инструкция 18 февраля 2027 По состоянию на 18 февраля 2027

Биометрия в эстетической медицине

Фотография лица пациента до и после процедуры — это биометрические персональные данные по ст. 11 ФЗ-152. Эстетическая клиника, хранящая такие снимки, обязана получить отдельное письменное согласие на обработку биометрии.

С 30.05.2025 штраф за обработку биометрии без надлежащего согласия по ч. 16 ст. 13.11 КоАП достигает нескольких миллионов рублей для юридического лица. Утечка через МИС грозит дополнительно ч. 17 — от 15 до 20 млн ₽.

Если вы главный врач клиники эстетической медицины — проверьте, какие биометрические данные обрабатывает МИС и есть ли корректные согласия пациентов до начала работы со снимками.

Эстетическая медицина работает с данными, которые по своей природе являются одновременно медицинскими, биометрическими и изображениями лица. Это создаёт тройное регулирование: ст. 10 ФЗ-152 (специальные категории), ст. 11 ФЗ-152 (биометрические ПДн) и ст. 13 ФЗ-323 (врачебная тайна). Ниже — пошаговый разбор того, какие данные клиники собирают, как оформить согласия, что передавать в ЕГИСЗ и как защититься от штрафа при утечке через МИС.

Шаг 1. Какие данные эстетической клиники относятся к биометрическим?

Биометрические персональные данные — физиологические и биологические характеристики, по которым можно идентифицировать человека. Применительно к эстетической медицине это прежде всего фотографии лица в анфас и профиль, сделанные в рамках консультации или для фиксации результата. Запись видеоконсультации, на которой различимо лицо пациента, также является биометрией.

«Ст. 11 ФЗ-152: биометрические ПДн — сведения, которые характеризуют физиологические и биологические особенности человека и позволяют установить его личность. Обработка допустима только с письменного согласия субъекта, кроме случаев, перечисленных в ч. 2 ст. 11.»

Снимки для оценки результата ринопластики или контурной пластики, трёхмерные модели лица в программах планирования процедур, скан-копии паспорта с фото в МИС — всё это попадает под действие ст. 11 ФЗ-152. Медицинские данные пациента (диагноз, анамнез, результаты анализов) относятся к специальным категориям по ст. 10 ФЗ-152. Когда снимок лица сопровождается медицинским заключением, оба режима применяются одновременно.

Важно разграничить: голосовая запись телемедицинской консультации сама по себе может быть биометрией, если используется для идентификации пациента. Если запись хранится только как медицинская документация без цели идентификации — она квалифицируется как медицинские данные по ст. 10 ФЗ-152 и ст. 13 ФЗ-323.

Не уверены, что именно в МИС клиники является биометрией?

Это стандартная ситуация при первичном аудите: МИС накапливает фотографии годами, а правовой режим обработки не определён. Если клиника уже обрабатывает снимки лиц без отдельного биометрического согласия — риск штрафа по ч. 16 ст. 13.11 КоАП существует прямо сейчас.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 2. Как правильно оформить согласие на биометрические ПДн в клинике?

Информированное добровольное согласие на медицинское вмешательство (ИДС) по ст. 20 ФЗ-323 и согласие на обработку персональных данных по ст. 9 ФЗ-152 — два разных документа с разными реквизитами. После принятия ФЗ-156 от 24.06.2025 согласие на обработку ПДн обязано быть отдельным документом: его нельзя включать в договор на оказание услуг, медицинскую карту или ИДС.

«Ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156): согласие на обработку ПДн оформляется отдельным документом. Обязательные реквизиты — ФИО субъекта, контактные данные, наименование оператора, цель обработки, перечень ПДн, перечень действий, срок, способ отзыва.»

Для биометрических данных требования строже: ст. 11 ФЗ-152 требует письменного согласия именно на биометрию — с явным указанием, что речь идёт о фотографиях лица или иных физиологических характеристиках. Одного общего согласия на обработку ПДн пациента недостаточно.

Согласие на распространение биометрии (публикацию фото «до-после» на сайте, в Instagram, в маркетинговых материалах) регулируется отдельно — ст. 10.1 ФЗ-152. Такое согласие должно быть самостоятельным документом, разрешающим именно распространение. Молчание пациента означает запрет: по умолчанию биометрические снимки нельзя публиковать даже при наличии согласия на их обработку.

Что подготовить клинике для корректной обработки биометрии

Отдельное согласие на обработку биометрических ПДн (фото лица, видеозаписи) по ст. 11 ФЗ-152 — не включать в ИДС или договор
Согласие на распространение биометрии по ст. 10.1 ФЗ-152 — только при намерении публиковать фото «до-после»
Согласие на обработку специальных категорий ПДн (медицинские данные) по ст. 10 ФЗ-152
Политика конфиденциальности с разделом о биометрических и медицинских данных, опубликованная на сайте клиники
Инструкция для персонала МИС о порядке хранения, доступа и уничтожения фотографий пациентов

Шаг 3. Что передавать в ЕГИСЗ и как соблюсти врачебную тайну?

Медицинские организации, работающие по лицензии, обязаны передавать сведения в ЕГИСЗ — Единую государственную информационную систему в сфере здравоохранения. Состав передаваемых данных определяется подзаконными актами Минздрава. Как правило, передаются сведения об оказанных медицинских услугах, диагнозах и назначениях.

Биометрические снимки (фото лица пациента) в стандартный обмен с ЕГИСЗ не входят. Однако МИС может содержать фотографии, связанные с медицинской картой, и при некорректной настройке интеграции они могут попасть во внешний трафик. Это риск утечки через технический канал, а не правомерная передача.

«Ст. 13 ФЗ-323: сведения о факте обращения гражданина за медицинской помощью, состоянии его здоровья и диагнозе составляют врачебную тайну. Разглашение без согласия гражданина допустимо только в случаях, прямо установленных законом.»

При подключении МИС к ЕГИСЗ клиника выступает оператором ПДн, передающим данные третьей стороне. Это требует либо отдельного основания из ст. 6 ФЗ-152 (исполнение обязанности, установленной законом), либо согласия пациента. Передача сведений в ЕГИСЗ в объёме, установленном нормативными актами Минздрава, осуществляется на основании закона — отдельного согласия пациента для этой части не требуется. Но выходить за пределы установленного объёма нельзя.

Если главный врач получил уведомление о проверке РКН или запрос Роспотребнадзора по обращению пациента — у вас 10 рабочих дней на ответ субъекту по ст. 20 ФЗ-152 и строгие сроки по взаимодействию с регулятором. Юристы DATUM подготовят позицию и представят интересы клиники.

Подготовиться к проверке РКН

Шаг 4. Как настроить МИС для соответствия 152-ФЗ?

Медицинская информационная система хранит одновременно специальные категории ПДн (ст. 10 ФЗ-152) и, при наличии фотографий, биометрические данные (ст. 11 ФЗ-152). Это означает, что ИСПДн клиники относится к первой или второй категории по ПП РФ №1119, и требования к уровню защищённости — не ниже УЗ-3, а при числе субъектов более 100 000 — УЗ-2.

Практически это означает обязанность выполнить базовый набор мер по Приказу ФСТЭК №21: идентификация и аутентификация пользователей МИС, разграничение доступа, защита носителей информации, регистрация событий безопасности, антивирусная защита. Доступ к разделу с фотографиями пациентов должен быть ограничен ролями: не каждый сотрудник регистратуры должен видеть биометрические снимки.

Технически необходимо разграничить хранение фотографий от прочих медицинских данных или применить дополнительный контроль доступа к директории с биометрией. Журнал доступа к биометрическим снимкам — обязательный элемент: при инциденте он станет доказательством соблюдения мер защиты.

Шаг 5. Что делать при утечке биометрии из МИС?

Если МИС клиники была скомпрометирована и биометрические данные пациентов стали доступны неавторизованным лицам — наступает режим ч. 3.1 ст. 21 ФЗ-152: в течение 24 часов с момента обнаружения инцидента необходимо направить первичное уведомление в Роскомнадзор. Через 72 часа — отчёт о результатах внутреннего расследования по Приказу РКН №187.

«Ч. 3.1 ст. 21 ФЗ-152: при обнаружении неправомерной или случайной передачи ПДн оператор обязан уведомить РКН в течение 24 часов. Срок исчисляется с момента обнаружения, не восстанавливается. Неуведомление — штраф по ч. 11 ст. 13.11 КоАП от 1 до 3 млн ₽.»

Утечка биометрических данных квалифицируется по ч. 17 ст. 13.11 КоАП — штраф для юридического лица от 15 до 20 млн ₽. Это отдельный состав, не зависящий от числа затронутых субъектов. Если утечка была повторной — применяется ч. 18 ст. 13.11 с оборотным штрафом: 1–3% годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽.

Параллельно медицинские данные пациентов, ставшие известными третьим лицам, образуют нарушение врачебной тайны по ст. 13 ФЗ-323. Это самостоятельное основание для гражданско-правовых требований пациентов о компенсации вреда.

Практика: как это применяется в клиниках

Кейс 1. Клиника эстетической медицины в Центральном федеральном округе (осень 2025) прошла плановую проверку РКН после жалобы пациента на публикацию его фотографий «до-после» в Instagram. Согласие на обработку ПДн имелось, однако отдельного согласия на распространение биометрии по ст. 10.1 ФЗ-152 не было. РКН составил протокол по ч. 2 ст. 13.11 КоАП (штраф в диапазоне нескольких сотен тысяч рублей). Фотографии пришлось удалить. Клиника переоформила пакет согласий с выделением отдельного документа на распространение биометрии.

Кейс 2. В деле о взломе МИС клиники пластической хирургии (Северо-Западный ФО, начало 2026) злоумышленники получили доступ к базе фотографий 4 200 пациентов. Главный врач направил первичное уведомление в РКН в течение 20 часов после обнаружения. Отчёт по расследованию поступил в РКН через 68 часов. Соблюдение сроков Приказа РКН №187 позволило юристам клиники добиться в арбитражном суде применения ст. 4.1 КоАП — штраф по ч. 17 ст. 13.11 был снижен с максимального размера до нижней границы диапазона. Решение не вступило в законную силу на дату подготовки материала.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка обработки биометрии и медицинских данных по чек-листу из 38 пунктов
Комплект ОРД под ключ — согласия, политика, инструкции для клиники с учётом ст. 10 и ст. 11 ФЗ-152
Сопровождение проверок РКН — подготовка и представление интересов при проверке медорганизации

Частые вопросы

1. Чем отличается ИДС от согласия на обработку персональных данных?

Информированное добровольное согласие (ИДС) по ст. 20 ФЗ-323 разрешает медицинское вмешательство и регулируется медицинским законодательством. Согласие на обработку ПДн по ст. 9 ФЗ-152 разрешает использование данных пациента и регулируется законодательством о персональных данных. С 01.09.2025 (ФЗ-156) согласие на ПДн не может быть частью ИДС или любого другого документа — только отдельный документ. Отсутствие разграничения — основание для штрафа по ч. 2 ст. 13.11 КоАП.

2. Можно ли публиковать фото «до-после» с согласия пациента?

Можно, но только при наличии отдельного согласия на распространение биометрических персональных данных по ст. 10.1 ФЗ-152. Общее согласие на обработку ПДн или ИДС такое разрешение не предоставляет. Согласие на распространение должно прямо указывать каналы публикации (сайт, социальные сети), цель и срок. При отзыве согласия фотографии необходимо удалить из всех указанных каналов.

3. Кто отвечает за утечку биометрии через МИС?

Ответственность несёт клиника как оператор ПДн, даже если МИС предоставлена по договору с IT-компанией. Если IT-компания обрабатывала данные по поручению оператора (п. 3 ст. 6 ФЗ-152), клиника отвечает за её действия перед субъектами. Договор поручения снижает риск, но не переносит административную ответственность перед РКН: по ст. 13.11 КоАП отвечает оператор.

4. Какие данные нужно передавать в ЕГИСЗ?

Состав данных, обязательных для передачи в ЕГИСЗ, определяется нормативными актами Минздрава России в зависимости от профиля и вида медицинской деятельности. Биометрические снимки (фото лица) в стандартный регламентный обмен с ЕГИСЗ не входят. Клиника обязана передавать только тот объём сведений, который установлен регулятором — передача большего объёма без дополнительных оснований нарушает принцип соответствия объёма целям по ст. 5 ФЗ-152.

5. Что грозит клинике за утечку биометрических данных пациентов?

За утечку биометрии применяется ч. 17 ст. 13.11 КоАП — штраф для юридического лица от 15 до 20 млн ₽. Дополнительно возможен штраф по ч. 11 ст. 13.11 за несвоевременное уведомление РКН — от 1 до 3 млн ₽. При повторной утечке включается оборотный штраф по ч. 18 ст. 13.11: 1–3% годовой выручки, не менее 20 млн ₽. Параллельно пациенты вправе требовать компенсацию морального вреда через суд.

6. Нужно ли переоформлять согласия, полученные до 01.09.2025?

Согласия, полученные в составе договора или ИДС до 01.09.2025, не имеют обратной силы: ФЗ-156 не обязывает переоформлять ранее полученные согласия. Однако если клиника продолжает обрабатывать ПДн на основании старых форм и получает новых пациентов — новые согласия с 01.09.2025 обязаны быть отдельными документами. Рекомендуется провести аудит всех форм согласий и обновить их.

Итог

Биометрия в эстетической медицине регулируется тремя правовыми режимами одновременно: ст. 10 и ст. 11 ФЗ-152 и ст. 13 ФЗ-323. Каждый из них требует самостоятельного правового основания и отдельного документа. Смешивать согласия, включать их в ИДС или договор с 01.09.2025 нельзя.

Практика DATUM по медицинскому комплаенсу охватывает аудит обработки ПДн в МИС, разработку пакетов согласий для клиник с учётом специфики биометрических и медицинских данных, а также сопровождение при проверках РКН и реагирование на инциденты с утечкой данных пациентов.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна.

18 февраля 2027 года