Перейти к содержанию
инструкция 13 января 2029 По состоянию на 13 января 2029

Видеонаблюдение в стоматологии

Видеозапись в кабинете стоматолога фиксирует данные о состоянии здоровья пациента — специальную категорию по ст. 10 ФЗ-152. Любая камера в зоне лечения порождает обязанности оператора персональных данных.
С 30.05.2025 штраф за утечку спецкатегорий ПДн для клиники-юрлица начинается от 3 млн ₽ по ч. 12 ст. 13.11 КоАП. Повторное нарушение даёт оборотный штраф до 500 млн ₽ по ч. 15 той же статьи.
→ Если вы главный врач и камеры в клинике уже установлены — проверьте, оформлены ли согласия пациентов и работников, и есть ли у вас полный пакет ОРД.

Видеонаблюдение в стоматологии стало стандартом контроля качества и безопасности. Но каждая камера, направленная на пациента во время лечения, превращает клинику в оператора специальных категорий персональных данных по ст. 10 ФЗ-152. Эта инструкция объясняет: какие нормы регулируют видеосъёмку в медорганизации, как оформить согласия, какие документы подготовить и что проверить перед проверкой Роскомнадзора.

Шаг 1. Определите, какие ПДн собирает видеонаблюдение в клинике

Видеозапись в стоматологическом кабинете содержит изображение пациента в момент оказания медицинской помощи. Роскомнадзор квалифицирует такую запись как сочетание биометрических данных (изображение лица, ст. 11 ФЗ-152) и данных о состоянии здоровья (специальная категория, ст. 10 ФЗ-152). Если на записи видны манипуляции — удаление зуба, имплантация, состояние полости рта — это уже данные о здоровье пациента по смыслу ст. 13 ФЗ «Об основах охраны здоровья граждан» (323-ФЗ).

«Ст. 10 ФЗ-152 — обработка специальных категорий персональных данных, в том числе данных о состоянии здоровья, по общему правилу запрещена. Исключения перечислены в ч. 2 той же статьи, включая случай, когда обработка необходима для медицинских целей.»

Видеосъёмка в административной зоне (ресепшн, коридор) также фиксирует биометрию посетителей. Даже если камера установлена только для охраны, данные с неё — персональные. Оператор ПДн возникает в момент первой записи, а не с момента регистрации в реестре РКН.

Видеозапись работников клиники — отдельный блок. Съёмка рабочих мест регулируется ст. 86–89 ТК РФ и ст. 9 ФЗ-152. Согласие работника на съёмку должно соответствовать требованиям ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156): отдельный документ, не встроенный в трудовой договор.

Шаг 2. Выясните, нужно ли согласие пациента на видеосъёмку

Согласие пациента требуется, если видеозапись ведётся в зонах, где фиксируются данные о состоянии здоровья. Согласие на обработку ПДн — отдельный документ от информированного добровольного согласия на медицинское вмешательство (ИДС). Смешивать их нельзя: ИДС регулируется ст. 20 323-ФЗ, согласие на ПДн — ст. 9 ФЗ-152. У них разный предмет, разные реквизиты и разные последствия отзыва.

«Ст. 9 ФЗ-152 (в ред. ФЗ-156 от 24.06.2025, действует с 01.09.2025) — согласие субъекта на обработку персональных данных оформляется отдельным документом. В нём обязательно: ФИО субъекта, контактные данные, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва.»

Согласие на видеосъёмку в медицинских целях (контроль качества, разбор жалоб) должно содержать конкретную цель. Использовать ту же запись для маркетинга — рекламы, публикаций «до-после» — без отдельного согласия нельзя. Согласие на распространение ПДн — самостоятельный документ по ст. 10.1 ФЗ-152.

Есть исключение: если видеонаблюдение ведётся исключительно в целях охраны и записи не используются для идентификации пациентов, не обрабатываются автоматически и немедленно перезаписываются — правовым основанием может служить законный интерес оператора. Но такой режим требует строгого технического обеспечения и документального подтверждения.

Камеры установлены, а документы не оформлены?

Если в клинике видеонаблюдение уже работает, а согласия пациентов и работников не соответствуют требованиям ФЗ-152 — каждый день съёмки создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽. С 30.05.2025 норма действует в усиленной редакции ФЗ-420. Юристы DATUM оценят документы клиники и соберут корректный пакет ОРД, включая согласия пациентов и работников.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Проверьте уведомление в реестре РКН

Стоматологическая клиника, которая ведёт видеонаблюдение в зонах лечения, обрабатывает специальные категории ПДн. Это требует уведомления Роскомнадзора о намерении осуществлять обработку до начала обработки (ст. 22 ФЗ-152). Форма подачи — через портал pd.rkn.gov.ru с УКЭП или через ЕСИА. Регламент — Приказ РКН №180 от 28.10.2022.

Если уведомление подано, но в нём не указаны биометрические данные или данные о здоровье, а видеосъёмка в кабинетах уже ведётся — реестровые сведения расходятся с фактической обработкой. Это нарушение ч. 1 ст. 13.11 КоАП в редакции с 30.05.2025: штраф для юрлица 150 000–300 000 ₽. При повторном нарушении — до 500 000 ₽ по ч. 1.1.

«Ч. 10 ст. 13.11 КоАП (ред. ФЗ-420, с 30.05.2025) — неуведомление или несвоевременное уведомление РКН о намерении осуществлять обработку ПДн влечёт штраф для юрлица от 100 000 до 300 000 ₽.»

Порядок действий при несоответствии реестровых данных: подать уведомление об изменении сведений по форме из Приказа РКН №180. Срок включения в реестр после подачи — 30 дней. До включения обработку спецкатегорий формально продолжать можно, но риск претензий РКН при плановой или внеплановой проверке существенно возрастает.

Шаг 4. Подготовьте организационно-распорядительную документацию

Видеонаблюдение в медорганизации требует отдельного блока ОРД сверх стандартного пакета клиники. Основной документ — политика обработки персональных данных (ч. 2 ст. 18.1 ФЗ-152) с разделом о видеонаблюдении: цели съёмки, категории субъектов, сроки хранения записей, порядок доступа, меры защиты.

Что подготовить для легального видеонаблюдения в клинике

  • Уведомление в реестре РКН с указанием биометрических данных и данных о здоровье (pd.rkn.gov.ru, Приказ РКН №180)
  • Политика обработки ПДн с разделом о видеонаблюдении — цели, сроки хранения, доступ, меры защиты (ст. 18.1 ФЗ-152)
  • Отдельное согласие пациентов на видеосъёмку в медицинских целях (ст. 9, ст. 10 ФЗ-152) — не совмещать с ИДС по ст. 20 323-ФЗ
  • Отдельное согласие работников на видеосъёмку рабочих мест (ст. 86–89 ТК РФ, ст. 9 ФЗ-152 в ред. ФЗ-156 с 01.09.2025)
  • Приказ о назначении ответственного за организацию обработки ПДн (ст. 22.1 ФЗ-152) и регламент работы с записями видеонаблюдения

Регламент работы с записями должен фиксировать: кто имеет доступ к архиву, на каком оборудовании хранятся записи, как организовано уничтожение по истечении срока. Хранение записей на серверах клиники обязывает выполнять требования уровня защищённости ИСПДн. Для данных о здоровье в большинстве случаев это УЗ-3 или УЗ-2 в зависимости от числа субъектов и типа угроз (ПП РФ №1119).

Обязательно разместить уведомление о ведении видеосъёмки в зонах наблюдения — информационные таблички. Это не только требование вежливости, но и условие легальности обработки: субъект должен знать, что его снимают, до начала съёмки.

Шаг 5. Настройте порядок реагирования на запросы и инциденты

Пациент вправе обратиться с запросом о предоставлении сведений об обработке его ПДн — в том числе о видеозаписях, на которых он присутствует. Срок ответа по ст. 20 ФЗ-152 — 10 рабочих дней с даты обращения, с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта. Игнорирование запроса влечёт штраф по ч. 4 ст. 13.11 КоАП: 40 000–80 000 ₽ для юрлица.

Если видеозаписи с данными пациентов окажутся доступны третьим лицам — это инцидент по смыслу ч. 3.1 ст. 21 ФЗ-152. У клиники будет 24 часа на первичное уведомление РКН и 72 часа на отчёт о результатах внутреннего расследования (Приказ РКН №187). Неуведомление об утечке — штраф по ч. 11 ст. 13.11 КоАП: 1 000 000–3 000 000 ₽.

«Ст. 21 ч. 3.1 ФЗ-152 — при выявлении факта неправомерной или случайной передачи персональных данных оператор обязан уведомить РКН в течение 24 часов и направить отчёт о расследовании в течение 72 часов. Порядок установлен Приказом РКН №187 от 14.11.2022.»

Хранение видеозаписей на съёмных носителях или в облачных сервисах без надлежащих мер защиты — отдельное нарушение. Утечка записей из стоматологического кабинета затрагивает данные о здоровье: это спецкатегория, что автоматически квалифицирует инцидент по более тяжким частям ст. 13.11 КоАП. Штраф за утечку от 1 000 до 10 000 субъектов — 3 000 000–5 000 000 ₽ по ч. 12.

Если главный врач получил запрос пациента или РКН о видеозаписях — у вас 10 рабочих дней на ответ по ст. 20 ФЗ-152. Нарушение срока: штраф 40 000–80 000 ₽. Юристы DATUM подготовят ответ и проверят документы клиники.

Подготовиться к проверке РКН

Как это работает на практике: два сценария для стоматологической клиники

Сценарий 1. Проверка РКН выявила несоответствие реестровых данных. Клиника в Сибирском ФО (осень 2025) вела видеосъёмку в кабинетах без указания биометрических данных в уведомлении РКН. При плановой проверке инспектор сопоставил реестровые сведения с фактической обработкой. Протокол по ч. 1 ст. 13.11 КоАП, штраф для юрлица в диапазоне 150 000–300 000 ₽. Клиника подала уведомление об изменении сведений в течение 5 дней после проверки — это учли при назначении наказания, но устранение нарушения после возбуждения дела не снимает ответственности. Вывод: реестровые данные нужно актуализировать до проверки, а не после.

Сценарий 2. Пациент потребовал уничтожить видеозапись. Пациент стоматологической клиники (Центральный ФО, начало 2026) направил требование об уничтожении видеозаписей сеанса лечения, ссылаясь на отзыв согласия по ст. 9 ФЗ-152. Клиника обратилась в DATUM. Юристы установили: у клиники отсутствовало отдельное согласие на видеосъёмку — съёмка велась без надлежащего правового основания. Клиника уничтожила записи в 7-дневный срок, направила уведомление пациенту. Претензия снята. Без юридического сопровождения клиника рисковала получить предписание РКН и протокол по ч. 5 ст. 13.11 КоАП (50 000–90 000 ₽).

Услуги DATUM по теме

Частые вопросы

1. Чем отличается ИДС от согласия на ПДн?

Информированное добровольное согласие на медицинское вмешательство (ИДС) регулируется ст. 20 323-ФЗ и касается права пациента на вмешательство или отказ от него. Согласие на обработку персональных данных регулируется ст. 9 ФЗ-152 и касается права на использование сведений о пациенте. Это два разных документа с разными реквизитами и разными правовыми последствиями отзыва. Совмещать их в одном бланке нельзя — с 01.09.2025 согласие на ПДн обязано быть отдельным документом (ФЗ-156).

2. Можно ли публиковать фото «до-после» с согласия пациента?

Публикация фото или видео «до-после» — это распространение ПДн, в том числе данных о состоянии здоровья. Для этого нужно отдельное согласие на распространение по ст. 10.1 ФЗ-152. Молчание пациента или общее согласие на обработку ПДн не даёт права на публикацию. В согласии должны быть прямо указаны: площадки публикации, формат, срок. Без этих реквизитов публикация фото «до-после» нарушает ст. 10.1 ФЗ-152 и может повлечь штраф по ч. 1 ст. 13.11 КоАП.

3. Кто отвечает за утечку через МИС?

Ответственность несёт оператор ПДн — клиника. Если МИС предоставляется как SaaS и утечка произошла на стороне поставщика, клиника всё равно остаётся оператором по ст. 6 ФЗ-152. Поставщик МИС действует как лицо, осуществляющее обработку по поручению. Договор с поставщиком должен содержать обязательства по защите ПДн и порядок уведомления клиники об инцидентах. Отсутствие такого договора или его несоответствие требованиям ч. 3 ст. 6 ФЗ-152 — самостоятельное нарушение.

4. Какие данные передавать в ЕГИСЗ?

Состав данных, передаваемых в единую государственную информационную систему здравоохранения, определяется подзаконными актами в сфере здравоохранения. По общему правилу ст. 91 323-ФЗ медорганизации обязаны передавать в ЕГИСЗ сведения, необходимые для ведения медицинской документации. Передача в государственную систему является самостоятельным правовым основанием для обработки ПДн по ч. 2 ст. 6 ФЗ-152 — отдельное согласие пациента для этой передачи не требуется. Конкретный перечень полей — уточнять по актуальным приказам Минздрава.

5. Что грозит клинике за утечку данных пациентов?

Размер штрафа зависит от числа пострадавших субъектов. Утечка от 1 000 до 10 000 субъектов — 3 000 000–5 000 000 ₽ по ч. 12 ст. 13.11 КоАП (ред. ФЗ-420, с 30.05.2025). Утечка от 10 000 до 100 000 субъектов — 5 000 000–10 000 000 ₽ по ч. 13. Более 100 000 субъектов — 10 000 000–15 000 000 ₽ по ч. 14. При повторном нарушении применяется оборотный штраф по ч. 15: 1–3% годовой выручки, но не менее 20 000 000 ₽. Дополнительно — штраф за неуведомление РКН об утечке в 24 часа: 1 000 000–3 000 000 ₽ по ч. 11.

6. Нужно ли размещать уведомление о видеосъёмке на входе в клинику?

Да. Размещение информационной таблички о ведении видеозаписи — обязательное условие легальной обработки биометрических данных по ст. 11 ФЗ-152. Субъект должен знать о съёмке до момента попадания в зону наблюдения. Отсутствие уведомления означает, что обработка ведётся без надлежащего информирования субъекта, что создаёт риск квалификации по ч. 1 ст. 13.11 КоАП — обработка ПДн без законного основания.

Итог

Видеонаблюдение в стоматологической клинике охватывает биометрические данные и данные о здоровье пациентов — две категории с усиленным режимом защиты по ФЗ-152. Соблюдение требований предполагает пять шагов: определить состав ПДн, оформить согласия, обновить реестровые сведения в РКН, собрать ОРД и выстроить порядок реагирования на запросы и инциденты.

Юристы DATUM сопровождают медицинские организации по вопросам 152-ФЗ: от аудита до подготовки к проверке РКН и представительства в случае протокола по ст. 13.11 КоАП.

Смотрите также

ОН
Ольга Нечаева
Аналитик · Медицина и образование
Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, обработка ПДн несовершеннолетних.