Один из вопросов, который я слышу от коллег чаще всего: сколько вообще нужно хранить записи по клиенту — год, три, пять лет? И ещё: что делать с ними в цифровом виде, чтобы не нарушить закон? Прямого ответа на оба вопроса нет, потому что речь идёт не об одном законе, а о трёх разных логиках, которые часто сливаются в одну кашу.
Три разные логики — и почему их нельзя смешивать
Когда психолог говорит «я обязан хранить данные три года по закону», он, скорее всего, имеет в виду срок исковой давности из Гражданского кодекса. Но произносит это так, как будто это требование 152-ФЗ. Это разные вещи с разными целями.
Первая логика — 152-ФЗ «О персональных данных». Этот закон регулирует не срок хранения, а условия обработки. По смыслу закона вы обязаны прекратить обработку персональных данных клиента, как только достигнута цель (завершена терапия) или клиент отозвал согласие. «Прекратить обработку» означает уничтожить или обезличить данные. Никакого «храните три года» в 152-ФЗ нет. Закон говорит ровно обратное: не держите данные дольше, чем нужно для цели.
Вторая логика — срок исковой давности (ст. 196 ГК РФ). Три года — это срок, в течение которого бывший клиент теоретически может предъявить к вам гражданский иск. Многие психологи держат заметки именно столько, чтобы при необходимости восстановить картину работы: о чём шла речь, какой была динамика, выполнялись ли рекомендации. Это разумная профессиональная практика, и основание для неё — ГК, а не 152-ФЗ. По сути это компромисс: вы чуть дольше храните данные, чем требует закон о персональных данных, но в рамках разумной самозащиты.
Третья логика — профессиональная этика. Профессиональные ассоциации могут давать собственные рекомендации по срокам хранения документации. Конкретные цифры лучше уточнять в действующей редакции этического кодекса той ассоциации, членом которой вы являетесь: формулировки и сроки периодически обновляются, и я не хочу выдавать вам устаревшие данные как актуальные.
Что значит «хранить в России»
Ещё одна тема, где у коллег чаще всего возникают вопросы. По общему правилу 152-ФЗ (ст. 18, ч. 5) при сборе персональных данных граждан РФ первичная запись и обновление должны производиться на серверах, физически расположенных в России. Трансграничная передача данных возможна, но требует отдельных оснований, прописанных в законе.
Практически это означает вот что: если вы ведёте записи в облачном сервисе, стоит проверить, где именно расположены его серверы. Европейские и американские облака автоматически не подходят под требование локализации. Это не значит, что они все под запретом, но использование требует аккуратности и понимания условий договора с провайдером.
Моя коллега Наташа несколько лет вела заметки в одном популярном иностранном приложении, считая его «просто удобным блокнотом». Когда она начала разбираться в вопросе плотнее, оказалось, что серверы сервиса находятся за рубежом, а отдельного договора на обработку персональных данных у неё нет. Она не нарушала закон злонамеренно — просто никто не объяснял эту разницу доступно.
Как защитить данные на практике
Независимо от того, где вы храните записи, есть несколько вещей, которые я считаю базовой гигиеной. Не буду перечислять всё подряд — выделю то, что реально снижает риски:
- Шифрование на уровне устройства или сервиса. Если телефон или ноутбук окажется у чужих людей, зашифрованные данные им мало что дадут. На macOS и iPhone шифрование включено по умолчанию при наличии пароля. На Android — проверьте настройки. Для отдельных папок с заметками можно использовать дополнительный уровень шифрования.
- Отдельный парольный доступ к папке с клиентскими данными. Я храню заметки в приложении, которое требует биометрию или пин-код при каждом открытии — отдельно от общей записной книжки. Это простая мера, но она убирает сценарий «кто-то взял мой разблокированный телефон».
- Обезличивание в заметках, где это возможно. В оперативных заметках после сессии я часто использую инициалы или кодовое обозначение вместо полного имени. Клинически важная информация при этом не теряется, а узнаваемость снижается. Подробнее о том, как устроить заметку после сессии структурно, я писала в статье «Как вести заметки после сессии».
- Резервное копирование с тем же уровнем защиты. Бэкап в незашифрованное облако сводит на нет шифрование основного устройства.
- Чёткий регламент уничтожения. Когда вы решаете, что данные пора удалить, удаляйте их полностью: не просто перекидывайте в корзину, а используйте безопасное удаление. Для бумажных документов это шредер.
Пример: что делать, когда клиент исчезает
Ситуация из практики коллеги: клиент Игорь, 38 лет, запрос на тревогу в рабочих отношениях, проведено около семи сессий. Потом он перестал отвечать, не предупредив. Прошло полгода — ни слова. Вопрос: что делать с заметками?
По 152-ФЗ формально цель обработки данных достигнута или прервана — основания хранить нет. По логике гражданской ответственности — разумно подержать ещё некоторое время, чтобы иметь возможность восстановить ход работы, если вдруг понадобится. Коллега решила хранить заметки три года с момента последней сессии в защищённом виде, после чего уничтожить. Это не единственно правильное решение, но осознанное и обоснованное.
Главное здесь — не «что написано в законе дословно», а то, что у вас есть ответ на вопрос, почему вы храните данные именно столько и в каком виде. Если этот ответ есть — вы уже в сильно лучшей позиции, чем большинство частнопрактикующих коллег.
Согласие как документ
Отдельно хочу сказать про согласие на обработку персональных данных. Это не формальность «чтобы было», а документ, который определяет цель и объём обработки. В нём должно быть написано: какие данные вы собираете, зачем, как долго храните, кому передаёте (или не передаёте). Если в вашем согласии написано «храню в течение срока работы и 3 года после завершения» — это согласованные условия, на которые клиент подписался. Если в согласии ничего про сроки нет, ситуация становится менее определённой.
Шаблон согласия лучше согласовывать с юристом, специализирующимся на персональных данных, а не брать из интернета «как есть». Рынок шаблонов для психологов неоднородный: часть из них не учитывает специфику психологической практики. Про сопутствующие риски при работе с цифровыми инструментами без договора обработки данных я подробнее писала в статье «5 моментов, когда я не положу клиентские данные в ChatGPT».
Как это связано с Provizor AI
Когда мы делали Provizor AI, требование хранить данные на российских серверах было одним из первых технических решений, а не опцией. Расшифровки сессий и заметки не уходят в американские или европейские облака — обработка и хранение происходят в инфраструктуре РФ. Это снимает вопрос локализации, который иначе каждый специалист решает сам. Подробнее о том, как устроена документация в сервисе, можно посмотреть на странице документации для психологов.
Всё написанное выше — это моё понимание темы на основе публично доступных нормативных актов и практики коллег. Это не юридическая консультация. Для оценки конкретной ситуации — обратитесь к юристу, специализирующемуся на персональных данных и/или профессиональной ответственности.