КоАП. Штраф составил несколько сотен тысяч рублей. Главный врач привлёк юристов для подготовки регламента уничтожения и ответа на предписание — нарушение было устранено в срок, повторных санкций удалось избежать.

Кейс 2. Многопрофильный медицинский центр (Центральный федеральный округ, осень 2025) получил запрос от пациента об уничтожении персональных данных после расторжения договора на медицинское обслуживание. Клиника применила стандартный ответ об отказе со ссылкой на обязанность хранения медицинской документации по Приказу Минздрава. Между тем часть данных — контактные сведения и платёжная история — хранению по медицинским основаниям не подлежала. РКН обязал уничтожить эту часть данных. Итог: предписание выполнено, штраф по ч. 5 ст. 13.11 КоАП назначен в минимальном размере.

Услуги DATUM по теме

Комплект ОРД под ключ — регламент уничтожения, акты, политика, согласия пациентов
Аудит соответствия 152-ФЗ — проверка процедур уничтожения ПДн в медорганизации
Сопровождение проверок РКН — представление интересов при проверке и обжаловании предписаний

Частые вопросы

1. Чем отличается информированное добровольное согласие (ИДС) от согласия на обработку персональных данных?

ИДС — медицинский документ по ст. 20 Федерального закона №323-ФЗ, подтверждающий согласие пациента на медицинское вмешательство. Согласие на обработку ПДн — юридический документ по ст. 9 ФЗ-152, закрепляющий разрешение на конкретные действия с персональными данными. Это два разных документа с разными реквизитами и разными целями. Объединять их в одном бланке с 01.09.2025 запрещено по ФЗ-156: согласие на ПДн оформляется отдельно.

2. Можно ли публиковать фото пациента «до и после» с его письменного согласия?

Да, при наличии отдельного письменного согласия на распространение изображений и данных о состоянии здоровья по ст. 10.1 ФЗ-152. Согласие должно прямо указывать: что именно публикуется, на каких площадках, в каких целях и на какой срок. Подписанного ИДС недостаточно — он не охватывает распространение данных третьим лицам. При отзыве согласия пациентом клиника обязана прекратить распространение и уничтожить опубликованный контент в той мере, в которой это возможно.

3. Кто отвечает за утечку данных через МИС — клиника или разработчик системы?

Ответственность несёт медицинская организация как оператор персональных данных по ст. 6 ФЗ-152 — независимо от того, произошла ли утечка по вине разработчика МИС или стороннего подрядчика. Разработчик выступает лицом, осуществляющим обработку по поручению, и несёт ответственность перед клиникой в рамках договора. Перед Роскомнадзором отвечает оператор. Это подтверждается позицией судебной практики: оператор несёт ответственность за утечку через подрядчика. Штраф по ч. 12–14 ст. 13.11 КоАП предъявляется клинике.

4. Какие данные медорганизация обязана передавать в ЕГИСЗ?

Состав передаваемых сведений определяется Постановлением Правительства РФ об организации ЕГИСЗ и подзаконными актами Минздрава. В общем случае в региональный сегмент передаются сведения об оказанных медицинских услугах, диагнозах (в обезличенном или идентифицированном виде в зависимости от требований регионального оператора), электронные медицинские документы. Согласие пациента на передачу в ЕГИСЗ должно быть отражено в документах клиники. Объём и формат передачи уточняйте у регионального оператора ЕГИСЗ и в актуальной редакции НПА Минздрава.

5. Что грозит клинике за утечку данных пациентов с 30.05.2025?

За утечку данных от 1 000 до 10 000 субъектов — штраф 3–5 млн рублей по ч. 12 ст. 13.11 КоАП. От 10 000 до 100 000 субъектов — 5–10 млн рублей по ч. 13. Свыше 100 000 субъектов — 10–15 млн рублей по ч. 14. При повторной утечке — оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, но не менее 20 млн рублей. Данные о здоровье относятся к специальным категориям, что отягчает административную ответственность. Дополнительно возможна ответственность по ст. 272.1 УК РФ для физических лиц, виновных в утечке.

6. Нужно ли уведомлять пациента об уничтожении его медкарты?

Прямой обязанности уведомлять пациента об уничтожении медкарты по истечении срока хранения ФЗ-152 не содержит. Однако если пациент направил запрос на уничтожение данных или отозвал согласие, клиника обязана уведомить его об уничтожении в разумный срок — это следует из принципа прозрачности обработки ст. 5 ФЗ-152 и права субъекта на получение информации об обработке его ПДн по ст. 20 ФЗ-152.

Итог

Уничтожение медицинской карты — многоэтапная процедура, охватывающая отбор документов, работу комиссии, уничтожение бумажных и электронных носителей и составление актов. Нарушение любого этапа создаёт риск штрафа от 150 тыс. до 15 млн рублей по ст. 13.11 КоАП, а при повторной утечке — оборотного взыскания от 20 млн рублей.

Юристы DATUM специализируются на 152-ФЗ в медицине: разрабатывают регламенты уничтожения ПДн, собирают пакеты ОРД для клиник, сопровождают проверки Роскомнадзора. Среди клиентов — частные клиники, сети медицинских центров и телемедицинские сервисы.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, обработка ПДн несовершеннолетних.

21 января 2029 года