инструкция 14 января 2029 По состоянию на 14 января 2029

Биометрия пациента: FaceID при выдаче результатов

Q: Кто отвечает за утечку через МИС — клиника или IT-разработчик?

Перед Роскомнадзором и пациентами отвечает оператор ПДн — медицинская организация. IT-разработчик или вендор МИС действует как лицо, осуществляющее обработку по поручению (ст. 6 ч. 3 ФЗ-152), и несёт ответственность перед клиникой по договору. Штраф по ст. 13.11 КоАП выставляется клинике; взыскать его с подрядчика можно только в рамках гражданского иска по условиям договора.

FaceID в медорганизации — это обработка биометрических персональных данных по ст. 11 ФЗ-152, требующая письменного согласия пациента. Без него клиника нарушает закон.

Штраф по ч. 16 ст. 13.11 КоАП за неправомерную обработку биометрии — от нескольких сотен тысяч рублей; утечка биометрических данных через МИС — до 15–20 млн ₽ по ч. 17 той же статьи. Спецкатегория по ст. 10 ФЗ-152 добавляет отдельный состав.

Если вы главный врач и внедряете или уже используете FaceID при выдаче результатов — в этой инструкции пошаговый порядок приведения обработки в соответствие с 152-ФЗ и 323-ФЗ.

Клиники внедряют FaceID для верификации пациентов при выдаче анализов, выписок и направлений. Удобство очевидно: исключён риск перепутать документы, очередь у стойки сокращается. Правовые последствия менее очевидны: лицо пациента — биометрические ПДн по ст. 11 ФЗ-152, а данные о состоянии здоровья, к которым они открывают доступ, — спецкатегория по ст. 10 ФЗ-152. Совместная обработка требует письменного согласия, правильной МИС, уведомления РКН и интеграции в документооборот ЕГИСЗ. Инструкция ниже описывает шесть обязательных шагов.

Шаг 1. Определите правовой режим FaceID в вашей клинике

FaceID при выдаче результатов — это автоматизированная обработка изображения лица для идентификации конкретного субъекта. По ст. 11 ФЗ-152 биометрическими персональными данными признаются физиологические и биологические характеристики человека, позволяющие установить его личность. Изображение лица прямо названо в этой статье.

Параллельно система получает доступ к сведениям о состоянии здоровья пациента — результатам анализов, диагнозам, назначениям. Это спецкатегория по ст. 10 ФЗ-152. Обработка спецкатегорий по общему правилу запрещена, кроме случаев, прямо перечисленных в ч. 2 ст. 10: согласие субъекта, исполнение договора о медицинской помощи, защита жизни. Для FaceID при выдаче результатов применимо согласие — остальные основания не покрывают биометрическую идентификацию.

«Ст. 11 ФЗ-152: обработка биометрических ПДн допускается только с письменного согласия субъекта, если законом прямо не предусмотрено иное. Ст. 10 ФЗ-152: сведения о состоянии здоровья — спецкатегория; обработка требует отдельного правового основания.»

Врачебная тайна по ст. 13 Федерального закона № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» охватывает те же сведения. Разглашение без согласия пациента или без прямого указания закона запрещено. FaceID как технология идентификации не является разглашением, но создаёт точку доступа, защита которой входит в понятие «надлежащее хранение» сведений о здоровье.

Планируете запустить FaceID или уже используете — есть юридические пробелы?

Если главный врач внедрил биометрическую идентификацию без комплекта документов — каждый день работы системы формирует состав по ч. 16 ст. 13.11 КоАП. Срок подготовки пакета согласий и регламентов — от двух недель. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут план устранения нарушений.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 2. Получите правильное письменное согласие пациента

Согласие на обработку биометрических ПДн по ст. 11 ФЗ-152 должно быть письменным. Это означает собственноручную подпись или усиленную квалифицированную электронную подпись. Конклюдентные действия (поднести лицо к камере без подписания документа) согласием не являются.

С 01.09.2025 действует требование ФЗ-156 от 24.06.2025: согласие оформляется отдельным документом и не может быть включено в договор об оказании медицинской помощи, информированное добровольное согласие (ИДС) или любой другой документ. Старые формы, где согласие на ПДн встроено в ИДС или договор, с этой даты не соответствуют закону для вновь заключаемых отношений.

«Ст. 9 ФЗ-152 в ред. ФЗ-156 от 24.06.2025: согласие субъекта — отдельный документ с обязательными реквизитами: наименование оператора, цель обработки, перечень ПДн, перечень действий, срок действия, способ отзыва. Действует с 01.09.2025.»

Обязательные реквизиты согласия на обработку биометрии при FaceID:

Наименование клиники как оператора ПДн и её ОГРН/адрес.
Цель: идентификация пациента при получении результатов исследований и иных медицинских документов.
Перечень данных: изображение лица (фотографическое изображение, видеозапись, снимки в инфракрасном диапазоне — уточняется по технологии FaceID-системы).
Перечень действий: сбор, запись, систематизация, хранение, сравнение, идентификация, уничтожение.
Срок действия согласия — конкретная дата или событие (прекращение договора об оказании медицинской помощи).
Способ отзыва: письменное заявление в регистратуру.
Указание на то, что согласие распространяется на биометрические ПДн и данные о состоянии здоровья (спецкатегория по ст. 10 ФЗ-152).

Если пациент отказывается давать согласие на биометрическую идентификацию — клиника обязана предоставить альтернативный способ получения результатов: по паспорту через сотрудника регистратуры. Отказ обслуживать пациента без биометрии влечёт административную ответственность по ч. 8 ст. 14.8 КоАП.

Шаг 3. Проверьте МИС и техническую инфраструктуру

Медицинская информационная система, с которой интегрирован FaceID-модуль, является информационной системой персональных данных (ИСПДн). Уровень защищённости определяется по ПП РФ № 1119 от 01.11.2012 в зависимости от категории данных, типа угроз и числа субъектов.

МИС клиники, обрабатывающей биометрию и сведения о здоровье, при стандартных угрозах 2-го типа и числе субъектов более 100 человек относится к УЗ-2. При угрозах 1-го типа (актуальность недокументированных возможностей системного ПО) — к УЗ-1. Это означает расширенный перечень технических мер по Приказу ФСТЭК № 21 от 18.02.2013.

«ПП РФ № 1119: для специальных категорий ПДн при угрозах 2-го типа и числе субъектов до 100 000 — УЗ-2. Биометрия в сочетании со спецкатегорией не понижает уровень защищённости.»

Технические требования для FaceID-инфраструктуры при УЗ-2 включают: идентификацию и аутентификацию пользователей МИС (группа ИАФ), управление доступом (УПД), регистрацию событий доступа к биометрическим данным (РСБ), защиту машинных носителей (ЗНИ) и антивирусную защиту (АВЗ). Журналы событий доступа к биометрическим шаблонам хранятся не менее 3 лет.

Хранение биометрических шаблонов в МИС клиники допустимо при соблюдении требований ст. 11 ФЗ-152. Передача биометрии в Единую биометрическую систему (ЕБС) по ФЗ-572 для медицинских организаций при FaceID-идентификации при выдаче результатов не является обязательной — ЕБС предназначена для дистанционного оказания услуг, а не для внутриклинических процессов. Тем не менее техническое решение должно исключать хранение исходного фотографического изображения после извлечения биометрического шаблона; хранится шаблон, а не снимок.

Подключение МИС к ЕГИСЗ регулируется Приказами Минздрава. Биометрические шаблоны в ЕГИСЗ не передаются — туда уходят медицинские документы (электронные медкарты, направления, результаты). Убедитесь, что FaceID-модуль не передаёт изображения лица в ЕГИСЗ — это нарушит принцип минимизации по ст. 5 ФЗ-152 и создаст трансграничный риск, если ЕГИСЗ использует зарубежные компоненты.

Как клиника обязана уведомить РКН об обработке биометрии?

Медицинская организация, начинающая обработку биометрических ПДн, обязана до начала обработки уведомить Роскомнадзор по ст. 22 ФЗ-152. Уведомление подаётся через портал pd.rkn.gov.ru с использованием ЕСИА или УКЭП по форме Приказа РКН № 180 от 28.10.2022.

В уведомлении указываются: категории обрабатываемых ПДн (биометрические + специальные категории — состояние здоровья), цель обработки, правовое основание (согласие субъекта), меры защиты, перечень лиц с доступом, срок обработки, наличие трансграничной передачи. Если клиника уже состоит в реестре операторов ПДн и начинает новый вид обработки (добавляет биометрию), подаётся уведомление об изменении сведений.

Неуведомление или несвоевременное уведомление о намерении обрабатывать ПДн влечёт штраф по ч. 10 ст. 13.11 КоАП в размере 100 000–300 000 ₽ для юридических лиц. Включение в реестр занимает до 30 дней с момента подачи корректного уведомления.

Если клиника уже использует FaceID, а уведомление в РКН о биометрии не подавалось — каждая проверка инспектора фиксирует нарушение по ч. 10 ст. 13.11 КоАП. На уведомление уходит от 5 рабочих дней при готовых документах. Юристы DATUM подготовят уведомление РКН по форме Приказа № 180 и проведут аудит регистрационных данных оператора.

Подготовиться к проверке РКН

Шаг 5. Соберите пакет ОРД для FaceID-обработки

Организационно-распорядительная документация оператора биометрических ПДн включает специфические документы сверх стандартного пакета по ст. 18.1 ФЗ-152.

Что подготовить для запуска FaceID в клинике

Приказ о назначении ответственного за обработку биометрических ПДн и лица, ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152.
Политика обработки персональных данных с отдельным разделом о биометрических ПДн и спецкатегориях — опубликовать на сайте клиники по ч. 2 ст. 18.1 ФЗ-152.
Форма письменного согласия пациента на обработку биометрических ПДн и сведений о здоровье (отдельный документ по ФЗ-156, ред. от 01.09.2025).
Регламент доступа к FaceID-инфраструктуре МИС с перечнем уполномоченных лиц и журналом учёта доступа.
Регламент реагирования на инциденты с биометрией: порядок уведомления РКН за 24 часа по ч. 3.1 ст. 21 ФЗ-152 и отчёта за 72 часа по Приказу РКН № 187.

Техническое задание на FaceID-модуль и договор с IT-поставщиком должны содержать условие об обработке ПДн по поручению (ст. 6 ч. 3 ФЗ-152). Поставщик действует как лицо, осуществляющее обработку по поручению оператора, и отвечает перед оператором. Ответственность перед субъектом и РКН остаётся у клиники.

Шаг 6. Подготовьте процедуру реагирования на инцидент с биометрией

Утечка биометрических данных пациентов — квалифицированный состав по ч. 17 ст. 13.11 КоАП: штраф для юридических лиц 15 000 000–20 000 000 ₽. При повторной утечке применяется оборотный штраф по ч. 18 той же статьи — 1–3% совокупной выручки за предшествующий год, не более 500 млн ₽.

Регламент реагирования должен определять:

Критерии инцидента: несанкционированный доступ к FaceID-шаблонам, утечка базы согласий, компрометация учётных записей с доступом к биометрии.
Ответственного за фиксацию инцидента — обычно руководитель IT-службы или ответственный за обработку ПДн по ст. 22.1 ФЗ-152.
Порядок первичного уведомления РКН: через портал pd.rkn.gov.ru в течение 24 часов с момента обнаружения. Форма — согласно Приказу РКН № 187 от 14.11.2022.
Порядок подготовки отчёта о результатах внутреннего расследования — в течение 72 часов с момента обнаружения.
Уведомление пациентов, чьи биометрические данные были скомпрометированы, — для сохранения доверия и снижения репутационного ущерба.

Срок 24 часа не восстанавливается. Пропуск первичного уведомления образует состав по ч. 11 ст. 13.11 КоАП: штраф 1 000 000–3 000 000 ₽ для юридических лиц — дополнительно к штрафу за утечку.

Типовые ситуации: как это работает на практике

Ситуация 1. Клиника (Сибирский ФО, лето 2025) установила FaceID-терминалы для выдачи результатов без письменных согласий пациентов — согласие на обработку ПДн было включено в договор об оказании медицинской помощи. После проверки РКН главный врач получил предписание переоформить документы и уведомление о возбуждении дела по ч. 16 ст. 13.11 КоАП. Итог: документация переделана за три недели, штраф оспорен в части размера с применением смягчающих обстоятельств. Ключевая ошибка — отсутствие отдельного согласия на биометрию, которое с 01.09.2025 обязательно по ФЗ-156.

Ситуация 2. IT-подрядчик частной лаборатории (Центральный ФО, начало 2026) допустил компрометацию базы биометрических шаблонов при обновлении MIS-модуля. Лаборатория направила первичное уведомление РКН за 20 часов, отчёт о расследовании — за 67 часов. Ответственность перед РКН сохранилась у лаборатории как оператора (принцип ответственности оператора за действия обработчика — устойчивая позиция судебной практики). Своевременное уведомление учтено как смягчающее обстоятельство при рассмотрении дела по ч. 17 ст. 13.11 КоАП.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка биометрической обработки и МИС по 38-пунктовому чек-листу.
Комплект ОРД под ключ — пакет согласий, политика, регламент реагирования на инциденты с биометрией.
Сопровождение проверок РКН — подготовка и представление интересов при проверке биометрической обработки.

Частые вопросы

1. Чем отличается ИДС от согласия на обработку ПДн?

Информированное добровольное согласие по ст. 20 ФЗ-323 — медицинский документ: пациент соглашается на конкретное вмешательство, получив информацию о методах, рисках и последствиях. Согласие на обработку ПДн по ст. 9 ФЗ-152 — правовой инструмент, разрешающий оператору совершать определённые действия с персональными данными. С 01.09.2025 согласие на ПДн оформляется отдельным документом — его нельзя включать в ИДС или договор. Оба документа пациент подписывает самостоятельно, но по разным основаниям.

2. Можно ли публиковать фотографии пациентов «до-после» с их согласия?

Публикация фотографий, позволяющих идентифицировать пациента, допустима только при наличии отдельного согласия на распространение ПДн по ст. 10.1 ФЗ-152. Молчание или общее согласие на обработку не равно разрешению на публикацию. Если фотографии содержат признаки состояния здоровья (шрамы, специфика внешности после вмешательства) — это спецкатегория по ст. 10 ФЗ-152. Отдельное согласие на распространение спецкатегорий должно явно называть право оператора публиковать изображение и указывать ресурсы, на которых оно может быть размещено.

3. Кто отвечает за утечку через МИС — клиника или IT-разработчик?

Перед Роскомнадзором и пациентами отвечает оператор ПДн — то есть медицинская организация, которая определяет цели и порядок обработки. IT-разработчик или вендор МИС действует как лицо, осуществляющее обработку по поручению (ст. 6 ч. 3 ФЗ-152), и несёт ответственность перед клиникой по договору. Штраф по ст. 13.11 КоАП выставляется клинике; взыскать его с подрядчика можно только в рамках гражданского иска по условиям договора. Поэтому в договоре с IT-поставщиком обязательно прописывать ответственность за ненадлежащую защиту биометрических данных.

4. Какие данные клиника передаёт в ЕГИСЗ и нужно ли согласие на это?

В ЕГИСЗ передаются медицинские документы в электронном виде: электронные медицинские карты, протоколы лабораторных исследований, направления, рецепты. Биометрические шаблоны FaceID в ЕГИСЗ не передаются. Основание для передачи медицинских данных в ЕГИСЗ — исполнение требований законодательства в сфере охраны здоровья (ч. 2 п. 10 ст. 10 ФЗ-152 применительно к специальным категориям), поэтому дополнительного согласия пациента для передачи в ЕГИСЗ не требуется. Тем не менее уведомление пациента об интеграции с ЕГИСЗ должно быть отражено в политике обработки ПДн клиники.

5. Что грозит клинике за утечку биометрии пациентов?

Утечка биометрических данных квалифицируется по ч. 17 ст. 13.11 КоАП: штраф для юридических лиц 15 000 000–20 000 000 ₽. Дополнительно — штраф за неуведомление РКН по ч. 11 той же статьи: 1 000 000–3 000 000 ₽, если клиника не уложилась в 24 часа. При повторной утечке применяется оборотный штраф по ч. 18: 1–3% выручки за предшествующий год, не более 500 млн ₽. Если утечка стала следствием умышленных действий сотрудника — возможна уголовная ответственность по ст. 272.1 УК РФ (введена ФЗ-421 от 30.11.2024, действует с 11.12.2024): до 10 лет лишения свободы при тяжких последствиях.

6. Нужно ли переоформлять согласия пациентов, которые подписали документы до 01.09.2025?

ФЗ-156 от 24.06.2025 не имеет обратной силы: согласия, полученные до 01.09.2025, остаются действительными до истечения срока или отзыва пациентом. Переоформлять их принудительно не требуется. Однако все новые согласия с 01.09.2025 — в том числе от пациентов, ранее подписавших старую форму, если срок истёк или они обращаются впервые, — должны оформляться по новым требованиям: отдельный документ с полным перечнем реквизитов.

Итог

FaceID при выдаче результатов — это легальная технология при выполнении четырёх условий: письменное согласие на биометрию как отдельный документ, уведомление РКН о намерении обрабатывать биометрические ПДн, соответствие МИС уровню защищённости УЗ-2 по ПП РФ № 1119 и наличие регламента реагирования на инцидент за 24/72 часа. Отсутствие любого из этих элементов создаёт состав административного правонарушения с максимальным штрафом до 20 млн ₽ за утечку биометрии по ч. 17 ст. 13.11 КоАП.

Юристы DATUM сопровождают медицинские организации при внедрении биометрической идентификации: от аудита текущих согласий и МИС-инфраструктуры до подготовки уведомления РКН и полного пакета ОРД.

Есть ситуация с проверкой РКН или инцидентом с биометрией?

Оценим соответствие вашей клиники требованиям 152-ФЗ и 323-ФЗ по биометрической обработке. Практика «Ветров и партнёры» по 152-ФЗ с 2014 года. Работаем с медицинскими организациями по всей России.

Оценить риски по 152-ФЗ

+7 (383) 310-38-76 · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, обработка ПДн несовершеннолетних.

14 января 2029 года