MedPlatform.AI Запустить пилот →
COMPLIANCE

152-ФЗ для клиники эстетической медицины: практическое руководство

· 12 мин чтения

Любая клиника, которая принимает клиентов — это оператор персональных данных. Имя, телефон, email, диагнозы, фотографии до/после — всё это защищено Федеральным законом № 152-ФЗ «О персональных данных». И если с этим не работать правильно, риски огромные: штрафы до 18 млн ₽, блокировка сайта Роскомнадзором, запрет деятельности.

Плохая новость: большинство частных клиник работают с нарушениями — просто потому что не знают, что нужно делать.

Хорошая новость: привести клинику в соответствие с 152-ФЗ можно за 2–3 недели, и это бесплатно (кроме технических расходов на хостинг в РФ). Ниже — пошаговое руководство без юридической воды.

Важно: эта статья — практический гайд, а не юридическая консультация. В сложных случаях (медицинская информационная система высокой категории, сеть филиалов, работа с гос. учреждениями) обращайтесь к профильному юристу.

Что такое 152-ФЗ и кому он применяется

Федеральный закон «О персональных данных» (№ 152-ФЗ) — базовый регулирующий документ в России с 2006 года, последняя крупная редакция — 2022 год с ужесточением ответственности и требованием хранить ПДн россиян только на серверах в РФ.

Закон применяется к любому, кто собирает или обрабатывает персональные данные физических лиц. Клиника подпадает под него автоматически в следующих случаях:

  • Есть сайт, куда посетители могут оставить заявку
  • Вы записываете клиентов по телефону и фиксируете их имя/телефон
  • Ведёте карту клиента (история процедур, аллергии, фото)
  • Отправляете напоминания в SMS / Telegram / email
  • Храните базу клиентов в Excel, CRM, 1С или любой другой системе

Под закон попадают все: ИП, ООО, даже самозанятые, если они принимают клиентов и ведут учёт. Не важно, 1 клиент в неделю или 100 в день — правила одинаковые.

Какие данные считаются ПДн у клиентов

Персональные данные — это любая информация, по которой можно идентифицировать конкретного человека. В клинике к таким данным относятся:

Обычные ПДн (собираются у всех клиентов)

  • ФИО
  • Дата рождения
  • Пол
  • Телефон
  • Email
  • Адрес (если его запрашивают)
  • Паспортные данные (если нужны для договора)

Специальные категории ПДн (медицинские)

Это «усиленная» категория — закон требует для неё более строгой защиты:

  • Диагнозы, жалобы, анамнез
  • Результаты осмотра, лабораторных исследований
  • Рекомендации врача, план лечения
  • Фотографии до/после процедур
  • Информация об аллергиях, хронических заболеваниях
  • Любая информация о состоянии здоровья клиента

Медицинские данные — особая категория

Здесь главный нюанс для косметологии и wellness: грань между «эстетикой» и «медициной» тонкая. Формально многие косметологические процедуры (чистка лица, пилинг, массаж) — это не медицина. Но инъекции (ботулотоксин, филлеры, мезотерапия), лазер, аппаратные методики — это уже медицинская деятельность, требующая лицензии и работающая со специальными категориями ПДн.

Что это означает на практике:

  • Если у вас есть медицинская лицензия (а у большинства косметологий она есть — для инъекций и аппаратных процедур), вы автоматически работаете со специальной категорией ПДн.
  • Согласие на обработку медицинских ПДн должно быть письменным и отдельным — не «галочка в форме», а подпись клиента на бумаге или УКЭП (усиленная квалифицированная электронная подпись).
  • Защита таких данных строже: они должны храниться изолированно, доступ ограничен, все действия с ними логируются.

Wellness-центры без медицинской лицензии (SPA, массажные салоны, трихология без врачебных рекомендаций) работают только с обычными ПДн. Требования к ним легче, но всё равно нужна регистрация в Роскомнадзоре и Политика обработки ПДн.

7 обязательных шагов для клиники

Шаг 1. Зарегистрироваться в Роскомнадзоре как оператор ПДн

Это бесплатно, делается через Госуслуги или сайт pd.rkn.gov.ru. Рассмотрение заявки занимает до 30 дней, но подать можно сразу — и пользоваться, пока идёт рассмотрение.

Что указывать:

  • Наименование организации / ФИО ИП, ИНН, ОГРН
  • Юридический адрес (для ИП может совпадать с домашним)
  • Цели обработки (оказание медицинских/эстетических услуг, запись, уведомления)
  • Категории субъектов (клиенты клиники)
  • Категории ПДн (ФИО, телефон, email, состояние здоровья и т.п.)
  • Организационные и технические меры защиты
  • Срок обработки (обычно — срок договора + 5 лет)

После подачи получаете номер в реестре операторов. Его указывают в Политике обработки ПДн и используют в переговорах с клиентами — снимает 80% вопросов по compliance.

Шаг 2. Опубликовать Политику обработки ПДн на сайте

Документ должен быть доступен публично на сайте (обычно по ссылке в футере). Это должен быть реальный текст, а не PDF — чтобы Яндекс и Google могли его проиндексировать.

Обязательные разделы Политики:

  • Наименование оператора и контактный email
  • Правовые основания обработки
  • Цели обработки ПДн
  • Категории ПДн и категории субъектов
  • Способы и сроки обработки
  • Права субъектов ПДн (и как их реализовать)
  • Меры защиты
  • Информация о трансграничной передаче (обычно — «не осуществляется»)

Шаг 3. Получать согласия от клиентов

Согласие — ключевой документ. Без него обработка ПДн незаконна.

  • Для обычных ПДн (имя, телефон): достаточно галочки на сайте и форме записи.
  • Для медицинских ПДн (диагнозы, фото, аллергии): нужна отдельная подпись на бумаге или УКЭП.
  • Для маркетинговых рассылок (напоминания о скидках, не о записи): отдельное согласие — это уже не медицинская цель.

Шаблон согласия пациент подписывает при первом визите. В цифровой CRM должны быть отметки: «получено согласие», «дата», «скан документа».

Шаг 4. Хранить данные только в РФ

С 2015 года (и ужесточение в 2022) персональные данные граждан РФ обязаны храниться первично на серверах в России. Это значит:

  • ❌ Google Sheets, Dropbox, Notion, Airtable — вне закона для хранения клиентской базы
  • ❌ Международные CRM на зарубежных серверах — вне закона
  • ✅ Российский хостинг / облако: Yandex Cloud, Selectel, VK Cloud, Timeweb
  • ✅ Российские CRM с серверами в РФ — проверяйте при выборе!

За нарушение требования о локализации — отдельный штраф (до 18 млн ₽ с 2022 года) плюс блокировка сервиса на территории РФ.

Шаг 5. Ограничить доступ к ПДн внутри клиники

Администратор видит одно, врач — другое, бухгалтер — третье. Не «все видят всё». В CRM это должно быть реализовано через ролевую модель (RBAC):

  • Регистратор: ФИО, телефон, запись на визит
  • Врач / косметолог: плюс карта клиента, медицинские данные, фото
  • Руководитель: плюс финансовая аналитика
  • Владелец: полный доступ

Каждый сотрудник должен быть под своей учётной записью, а не под «общим паролем». Это и законное требование, и практическая защита от инсайдерских утечек.

Шаг 6. Вести журнал действий (audit log)

Кто, когда и что смотрел/редактировал в карточках клиентов — должно логироваться. Это требование закона для медицинских данных, и оно же защищает владельца клиники: если утечка произойдёт, вы сможете доказать, что сами её не допустили.

В цифровой системе журнал ведётся автоматически. В Excel — нет, это ещё один повод уйти от таблиц к нормальной CRM.

В MedPlatform.AI требования 152-ФЗ закрыты по умолчанию: серверы в Москве (УЗ-2 для медицинских данных, 152-ФЗ ст. 18 п. 5), ролевая модель RBAC + permission-группы, полный audit log на чтение и запись каждой карты (152-ФЗ ст. 18.1), пароли в PBKDF2-SHA256, изоляция по tenant-ID. Договор-поручение по 152-ФЗ ст. 6 п. 3 подписываем с каждой клиникой.

Подробнее о безопасности данных →

Шаг 7. Обеспечить шифрование и защиту

Технические меры:

  • HTTPS на сайте — обязательно (бесплатно через Let's Encrypt)
  • Шифрование паролей в БД (PBKDF2, bcrypt, argon2 — не plain text)
  • Регулярные резервные копии — и их тоже шифровать
  • Двухфакторная аутентификация для сотрудников, работающих с базой
  • Уничтожение данных по истечении срока хранения (обычно 5 лет после последнего визита)

Если клиника работает со специальными категориями ПДн в значительном объёме (больше нескольких тысяч карт), формально нужна аттестация информационной системы по требованиям ФСТЭК (уровень защищённости УЗ-3 или УЗ-2). Для малого бизнеса на ранней стадии это часто откладывают до первого плана проверки — но в идеале использовать облако, которое уже имеет такую сертификацию (например, Yandex Cloud).

Штрафы и ответственность

С 2022 года штрафы серьёзно ужесточили. Вот что реально рискует клиника:

  • Обработка ПДн без регистрации / нарушение правил: до 300 000 ₽ (для ИП), до 18 млн ₽ (для ООО при повторном нарушении).
  • Утечка персональных данных: до 500 000 ₽ за первый инцидент; за повторный и массовый (>100к записей) — до 15 млн ₽ оборотных штрафов.
  • Хранение ПДн за пределами РФ: до 18 млн ₽ + блокировка сервиса.
  • Отсутствие Политики на сайте или непредоставление доступа к ней: 60–80 тыс ₽.
  • Обработка без согласия: 300–700 тыс ₽ (для ИП — 20–40 тыс, но с повторением растёт).

Плюс к штрафу — репутационный ущерб. Утечка клиентской базы косметологии — это не только деньги, но и потеря доверия. Клиенты не возвращаются, новые не приходят по сарафану.

Что делать, если клиника уже работает без регистрации

Это частая ситуация, не паникуйте. Правильный порядок:

  1. Подайте уведомление в РКН прямо сейчас (через Госуслуги, 15–20 минут). Чем раньше — тем меньше рисков.
  2. Опубликуйте Политику обработки ПДн на сайте в течение недели. Шаблоны есть в открытом доступе, дорабатывайте под свою клинику.
  3. Начните брать согласия у новых клиентов при первом визите. Для текущей базы — собирайте согласия при следующем визите, не обязательно бежать обзванивать всех.
  4. Перенесите базу клиентов с Google Sheets / Notion / зарубежных CRM на российские сервисы в течение 1–2 месяцев.
  5. Настройте ролевую модель доступа и audit log — это уже техническое, делается в рамках перехода на нормальную CRM.

Роскомнадзор не проверяет каждую клинику подряд — проверки начинаются обычно по жалобам клиентов или по плану (для крупных организаций). Но лучше не надеяться на «авось» — инцидент с утечкой базы мгновенно становится публичным.

Итоговый чек-лист compliance

Проверьте, что у вашей клиники есть всё из списка:

  • Регистрация оператора ПДн в РКН (есть номер в реестре)
  • Политика обработки ПДн опубликована на сайте в HTML
  • Согласия клиентов собираются при первом визите (бумага + скан)
  • Отдельное согласие для медицинских ПДн
  • База клиентов хранится на российских серверах
  • Каждый сотрудник под своей учётной записью
  • Роли разграничены (регистратор ≠ врач ≠ руководитель)
  • Journal / audit log действий с ПДн ведётся
  • Сайт на HTTPS
  • Пароли в БД хешированы (не plain text)
  • Резервные копии шифруются
  • Сотрудники подписали обязательство о неразглашении ПДн

Итог

152-ФЗ — не формальность. Это набор реальных требований, которые защищают клиентов (и клинику тоже, от собственных рисков). При правильном подходе compliance занимает 2–3 недели на запуск и почти не требует текущих расходов — если инфраструктура изначально выбрана правильно.

Главный риск для частных клиник — работать «как все»: хранить базу в Excel, брать заявки через Google Forms, не иметь Политики на сайте. Это работает до первой жалобы или проверки.

Идеальный вариант — использовать CRM, которая по умолчанию закрывает требования 152-ФЗ: хранение на российских серверах, ролевая модель, audit log, шифрование. Тогда вы сосредотачиваетесь на клиентах, а compliance работает в фоне.

CRM С COMPLIANCE ИЗ КОРОБКИ

MedPlatform.AI — все требования 152-ФЗ закрыты по умолчанию

Серверы в Москве (УЗ-2, 152-ФЗ ст. 18 п. 5), ролевой доступ, полный audit log на чтение/запись карт, договор-поручение с клиникой по умолчанию. Переносим вашу базу, запускаем за 1–2 недели. 30 дней бесплатно — данные при выходе отдаём в CSV.

Запустить пилот →

Или напишите в Telegram: @medplatform_sales

Читайте также

Как выбрать CRM для косметологии →

7 критериев + сравнение 5 сервисов.

Онлайн-запись на сайт без разработчика →

Виджет за 10 минут в Tilda/WordPress + чек-лист 152-ФЗ.

Как уменьшить неявки: 5 способов →

No-show 15–30% — норма. Как снизить до 7–10%.

Возвратные кампании в косметологии →

Как удвоить LTV клиента через автоматические триггеры.