инструкция 19 января 2029 По состоянию на 19 января 2029

Видеонаблюдение в регистратуре

Видеозапись в регистратуре медорганизации — это обработка биометрических и специальных категорий персональных данных пациентов по ст. 10 и ст. 11 ФЗ-152.

С 30.05.2025 утечка видеозаписей пациентов квалифицируется по ч. 12–14 ст. 13.11 КоАП: штраф от 3 до 15 млн ₽ в зависимости от числа пострадавших. Повторная утечка — оборотный штраф до 500 млн ₽ по ч. 15.

Если вы главный врач и в регистратуре стоят камеры — проверьте, есть ли отдельные согласия пациентов на видеосъёмку и включена ли она в политику обработки ПДн. → Шаги ниже.

Видеонаблюдение в регистратуре присутствует почти в каждой клинике — для контроля очередей, безопасности и разбора конфликтных ситуаций. Проблема в том, что запись лица человека в медицинском учреждении — это одновременно биометрические ПДн (ст. 11 ФЗ-152) и потенциально сведения, раскрывающие факт обращения за медицинской помощью (специальная категория по ст. 10 ФЗ-152). Роскомнадзор расценивает такую обработку как требующую отдельного письменного согласия. Ниже — пошаговый порядок приведения видеонаблюдения в регистратуре в соответствие с законом.

Шаг 1. Определите правовой статус видеозаписи в регистратуре

Видеозапись лица человека является биометрическими персональными данными по ст. 11 ФЗ-152, если она используется для идентификации личности. В регистратуре медорганизации запись лица фактически позволяет установить, кто именно обратился за медицинской помощью. Это автоматически добавляет к биометрии косвенный признак состояния здоровья — специальную категорию ПДн по ст. 10 ФЗ-152.

«Ст. 11 ФЗ-152 — биометрические ПДн (в том числе изображение лица) обрабатываются только с письменного согласия субъекта. Исключения — исчерпывающий перечень в ч. 2 ст. 11, медицинская помощь в него не включена как общее основание.»

Позиция регулятора: даже если камера установлена в целях безопасности, а не идентификации, запись лица пациента в момент его обращения за медицинской услугой подпадает под ст. 11. Ссылки на «общий интерес» или «безопасность учреждения» как самостоятельное основание не работают без согласия субъекта.

Дополнительно: если в зоне видимости камеры пациент называет симптомы или диагноз (регистратор принимает документы, уточняет направление), и разговор попадает на запись — это уже обработка данных о состоянии здоровья (ст. 10 ФЗ-152, специальная категория). Требование к основанию обработки ужесточается.

Шаг 2. Проверьте наличие и состав согласия на видеосъёмку

Согласие пациента на обработку биометрических ПДн (видеозапись) должно быть письменным, отдельным от информированного добровольного согласия (ИДС) на медицинское вмешательство по ст. 20 323-ФЗ. С 01.09.2025 согласие на обработку ПДн по ст. 9 ФЗ-152 (в ред. ФЗ-156 от 24.06.2025) оформляется отдельным документом — его нельзя включать в договор, политику или ИДС.

«Ст. 9 ФЗ-152 (ред. с 01.09.2025) — согласие на обработку ПДн: отдельный документ с реквизитами: ФИО субъекта, контакты, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва.»

Обязательные реквизиты согласия на видеонаблюдение в регистратуре:

ФИО пациента и контактные данные
Наименование оператора — медорганизация
Цель: видеонаблюдение в регистратуре в целях обеспечения безопасности, разбора конфликтных ситуаций, контроля качества обслуживания
Перечень ПДн: изображение лица (биометрические ПДн), голосовые данные (если камера пишет звук)
Перечень действий: запись, хранение, просмотр уполномоченными сотрудниками, уничтожение по истечении срока
Срок хранения видеозаписей (конкретный период, например 30 суток)
Способ отзыва согласия

Согласие нужно получать до момента попадания пациента в зону видеонаблюдения. Типовое решение — информационный стенд или электронный терминал при входе в регистратуру с формой согласия. Отзыв согласия влечёт обязанность прекратить обработку соответствующих записей (ст. 9 ч. 2 ФЗ-152).

Согласия на видеонаблюдение ещё не отделены от ИДС?

Если в клинике согласие на видеосъёмку включено в договор или медицинскую документацию — с 01.09.2025 это нарушение ч. 2 ст. 13.11 КоАП: штраф до 700 тыс. ₽. Юристы DATUM подготовят отдельные формы согласий на биометрическую обработку и проведут аудит всей документации регистратуры.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Внесите видеонаблюдение в политику обработки ПДн и уведомление РКН

Обработка биометрических ПДн через видеонаблюдение должна быть отражена в двух обязательных документах: политике обработки ПДн (ст. 18.1 ФЗ-152) и уведомлении в реестре операторов РКН (ст. 22 ФЗ-152). Если медорганизация уже состоит в реестре, но видеосъёмка в нём не указана — нужно подать уведомление об изменении сведений через pd.rkn.gov.ru.

«Ст. 22 ФЗ-152 — оператор уведомляет РКН о намерении обрабатывать ПДн до начала обработки. Форма — Приказ РКН №180 от 28.10.2022. Неуведомление или несвоевременное уведомление — штраф 100–300 тыс. ₽ по ч. 10 ст. 13.11 КоАП.»

В политике обработки ПДн укажите:

Цель обработки: видеонаблюдение в регистратуре (безопасность, контроль качества)
Категории ПДн: биометрические (изображение лица), при наличии звука — голосовые
Правовое основание: письменное согласие субъекта (ст. 9, ст. 11 ФЗ-152)
Срок хранения видеозаписей и порядок уничтожения
Лица, имеющие доступ к записям: перечень должностей
Технические меры защиты: шифрование, разграничение доступа, журналирование

Отдельно: если видеозаписи передаются на хранение сторонней компании (охранная организация, облачный сервис) — это поручение обработки по п. 3 ст. 6 ФЗ-152. Необходим договор-поручение с перечнем допустимых действий и требованием конфиденциальности.

Как видеонаблюдение связано с МИС и ЕГИСЗ?

Медицинская информационная система (МИС) и реестры ЕГИСЗ содержат сведения о состоянии здоровья пациентов — это специальные категории ПДн по ст. 10 ФЗ-152. Видеонаблюдение само по себе не интегрируется с МИС, однако создаёт дополнительный контур обработки: запись регистрирует личность пациента в момент посещения клиники, что косвенно связывает биометрические данные с медицинскими записями в МИС.

Риск: если утечка произойдёт одновременно из системы видеонаблюдения и МИС, регулятор квалифицирует инцидент как утечку специальных категорий ПДн. Это влечёт применение ч. 16 ст. 13.11 КоАП за нарушение требований к обработке биометрии и потенциально ч. 12–14 за масштаб утечки. Требование к уровню защищённости ИСПДн в таком случае — УЗ-1 или УЗ-2 по ПП РФ №1119.

«ПП РФ №1119 — при обработке специальных категорий ПДн (состояние здоровья) и числе субъектов свыше 100 000 устанавливается УЗ-1. При меньшем числе субъектов — УЗ-2 или УЗ-3 в зависимости от актуальности угроз.»

Сведения о пациентах, передаваемые в ЕГИСЗ, регулируются отдельно — основание ст. 91 323-ФЗ (врачебная тайна) и нормы о составе данных для федерального реестра. Видеозаписи в ЕГИСЗ не передаются, однако если в клинике настроен единый профиль пациента, где видеофайлы хранятся рядом с медицинской картой — требования к защите применяются как к МИС.

Если главный врач обнаружил, что видеозаписи хранятся на том же сервере, что и МИС, — это УЗ-2 минимум по ПП РФ №1119 и требования Приказа ФСТЭК №21. У вас 24 часа на уведомление РКН при инциденте (ч. 3.1 ст. 21 ФЗ-152). Срок не восстанавливается.

Подготовиться к проверке РКН

Шаг 4. Установите технические меры защиты видеозаписей

Видеозаписи из регистратуры — ИСПДн (информационная система персональных данных), к которой применяются требования ст. 19 ФЗ-152, ПП РФ №1119 и Приказа ФСТЭК №21. Уровень защищённости определяется по трём параметрам: категория ПДн, тип актуальных угроз, число субъектов.

Для большинства районных поликлиник и небольших клиник при обработке биометрических ПДн пациентов (менее 100 000 субъектов) и угрозах 3-го типа устанавливается УЗ-3. Крупные многопрофильные клиники с охватом свыше 100 000 пациентов и угрозами 2-го типа — УЗ-2.

Минимальные технические меры по Приказу ФСТЭК №21 для УЗ-3:

Идентификация и аутентификация пользователей (ИАФ): доступ к видеозаписям — по логину и паролю, журнал входов
Разграничение доступа (УПД): только уполномоченные сотрудники (служба безопасности, руководство) могут просматривать архив
Регистрация событий безопасности (РСБ): журнал просмотра, экспорта и удаления видеозаписей
Защита носителей информации (ЗНИ): шифрование или физическая защита сервера/видеорегистратора
Антивирусная защита (АВЗ): для серверов с видеоархивом

Если видеосистема подключена к интернету (облачное хранение, удалённый просмотр) — добавляются требования группы ЗИС (защита информационной системы): сегментация сети, межсетевой экран, шифрование канала.

Шаг 5. Определите порядок реагирования на утечку видеозаписей

Утечка видеозаписей из регистратуры — это утечка биометрических ПДн. Требования к реагированию установлены ч. 3.1 ст. 21 ФЗ-152 и Приказом РКН №187 от 14.11.2022.

«Ч. 3.1 ст. 21 ФЗ-152 — при обнаружении утечки оператор уведомляет РКН в течение 24 часов. Через 72 часа — отчёт о результатах внутреннего расследования с описанием принятых мер.»

Порядок действий при инциденте с видеозаписями регистратуры:

Зафиксировать факт и время обнаружения (акт, журнал инцидентов)
Изолировать систему видеонаблюдения от сети при наличии активной атаки
В течение 24 часов направить первичное уведомление в РКН через pd.rkn.gov.ru: категория ПДн, ориентировочное число субъектов, предполагаемая причина
Провести внутреннее расследование: установить канал утечки, круг пострадавших, объём данных
В течение 72 часов направить отчёт о расследовании с описанием принятых мер и плана устранения
Уведомить пострадавших пациентов — при наличии такой возможности

Неуведомление РКН об утечке в 24 часа — штраф 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП. За саму утечку в зависимости от числа пострадавших — от 3 до 15 млн ₽ по ч. 12–14. Утечка биометрии — отдельный состав ч. 17 ст. 13.11: 15–20 млн ₽.

Типовые ситуации: как складывается практика

Ситуация 1. Проверка РКН в многопрофильной клинике (Центральный ФО, осень 2025). Главный врач получил уведомление о плановой проверке РКН. В ходе аудита выяснилось, что видеонаблюдение в регистратуре функционирует с 2019 года, однако отдельного согласия пациентов на видеосъёмку никогда не получали — согласие было включено в договор на оказание медицинских услуг. После 01.09.2025 это прямое нарушение ст. 9 ФЗ-152 (ред. ФЗ-156). Клиника получила предписание об устранении с 30-дневным сроком. Юристы помогли разработать отдельную форму согласия и переработать политику обработки ПДн. Предписание исполнено в срок, штраф по ч. 2 ст. 13.11 (до 700 тыс. ₽) не применялся.

Ситуация 2. Утечка из видеорегистратора (Приволжский ФО, начало 2026). В клинике произошло несанкционированное обращение к видеоархиву регистратуры со стороны уволенного сотрудника ИТ-службы. Видеозаписи примерно 1 500 пациентов оказались скопированы на внешний носитель. Главный врач обратился к юристам через 3 часа после обнаружения. Первичное уведомление РКН было направлено за 19 часов до истечения 24-часового срока. По ч. 12 ст. 13.11 (утечка от 1 000 до 10 000 субъектов) возбуждено дело; итоговый штраф составил сумму в нижней части диапазона (3–5 млн ₽) с учётом оперативного уведомления и принятых мер. В отношении сотрудника возбуждено дело по ст. 272.1 УК РФ. ⚠️ Конкретный номер дела и точная сумма — менеджер уточняет при публикации.

Что подготовить главному врачу

Отдельное письменное согласие пациента на видеосъёмку в регистратуре (ст. 9, ст. 11 ФЗ-152, ред. с 01.09.2025) — отдельный документ, не включённый в ИДС или договор
Актуальная политика обработки ПДн с разделом о видеонаблюдении (цель, категории, срок хранения, меры защиты) по ч. 2 ст. 18.1 ФЗ-152
Уведомление в реестре операторов РКН с указанием биометрических ПДн и видеонаблюдения как цели обработки — проверить актуальность через pd.rkn.gov.ru
Регламент реагирования на инциденты с ПДн: перечень ответственных, форма первичного уведомления РКН (24 ч), форма отчёта (72 ч) по Приказу РКН №187
Договор-поручение с охранной организацией или оператором видеосистемы, если они имеют доступ к записям

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка документов регистратуры, МИС, согласий, ОРД
Комплект ОРД под ключ — политика, согласия на видеосъёмку, регламент инцидентов
Сопровождение проверок РКН — подготовка к проверке, представление интересов

Частые вопросы

1. Чем отличается ИДС от согласия на обработку ПДн?

Информированное добровольное согласие (ИДС) — это согласие пациента на медицинское вмешательство по ст. 20 323-ФЗ; оно касается медицинских процедур и относится к врачебной тайне по ст. 13 323-ФЗ. Согласие на обработку ПДн по ст. 9 ФЗ-152 — отдельный правовой инструмент: разрешение на запись, хранение и использование персональных данных, включая биометрические. С 01.09.2025 эти два документа нельзя объединять: согласие на ПДн оформляется самостоятельно по ФЗ-156 от 24.06.2025.

2. Можно ли публиковать фото или видео пациентов с их согласия?

Публикация изображения пациента — это распространение биометрических и, возможно, специальных категорий ПДн. По ст. 10.1 ФЗ-152 распространение данных допустимо только при наличии отдельного согласия на распространение — сверх обычного согласия на обработку. Дефолт молчания означает: обработка только внутри клиники, публикация запрещена. Отдельное согласие на распространение необходимо даже если пациент уже подписал согласие на видеосъёмку.

3. Кто отвечает за утечку через МИС?

Оператором ПДн в МИС является медицинская организация — она несёт ответственность по ст. 13.11 КоАП независимо от того, произошла ли утечка из-за её собственных действий или действий подрядчика. Если МИС поставляет сторонний разработчик — нужен договор-поручение обработки по п. 3 ст. 6 ФЗ-152 с требованиями безопасности. Отсутствие такого договора не снимает ответственность с клиники, но создаёт основание для регрессного требования к поставщику.

4. Какие данные медорганизация передаёт в ЕГИСЗ?

Состав сведений для передачи в федеральные реестры ЕГИСЗ определён ст. 91 323-ФЗ и подзаконными актами Минздрава. Передаются: сведения о медицинских работниках, данные электронных медицинских карт, информация о записях на приём, сведения о лекарственных назначениях. Видеозаписи из системы наблюдения в ЕГИСЗ не передаются. При передаче данных в ЕГИСЗ отдельного согласия пациента не требуется — основание ст. 13 ч. 4 323-ФЗ (врачебная тайна с согласия не разглашается, но передача в государственные системы допустима по закону).

5. Что грозит клинике за утечку видеозаписей пациентов?

Ответственность зависит от числа пострадавших. Утечка видеозаписей от 1 000 до 10 000 субъектов — штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП. От 10 000 до 100 000 — 5–10 млн ₽ по ч. 13. Свыше 100 000 — 10–15 млн ₽ по ч. 14. Если утечка квалифицируется как биометрическая — отдельный состав ч. 17 ст. 13.11: 15–20 млн ₽. Повторная утечка влечёт оборотный штраф по ч. 15: 1–3% совокупной выручки, не менее 20 млн ₽ и не более 500 млн ₽. Виновный сотрудник дополнительно может быть привлечён по ст. 272.1 УК РФ (до 10 лет лишения свободы по ч. 5).

6. Нужно ли согласие на видеозапись для сотрудников регистратуры?

Да. Видеосъёмка работников в служебных помещениях регулируется одновременно ст. 86–88 ТК РФ и ст. 11 ФЗ-152. Работодатель обязан уведомить сотрудников о видеонаблюдении и получить письменное согласие на обработку биометрических ПДн, если камера фиксирует их лица в целях идентификации. Уведомление о факте съёмки (информационная табличка) не заменяет согласие по ст. 9 ФЗ-152.

Итог

Видеонаблюдение в регистратуре — это обработка биометрических ПДн, требующая отдельного письменного согласия по ст. 11 ФЗ-152, отражения в политике обработки и уведомлении РКН. С 01.09.2025 согласие оформляется отдельным документом, не совмещённым с ИДС или договором. Утечка записей влечёт штраф от 3 до 20 млн ₽ в зависимости от масштаба и категории данных; при повторном инциденте — оборотный штраф до 500 млн ₽.

Практика DATUM охватывает медицинские организации: от районных поликлиник до многопрофильных клиник. Юристы практики разрабатывают пакеты согласий на видеосъёмку, актуализируют политики обработки ПДн под требования ФЗ-156 и сопровождают проверки РКН в части обработки биометрических и медицинских данных.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, обработка ПДн несовершеннолетних.