Перейти к содержанию
инструкция 21 января 2029 По состоянию на 21 января 2029

Утечка фотоархива клиники

Фотографии пациентов — биометрические и специальные персональные данные по ст. 10 и ст. 11 ФЗ-152. Утечка фотоархива клиники запускает режим 24/72 часов по ч. 3.1 ст. 21 ФЗ-152 и ответственность по ч. 12–17 ст. 13.11 КоАП — от 3 до 20 млн ₽.
Снимки результатов лечения, фото до-после, изображения из историй болезни — всё это одновременно врачебная тайна по ст. 13 ФЗ-323 и спецкатегория ПДн по ст. 10 ФЗ-152. Если фотоархив хранится в МИС без шифрования или передаётся в ЕГИСЗ без надлежащего основания — инспектор РКН квалифицирует это как двойное нарушение.
→ Если в клинике произошёл инцидент с фотоархивом или вы хотите проверить готовность — действуйте по этой инструкции. Каждый час до истечения 24-часового срока имеет значение.

Главный врач клиники несёт ответственность за обработку ПДн пациентов как оператор по ст. 6 ФЗ-152. Фотоархив — особая зона риска: снимки содержат биометрические данные (изображение лица по ст. 11 ФЗ-152) и одновременно медицинские сведения (спецкатегория по ст. 10 ФЗ-152). С 30.05.2025 за утечку от 1 000 до 10 000 субъектов клиника платит 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП, за биометрию — дополнительно до 20 млн ₽ по ч. 17. В этой инструкции — семь шагов от обнаружения инцидента до закрытия дела.

Шаг 1. Зафиксируйте факт инцидента и определите категории данных

Как только стало известно о возможной утечке фотоархива — немедленно составьте внутренний акт об инциденте. Укажите дату и время обнаружения, источник информации (сотрудник, внешний сигнал, автоматическое обнаружение в МИС), предполагаемый канал утечки.

Одновременно классифицируйте, какие именно данные затронуты. Фотографии пациентов делятся на три категории с разным правовым режимом:

  • Изображение лица — биометрические ПДн по ст. 11 ФЗ-152, если используются для идентификации пациента. Утечка квалифицируется по ч. 17 ст. 13.11 КоАП — штраф 15–20 млн ₽.
  • Фото результатов лечения, снимки повреждений, операционные фото — специальные категории ПДн по ст. 10 ФЗ-152, раскрывают состояние здоровья. Одновременно — врачебная тайна по ст. 13 ФЗ-323.
  • Фото до-после без медицинского контекста — могут квалифицироваться как обычные ПДн, если не раскрывают диагноз. Но согласие на распространение по ст. 10.1 ФЗ-152 всё равно обязательно.
«Ст. 10 ФЗ-152 запрещает обрабатывать данные о состоянии здоровья без явного основания. Ст. 11 ФЗ-152 распространяет режим биометрических ПДн на изображения, применяемые для идентификации личности. Ст. 13 ФЗ-323 устанавливает врачебную тайну как самостоятельный правовой институт — её нарушение влечёт ответственность независимо от ФЗ-152.»

Зафиксируйте предварительное число затронутых субъектов: менее 1 000, от 1 000 до 10 000, от 10 000 до 100 000, более 100 000. Это определит часть ст. 13.11 КоАП и размер штрафа.

Шаг 2. Заблокируйте доступ и сохраните доказательства

До уведомления РКН необходимо принять меры по блокированию дальнейшего распространения. Отключите или изолируйте скомпрометированный сегмент МИС, закройте внешние каналы доступа к фотоархиву, смените учётные данные администраторов.

Одновременно — и это критически важно — сохраните доказательную базу. Любое удаление логов до фиксации факта обнаружения будет расценено как сокрытие и осложнит позицию в РКН и суде.

  • Сделайте снимки экрана (с отметкой времени) или экспортируйте системные журналы МИС за период инцидента.
  • Зафиксируйте IP-адреса, с которых осуществлялся нетипичный доступ.
  • Получите у провайдера или облачного сервиса подтверждение объёма переданного трафика.
  • Если фотоархив размещён в ЕГИСЗ — запросите у оператора ЕГИСЗ лог обращений к данным клиники.

Сохранённые доказательства понадобятся для отчёта через 72 часа и при обжаловании постановления о штрафе.

Инцидент уже произошёл — есть меньше 24 часов?

Если главный врач зафиксировал утечку фотоархива, у клиники 24 часа на первичное уведомление РКН по ч. 3.1 ст. 21 ФЗ-152. Срок не восстанавливается. Неуведомление — штраф 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП дополнительно к штрафу за саму утечку. Юристы DATUM помогут составить первичное уведомление, скоординировать расследование и подготовить отчёт за 72 часа.

Подготовиться к проверке РКН

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Уведомьте РКН в течение 24 часов

Первичное уведомление об инциденте подаётся через портал pd.rkn.gov.ru в течение 24 часов с момента обнаружения. Порядок установлен Приказом РКН №187 от 14.11.2022 (действует с 01.03.2023).

В первичном уведомлении указывают:

  • наименование оператора и регистрационный номер в реестре РКН;
  • дату и время обнаружения инцидента;
  • предполагаемую причину (взлом МИС, несанкционированный доступ сотрудника, ошибка конфигурации облачного хранилища);
  • категории ПДн (биометрические, специальные, общие) и предварительное число субъектов;
  • принятые меры по локализации.
«Ч. 3.1 ст. 21 ФЗ-152: при выявлении факта неправомерной или случайной передачи ПДн оператор уведомляет уполномоченный орган в течение 24 часов с момента выявления. Через 72 часа — результаты внутреннего расследования. Приказ РКН №187 устанавливает форму и порядок подачи.»

Если клиника не включена в реестр операторов ПДн — уведомление всё равно подаётся. Но РКН дополнительно возбудит дело по ч. 10 ст. 13.11 КоАП за отсутствие уведомления о намерении обрабатывать ПДн (штраф 100–300 тыс. ₽). Проверьте статус регистрации заблаговременно на pd.rkn.gov.ru.

Как правильно оформить согласия пациентов, чтобы снизить ответственность?

Наличие надлежащих согласий пациентов — ключевой аргумент смягчения при рассмотрении дела. РКН и суд оценивают, принял ли оператор все разумные меры до инцидента.

Для фотоархива клиники требуется как минимум два отдельных документа:

  • Информированное добровольное согласие (ИДС) по ст. 20 ФЗ-323 — на медицинское вмешательство. Оно не заменяет согласие на обработку ПДн.
  • Согласие на обработку специальных категорий ПДн по ст. 10 ФЗ-152 — отдельный документ с указанием цели (лечение, ведение медицинской документации), перечня данных, срока, способа отзыва.
  • Согласие на распространение ПДн по ст. 10.1 ФЗ-152 — если клиника планирует публиковать фото до-после в маркетинговых целях. Без этого документа любая публикация — нарушение, даже с подписью пациента под ИДС.

С 01.09.2025 согласие на обработку ПДн оформляется отдельным документом и не может включаться в текст договора или ИДС (ФЗ-156 от 24.06.2025). Если в клинике до сих пор используются старые формы с «согласием в составе договора» — это самостоятельное основание для штрафа по ч. 2 ст. 13.11 КоАП (300–700 тыс. ₽).

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025: с 01.09.2025 согласие субъекта оформляется отдельным документом. Обязательные реквизиты: ФИО субъекта, наименование оператора, цель обработки, перечень ПДн, перечень действий, срок, способ отзыва.»

Согласия пациентов в клинике совмещены с ИДС или медицинским договором? После 01.09.2025 это отдельное нарушение по ч. 2 ст. 13.11 — до 700 тыс. ₽. Юристы DATUM проведут аудит документов и подготовят актуальный пакет ОРД для медорганизации.

Заказать аудит 152-ФЗ

Шаг 5. Подготовьте отчёт за 72 часа и взаимодействуйте с РКН

Через 72 часа после обнаружения инцидента клиника обязана направить в РКН отчёт о результатах внутреннего расследования. Форма — та же через pd.rkn.gov.ru по Приказу РКН №187.

Отчёт должен содержать:

  • установленную причину утечки и виновных (сотрудник, внешний злоумышленник, уязвимость МИС);
  • точное число затронутых субъектов и категории данных;
  • принятые технические и организационные меры по устранению причин;
  • меры по уведомлению пострадавших пациентов (если применимо);
  • план мероприятий по предотвращению повторных инцидентов.

Качество 72-часового отчёта напрямую влияет на размер штрафа и возможность применения смягчающих обстоятельств по ст. 4.1 КоАП. Суды учитывают добросовестность оператора: если клиника сама выявила, сообщила и устранила — это аргумент в пользу минимального диапазона санкции или замены на предупреждение по ст. 4.1.1 КоАП (для микропредприятий при первичном нарушении).

Шаг 6. Оцените риски по МИС и ЕГИСЗ

МИС (медицинская информационная система) и подключение к ЕГИСЗ — типичные точки входа при утечке фотоархива. После инцидента необходимо провести технический аудит обоих контуров.

По МИС проверьте:

  • уровень защищённости ИСПДн (УЗ-1..УЗ-4 по ПП РФ №1119): для медицинских данных более 100 000 субъектов — не ниже УЗ-2;
  • наличие мер защиты по Приказу ФСТЭК №21: шифрование хранимых данных (ЗНИ), разграничение доступа (УПД), журналирование (РСБ);
  • договор с разработчиком МИС на предмет поручения обработки ПДн по п. 3 ст. 6 ФЗ-152 — без него разработчик МИС действует как самостоятельный оператор, а клиника не снимает с себя ответственность.

По ЕГИСЗ проверьте, какие данные и на каком основании передаются. Передача медицинских сведений в ЕГИСЗ возможна только в объёме, установленном ПП РФ о составе сведений ЕГИСЗ. Избыточная передача фотографий, не предусмотренная регламентом, — нарушение ст. 5 ФЗ-152 (принцип минимизации данных).

Шаг 7. Сформируйте план устранения нарушений

После реагирования на инцидент — переход к системной работе. РКН при плановой или внеплановой проверке запросит доказательства того, что нарушения устранены.

Что подготовить главному врачу

  • Актуальные отдельные согласия пациентов на обработку специальных категорий ПДн и на распространение (по ст. 9 и ст. 10.1 ФЗ-152 в ред. с 01.09.2025).
  • Договор поручения обработки ПДн с разработчиком МИС или иным подрядчиком, имеющим доступ к фотоархиву.
  • Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 с должностной инструкцией.
  • Политику конфиденциальности и локальные акты по обработке ПДн (ст. 18.1 ФЗ-152) с разделом о фотоматериалах.
  • Технический акт о реализованных мерах защиты (УЗ, Приказ ФСТЭК №21) — для документирования инвестиций в ИБ (применимо для снижения оборотного штрафа по ст. 4.1 КоАП).

Практика: как клиники проходили через утечки фотоархивов

Кейс 1. Частная клиника эстетической медицины (Центральный ФО, зима 2025–2026) обнаружила, что сотрудник скопировал фотоархив результатов пластических операций на внешний носитель. Затронуто около 2 000 пациентов. Главный врач направил первичное уведомление в РКН в течение 19 часов, 72-часовой отчёт содержал описание технических мер и плана устранения. РКН квалифицировал инцидент по ч. 12 ст. 13.11 КоАП (утечка от 1 000 до 10 000 субъектов, штраф 3–5 млн ₽). В ходе рассмотрения дела оперативность уведомления и наличие договора поручения с разработчиком МИС были учтены как смягчающие — штраф назначен в нижней части диапазона.

Кейс 2. Сеть стоматологических клиник (Северо-Западный ФО, осень 2025) не имела отдельных согласий пациентов на обработку фотоматериалов — согласие было включено в текст договора на оказание услуг. После утечки фотоархива через незащищённый API МИС РКН возбудил дела одновременно по ч. 12 ст. 13.11 (утечка) и по ч. 2 ст. 13.11 (ненадлежащее согласие) в редакции с 30.05.2025. Совокупный диапазон санкций составил от 3,3 до 5,7 млн ₽. Аргумент о добросовестности не сработал из-за системных нарушений в документах.

Услуги DATUM по теме

Частые вопросы

1. Чем отличается ИДС от согласия на ПДн?

Информированное добровольное согласие (ИДС) по ст. 20 ФЗ-323 — это согласие пациента на медицинское вмешательство. Оно регулирует медицинско-правовые отношения и врачебную тайну. Согласие на обработку ПДн по ст. 9 ФЗ-152 — самостоятельный документ, регулирующий обработку персональных данных оператором. С 01.09.2025 согласие на ПДн не может быть частью ИДС, договора или иного документа. Это два обязательных и независимых документа: наличие ИДС не освобождает от обязанности получить согласие на ПДн.

2. Можно ли публиковать фото до-после с согласия?

Да, но только при наличии отдельного согласия на распространение ПДн по ст. 10.1 ФЗ-152. Это согласие оформляется отдельно от согласия на обработку и должно прямо указывать цель (маркетинг, публикация в соцсетях, сайт клиники), перечень публикуемых данных и канал распространения. Если фото содержат признаки медицинского вмешательства (шрамы, результаты операций), они также подпадают под ст. 10 ФЗ-152 как специальные категории. Публикация без надлежащего согласия — нарушение ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽) и ст. 13 ФЗ-323 (врачебная тайна).

3. Кто отвечает за утечку через МИС?

Клиника как оператор ПДн несёт ответственность за утечку независимо от того, через чью систему она произошла. Если МИС предоставляется сторонним разработчиком, отношения должны быть оформлены договором поручения обработки ПДн по п. 3 ст. 6 ФЗ-152. Без такого договора разработчик МИС может быть признан самостоятельным нарушителем, но клиника при этом не освобождается от ответственности. Принцип ответственности оператора за действия лица, осуществляющего обработку по поручению, закреплён в судебной практике: отсутствие договора поручения только ухудшает позицию клиники.

4. Какие данные передавать в ЕГИСЗ?

Состав сведений, передаваемых в ЕГИСЗ, определяется нормативными актами Минздрава и Минцифры о функционировании системы. Клиника вправе передавать только те данные, которые прямо предусмотрены регламентом ЕГИСЗ. Избыточная передача фотографий, не включённых в обязательный состав, нарушает принцип минимизации данных по ст. 5 ФЗ-152. Перед настройкой интеграции МИС с ЕГИСЗ необходимо провести юридическую экспертизу состава передаваемых данных и убедиться, что каждая категория имеет правовое основание.

5. Что грозит клинике за утечку?

Ответственность зависит от числа затронутых субъектов и категории данных. За утечку от 1 000 до 10 000 субъектов — ч. 12 ст. 13.11 КоАП, штраф 3–5 млн ₽; от 10 000 до 100 000 — ч. 13, 5–10 млн ₽; свыше 100 000 — ч. 14, 10–15 млн ₽. Если в утечке — биометрические данные (изображения лица), применяется ч. 17: 15–20 млн ₽. При неуведомлении РКН в 24 часа — дополнительно ч. 11, 1–3 млн ₽. При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽. Нормы действуют с 30.05.2025 (ФЗ-420 от 30.11.2024).

6. Когда возможна уголовная ответственность?

С 11.12.2024 действует ст. 272.1 УК РФ (ФЗ-421 от 30.11.2024) — незаконные использование, передача, сбор или хранение компьютерной информации с ПДн. Если сотрудник клиники умышленно скопировал и передал фотоархив третьим лицам, его действия могут быть квалифицированы по этой статье. Максимальная санкция по ч. 5 (тяжкие последствия) — лишение свободы до 10 лет. Главный врач как руководитель несёт ответственность по ст. 137 УК РФ (нарушение неприкосновенности частной жизни), если утечка произошла вследствие систематического игнорирования требований защиты данных.

Итог

Утечка фотоархива клиники — это одновременно нарушение ФЗ-152 (биометрические и специальные ПДн), врачебной тайны по ФЗ-323 и потенциальная уголовная ответственность по ст. 272.1 УК. Семь шагов этой инструкции — от фиксации факта до плана устранения — рассчитаны на главного врача, который хочет минимизировать санкции и сохранить репутацию клиники. Ключевые точки: 24 часа на уведомление РКН, 72 часа на отчёт, отдельные согласия пациентов, договор поручения с разработчиком МИС.

DATUM сопровождает медицинские организации в подготовке к проверкам РКН, формировании пакета ОРД под требования ФЗ-152 и ФЗ-323, реагировании на инциденты с ПДн пациентов. Опыт включает клиники, телемедицинские сервисы и EdTech-проекты с обработкой данных несовершеннолетних.

Смотрите также

Есть инцидент с фотоархивом или проверка РКН на горизонте?

Оценить риски по 152-ФЗ

Практика «Ветров и партнёры» по 152-ФЗ с 2014 года · +7 (383) 310-38-76 · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

ОН
Ольга Нечаева
Аналитик · Медицина и образование
Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна.

21 января 2029 года