инструкция 21 февраля 2028 По состоянию на 21 февраля 2028

Согласие на публикацию в маркетинговых материалах

Публикация фотографий, видео и историй пациентов в рекламных материалах клиники — это обработка специальных категорий персональных данных по ст. 10 ФЗ-152 и одновременно распространение ПДн по ст. 10.1 ФЗ-152. Оба основания требуют отдельных, правильно оформленных согласий.

С 01.09.2025 согласие на обработку ПДн должно быть отдельным документом, не включённым в договор или медицинскую карту (ФЗ-156 от 24.06.2025). При утечке или публикации без надлежащего согласия клиника платит штраф от 3 до 15 млн ₽ по ч. 12–14 ст. 13.11 КоАП.

→ Если главный врач планирует маркетинговую кампанию с участием пациентов — прочитайте инструкцию до публикации первого поста.

Медицинские организации активно используют отзывы и фотографии пациентов в социальных сетях, на сайте и в рекламных материалах. Это законно, но требует строгого документального оформления. Данные о здоровье — спецкатегория по ст. 10 ФЗ-152, их обработка по умолчанию запрещена. Публикация добавляет второе основание — распространение по ст. 10.1 ФЗ-152, которое требует ещё одного отдельного согласия. Инструкция ниже описывает шесть обязательных шагов, позволяющих клинике работать с маркетинговыми материалами без риска штрафа.

Шаг 1. Разграничьте ИДС и согласие на персональные данные — это разные документы

Информированное добровольное согласие (ИДС) по ст. 20 Федерального закона № 323-ФЗ «Об основах охраны здоровья граждан» — это согласие пациента на медицинское вмешательство. Оно не является правовым основанием для обработки персональных данных в маркетинговых целях. Смешивать эти документы нельзя.

Согласие на обработку ПДн по ст. 9 ФЗ-152 регулирует, что клиника вправе делать с данными пациента: хранить, использовать для рекламы, передавать агентству. С 01.09.2025 это согласие оформляется исключительно отдельным документом — требование ФЗ-156 от 24.06.2025. Включить его в медицинскую карту, договор оказания услуг или ИДС больше нельзя.

«Ст. 9 ФЗ-152 (в ред. с 01.09.2025, ФЗ-156) — согласие субъекта персональных данных оформляется отдельным документом с обязательными реквизитами: наименование оператора, цель обработки, перечень данных, перечень действий, срок действия, способ отзыва.»

Если пациент подписал ИДС и договор с оказанием услуг, но не подписал отдельное согласие на маркетинговую обработку — публиковать его фотографию или историю болезни нельзя. Нарушение квалифицируется по ч. 2 ст. 13.11 КоАП: штраф для юрлица от 300 000 до 700 000 ₽.

Пациенты уже снялись в рекламном ролике, а согласие в договоре?

Если маркетинговые материалы уже опубликованы, а согласие включено в договор или медкарту, — у клиники есть риск по ч. 2 ст. 13.11 КоАП. С 01.09.2025 такое согласие не соответствует требованиям ФЗ-156. Срок на устранение нарушения не восстанавливается после начала проверки РКН.

Юристы DATUM проведут аудит документации клиники по чек-листу из 38 пунктов и выдадут план устранения нарушений до прихода инспектора.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 2. Убедитесь, что согласие охватывает распространение — получите второй документ

Ст. 10.1 ФЗ-152 регулирует распространение персональных данных — то есть их передачу неограниченному кругу лиц. Публикация фотографии пациента в Instagram, на сайте клиники или в рекламном буклете — это распространение. Оно требует отдельного согласия, даже если у клиники уже есть согласие на общую маркетинговую обработку.

Правило ст. 10.1: если пациент не высказался явно о том, что разрешает распространение, — молчание трактуется как запрет. Согласие должно прямо указывать, что субъект разрешает публикацию конкретных категорий данных (фотографии, видеозаписи, история лечения, результаты до/после) на конкретных площадках (сайт, социальные сети, печатные материалы).

«Ст. 10.1 ФЗ-152 — обработка ПДн, разрешённых субъектом для распространения, осуществляется с соблюдением запретов и условий, установленных субъектом в согласии. Молчание или бездействие субъекта не является согласием на распространение.»

Обратите внимание: данные о состоянии здоровья относятся к спецкатегории по ст. 10 ФЗ-152. Публикация результатов лечения или диагноза требует соблюдения и ст. 10, и ст. 10.1 одновременно. Это два отдельных основания, которые должны быть закрыты двумя документами или одним, явно объединяющим оба основания с раздельными полями подтверждения.

Шаг 3. Проверьте обязательные реквизиты согласия на маркетинговую публикацию

Согласие на публикацию в маркетинговых материалах должно содержать все реквизиты, предусмотренные ст. 9 ФЗ-152, плюс специальные элементы для распространения по ст. 10.1.

Что должно быть в согласии на маркетинговую публикацию

Полное наименование клиники как оператора и, если материалы готовит агентство, — наименование уполномоченного лица по поручению (ст. 6 ч. 3 ФЗ-152)
Цель обработки: «продвижение медицинских услуг клиники», «размещение отзывов и историй пациентов», «рекламные кампании» — конкретно, без общих формулировок
Перечень данных: фотографии, видеозаписи, фамилия-имя-отчество, диагноз (если упоминается), описание результатов лечения — каждая категория указывается явно
Перечень площадок и форматов: сайт клиники, социальные сети (с указанием конкретных), печатные буклеты, наружная реклама — без размытых формулировок «иные каналы»
Срок действия согласия и способ его отзыва: «Согласие действует до отзыва. Для отзыва направить письменное заявление по адресу...»

Отдельно: если в публикации упоминается диагноз или состояние здоровья, согласие должно содержать явное разрешение на обработку данных о здоровье как спецкатегории по ст. 10 ч. 2 п. 1 ФЗ-152 — с отдельной строкой подписи или галочкой, отделённой от остального текста. Это требование сложнее всего соблюсти в цифровых формах сбора согласий.

Шаг 4. Настройте передачу данных маркетинговому агентству через договор-поручение

Когда клиника передаёт фотографии и истории пациентов рекламному агентству или SMM-специалисту, это передача персональных данных по поручению. Ст. 6 ч. 3 ФЗ-152 обязывает оформить письменный договор, в котором зафиксированы: цель передачи, перечень допустимых действий, запрет передачи третьим лицам без разрешения клиники, обязанность соблюдать конфиденциальность.

Без такого договора клиника остаётся оператором, но утрачивает контроль над данными. При утечке через агентство ответственность несёт клиника, а не агентство — это устоявшаяся позиция судов по принципу ответственности оператора за действия обработчика.

Отдельный риск — трансграничная передача. Если агентство использует зарубежные сервисы (облачные хранилища, CRM, рекламные платформы), возникают требования ст. 12 ФЗ-152 об уведомлении РКН до передачи данных в страну без адекватной защиты. Уточните у агентства, где хранятся загруженные материалы.

Шаг 5. Обеспечьте хранение согласий и их связь с конкретными публикациями

Роскомнадзор при проверке вправе запросить согласие на каждый конкретный материал. Клиника должна уметь предъявить документ, из которого видно: кто, когда, на что дал согласие и что именно опубликовано в рамках этого согласия. Хаотичное хранение согласий в бумажных папках или в МИС без привязки к конкретным материалам — типовая проблема.

Рекомендуемый порядок: для каждой маркетинговой кампании создаётся реестр с привязкой «пациент — дата согласия — опубликованный материал — площадка — дата публикации». Реестр хранится у ответственного за обработку ПДн по ст. 22.1 ФЗ-152. Срок хранения — весь период публикации плюс три года после отзыва согласия или прекращения обработки.

«Ст. 21 ФЗ-152 — при отзыве субъектом согласия оператор обязан прекратить обработку и уничтожить ПДн в срок, не превышающий 30 дней с момента получения отзыва, если иное не установлено договором или законом.»

Если пациент отозвал согласие — публикация должна быть удалена со всех площадок. Промедление создаёт основание для требования субъекта по ст. 21 ФЗ-152 и, при неисполнении, — штраф по ч. 5 ст. 13.11 КоАП от 50 000 до 90 000 ₽ за каждый факт неустранения.

Если в клинике нет реестра согласий или ответственного за ПДн по ст. 22.1 — при проверке РКН это будет зафиксировано как отдельное нарушение. Юристы DATUM соберут ОРД медицинской организации под ключ, включая регламент работы с маркетинговыми материалами.

Собрать ОРД под ключ

Шаг 6. Проверьте, что уведомление в реестре РКН охватывает маркетинговую обработку

Клиника, обрабатывающая ПДн пациентов в маркетинговых целях, обязана указать эту цель в уведомлении об обработке ПДн в реестре операторов РКН по ст. 22 ФЗ-152. Если уведомление подавалось только для медицинских целей, а маркетинговая обработка началась позже — нужно подать изменение через pd.rkn.gov.ru.

Неуведомление РКН о намерении обрабатывать ПДн — штраф по ч. 10 ст. 13.11 КоАП от 100 000 до 300 000 ₽. Инспектор РКН при проверке сравнивает реальную деятельность клиники с заявленными целями в реестре. Расхождение — типовое основание для протокола.

Как это применяется на практике

Кейс 1. Частная многопрофильная клиника (Центральный ФО, весна 2026) разместила на сайте раздел «Истории успеха» с фотографиями пациентов до и после операций. Согласия были включены в договоры об оказании услуг. После жалобы одного из пациентов РКН провёл внеплановую проверку: инспектор зафиксировал отсутствие отдельных согласий по требованиям ФЗ-156, нарушение ст. 10.1 ФЗ-152 по распространению спецкатегорий. По итогу составлены протоколы по ч. 2 ст. 13.11 (штраф в сотни тысяч рублей) и предписание удалить материалы в течение 10 дней. Раздел был снят с сайта, клиника переоформила документацию.

Кейс 2. Стоматологическая клиника (Сибирский ФО, осень 2025) передала SMM-агентству базу данных с фотографиями и контактами 1 400 пациентов для рекламной кампании в социальных сетях. Агентство хранило материалы в облачном сервисе с иностранной юрисдикцией без уведомления РКН о трансграничной передаче. При утечке данных через взломанный аккаунт агентства ответственность была возложена на клинику как оператора. Арбитражный суд региона квалифицировал нарушение по ч. 12 ст. 13.11 КоАП (утечка от 1 000 до 10 000 субъектов) — штраф в диапазоне 3–5 млн ₽. Договор-поручение с агентством отсутствовал. Примечание: конкретный номер дела и точная дата уточняются менеджером при публикации.

Типовые ситуации для главного врача

Ситуация 1. Клиника публикует отзывы пациентов с именем и фамилией. Доказательства: нет отдельного согласия на распространение ФИО. Вероятный исход: нарушение ст. 10.1 ФЗ-152, протокол по ч. 2 ст. 13.11 КоАП. Стратегия: немедленно анонимизировать публикации, получить ретроактивные согласия или удалить материалы, оформить типовое согласие на распространение для будущих случаев.

Ситуация 2. Агентство запрашивает доступ к МИС для выгрузки историй успеха. Доказательства: в МИС хранятся спецкатегории ПДн (диагнозы, результаты анализов). Вероятный исход: передача без договора-поручения и без согласия на маркетинговую обработку — нарушение сразу нескольких норм. Штраф по ч. 1 ст. 13.11 от 150 000 до 300 000 ₽, при повторности — до 500 000 ₽. Стратегия: оформить договор-поручение, ограничить доступ к МИС выгрузкой только тех данных, на которые есть согласие.

Ситуация 3. Пациент отозвал согласие, а фотография осталась в архиве сайта и индексируется Google. Доказательства: фиксация через скриншот с датой. Вероятный исход: нарушение ст. 21 ФЗ-152, штраф по ч. 5 ст. 13.11 КоАП. Стратегия: немедленно удалить материал со всех площадок включая кэши поисковиков, зафиксировать дату удаления в реестре согласий.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка всей документации клиники, включая маркетинговые согласия
Комплект ОРД под ключ — пакет согласий, политик и регламентов для медицинской организации
Сопровождение проверок РКН — подготовка к визиту инспектора и представление интересов

Частые вопросы

1. Чем отличается ИДС от согласия на персональные данные?

ИДС по ст. 20 ФЗ-323 — это согласие на медицинское вмешательство. Оно не даёт клинике права использовать данные пациента в рекламе. Согласие на ПДн по ст. 9 ФЗ-152 — отдельный документ, регулирующий именно обработку данных: для каких целей, какие данные, какие действия разрешены. С 01.09.2025 согласие на ПДн не может быть частью договора или ИДС — только отдельный документ.

2. Можно ли публиковать фото «до-после» с согласия пациента?

Да, но при соблюдении двух условий одновременно. Первое: отдельное согласие на обработку спецкатегорий (данные о здоровье) по ст. 10 ч. 2 п. 1 ФЗ-152. Второе: отдельное согласие на распространение по ст. 10.1 ФЗ-152, явно указывающее на публикацию фотографий с результатами лечения. Эти два основания можно объединить в один документ, но с раздельными полями для подтверждения каждого.

3. Кто отвечает за утечку через МИС или через подрядчика?

Ответственность несёт оператор — клиника. Это правило действует даже если утечка произошла через МИС третьего поставщика или через агентство, которому были переданы данные. Клиника отвечает за выбор обработчика и за наличие договора-поручения с ним. При отсутствии такого договора у клиники нет механизма регресса, а РКН предъявит претензии именно оператору.

4. Какие данные клиника обязана передавать в ЕГИСЗ?

Состав передаваемых в ЕГИСЗ данных определяется подзаконными актами Минздрава и зависит от вида медицинской деятельности клиники. Согласие пациента на передачу данных в ЕГИСЗ оформляется отдельно от маркетингового согласия — это разные цели обработки. Объединять их в одном документе нельзя: нарушается принцип несовместимости целей по ст. 5 ФЗ-152.

5. Что грозит клинике за утечку данных пациентов?

Размер штрафа зависит от числа пострадавших субъектов. Утечка от 1 000 до 10 000 человек — штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП. От 10 000 до 100 000 — 5–10 млн ₽ по ч. 13. Более 100 000 субъектов — 10–15 млн ₽ по ч. 14. Если утечка биометрических данных — до 20 млн ₽ по ч. 17. При повторном нарушении — оборотный штраф 1–3% годовой выручки, не менее 20 млн ₽. Параллельно возможно уголовное дело по ст. 272.1 УК РФ.

6. Нужно ли повторно получать согласие, если пациент давал его до 01.09.2025?

Согласия, полученные до 01.09.2025 в составе договора или медицинской карты, формально действительны, если отвечали требованиям закона на момент подписания. Однако ФЗ-156 не содержит переходного периода для приведения к новым требованиям — то есть любые новые маркетинговые кампании требуют согласий нового образца. Клиниям с постоянными пациентами рекомендуется планово переоформить согласия при следующем визите.

Итог

Публикация данных пациентов в маркетинговых материалах требует как минимум двух документов: отдельного согласия на обработку ПДн по ст. 9 ФЗ-152 и отдельного согласия на распространение по ст. 10.1 ФЗ-152. Если публикуются данные о здоровье — дополнительно соблюдаются требования ст. 10 ФЗ-152 к спецкатегориям. Передача данных агентству требует письменного договора-поручения. Отсутствие любого из этих элементов создаёт риск штрафа от 300 000 ₽ до 15 млн ₽ и выше.

Практика DATUM сопровождает медицинские организации в подготовке комплектов маркетинговых согласий и ОРД, а также в прохождении проверок Роскомнадзора по направлению ПДн в здравоохранении.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, обработка ПДн несовершеннолетних.