Юридическая защита

152-ФЗ и фото клиентов клиники: что должен делать владелец

Фото лица или тела клиента — это персональные данные. В медицинских и косметологических кейсах — специальная категория ПДн. Нарушение правил обработки грозит штрафами от 100 000 до 6 000 000 ₽ для юр. лица. Разбираем что должен сделать владелец, чтобы спать спокойно.

13 мая 2026 8 мин чтения Хроника

Что говорит закон

152-ФЗ «О персональных данных» определяет, что фото и видео клиента — это его персональные данные. Если на фото видно лицо или специфические признаки тела — это идентифицируемые ПДн.

Для клиник важна статья 10 152-ФЗ: данные о состоянии здоровья — это специальная категория ПДн, обрабатывать которую можно только при письменном согласии субъекта (за рядом исключений).

Фото проблемного ногтя, зон для эпиляции, лица перед косметологической процедурой — это де-факто сведения о состоянии здоровья, потому что показывают физиологическое состояние человека.

Дополнительно с 2022 года действует 242-ФЗ — требование хранить ПДн граждан РФ на серверах, физически находящихся в РФ.

Кто отвечает за нарушения

Ответственность несёт оператор ПДн — то есть клиника (ИП или юр.лицо).

Штрафы по статье 13.11 КоАП:

Нарушение	Для юр.лица
Обработка ПДн без согласия	30 000 – 150 000 ₽
Несоответствие требованиям хранения	60 000 – 300 000 ₽
Хранение за пределами РФ (242-ФЗ)	1 000 000 – 6 000 000 ₽
Утечка ПДн больших объёмов	3 000 000 – 15 000 000 ₽

Это не теоретические штрафы — Роскомнадзор активно проверяет клиники, особенно после жалоб клиентов. Достаточно одной обиженной клиентки, которая напишет жалобу — и инициируется проверка.

Что должна делать клиника по закону

1. Получить согласие

Подписанное согласие клиента на обработку ПДн, включая фото, с указанием:

Целей обработки;
Перечня действий с фото;
Срока хранения;
Возможности отзыва.

2. Уведомить Роскомнадзор

Подать уведомление о начале обработки ПДн (форма на сайте РКН). Это бесплатно, занимает 15 минут.

3. Принять Политику обработки ПДн

Внутренний документ клиники, опубликованный на сайте (если есть). Шаблон есть на сайте РКН.

4. Хранить ПДн в РФ

Сервер должен быть в России. Это значит: ваш Telegram-чат с фото клиентов на серверах в Лондоне — это нарушение. Google Drive — нарушение. Yandex.Cloud / Cloud.ru / Selectel в РФ — ОК.

5. Назначить ответственного

В клинике должен быть человек (часто — сам владелец), отвечающий за обработку ПДн. Приказ о назначении — обязателен.

6. Уничтожать ПДн по запросу или по сроку

Клиент имеет право требовать удаления своих ПДн. Срок ответа на запрос — 30 дней.

Реальные риски

Жалоба клиента в РКН — самый частый сценарий. Триггер — обида (плохой результат, отказ возврата). РКН проверяет, есть ли согласие, опубликована ли Политика, хранятся ли данные в РФ;
Плановая проверка РКН — раз в 3 года, если в реестре есть запись о вашей клинике;
Утечка фото — если фото клиента «случайно» попало в чат публичной группы или в соцсети без согласия — претензия + потенциальный иск о компенсации морального вреда;
Передача в третьи руки — при использовании сервиса-фотоархива клиника является контролёром, сервис — обработчиком. Должен быть договор-поручение на обработку ПДн.

Как закрыть требования технически

Минимальный технический набор для клиники:

Согласия в бумаге или электронном виде — хранятся в карточке клиента;
Фотоархив в системе, размещённой на серверах в РФ — например, на Yandex Object Storage в зоне ru-central1;
Защищённый доступ — пароли с шифрованием, индивидуальные логины для каждого специалиста, возможность отзыва;
Шифрование при передаче — только HTTPS;
Удаление EXIF и геолокации с фото — иначе утечка раскрывает не только содержимое, но и где и когда фото было сделано;
Журнал доступа — кто и когда заходил, чтобы при инциденте можно было показать след;
Регулярные бэкапы с шифрованием.

Чем поможет Хроника

Хроника закрывает технические требования из коробки:

Хранение в РФ (Yandex Object Storage, зона ru-central1);
EXIF и геолокация удаляются автоматически с каждого фото;
Пароли шифруются (bcrypt), API-токены YCLIENTS — Fernet;
Доступ по подписанным ссылкам с ограниченным временем жизни;
Индивидуальные лицензии — владелец видит, кто и когда заходил;
Договор-поручение на обработку ПДн при заключении договора с клиникой.

Согласия клиентов, Политика обработки, уведомление РКН — это всё равно зона клиники. Шаблоны и консультации мы даём при подключении.

Хроника — фотоархив клиники, который не зависит от мастера

Подключение к YCLIENTS за 5 минут. Пробный период 5 дней без карты.

Попробовать бесплатно →