Перейти к содержанию
инструкция 12 января 2029 По состоянию на 12 января 2029

Видеонаблюдение в стационаре

Видеозапись в палате или коридоре стационара — это обработка биометрических и специальных категорий персональных данных пациентов по ст. 10 и ст. 11 ФЗ-152.
Утечка видеозаписей с изображением пациентов квалифицируется по ч. 12–14 ст. 13.11 КоАП: штраф от 3 до 15 млн ₽ в зависимости от числа пострадавших субъектов.
Если вы главный врач и в стационаре уже работают камеры — проверьте, есть ли отдельное письменное согласие каждого пациента на обработку биометрических ПДн. Его отсутствие — основание для предписания РКН.

Видеонаблюдение в стационаре решает медицинские задачи: контроль состояния лежачих пациентов, безопасность в психиатрических отделениях, фиксация действий персонала. Одновременно оно создаёт полный набор правовых рисков по ФЗ-152: изображение пациента — биометрические ПДн, его диагноз, видимый из положения тела или медицинского оборудования, — специальная категория. С 30.05.2025 действуют новые составы ст. 13.11 КоАП с суммами до 15 млн ₽ за утечку, а ст. 272.1 УК с 11.12.2024 предусматривает лишение свободы за незаконные действия с компьютерной информацией, содержащей ПДн. В этой инструкции — шесть последовательных шагов для главного врача: от правовой основы до технических мер и реагирования на инцидент.

Шаг 1. Определите правовое основание для видеонаблюдения в стационаре

До установки камер необходимо определить, на каком из правовых оснований ст. 6 ФЗ-152 строится обработка. Для стационара актуальны три варианта.

Первый — согласие пациента по п. 1 ч. 1 ст. 6 ФЗ-152. Это наиболее прозрачное основание, но требует отдельного письменного документа с обязательными реквизитами по ст. 9 в редакции ФЗ-156, вступившей в силу с 01.09.2025. Объединять согласие с информированным добровольным согласием на медицинское вмешательство (ИДС) нельзя: ИДС регулируется ст. 20 323-ФЗ и преследует иные цели.

Второй — исполнение обязанности оператора по ст. 19 ФЗ-152 в части обеспечения безопасности ПДн. Этот аргумент применим к камерам в серверных помещениях и зонах доступа к МИС, но не в палатах пациентов.

Третий — жизненно важные интересы субъекта по п. 6 ч. 1 ст. 6 ФЗ-152, если пациент без сознания или не может дать согласие. Применяется исключительно в реанимации и только на период, пока субъект не может выразить волю.

«Ст. 10 ФЗ-152 запрещает обработку специальных категорий ПДн (состояние здоровья) без одного из оснований п. 2. Изображение лица, позволяющее идентифицировать человека, — биометрические ПДн по ст. 11, обработка которых требует письменного согласия либо применения исключений п. 2 той же статьи.»

Если основание не определено документально до начала записи — любая кадровая проверка или жалоба пациента приводит к возбуждению дела по ч. 1 ст. 13.11 КоАП.

Шаг 2. Составьте отдельное согласие на обработку биометрических и специальных ПДн

С 01.09.2025 согласие на обработку ПДн оформляется отдельным документом, не объединяемым с другими (договор, ИДС, оферта). Это требование ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025. Для пациентов стационара нужны два раздельных согласия: на обработку специальных ПДн (диагноз, записи наблюдений) по ст. 10 ФЗ-152 и на обработку биометрических ПДн (видеозапись) по ст. 11 ФЗ-152.

Согласие на видеонаблюдение должно содержать: наименование и адрес медицинской организации как оператора; ФИО и контактные данные пациента или его законного представителя; цель обработки — конкретно («наблюдение за состоянием пациента в палате интенсивной терапии», а не «обеспечение безопасности»); перечень ПДн — «видеозапись, позволяющая идентифицировать лицо»; перечень действий — запись, хранение, просмотр уполномоченным персоналом; срок хранения; способ отзыва.

«Ст. 10.1 ФЗ-152: распространение ПДн допустимо только при наличии отдельного согласия на распространение. Публикация видеозаписей пациентов, в том числе учебных материалов с операций, — это распространение биометрических и специальных ПДн, требующее отдельного согласия.»

Для пациентов, находящихся под опекой или в состоянии ограниченной дееспособности, согласие подписывает законный представитель с указанием основания представительства.

В стационаре стоят камеры, но отдельных согласий нет?

С 01.09.2025 обработка биометрических ПДн без отдельного письменного согласия — нарушение ч. 2 ст. 13.11 КоАП, штраф до 700 тыс. ₽ за каждый факт. Если камеры снимают пациентов без документального основания, у вас есть время привести документы в порядок до следующей проверки РКН. Юристы DATUM подготовят комплект согласий и политику обработки биометрических ПДн для медицинской организации.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Разработайте локальные акты и обновите политику конфиденциальности

Ст. 18.1 ФЗ-152 обязывает оператора принять внутренние документы, определяющие политику в отношении обработки ПДн. Для стационара с видеонаблюдением потребуются следующие документы.

  • Политика обработки персональных данных — с разделом о биометрических ПДн, целях видеонаблюдения, сроках хранения записей и перечне лиц, имеющих доступ.
  • Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 — с указанием функционала, включая надзор за системой видеонаблюдения.
  • Регламент доступа к видеозаписям — кто, в каком порядке и с какой целью может просматривать или выгружать записи; журнал просмотров.
  • Инструкция по уничтожению записей — порядок, периодичность, документирование факта уничтожения по акту.
  • Форма согласия пациента на видеонаблюдение — отдельный документ по ст. 9 ФЗ-152 в редакции с 01.09.2025.

Публикация политики на сайте медицинской организации обязательна по ч. 2 ст. 18.1 ФЗ-152. Отсутствие публичной политики — состав по ч. 3 ст. 13.11 КоАП, штраф до 60 тыс. ₽. Это самое распространённое нарушение при плановых проверках РКН в медицинских организациях.

Как уведомить Роскомнадзор о видеонаблюдении как обработке ПДн?

Медицинская организация, которая ведёт видеонаблюдение с возможностью идентификации пациентов, обязана уведомить РКН о намерении обрабатывать ПДн по ст. 22 ФЗ-152. Если уведомление уже подано, но видеонаблюдение в нём не отражено — необходимо подать уведомление об изменении сведений.

Форма уведомления утверждена Приказом РКН №180 от 28.10.2022. Подача — через портал pd.rkn.gov.ru с использованием ЕСИА или усиленной квалифицированной электронной подписи. Срок включения в реестр операторов — 30 дней с момента получения уведомления.

«Неуведомление или несвоевременное уведомление РКН о намерении обрабатывать ПДн — ч. 10 ст. 13.11 КоАП, штраф для юридического лица от 100 000 до 300 000 ₽ (в редакции с 30.05.2025).»

В уведомлении указываются: категории обрабатываемых ПДн (биометрические, специальные — состояние здоровья), правовые основания, цели, технические меры защиты, сведения о трансграничной передаче при наличии. Если видеозаписи хранятся в облачном сервисе зарубежного провайдера — возникает обязанность уведомить РКН о трансграничной передаче по ст. 12 ФЗ-152.

Что подготовить главному врачу перед проверкой РКН

  • Выписка из реестра операторов ПДн с pd.rkn.gov.ru с актуальными сведениями о видеонаблюдении как виде обработки.
  • Комплект отдельных согласий пациентов на обработку биометрических ПДн по ст. 9 и ст. 11 ФЗ-152 в редакции с 01.09.2025.
  • Политика обработки ПДн, опубликованная на сайте, с разделом о видеонаблюдении.
  • Приказ о назначении ответственного за обработку ПДн и регламент доступа к видеозаписям.
  • Акты уничтожения видеозаписей с подтверждением соблюдения установленных сроков хранения.

Шаг 5. Выберите уровень защищённости и технические меры для МИС и системы видеонаблюдения

ПП РФ №1119 от 01.11.2012 устанавливает четыре уровня защищённости информационных систем персональных данных. Стационар, обрабатывающий специальные категории ПДн (данные о здоровье) более 100 000 субъектов, обязан обеспечить УЗ-2. При меньшем числе субъектов и угрозах 2-го типа — УЗ-3.

Система видеонаблюдения, интегрированная с МИС или хранящая записи на тех же серверах, что и истории болезней, попадает в периметр той же ИСПДн и требует аналогичного уровня защиты. Если видеосистема изолирована — для неё проводится отдельная классификация.

Приказ ФСТЭК №21 от 18.02.2013 определяет 15 групп мер защиты. Для системы видеонаблюдения наиболее критичны: идентификация и аутентификация пользователей (ИАФ), управление доступом (УПД), регистрация событий и ведение журналов (РСБ), защита носителей информации (ЗНИ). Отсутствие журнала просмотров видеозаписей с указанием пользователя, даты и цели — типовое замечание при проверке.

«Ст. 19 ФЗ-152 обязывает оператора принимать организационные и технические меры, обеспечивающие защиту ПДн от несанкционированного доступа. Конкретный состав мер определяется уровнем защищённости по ПП РФ №1119 и Приказом ФСТЭК №21.»

Если главный врач не знает, к какому уровню защищённости относится система видеонаблюдения в стационаре — это означает, что классификация ИСПДн не проводилась. РКН при плановой проверке запросит документ о классификации в первую очередь. Юристы DATUM проведут аудит по ч. 2 ст. 18.1 ФЗ-152 и помогут сформировать комплект ОРД для медицинской организации.

Подготовиться к проверке РКН

Шаг 6. Организуйте реагирование на утечку видеозаписей в 24/72 часа

Видеозапись пациента — это биометрические ПДн. Утечка видеозаписей из стационара квалифицируется как утечка специальных и биометрических категорий одновременно, что влечёт ответственность по ч. 17 ст. 13.11 КоАП — штраф от 15 до 20 млн ₽ за утечку биометрических ПДн.

При обнаружении инцидента порядок действий определён ч. 3.1 ст. 21 ФЗ-152 и Приказом РКН №187 от 14.11.2022. Первичное уведомление РКН — не позднее 24 часов с момента обнаружения. В нём указываются: дата и время обнаружения, предполагаемый масштаб, категории затронутых ПДн, принятые меры. Через 72 часа — отчёт о результатах внутреннего расследования: причины инцидента, точное число субъектов, перечень конкретных данных, меры по недопущению повторения.

Неуведомление РКН в срок — отдельный состав по ч. 11 ст. 13.11 КоАП, штраф от 1 до 3 млн ₽. Он добавляется к штрафу за саму утечку. Срок не восстанавливается.

Практика: типовые ситуации для главного врача

Ситуация 1. Жалоба пациента на видеозапись без согласия. Пациент неврологического отделения стационара (Приволжский ФО, начало 2026) обнаружил, что камера в палате вела непрерывную запись без его ведома. Он направил жалобу в РКН. При проверке выявлено: согласие на видеонаблюдение в пакет документов при госпитализации не включалось, уведомление оператора в реестре РКН не содержало сведений о видеонаблюдении. РКН выдал предписание об устранении нарушений и возбудил дело по ч. 1 и ч. 10 ст. 13.11 КоАП. Главный врач привлечён как должностное лицо дополнительно. Стратегия для этой ситуации: немедленно приостановить запись в палатах до получения согласий, подать уведомление об изменении сведений в реестре, сформировать доказательную базу об устранении нарушений до вынесения постановления.

Ситуация 2. Утечка через подрядчика по обслуживанию видеосистемы. Региональная клиника (Центральный ФО, осень 2025) передала записи системы видеонаблюдения на хранение IT-подрядчику без заключения договора поручения обработки ПДн по п. 3 ст. 6 ФЗ-152. Подрядчик допустил утечку: около 2 000 записей попали в открытый доступ. Оператором ПДн для целей ст. 13.11 является клиника, а не подрядчик. Квалификация — ч. 12 ст. 13.11 КоАП (утечка от 1 000 до 10 000 субъектов), штраф от 3 до 5 млн ₽. Дополнительно — ч. 17 за биометрические ПДн. Стратегия: заключить договор поручения обработки с подрядчиком немедленно, уведомить РКН в 24 часа, подать 72-часовой отчёт, заявить о принятых мерах как смягчающих обстоятельствах.

Услуги DATUM по теме

Частые вопросы

1. Чем отличается ИДС от согласия на ПДн при видеонаблюдении?

Информированное добровольное согласие на медицинское вмешательство (ИДС) регулируется ст. 20 323-ФЗ и касается согласия на лечебные действия. Согласие на обработку ПДн при видеонаблюдении регулируется ст. 9 ФЗ-152 и направлено на разрешение конкретных действий с биометрическими данными пациента. Это два самостоятельных документа с разными реквизитами и целями. Объединять их в одном документе нельзя с 01.09.2025 в силу ФЗ-156: согласие на ПДн должно быть отдельным от любых других документов.

2. Можно ли публиковать фото или видео пациентов в учебных целях с их согласия?

Публикация видеозаписей или фотографий пациентов в любой форме — это распространение биометрических и специальных ПДн по ст. 10.1 ФЗ-152. Для этого требуется отдельное согласие на распространение с указанием конкретных площадок публикации, аудитории и срока. Согласие «на использование в учебных целях» без указания конкретных площадок и аудитории не является достаточным основанием. Молчание пациента или подпись под общей формой согласия — не согласие на распространение: по умолчанию данные обрабатываются только для целей оператора.

3. Кто отвечает за утечку видеозаписей через МИС или сервис подрядчика?

Ответственность перед РКН и по ст. 13.11 КоАП несёт оператор ПДн — медицинская организация — независимо от того, произошла ли утечка через собственную МИС или через сервис IT-подрядчика. Это подтверждается общим принципом ответственности оператора за действия лица, обрабатывающего ПДн по поручению (п. 3 ст. 6 ФЗ-152). Если договор поручения обработки с подрядчиком не заключён — клиника несёт ответственность по умолчанию, и оснований для переноса ответственности на подрядчика нет.

4. Какие данные о пациентах передаются в ЕГИСЗ и нужно ли отдельное согласие?

Медицинские организации передают в ЕГИСЗ сведения об оказанных медицинских услугах, включая диагнозы и результаты исследований, в порядке, установленном Постановлением Правительства РФ о ЕГИСЗ. Передача в ЕГИСЗ осуществляется во исполнение законодательной обязанности по п. 2 ч. 1 ст. 6 ФЗ-152 — отдельного согласия пациента для этого не требуется. Однако видеозаписи пациентов в ЕГИСЗ не передаются: они остаются в периметре медицинской организации и подпадают под общий режим хранения биометрических ПДн.

5. Что грозит клинике за утечку видеозаписей пациентов стационара?

Утечка видеозаписей, позволяющих идентифицировать пациентов, одновременно является утечкой биометрических ПДн (ст. 11 ФЗ-152) и специальных категорий ПДн о здоровье (ст. 10 ФЗ-152). По ст. 13.11 КоАП в редакции с 30.05.2025 предусмотрено несколько составов: ч. 12–14 — в зависимости от числа субъектов (от 3 до 15 млн ₽); ч. 17 — специально за утечку биометрических ПДн (15–20 млн ₽); ч. 11 — за неуведомление РКН в 24 часа (1–3 млн ₽). При повторной утечке применяется ч. 15 — оборотный штраф от 1 до 3% годовой выручки, не менее 20 млн ₽.

6. Обязательно ли размещать предупреждение о видеонаблюдении на входе в стационар?

Размещение информационной таблички о ведении видеонаблюдения у входа в зоны съёмки — общепринятая практика, снижающая риск жалоб пациентов. Однако само по себе уведомление о видеонаблюдении не заменяет письменного согласия на обработку биометрических ПДн по ст. 11 ФЗ-152. Табличка подтверждает, что оператор информировал субъекта о факте съёмки, но не является правовым основанием для обработки биометрических данных — для этого требуется документальное согласие с реквизитами, установленными ст. 9 ФЗ-152.

Итог

Видеонаблюдение в стационаре порождает полный стек обязательств по ФЗ-152: отдельные согласия пациентов на биометрические и специальные ПДн, уведомление РКН, комплект локальных актов, классификация ИСПДн, технические меры по Приказу ФСТЭК №21 и готовность к реагированию на инцидент в 24/72 часа. Нарушение любого из этих требований создаёт самостоятельный состав административного правонарушения.

DATUM сопровождает медицинские организации в части 152-ФЗ: аудит обработки ПДн, разработка согласий и политики конфиденциальности, взаимодействие с РКН при проверках и инцидентах.

Смотрите также

ОН
Ольга Нечаева
Аналитик · Медицина и образование
Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, ПДн несовершеннолетних.

12 января 2029 года