инструкция 3 февраля 2029 По состоянию на 3 февраля 2029

Видеонаблюдение в кабинете врача: запрет

Q: Что грозит клинике за утечку медицинских данных?

При утечке спецкатегорий ПДн последствия зависят от масштаба: от 1 000 до 10 000 субъектов — штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП; от 10 000 до 100 000 субъектов — 5–10 млн ₽ по ч. 13; свыше 100 000 субъектов — 10–15 млн ₽ по ч. 14. При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. Неуведомление РКН в течение 24 часов — штраф 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП.

Видеосъёмка в кабинете врача затрагивает специальные категории персональных данных пациента — сведения о состоянии здоровья. Обработка таких данных без явного письменного согласия запрещена по ст. 10 ФЗ-152.

За утечку медицинских данных от 10 000 субъектов клинике грозит штраф от 5 до 10 млн ₽ по ч. 13 ст. 13.11 КоАП в редакции с 30.05.2025. Нарушение врачебной тайны по ст. 13 323-ФЗ влечёт самостоятельную ответственность.

Если вы главный врач и в кабинетах установлены камеры — проверьте: есть ли отдельное письменное согласие пациента, уведомлён ли РКН и соответствует ли МИС требованиям 152-ФЗ. → Разбираем по шагам.

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024 — штрафы за нарушения при обработке спецкатегорий персональных данных кратно выросли. Медицинская организация, установившая видеокамеру в кабинете врача без надлежащего правового основания, рискует одновременно нарушить ст. 10 ФЗ-152, ст. 13 323-ФЗ (врачебная тайна) и требования к информационной безопасности МИС. В этой инструкции — пошаговый алгоритм для главного врача: от правовой оценки до оформления документов.

Шаг 1. Почему видеонаблюдение в кабинете врача — это обработка спецкатегорий ПДн?

Видеозапись в кабинете врача фиксирует изображение пациента в контексте медицинского приёма. Этого достаточно, чтобы идентифицировать лицо и установить факт обращения за медицинской помощью. Такая информация прямо относится к сведениям о состоянии здоровья — специальной категории персональных данных по ст. 10 ФЗ-152.

Специальные категории требуют отдельного правового основания для обработки. Обычного согласия на «обработку персональных данных» в договоре об оказании медицинских услуг недостаточно. По ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 (действует с 01.09.2025) согласие должно быть оформлено отдельным документом с перечнем конкретных действий с данными.

«Ст. 10 ФЗ-152: обработка специальных категорий ПДн — сведений о состоянии здоровья — по общему правилу запрещена. Исключение: письменное согласие субъекта либо иное основание из исчерпывающего перечня п. 2 ст. 10 ФЗ-152.»

Дополнительно нарушается ст. 13 323-ФЗ «Об охране здоровья граждан»: сведения о факте обращения за медицинской помощью составляют врачебную тайну. Запись приёма на видео — это фиксация и потенциальное разглашение такой информации.

Практический вывод: видеонаблюдение в кабинете врача допустимо только при одновременном наличии трёх условий — письменного согласия пациента, уведомления РКН и технических мер защиты, соответствующих уровню защищённости ИСПДн.

Пациент обратился с жалобой на видеозапись приёма — что делать главному врачу?

Жалоба пациента на видеозапись без его согласия может стать основанием для внеплановой проверки РКН по обращению субъекта персональных данных. Срок ответа субъекту по ст. 20 ФЗ-152 — 10 рабочих дней. Промедление с реакцией усугубляет позицию клиники при проверке. Юристы DATUM оценят правовое основание, подготовят ответ субъекту и выстроят защитную позицию.

Подготовиться к проверке РКН

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 2. Какие правовые основания могут разрешить видеонаблюдение в кабинете?

Закон содержит исчерпывающий перечень оснований для обработки спецкатегорий ПДн по п. 2 ст. 10 ФЗ-152. Применительно к медицине значимы три.

Письменное согласие пациента. Наиболее универсальное основание. С 01.09.2025 согласие оформляется отдельным документом — не может быть частью договора, информированного добровольного согласия на вмешательство (ИДС) или политики конфиденциальности. Реквизиты согласия: наименование клиники, ФИО пациента, цель видеосъёмки, перечень действий с записью (хранение, передача, кому), срок хранения, порядок отзыва.

Осуществление медицинской деятельности. По пп. 4 п. 2 ст. 10 ФЗ-152 обработка допустима при оказании медицинской помощи и медицинской диагностики. Однако это основание не распространяется на видеозапись как таковую: оно предназначено для обработки медицинских данных в МИС и ЕГИСЗ, а не для наблюдения за пациентом в кабинете.

Существенные интересы субъекта. Применяется при недееспособности или угрозе жизни — не является стандартным основанием для плановых приёмов.

«Ст. 10 ФЗ-152 п. 2 пп. 4: обработка спецкатегорий ПДн допустима без согласия, если необходима для оказания медицинской помощи при условии, что обработка осуществляется лицом, профессионально обязанным сохранять врачебную тайну.»

Итоговая позиция: видеонаблюдение как организационная мера безопасности в кабинете врача не подпадает под «оказание медицинской помощи» по смыслу пп. 4 п. 2 ст. 10 ФЗ-152. Единственное надёжное основание — отдельное письменное согласие пациента перед каждым приёмом.

Шаг 3. Как оформить документы для законного видеонаблюдения?

Если медицинская организация принимает решение сохранить видеонаблюдение, требуется последовательная работа с документами.

Что подготовить для законного видеонаблюдения в кабинете

Отдельное согласие пациента на видеозапись — до начала приёма, с реквизитами по ст. 9 ФЗ-152 в ред. ФЗ-156 (с 01.09.2025)
Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 с указанием видеосъёмки как отдельного вида обработки
Уведомление в РКН о включении видеозаписи в перечень обрабатываемых ПДн (ст. 22 ФЗ-152) — если не указано в действующем уведомлении
Политика обработки ПДн с разделом о видеонаблюдении: цель, срок хранения, условия уничтожения
Договор поручения с оператором видеосистемы (если запись хранится у стороннего провайдера) по п. 3 ст. 6 ФЗ-152

Особого внимания требует срок хранения видеозаписей. Если запись содержит спецкатегории ПДн, хранить её дольше, чем необходимо для цели съёмки, запрещено по принципу минимизации ст. 5 ФЗ-152. Практика: не более 30 суток при съёмке в целях безопасности, не более срока оказания услуги при телемедицинских консультациях.

Уничтожение видеозаписей фиксируется актом с отметкой в журнале учёта. Это защита клиники при возможной проверке РКН.

Шаг 4. Что грозит клинике, если видеонаблюдение уже ведётся без согласия?

Нарушения при видеонаблюдении в кабинете врача квалифицируются по нескольким составам одновременно.

Обработка без согласия. По ч. 2 ст. 13.11 КоАП в редакции с 30.05.2025 — штраф от 300 000 до 700 000 ₽ за юридическое лицо. При повторном нарушении по ч. 2.1 — от 1 000 000 до 1 500 000 ₽.

Утечка медицинских данных через МИС или систему видеонаблюдения. Медицинская документация, связанная с видеозаписями, относится к спецкатегориям. При утечке от 1 000 субъектов — штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП; от 10 000 субъектов — 5–10 млн ₽ по ч. 13; от 100 000 — 10–15 млн ₽ по ч. 14.

«Ч. 2 ст. 13.11 КоАП (ред. с 30.05.2025): обработка ПДн без письменного согласия субъекта, когда оно обязательно, — штраф для юридического лица от 300 000 до 700 000 ₽. При повторном нарушении — от 1 000 000 до 1 500 000 ₽.»

Нарушение врачебной тайны. Ст. 13 323-ФЗ и ст. 137 УК РФ действуют параллельно с ФЗ-152. Несанкционированная видеозапись, ставшая известной третьим лицам, может повлечь уголовную ответственность сотрудника.

Требование субъекта уничтожить запись. Пациент вправе потребовать уничтожения данных, в том числе видеозаписи. Срок исполнения — 7 рабочих дней. Невыполнение — штраф по ч. 5 ст. 13.11 КоАП от 50 000 до 90 000 ₽, при повторном нарушении — от 300 000 до 500 000 ₽ по ч. 5.1.

Если в вашей клинике видеосъёмка ведётся, но документы не оформлены — каждый день съёмки без согласия пациента создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽. Чтобы оценить, какие документы нужны именно вашей медорганизации, — запросите аудит.

Заказать аудит 152-ФЗ

Как это применяется на практике

Кейс 1. Частная клиника в Сибирском федеральном округе (начало 2026 года) установила камеры в кабинетах для контроля качества работы врачей. Согласие пациентов не оформлялось — уведомление на информационном стенде сочли достаточным. После жалобы пациента РКН провёл внеплановую документарную проверку. Клиника не смогла представить отдельные согласия на видеозапись. По ч. 2 ст. 13.11 КоАП вынесен протокол; штраф составил несколько сотен тысяч рублей. Параллельно РКН предписал уничтожить все ранее сделанные записи.

Кейс 2. Медицинский центр в Центральном федеральном округе (осень 2025 года) подключил МИС к облачному провайдеру без договора поручения. Провайдер хранил обезличенные, по мнению клиники, данные — но обезличивание не соответствовало требованиям приказа РКН о методах обезличивания. При проверке данные были признаны ПДн. Нарушение локализации по ч. 8 ст. 13.11 КоАП повлекло штраф в диапазоне 1–6 млн ₽. Дополнительно — требование о расторжении договора с провайдером и переносе данных в российский дата-центр.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверим документы клиники по чек-листу из 38 пунктов
Комплект ОРД под ключ — согласия пациентов, приказы, политика в формате «готово к проверке»
Сопровождение проверок РКН — представительство на проверке и обжалование предписаний

Частые вопросы

1. Чем отличается ИДС от согласия на ПДн?

Информированное добровольное согласие (ИДС) по ст. 20 323-ФЗ — это согласие пациента на медицинское вмешательство. Оно регулирует медицинско-правовые отношения и не является согласием на обработку персональных данных по ст. 9 ФЗ-152. С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие на обработку ПДн обязательно оформляется отдельным документом. Объединять ИДС и согласие на ПДн в один бланк нельзя: это нарушает требования к составу согласия и создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽.

2. Можно ли публиковать фото до-после с согласия пациента?

Публикация фото пациента — это распространение персональных данных, которое с точки зрения ст. 10.1 ФЗ-152 требует отдельного согласия на распространение. Такое согласие не может быть совмещено с согласием на обработку ПДн или ИДС. Дополнительно: если фото раскрывает факт обращения за медицинской помощью (например, снято в клинике или содержит медицинский контекст), публикация нарушает врачебную тайну по ст. 13 323-ФЗ даже при наличии согласия пациента — если клиника не обеспечила, что публикация не раскрывает сведения, составляющие врачебную тайну.

3. Кто отвечает за утечку через МИС?

Ответственность несёт оператор персональных данных — медицинская организация, которой принадлежит МИС. Если МИС предоставляется по модели SaaS или обработка данных поручена внешнему провайдеру, клиника обязана заключить договор поручения по п. 3 ст. 6 ФЗ-152. При утечке через подрядчика ответственность оператора не снимается: согласно позиции судебной практики, оператор отвечает за действия лица, которому поручил обработку. Штраф при утечке от 1 000 субъектов — от 3 млн ₽ по ч. 12 ст. 13.11 КоАП.

4. Какие данные передавать в ЕГИСЗ?

Передача данных в ЕГИСЗ регулируется постановлениями Правительства о подключении медицинских организаций к государственным информационным системам здравоохранения. Передаются обезличенные или идентифицированные данные в зависимости от конкретного регистра или подсистемы ЕГИСЗ. Согласие пациента на передачу в ЕГИСЗ, как правило, не требуется, если передача предусмотрена законом (пп. 2 п. 2 ст. 10 ФЗ-152 — исполнение обязанностей, возложенных законодательством). Однако объём передаваемых данных должен соответствовать цели: передавать данные сверх предусмотренного нормативным актом объёма без согласия пациента нельзя.

5. Что грозит клинике за утечку медицинских данных?

При утечке спецкатегорий ПДн (сведения о здоровье) последствия зависят от масштаба: от 1 000 до 10 000 субъектов — штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП; от 10 000 до 100 000 субъектов — 5–10 млн ₽ по ч. 13; свыше 100 000 субъектов — 10–15 млн ₽ по ч. 14. При повторной утечке применяется оборотный штраф по ч. 15: 1–3% годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽. Дополнительно — уголовная ответственность по ст. 272.1 УК для физических лиц (с 11.12.2024). Неуведомление РКН об утечке в течение 24 часов — штраф 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП.

6. Нужно ли уведомлять РКН о видеонаблюдении отдельно?

Если в действующем уведомлении медицинской организации в реестре операторов ПДн не указана видеозапись как вид обрабатываемых данных или как цель обработки — требуется подать уведомление об изменении сведений по форме Приказа РКН №180 от 28.10.2022. Срок реакции РКН — 30 дней. Отсутствие актуального уведомления при проверке — нарушение ч. 10 ст. 13.11 КоАП, штраф 100–300 тыс. ₽.

Итог

Видеонаблюдение в кабинете врача — это обработка специальных категорий персональных данных пациента. Без отдельного письменного согласия, актуального уведомления в РКН и технических мер защиты такая съёмка нарушает ст. 10 ФЗ-152 и ст. 13 323-ФЗ одновременно. Штрафы по ст. 13.11 КоАП в редакции с 30.05.2025 сделали цену ошибки кратно выше, чем стоимость оформления документов.

Юристы DATUM сопровождают медицинские организации в вопросах соответствия 152-ФЗ: от оценки правовых оснований видеонаблюдения до подготовки полного пакета ОРД под конкретный профиль клиники.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, обработка ПДн несовершеннолетних.

3 февраля 2029 года