Перейти к содержанию
инструкция 18 декабря 2028 По состоянию на 18 декабря 2028

Фотографии до/после в соцсетях клиники

Фото пациента — биометрические и специальные персональные данные одновременно. Публикация без надлежащего согласия влечёт штраф от 3 млн ₽ по ч. 12 ст. 13.11 КоАП и уголовный риск по ст. 137 УК РФ.
С 30.05.2025 действуют новые составы ст. 13.11 КоАП (ФЗ-420): утечка или незаконное распространение ПДн от 1 000 субъектов — минимум 3 млн ₽. Фотографии до/после нарушают одновременно ст. 10 (спецкатегория), ст. 10.1 (распространение) и ст. 11 (биометрия) ФЗ-152.
Если вы главврач и клиника ведёт соцсети с фото пациентов — пройдите эти шесть шагов до следующей публикации. → Записаться на консультацию

Публикация фотографий пациентов «до и после» в Instagram, ВКонтакте или Telegram-канале клиники — один из самых частых источников нарушений 152-ФЗ в медицине. Главврач, как правило, считает, что устное согласие или подпись в карте закрывает вопрос. Это не так: с 01.09.2025 согласие на распространение ПДн должно быть отдельным документом (ФЗ-156 от 24.06.2025), а фотография лица — это одновременно биометрические данные по ст. 11 ФЗ-152 и специальная категория по ст. 10, если из снимка выводится состояние здоровья. Ниже — пошаговый порядок, который защитит клинику от штрафа и жалобы в РКН.

Шаг 1. Определите правовой статус фотографии

Фотография пациента до и после лечения содержит как минимум два типа охраняемых сведений. Первый — изображение лица: по позиции РКН и судебной практике это биометрические персональные данные по ст. 11 ФЗ-152, если вы используете их для идентификации человека. Второй — сведения о состоянии здоровья, которые прямо видны или следуют из контекста публикации (диагноз, вид операции, результат лечения). Это специальная категория по ст. 10 ФЗ-152, обработка которой по общему правилу запрещена.

Ключевой вопрос: позволяет ли снимок идентифицировать конкретного человека? Если на фото видно лицо, родинки, татуировки или иные уникальные признаки — ответ положительный, и ст. 11 применяется. Если фото фрагментарное (только зона операции без идентифицирующих признаков) и не содержит имени, даты рождения, геолокации в метаданных — правовой режим биометрии не возникает, но режим спецкатегории по состоянию здоровья сохраняется.

«Ст. 10 ФЗ-152 — обработка специальных категорий ПДн, включая сведения о состоянии здоровья, допустима только при наличии явного согласия субъекта или иных оснований, прямо указанных в законе. Ст. 11 ФЗ-152 — обработка биометрических ПДн допускается исключительно с письменного согласия субъекта (за исключением случаев, перечисленных в ч. 2 той же статьи).»

Шаг 2. Разграничьте ИДС и согласие на обработку и распространение ПДн

Информированное добровольное согласие (ИДС) по ст. 20 Федерального закона № 323-ФЗ «Об основах охраны здоровья граждан» — это документ о медицинском вмешательстве. Он не даёт права публиковать фотографии пациента в соцсетях клиники. ИДС и согласие на обработку ПДн — разные документы с разными реквизитами и разными правовыми основаниями.

Для публикации фотографий требуются два отдельных документа. Первый — согласие на обработку персональных данных (ст. 9 ФЗ-152 в редакции с 01.09.2025): отдельный самостоятельный документ, не встроенный в договор или ИДС. Второй — согласие на распространение ПДн (ст. 10.1 ФЗ-152): разрешает передачу и публикацию данных неограниченному кругу лиц. Если фотография содержит изображение лица — дополнительно нужно письменное согласие на обработку биометрических ПДн по ст. 11 ФЗ-152.

«Ст. 10.1 ФЗ-152 — распространение ПДн допустимо только при наличии отдельного согласия субъекта на такое распространение. Молчание или пассивное согласие означает запрет распространения. Ст. 9 ФЗ-152 в ред. ФЗ-156 от 24.06.2025 — с 01.09.2025 согласие на обработку ПДн оформляется отдельным документом и не может быть частью договора, оферты или иного документа.»

Соцсети клиники ведутся, а отдельные согласия не оформлялись?

Если главврач обнаружил, что фотографии пациентов публиковались без согласия на распространение ПДн — каждая такая публикация является самостоятельным основанием для штрафа. С 30.05.2025 распространение ПДн без согласия квалифицируется по ч. 2 ст. 13.11 КоАП: до 700 тыс. ₽ за каждый факт. Юристы DATUM подготовят комплект согласий для медорганизации и проверят уже размещённый контент.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Составьте правильный комплект согласий

Согласие на распространение ПДн по ст. 10.1 ФЗ-152 должно содержать конкретный перечень действий, которые разрешает пациент: публикация в соцсетях клиники, указание имени или анонимность, срок размещения, возможность удаления по требованию. По общему правилу молчание в согласии означает запрет на конкретное действие — если пациент не указал явно, что разрешает публикацию с именем, публиковать с именем нельзя.

Обязательные реквизиты согласия на обработку ПДн по ст. 9 ФЗ-152: ФИО субъекта, контактные данные, наименование оператора (клиники), цель обработки (маркетинг, продвижение услуг), перечень обрабатываемых данных (фотографические изображения, сведения о лечении), перечень разрешённых действий (хранение, публикация, передача SMM-агентству), срок действия согласия, порядок отзыва.

Что подготовить для публикации фото пациентов

  • Согласие на обработку ПДн по ст. 9 ФЗ-152 — отдельный документ, не включённый в ИДС или договор (требование с 01.09.2025).
  • Согласие на распространение ПДн по ст. 10.1 ФЗ-152 — с явным указанием платформ и характера публикации (с именем / анонимно).
  • Письменное согласие на обработку биометрических ПДн по ст. 11 ФЗ-152 — если на фото видно лицо пациента.
  • Регламент модерации соцсетей: кто проверяет согласие перед публикацией, где хранится подлинник, как фиксируется отзыв согласия.
  • Журнал согласий: запись о каждом пациенте с датой, номером документа и ссылкой на публикацию.

Шаг 4. Проверьте связку с МИС и ЕГИСЗ

Медицинская информационная система (МИС) хранит данные пациентов, включая фотографии, результаты обследований, диагнозы. Доступ к МИС имеют несколько категорий пользователей: врачи, администраторы, IT-персонал. Каждый из них — потенциальный источник утечки снимков «до/после» в соцсети. По принципу ответственности оператора за действия своих работников, изложенному в ст. 19 и ст. 22.1 ФЗ-152, клиника несёт ответственность за нарушения, допущенные любым сотрудником при работе с МИС.

ЕГИСЗ (единая государственная информационная система в сфере здравоохранения) получает часть данных пациентов в рамках интеграции. Передача данных в ЕГИСЗ не является основанием для публикации этих данных в открытых источниках — это разные операции с разными правовыми основаниями. Наличие данных в ЕГИСЗ не расширяет права клиники на распространение ПДн.

«Ст. 13 Федерального закона № 323-ФЗ — врачебная тайна охраняет сведения о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе и иные сведения, полученные при обследовании и лечении. Разглашение врачебной тайны допустимо только с письменного согласия пациента или его законного представителя.»

Шаг 5. Настройте процесс публикации и хранения согласий

Алгоритм публикации должен быть зафиксирован в локальном нормативном акте клиники. Типовой порядок: врач или администратор получает подписанный комплект согласий до съёмки, скан-копия хранится в МИС в папке пациента, оригинал — в журнале согласий. SMM-специалист или администратор соцсетей получает доступ к фотографии только после проверки наличия согласий в журнале. Публикация с привязкой к имени — только при явном разрешении в согласии.

Отзыв согласия пациент вправе подать в любой момент без объяснения причин (ч. 2 ст. 9 ФЗ-152). После отзыва клиника обязана в течение 7 рабочих дней уничтожить данные или прекратить конкретную операцию — в данном случае удалить публикацию и архивные копии снимка, если пациент не согласен на хранение. Игнорирование отзыва — нарушение ч. 5 ст. 13.11 КоАП: штраф до 90 тыс. ₽, при повторном — до 500 тыс. ₽.

Если главврач получил жалобу пациента на публикацию фото без согласия — у РКН есть основания для внеплановой проверки. Срок реагирования после жалобы не нормирован, но практика показывает: протокол составляют в течение месяца. Юристы DATUM подготовят позицию и сопроводят взаимодействие с регулятором.

Подготовиться к проверке РКН

Шаг 6. Устраните нарушения в уже опубликованном контенте

Если клиника уже ведёт соцсети и фотографии пациентов публиковались без надлежащего комплекта согласий — необходим ретроспективный аудит. Алгоритм: выгрузить все публикации с фотографиями пациентов, сопоставить с журналом согласий, для каждой публикации установить наличие или отсутствие документа. Публикации без согласия — удалить немедленно. Публикации с согласием, оформленным до 01.09.2025, — оценить, нужно ли переоформление (по ФЗ-156 обратной силы нет, но согласие должно соответствовать требованиям, действовавшим на момент его подписания).

Самостоятельное устранение нарушений до возбуждения дела об административном правонарушении учитывается судами как смягчающее обстоятельство при назначении штрафа по ст. 4.1 КоАП. Для медицинской организации, впервые допустившей нарушение, при наличии документального подтверждения устранения возможна замена штрафа предупреждением по ст. 4.1.1 КоАП — при условии, что организация относится к субъектам малого предпринимательства.

Как это применяется на практике

Кейс 1. Стоматологическая клиника (Приволжский ФО, осень 2025) вела Instagram-аккаунт с рубрикой «результаты лечения»: фото зубов до и после с именем пациента в подписи. Согласие было включено в договор на оказание услуг. После жалобы пациентки РКН провёл внеплановую проверку: согласие признано недействительным как не отвечающее требованиям отдельного документа по ст. 9 ФЗ-152 в редакции с 01.09.2025 и не содержащее разрешения на распространение по ст. 10.1. Клинике выдано предписание об удалении публикаций и составлен протокол по ч. 2 ст. 13.11 КоАП. Штраф по итогам рассмотрения — в диапазоне сотен тысяч рублей. После устранения нарушений и подачи ходатайства размер был снижен судом.

Кейс 2. Косметологический центр (Центральный ФО, начало 2026) использовал фотографии пациентов, загруженные в МИС, для публикаций в Telegram-канале без каких-либо согласий на распространение. Утечка обнаружена через жалобу одного из пациентов в РКН. Поскольку публикации затронули более 1 000 субъектов, дело было квалифицировано по ч. 12 ст. 13.11 КоАП. Оператор как микропредприятие воспользовался правом на замену штрафа предупреждением по ст. 4.1.1 КоАП при условии немедленного удаления контента и формирования полного комплекта ОРД. Повторное нарушение исключало бы такую замену.

Услуги DATUM по теме

Частые вопросы

1. Чем отличается ИДС от согласия на персональные данные?

Информированное добровольное согласие по ст. 20 ФЗ № 323-ФЗ — разрешение на медицинское вмешательство. Согласие на обработку ПДн по ст. 9 ФЗ-152 — разрешение клинике собирать, хранить и использовать личные данные пациента. Это два разных документа с разными реквизитами, разными целями и разными правовыми последствиями отзыва. Включение согласия на ПДн в текст ИДС с 01.09.2025 нарушает требование ФЗ-156 об отдельном документе.

2. Можно ли публиковать фото до-после с согласия пациента?

Да, при наличии трёх документов: согласия на обработку ПДн (ст. 9 ФЗ-152), согласия на распространение ПДн (ст. 10.1 ФЗ-152) с явным указанием платформ и характера публикации, и — если на фото видно лицо — письменного согласия на биометрические ПДн (ст. 11 ФЗ-152). Все три должны быть отдельными документами, подписанными до момента съёмки. Устного согласия недостаточно.

3. Кто отвечает за утечку через МИС?

Оператор ПДн — клиника как юридическое лицо — несёт ответственность за утечку независимо от того, кто технически допустил нарушение: врач, администратор, IT-подрядчик или разработчик МИС. Ответственность оператора за действия лиц, которым он поручил обработку, установлена ст. 6 и ст. 19 ФЗ-152. Уголовная ответственность по ст. 272.1 УК РФ (действует с 11.12.2024) может наступить для конкретного работника, допустившего незаконное использование или передачу данных.

4. Какие данные клиника передаёт в ЕГИСЗ?

Состав передаваемых сведений определяется нормативными актами Минздрава в зависимости от типа медицинской организации и подключённых модулей ЕГИСЗ. Как правило, это сведения об оказанных услугах, диагнозах, результатах обследований, идентификационные данные пациента. Передача в ЕГИСЗ осуществляется на основании закона, а не согласия пациента, и не означает права клиники самостоятельно распространять те же данные в открытых источниках.

5. Что грозит клинике за публикацию фото без согласия?

Зависит от масштаба нарушения. Публикация без согласия на распространение — ч. 2 ст. 13.11 КоАП: штраф до 700 тыс. ₽. Если затронуто от 1 000 субъектов — ч. 12 ст. 13.11: 3–5 млн ₽. Если фото содержит сведения о состоянии здоровья и это квалифицируется как нарушение врачебной тайны — дополнительно ответственность по ст. 13.14 КоАП и ст. 137 УК РФ. При повторном нарушении — оборотный штраф по ч. 15 ст. 13.11: 1–3% годовой выручки, не менее 20 млн ₽.

6. Нужно ли переоформлять старые согласия после 01.09.2025?

ФЗ-156 от 24.06.2025 не имеет обратной силы: согласия, подписанные до 01.09.2025, не требуют принудительного переоформления. Однако если клиника планирует новые публикации или продолжает обработку на основании ранее полученных согласий — стоит оценить, соответствуют ли старые документы требованиям к составу реквизитов. Согласие, включённое в договор и подписанное до 01.09.2025, формально действительно; то же согласие, полученное после 01.09.2025, является нарушением.

Итог

Публикация фотографий пациентов в соцсетях клиники — не маркетинговая практика, а операция с персональными данными трёх правовых режимов одновременно: специальная категория (здоровье), биометрия (лицо), распространение (публичный доступ). Каждый режим требует отдельного документа и отдельного правового основания.

DATUM сопровождает медицинские организации в части 152-ФЗ: от разработки комплекта согласий и регламентов до представления интересов при проверке РКН по жалобе пациента. Практика ведётся с 2014 года в рамках сети «Ветров и партнёры».

Смотрите также

ОН
Ольга Нечаева
Аналитик · Медицина и образование
Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна.