инструкция 14 января 2029 По состоянию на 14 января 2029

ПДн пациента в видеонаблюдении регистратуры

Видеозапись пациента в регистратуре — это биометрические персональные данные по ст. 11 ФЗ-152, а изображение человека в сочетании с данными его обращения в клинику относится к специальной категории по ст. 10 ФЗ-152.

С 30.05.2025 утечка таких данных даже от 1 000 субъектов обходится клинике в 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП; повторный инцидент — оборотный штраф до 500 млн ₽ по ч. 15.

→ Если в вашей клинике стоят камеры в регистратуре и нет отдельных согласий с пациентов на видеонаблюдение — читайте пошаговый порядок приведения системы в соответствие ФЗ-152.

Видеонаблюдение в регистратуре медицинской организации несёт двойной правовой риск: нарушение требований к биометрическим ПДн по ст. 11 ФЗ-152 и нарушение специального режима обработки медицинских данных по ст. 10 ФЗ-152 и ст. 13 Федерального закона № 323-ФЗ «Об основах охраны здоровья граждан». С вступлением в силу ФЗ-420 от 30.11.2024 размеры штрафов кратно выросли. В этой инструкции — шесть шагов, которые главный врач обязан пройти до того, как регулятор придёт с проверкой.

Шаг 1. Определите правовой статус видеозаписей пациентов

Камера в регистратуре фиксирует изображение лица — физиологическую характеристику, однозначно идентифицирующую человека. По ст. 11 ФЗ-152 это биометрические персональные данные, обработка которых без письменного согласия по общему правилу запрещена. Исключения предусмотрены п. 2 ст. 11, но ни одно из них прямо не охватывает видеонаблюдение в медицинской регистратуре для охраны порядка.

Одновременно пациент приходит в клинику — сам факт его появления в зоне записи связан с обращением за медицинской помощью. Это создаёт сочетание биометрии с данными о состоянии здоровья, что формирует специальную категорию по ст. 10 ФЗ-152. Обработка специальных категорий требует отдельного правового основания из исчерпывающего перечня п. 2 ст. 10.

«Ст. 10 ФЗ-152 — обработка ПДн о состоянии здоровья допускается только в случаях, прямо указанных в ч. 2: в том числе при наличии явно выраженного письменного согласия субъекта или для целей медицинского страхования и оказания медицинской помощи при соблюдении условий конфиденциальности лицами с медицинской тайной.»

Практический вывод: правовое основание обработки видеозаписей регистратуры требует отдельной проработки — нельзя полагаться ни на публичный договор, ни на информированное добровольное согласие (ИДС) по 323-ФЗ.

Шаг 2. Проверьте цели видеонаблюдения и оцените соответствие принципам ст. 5 ФЗ-152

Ст. 5 ФЗ-152 устанавливает принцип соответствия целей обработки заявленным при уведомлении РКН. Если в реестре операторов указана цель «охрана имущества и порядка», а система де-факто позволяет идентифицировать пациентов и сопоставлять записи с МИС — налицо несовместимость целей.

Проверьте три пункта: (1) цель видеонаблюдения закреплена в локальном акте и уведомлении РКН; (2) срок хранения записей не превышает срок, достаточный для достижения заявленной цели (обычно 30 суток для охраны); (3) доступ к архиву ограничен — он не открыт сотрудникам регистратуры по умолчанию.

«Ст. 5 ФЗ-152 — обработка ПДн должна ограничиваться достижением конкретных, заранее определённых и законных целей. Недопустимо объединение баз ПДн, собранных для несовместимых целей.»

Если система видеонаблюдения интегрирована с МИС или используется для идентификации пациентов при заселении — это отдельная цель, требующая отдельного правового основания и, с высокой вероятностью, уведомления РКН в части ИСПДн с биометрией.

Камеры установлены, согласий нет — что делать?

Если главный врач понимает, что видеонаблюдение в регистратуре работает без надлежащего правового основания — у клиники есть время исправить это до проверки РКН. Уведомление о намерении обрабатывать биометрические ПДн по ст. 22 ФЗ-152 нужно подать до начала обработки; ретроспективно подача не закрывает нарушение, но снижает риск при оценке совокупности мер. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов для медорганизации, выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Подготовьте правовое основание — отдельное согласие на видеонаблюдение

С 01.09.2025 по ФЗ-156 от 24.06.2025 согласие на обработку ПДн оформляется отдельным документом и не может быть встроено в договор, ИДС, форму записи или политику конфиденциальности. Для биометрических ПДн ст. 11 ФЗ-152 требует письменной формы.

Согласие должно содержать обязательные реквизиты по ст. 9 ФЗ-152: ФИО пациента, контактные данные, наименование клиники как оператора, конкретную цель видеонаблюдения, перечень данных (изображение лица), перечень действий (запись, хранение, уничтожение), срок хранения и способ отзыва. Формулировка цели — «видеонаблюдение в целях обеспечения безопасности и охраны правопорядка на территории клиники» — должна точно воспроизводить цель из уведомления в РКН.

Отдельно оцените: если видеонаблюдение ведётся в зонах, где пациент раскрывает диагноз или симптомы (например, у окна регистратора с микрофоном), согласие должно охватывать не только биометрию, но и специальные категории по ст. 10 ФЗ-152. Это разные правовые основания, оформляемые отдельно.

Как обеспечить соответствие требованиям к хранению и уничтожению записей?

Видеозапись — это материальный носитель ПДн с точки зрения ст. 6 ФЗ-152, хотя и в цифровой форме. Ст. 5 ФЗ-152 обязывает уничтожить или обезличить ПДн при достижении цели обработки. Для видеонаблюдения в охранных целях цель считается достигнутой по истечении срока возможного инцидента — как правило, 30 суток.

Что подготовить для соответствия по видеонаблюдению

Локальный акт о видеонаблюдении: цели, срок хранения, порядок доступа к архиву, ответственное лицо
Отдельное согласие пациента на биометрические ПДн по ст. 9 и 11 ФЗ-152 с реквизитами по перечню
Уведомление РКН с указанием обработки биометрических ПДн — или изменение действующего уведомления через pd.rkn.gov.ru
Журнал уничтожения видеозаписей по истечении срока хранения с датами и подписью ответственного
Инструкция для сотрудников о запрете несанкционированного доступа к архиву камер

Нарушение условий хранения материальных носителей, повлёкшее неправомерный доступ, квалифицируется по ч. 6 ст. 13.11 КоАП — штраф до 100 000 ₽. При утечке видеозаписей пациентов как биометрических ПДн — ч. 17 ст. 13.11 КоАП: 15–20 млн ₽ для юридического лица.

Шаг 5. Настройте порядок реагирования на инциденты с видеозаписями

Утечка видеозаписей пациентов — это инцидент с биометрическими ПДн, который обязывает клинику уведомить РКН в течение 24 часов с момента обнаружения. Через 72 часа — отчёт о результатах внутреннего расследования. Основание — ч. 3.1 ст. 21 ФЗ-152 и Приказ РКН №187 от 14.11.2022.

На практике 24 часа — крайне сжатый срок. За это время клинике требуется: зафиксировать факт инцидента, определить объём затронутых данных (количество субъектов и записей), направить уведомление через портал РКН. Срок не восстанавливается. Неуведомление или нарушение срока — штраф 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП.

«Ч. 3.1 ст. 21 ФЗ-152 — при выявлении факта неправомерной или случайной передачи ПДн оператор обязан в течение 24 часов уведомить уполномоченный орган, а в течение 72 часов — сообщить о результатах внутреннего расследования.»

Регламент реагирования на утечку должен быть частью пакета ОРД клиники: назначенный ответственный по ст. 22.1 ФЗ-152, чёткий порядок эскалации инцидента от IT-специалиста до главного врача, шаблон первичного уведомления.

Если в клинике произошла утечка видеозаписей пациентов — у вас 24 часа на уведомление РКН. Срок не восстанавливается. Юристы DATUM подготовят первичное уведомление и координируют расследование в режиме сопровождения проверки РКН.

Подготовиться к проверке РКН

Шаг 6. Обновите уведомление в реестре операторов РКН

Если клиника ранее подала уведомление в РКН без указания биометрических ПДн в составе обрабатываемых категорий — необходимо направить уведомление об изменении сведений по форме Приказа РКН №180 от 28.10.2022. Подача — через портал pd.rkn.gov.ru с УКЭП или через ЕСИА.

В уведомлении об изменении укажите: дополненный перечень категорий ПДн (биометрические — изображение лица), цель обработки, срок хранения, меры защиты. Если система видеонаблюдения подключена к МИС — ИСПДн с биометрией, вероятно, требует оценки уровня защищённости по ПП РФ №1119: при числе субъектов более 100 000 и угрозах 2-го типа — УЗ-1 или УЗ-2.

Неуведомление или несвоевременное уведомление о намерении обрабатывать ПДн по ст. 22 ФЗ-152 — штраф 100–300 тыс. ₽ по ч. 10 ст. 13.11 КоАП.

Типовые ситуации: как это выглядит на практике

Ситуация 1. Камеры установлены по требованию охраны, согласий нет. Ситуация: клиника Центрального ФО ввела видеонаблюдение в регистратуре по рекомендации службы безопасности без юридической проработки. Согласия не брались, уведомление в РКН не обновлялось. Доказательства: РКН при плановой проверке выявил несоответствие реестра фактическому составу обработки. Вероятный исход: протокол по ч. 2 ст. 13.11 КоАП (обработка биометрии без письменного согласия) — штраф 300 000–700 000 ₽, предписание об устранении. Стратегия: немедленно разработать согласие, обновить уведомление, подготовить ОРД — до проверки или в ходе устранения нарушений.

Ситуация 2. Запись из регистратуры попала к третьим лицам. Ситуация: в частной клинике Северо-Западного ФО (осень 2025) сотрудник скопировал фрагмент видеозаписи с узнаваемым пациентом и распространил через мессенджер. Доказательства: пациент подал жалобу в РКН, факт распространения подтверждён. Вероятный исход: квалификация по ч. 17 ст. 13.11 КоАП (утечка биометрических ПДн) — штраф 15–20 млн ₽; в отношении сотрудника — возможно возбуждение дела по ст. 272.1 УК РФ (действует с 11.12.2024). Стратегия: после получения жалобы — немедленное уведомление РКН в течение 24 часов, ограничение доступа к архиву, фиксация факта нарушения внутренним актом.

Ситуация 3. Система видеонаблюдения интегрирована с МИС для идентификации пациентов. Ситуация: региональная поликлиника внедрила систему распознавания лиц для автоматической «встречи» пациентов при входе — данные передаются в МИС для подтягивания карты. Доказательства: обработка биометрии совместно с медицинскими данными без надлежащего основания, нет оценки УЗ и ДPIA. Вероятный исход: нарушение ст. 10 и 11 ФЗ-152 одновременно; при утечке — ч. 17 ст. 13.11 КоАП плюс возможный оборотный штраф при повторности по ч. 18. Стратегия: до запуска системы — полный аудит ИСПДн, оценка уровня защищённости по ПП РФ №1119, отдельные согласия и DPIA.

Частые вопросы

1. Чем отличается ИДС от согласия на ПДн при видеонаблюдении?

Информированное добровольное согласие (ИДС) по ст. 20 Федерального закона №323-ФЗ — это согласие пациента на медицинское вмешательство. Оно не является правовым основанием для обработки биометрических ПДн. Согласие на обработку ПДн по ст. 9 и 11 ФЗ-152 — самостоятельный документ с обязательными реквизитами: цель видеонаблюдения, перечень действий, срок хранения. С 01.09.2025 по ФЗ-156 оба документа должны быть отдельными и не могут объединяться ни с договором, ни друг с другом.

2. Можно ли публиковать фото «до-после» с согласия пациента?

Публикация изображения пациента (фото «до-после») — это распространение персональных данных по ст. 10.1 ФЗ-152, требующее отдельного согласия на распространение. Если изображение связано с медицинской процедурой, оно одновременно затрагивает специальную категорию — состояние здоровья по ст. 10 ФЗ-152. Нужны два отдельных согласия: одно — на обработку спецкатегории ПДн, второе — на распространение. Стандартное ИДС или общее согласие на ПДн для этого недостаточно.

3. Кто отвечает за утечку через МИС?

Ответственность несёт оператор ПДн — медицинская организация — независимо от того, произошла утечка через собственную инфраструктуру или через подрядчика, которому поручена обработка. Если МИС предоставляется по модели SaaS, клиника обязана заключить договор поручения обработки ПДн по п. 3 ст. 6 ФЗ-152 с конкретным перечнем действий и требованиями к защите. Отсутствие договора не снимает ответственности оператора — это устойчивая позиция судебной практики.

4. Какие данные передавать в ЕГИСЗ?

Состав сведений, подлежащих передаче в ЕГИСЗ, определяется Федеральным законом №323-ФЗ и подзаконными актами Минздрава. Передача осуществляется через региональные сегменты ЕГИСЗ. С точки зрения ФЗ-152 передача в государственную информационную систему — самостоятельное правовое основание по п. 2 ст. 6 ФЗ-152, не требующее отдельного согласия пациента. Однако объём передаваемых сведений должен строго соответствовать перечню, установленному НПА, — превышение объёма нарушает ст. 5 ФЗ-152.

5. Что грозит клинике за утечку данных пациентов?

За утечку данных пациентов как специальной категории или биометрических ПДн клинике грозит: ч. 12 ст. 13.11 КоАП — 3–5 млн ₽ при числе пострадавших от 1 000 до 10 000; ч. 13 — 5–10 млн ₽ (10 000–100 000 субъектов); ч. 17 — 15–20 млн ₽ за утечку биометрии; при повторности — оборотный штраф по ч. 15 или ч. 18 от 1% до 3% выручки, не менее 20 млн ₽. Ответственность по ст. 272.1 УК РФ (с 11.12.2024) может наступить для физического лица — руководителя или сотрудника ИТ — вплоть до лишения свободы на срок до 10 лет по ч. 5.

6. Обязательно ли обновлять уведомление в РКН, если камеры уже работают?

Да. Если ранее поданное уведомление не отражает факт обработки биометрических ПДн через систему видеонаблюдения — оператор обязан направить уведомление об изменении сведений по форме Приказа РКН №180. Продолжение обработки без актуального уведомления — нарушение ст. 22 ФЗ-152, штраф 100–300 тыс. ₽ по ч. 10 ст. 13.11 КоАП. Подача уведомления не является признанием вины за прошлые нарушения, но создаёт правовую основу для текущей обработки.

Итог

Видеонаблюдение в регистратуре медицинской организации требует шести последовательных действий: квалификации данных как биометрических и специальных категорий, проверки целей обработки, оформления отдельного согласия по ст. 9 и 11 ФЗ-152 в редакции ФЗ-156, регламента хранения и уничтожения записей, готовности к реагированию на инцидент за 24 часа и обновления уведомления в реестре РКН. Каждый пропущенный шаг — самостоятельное основание для штрафа по ст. 13.11 КоАП.

DATUM сопровождает медицинские организации по вопросам соответствия 152-ФЗ: аудит ИСПДн с медицинскими и биометрическими данными, разработка пакета ОРД для клиник, подготовка к проверкам РКН и защита при административном производстве.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка обработки биометрических и медицинских ПДн по 38 пунктам
Комплект ОРД под ключ — политика, согласия, регламент видеонаблюдения, журналы
Сопровождение проверок РКН — подготовка и представление интересов клиники

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, обработка ПДн несовершеннолетних.

14 января 2029 года