инструкция 17 января 2029 По состоянию на 17 января 2029

Запись телемедицинской консультации

Запись сеанса телемедицинской консультации — это обработка специальных категорий персональных данных пациента по ст. 10 ФЗ-152: голос, изображение и сведения о состоянии здоровья одновременно.

За утечку данных более 10 000 пациентов клиника получит штраф 5–10 млн ₽ по ч. 13 ст. 13.11 КоАП (в ред. с 30.05.2025); повторная утечка — оборотный штраф до 500 млн ₽ по ч. 15. Аудиовизуальная запись сеанса без отдельного письменного согласия — самостоятельное нарушение ч. 2 ст. 13.11 (300–700 тыс. ₽).

→ Если в клинике ведётся запись телемедицинских консультаций без раздельных согласий пациентов и без привязки к МИС — нужно пересмотреть процесс до первой проверки РКН.

С 2023 года телемедицина получила устойчивую правоприменительную базу: ЕГИСЗ принимает сведения о дистанционных консультациях, а РКН рассматривает запись видеосеанса как отдельное основание для протокола по ст. 13.11 КоАП. Главный врач отвечает за то, что данные пациента — диагноз, голос, изображение — не стали предметом утечки через незащищённый сервер или незащищённое хранилище МИС. Ниже — пошаговый порядок работы с записью телемедицинской консультации: от получения согласия до уничтожения файла.

Шаг 1. Определите правовой режим записи: чем запись консультации отличается от обычных ПДн пациента?

Медицинские данные — специальная категория по ст. 10 ФЗ-152. Их обработка по общему правилу запрещена; исключения строго перечислены в ч. 2 той же статьи. Голосовая и видеозапись консультации добавляет к медицинским данным биометрическую составляющую: изображение лица и голос подпадают под ст. 11 ФЗ-152, если они используются для идентификации личности.

На практике это означает, что одна видеозапись сеанса требует двух самостоятельных оснований: согласия на обработку специальных категорий ПДн (здоровье) и согласия на обработку биометрии (изображение + голос). Объединять их в один документ после 01.09.2025 нельзя — ФЗ-156 от 24.06.2025 обязал оформлять каждое согласие отдельным документом.

«Ст. 10 ФЗ-152 — обработка данных о состоянии здоровья допустима только при наличии письменного согласия субъекта либо в случаях, прямо предусмотренных законом (в том числе оказание медицинской помощи по ст. 13 ФЗ-323). Ст. 11 ФЗ-152 — обработка биометрии допустима исключительно на основании письменного согласия, за исключением случаев, установленных федеральным законом.»

Также учитывайте ст. 13 ФЗ-323 «Об основах охраны здоровья граждан»: сведения о факте обращения за медицинской помощью составляют врачебную тайну. Хранение записи консультации должно соответствовать режиму врачебной тайны независимо от того, кто является техническим оператором платформы.

Шаг 2. Соберите отдельные согласия пациента до начала записи

Согласие должно быть получено до начала записи — не в процессе и не после. По требованиям ст. 9 ФЗ-152 в редакции ФЗ-156 (действует с 01.09.2025) согласие является отдельным документом с обязательными реквизитами: ФИО и контакты субъекта, наименование оператора, цель обработки, перечень персональных данных, перечень действий с ними, срок и способ отзыва.

Для телемедицинской консультации необходимы три самостоятельных согласия.

Согласие на обработку медицинских данных — специальная категория по ст. 10 ФЗ-152; указывается цель: оказание дистанционной медицинской помощи.
Согласие на обработку биометрии — изображение лица и голос по ст. 11 ФЗ-152; указывается, что запись производится в целях документирования консультации и хранится в МИС.
Информированное добровольное согласие (ИДС) — согласие пациента на медицинское вмешательство по ст. 20 ФЗ-323; это отдельный медицинский документ, не замещающий согласия по ФЗ-152.

Согласия оформляются письменно или в электронной форме с квалифицированной электронной подписью. Если платформа позволяет только проставление галочки — этого недостаточно для биометрических данных. Форму проверяет уполномоченный сотрудник МИС или DPO клиники до запуска сервиса.

Согласия пациентов собираются «на ходу», а МИС не настроена под отдельные документы?

Главный врач в такой ситуации несёт личную ответственность за каждый сеанс без правильно оформленного согласия: штраф по ч. 2 ст. 13.11 КоАП — 300–700 тыс. ₽ за юрлицо, плюс отдельно на должностное лицо. Если записи ведутся уже год — совокупный риск кратно выше. Юристы DATUM соберут пакет согласий по требованиям ФЗ-156 и проверят форматы МИС на соответствие ст. 9 и ст. 11 ФЗ-152.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Шаг 3. Зафиксируйте запись в МИС и передайте сведения в ЕГИСЗ

После завершения консультации запись и сопутствующие медицинские данные вносятся в медицинскую информационную систему (МИС) клиники. МИС является информационной системой персональных данных (ИСПДн), поэтому к ней предъявляются требования ПП РФ №1119: необходимо определить уровень защищённости (УЗ). При наличии специальных категорий ПДн и числе субъектов до 100 000 — не ниже УЗ-3; при угрозах первого или второго типа — УЗ-2 или УЗ-1.

Данные о телемедицинской консультации подлежат передаче в ЕГИСЗ в объёме, установленном Постановлением Правительства РФ о порядке организации и оказания медицинской помощи с использованием телемедицинских технологий. Передача сведений в ЕГИСЗ — это трансфер ПДн третьей стороне: государственной информационной системе. Правовое основание — исполнение обязанности, возложенной законом (п. 2 ч. 1 ст. 6 ФЗ-152); отдельного согласия пациента не требуется, однако в политике обработки ПДн клиники ЕГИСЗ должен быть указан как получатель данных.

«Ч. 5 ст. 18 ФЗ-152 — запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан РФ должны осуществляться с использованием баз данных, расположенных на территории Российской Федерации. Использование иностранных облачных платформ для первичного хранения записей нарушает это требование и квалифицируется по ч. 8 ст. 13.11 КоАП — штраф 1–6 млн ₽.»

Если платформа телемедицины — внешний SaaS-оператор, клиника должна заключить с ним договор поручения обработки ПДн по ст. 6 ч. 3 ФЗ-152. Без такого договора SaaS-оператор работает без правового основания; ответственность за утечку через его серверы несёт клиника как оператор ПДн.

Шаг 4. Организуйте хранение и разграничение доступа к записям

Видеозапись консультации хранится в защищённом хранилище МИС. Срок хранения определяется медицинским законодательством (как правило, не менее 25 лет для медицинской документации по приказу Минздрава). Хранение ПДн без цели — нарушение принципа ст. 5 ФЗ-152: данные уничтожаются или обезличиваются при достижении цели обработки либо по истечении установленного срока.

Доступ к записям разграничивается по ролям: лечащий врач — полный доступ к своим пациентам; администратор МИС — технический доступ без просмотра содержимого; руководство — только агрегированная статистика. Журнал доступа к записям ведётся автоматически и хранится не менее одного года. Это требование Приказа ФСТЭК №21 (группа мер РСБ — регистрация событий безопасности).

Передача записи на внешние носители или по незащищённым каналам связи без обезличивания — нарушение технических мер защиты, предусмотренных ст. 19 ФЗ-152 и Приказом ФСТЭК №21. При наступлении утечки по такому основанию виновное должностное лицо несёт риск привлечения по ст. 272.1 УК РФ (действует с 11.12.2024) — за незаконную передачу компьютерной информации с ПДн.

Что подготовить главному врачу

Три отдельных согласия пациента: на медицинские ПДн (ст. 10 ФЗ-152), на биометрию (ст. 11 ФЗ-152) и ИДС (ст. 20 ФЗ-323) — по форматам, соответствующим ФЗ-156 с 01.09.2025
Договор поручения обработки ПДн с платформой телемедицины (SaaS-оператором) по ст. 6 ч. 3 ФЗ-152 с указанием перечня действий, мер защиты и запрета передачи третьим лицам
Паспорт ИСПДн МИС с определённым уровнем защищённости (не ниже УЗ-3 для специальных категорий) и актуальным планом технических мер по Приказу ФСТЭК №21
Политику обработки ПДн с разделами о ЕГИСЗ как получателе данных, сроках хранения записей и порядке уничтожения
Журнал учёта доступа к записям консультаций и журнал обращений субъектов ПДн за последние 12 месяцев

Шаг 5. Организуйте реагирование на утечку записей в срок 24/72 часа

Если запись телемедицинской консультации стала предметом неправомерного доступа — это утечка специальных категорий ПДн. Порядок реагирования установлен ч. 3.1 ст. 21 ФЗ-152 и Приказом РКН №187 от 14.11.2022.

В течение 24 часов с момента обнаружения клиника направляет в РКН первичное уведомление через портал pd.rkn.gov.ru. В течение 72 часов — отчёт о результатах внутреннего расследования с описанием объёма утечки, затронутых субъектов, принятых мер и ответственных лиц. Пропуск срока 24 часов — штраф 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП. Если утечка затронула от 10 000 до 100 000 пациентов — дополнительно от 5 до 10 млн ₽ по ч. 13 ст. 13.11.

«Ч. 3.1 ст. 21 ФЗ-152 — при выявлении факта неправомерной или случайной передачи ПДн оператор обязан уведомить уполномоченный орган в течение 24 часов, а по результатам расследования — в течение 72 часов. Срок исчисляется с момента обнаружения и не подлежит восстановлению.»

Утечка медицинских данных дополнительно влечёт риск по ст. 137 УК РФ (нарушение неприкосновенности частной жизни через разглашение медицинской тайны) и по ст. 272.1 УК РФ в отношении виновных лиц.

Если в клинике произошла утечка записей телемедицинских консультаций — у главного врача 24 часа на уведомление РКН. Срок не восстанавливается. Юристы DATUM организуют реагирование, составят первичное уведомление и подготовят отчёт за 72 часа.

Подготовиться к проверке РКН

Как это применяется на практике

Кейс 1. Частная клиника в Сибирском федеральном округе (осень 2025 года) запустила телемедицинскую платформу на базе иностранного SaaS-решения без договора поручения обработки ПДн и без проверки локализации данных. При плановой проверке РКН установил, что первичное хранение видеозаписей консультаций происходило на серверах за пределами России. Клинике выставлен штраф по ч. 8 ст. 13.11 КоАП (нарушение локализации) — в диапазоне 1–6 млн ₽. Параллельно выявлено отсутствие отдельных согласий на биометрию — второй протокол по ч. 2 ст. 13.11. Главный врач обратился к юристам после получения первого протокола; удалось добиться замены части штрафа через применение смягчающих обстоятельств.

Кейс 2. Телемедицинский сервис в Центральном федеральном округе (начало 2026 года) зафиксировал несанкционированный доступ к базе МИС. Утечка затронула около 15 000 пациентов — диагнозы и контактные данные. Руководство клиники уведомило РКН в течение 20 часов с момента обнаружения, через 68 часов направило отчёт о расследовании. Несмотря на факт утечки, суд учёл оперативность как смягчающее обстоятельство. Штраф назначен по ч. 13 ст. 13.11 КоАП; привлечение по ч. 15 (оборотный) исключено в связи с первичностью нарушения. ⚠️ Конкретный номер дела и точная сумма — менеджер уточняет при публикации.

Типовые ситуации: что идёт не так у главного врача

Ситуация 1. Согласие встроено в договор на оказание медицинских услуг. До 01.09.2025 это допускалось практикой; после — нарушение ФЗ-156. Согласие на обработку ПДн должно быть отдельным документом. При проверке РКН каждый такой договор — основание для штрафа по ч. 2 ст. 13.11 (300–700 тыс. ₽). Стратегия: провести ревизию форм до следующего цикла заключения договоров, переоформить согласия для новых пациентов, для старых — оформить дополнительные согласия при следующем обращении.

Ситуация 2. Платформа телемедицины работает без договора поручения. SaaS-оператор хранит и обрабатывает данные пациентов де-факто, но юридически не связан с клиникой договором по ст. 6 ч. 3 ФЗ-152. При утечке через платформу клиника несёт полную ответственность как оператор. Доказательства: журналы доступа SaaS-провайдера и факт передачи данных без договора. Исход: штраф + требование о прекращении передачи. Стратегия: заключить договор поручения, прописать меры защиты и ограничения использования данных.

Ситуация 3. МИС передаёт данные в ЕГИСЗ, но политика конфиденциальности не обновлена. Пациент в ответ на запрос о своих ПДн узнаёт, что его данные переданы в государственную систему, о которой в согласии ничего не сказано. Жалоба в РКН — повод для внеплановой проверки. Стратегия: актуализировать политику обработки ПДн и информацию для субъектов с перечнем всех получателей данных.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка МИС, согласий и договоров поручения на соответствие актуальным требованиям
Комплект ОРД под ключ — политика, согласия, приказы, договоры с SaaS-операторами для медорганизации
Сопровождение проверок РКН — подготовка к проверке, представление интересов клиники, обжалование предписаний

Частые вопросы

1. Чем отличается ИДС от согласия на персональные данные?

Информированное добровольное согласие (ИДС) — медицинский документ по ст. 20 ФЗ-323: пациент соглашается на конкретное медицинское вмешательство, понимая его цель, риски и альтернативы. Согласие на обработку ПДн — правовое основание по ст. 9 ФЗ-152: пациент разрешает клинике собирать, хранить и использовать его персональные данные в определённых целях. Это два разных документа с разными реквизитами, разными целями и разными основаниями. Подписание ИДС не заменяет согласия по ФЗ-152 и наоборот.

2. Можно ли публиковать фотографии пациентов «до и после» с их согласия?

Да, но только при соблюдении трёх условий. Первое — отдельное письменное согласие на распространение ПДн по ст. 10.1 ФЗ-152 (публикация — это распространение, а не просто обработка). Второе — согласие должно содержать конкретные площадки распространения (сайт, Instagram, иной ресурс) и срок. Третье — пациент вправе отозвать согласие в любой момент; клиника обязана удалить фото по такому требованию. Публикация без отдельного согласия на распространение — нарушение ст. 10.1 ФЗ-152.

3. Кто отвечает за утечку данных через МИС — клиника или поставщик системы?

Перед РКН и пациентом отвечает клиника как оператор ПДн. Поставщик МИС несёт ответственность только в пределах договора поручения обработки ПДн (ст. 6 ч. 3 ФЗ-152): если договор заключён и поставщик действовал в нарушение его условий — клиника вправе предъявить к нему регрессный иск. При отсутствии договора поручения клиника несёт весь объём ответственности самостоятельно, включая штрафы по ст. 13.11 КоАП и требования субъектов о возмещении вреда.

4. Какие данные клиника обязана передавать в ЕГИСЗ?

Состав сведений, передаваемых в ЕГИСЗ, определяется нормативными актами Минздрава о порядке информационного взаимодействия медицинских организаций с государственными информационными системами здравоохранения. В части телемедицины передаются данные об оказанной дистанционной консультации: дата, вид помощи, специальность врача, результат. Передача персональных данных пациента в ЕГИСЗ происходит на основании закона (п. 2 ч. 1 ст. 6 ФЗ-152) — отдельного согласия пациента не требуется, но ЕГИСЗ должен быть указан в политике обработки ПДн клиники как получатель данных.

5. Что грозит клинике за утечку медицинских данных пациентов?

Санкции зависят от масштаба. Утечка от 1 000 до 10 000 субъектов — штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП; от 10 000 до 100 000 — 5–10 млн ₽ по ч. 13; свыше 100 000 — 10–15 млн ₽ по ч. 14. Повторная утечка — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. Дополнительно — штраф 1–3 млн ₽ за пропуск срока уведомления РКН (ч. 11 ст. 13.11) и риск уголовного преследования виновных лиц по ст. 272.1 УК РФ.

6. Нужно ли переоформлять старые согласия пациентов после 01.09.2025?

ФЗ-156 от 24.06.2025 обратной силы не имеет: ранее полученные согласия, оформленные в соответствии с требованиями на момент их подписания, сохраняют силу. Переоформление требуется только для новых согласий, получаемых с 01.09.2025, и в случаях, когда старое согласие не содержало обязательных реквизитов даже по прежним нормам. При следующем контакте с пациентом рекомендуется предложить актуализированную форму согласия.

Итог

Запись телемедицинской консультации — пересечение трёх правовых режимов: специальные категории ПДн по ст. 10 ФЗ-152, биометрия по ст. 11 ФЗ-152 и врачебная тайна по ст. 13 ФЗ-323. Каждый из них требует самостоятельного правового основания, отдельных согласий и технических мер защиты соответствующего уровня. Несоблюдение хотя бы одного элемента — отдельный состав административного правонарушения.

Юристы DATUM сопровождают медицинские организации в настройке процесса обработки ПДн пациентов: от форм согласий и договоров с SaaS-операторами до представления интересов при проверке РКН.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, обработка ПДн несовершеннолетних.