Стоматологии и салоны красоты: онлайн-запись и ФЗ-152

Почему стоматологии и салоны красоты массово попадают в поле зрения РКН

Стоматологические клиники и салоны красоты (барбершопы, парикмахерские, маникюрные студии, косметологические кабинеты) – это массовый сегмент малого бизнеса, который практически весь использует онлайн-запись. А онлайн-запись – это сбор персональных данных клиентов плюс, нередко, специальные категории в случае стоматологии и косметологии (сведения о здоровье, противопоказаниях, аллергиях).

Долгое время этот сегмент оставался в «серой зоне»: небольшие кабинеты не попадали в планы проверок РКН, проверять салон на соответствие ФЗ-152 было непопулярно. Ситуация изменилась после внедрения оборотных штрафов: риск-ориентированный подход РКН стал включать в расчёт не только «размер бизнеса», но и «число субъектов в базе». У среднего салона красоты база клиентов легко переваливает за несколько тысяч человек – достаточно для серьёзного интереса регулятора при наличии жалобы.

В 2025 году РКН провёл плановую выборочную проверку 30 салонов красоты в Москве и Санкт-Петербурге (по жалобам клиентов на спам-рассылки). Из 30 только у двух оказались в порядке согласия и политика. 28 салонов получили предписания на сумму от 30 000 до 300 000 ₽ каждое. Распространённая причина – использование Yclients без корректной настройки согласий и отсутствие политики конфиденциальности на лендинге.

Онлайн-запись: главный инструмент и главная зона риска

Большинство салонов использует одну из готовых платформ онлайн-записи: Yclients, DIKIDI, Sonline, Gbooking, EasyWeek. Все эти платформы – российские (это хорошо для соответствия статье 18.1 ФЗ-152), но корректная настройка согласий ложится на салон.

Что проверяет РКН в онлайн-записи

  • Есть ли чекбокс согласия на обработку ПДн при бронировании
  • Открыт ли доступ к политике конфиденциальности
  • Не собираются ли избыточные данные (например, дата рождения «на всякий случай» при записи на стрижку)
  • Как оформлено согласие на спецкатегории (если запись на косметологическую процедуру с вопросами о здоровье)
  • Получает ли клиент подтверждающее уведомление о записи
  • Есть ли возможность отказа от рекламных рассылок, не теряя возможности записи

Типовая правильная настройка в Yclients

  1. В настройках виджета включить обязательный чекбокс согласия
  2. Прописать текст согласия со ссылкой на политику конфиденциальности салона (не на политику Yclients – Yclients является оператором по поручению)
  3. Для косметологии и стоматологии добавить второй чекбокс – согласие на обработку спецкатегорий
  4. Отключить избыточные обязательные поля (например, дату рождения оставить как необязательную)
  5. Настроить отдельный чекбокс для рассылки – не объединять с основным согласием

Стоматология: специальные категории в полный рост

Стоматологический кабинет – это медицинская деятельность. Любая информация о состоянии полости рта, проведённых процедурах, назначенных препаратах, хронических заболеваниях – это специальные категории ПДн по статье 10 ФЗ-152.

Минимальный пакет для стоматологии

  1. Политика обработки ПДн с отдельным разделом о спецкатегориях
  2. Политика обработки спецкатегорий как отдельный документ
  3. Согласие на медицинскую услугу и согласие на обработку ПДн – два отдельных документа, подписываемых пациентом при первом посещении
  4. Форма онлайн-записи с минимальным набором полей (ФИО, телефон, желаемая услуга)
  5. Если в форме есть поле «опишите проблему», – отдельный чекбокс на обработку спецкатегорий
  6. Электронная медицинская карта пациента – в лицензированной медицинской информационной системе
  7. Уведомление в РКН с пометкой «обработка специальных категорий»
  8. Назначение ответственного за обработку ПДн (приказ, хранящийся у руководителя клиники)
  9. Обучение администратора и врачей правилам работы с ПДн

Стоматологическая клиника в Краснодаре оштрафована на 400 000 ₽ за утечку базы пациентов (10 000 записей с именами, телефонами и диагнозами). База была выложена в открытом доступе после взлома сайта – выяснилось, что пароль администратора был «12345678», а защиты от брутфорса не было. Клиника дополнительно получила предписание о внедрении 2FA для всех административных учёток.

Салоны красоты и косметологические кабинеты

Косметология занимает промежуточное положение: если это медицинская косметология (инъекции, лазерная эпиляция, плазмолифтинг) – это медицинская деятельность со всеми требованиями к обработке спецкатегорий. Если это эстетическая косметология без медицинского лицензирования (чистка лица, массажи, маникюр, стрижки) – спецкатегории обычно не обрабатываются, но аллергии и противопоказания всё равно собирают.

Граница между обычной обработкой и спецкатегориями

Процедура / услуга Обрабатываются спецкатегории
Стрижка, окрашивание Нет (если не собирается информация об аллергии на красители)
Маникюр, педикюр Нет (если не собирается информация о грибковых инфекциях)
Массаж эстетический Чаще да – противопоказания (гипертония, беременность и т.д.)
Косметология инъекционная Да – статус медицинской услуги
Лазерная эпиляция Да – медицинская процедура
Татуировки, татуаж Да – медицинские противопоказания
Пирсинг Да – медицинские противопоказания
Стоматологические услуги Да – все

Уведомление в РКН: нужно ли салону

По статье 22 ФЗ-152 обязанность подать уведомление есть у всех операторов, кроме случаев, прямо перечисленных в части 2. Салоны и стоматологии под исключения не подпадают – их деятельность не является исключительно исполнением договора с субъектом (они собирают данные до заключения договора через онлайн-запись).

Для салона красоты: уведомление обязательно, подаётся на сайте РКН в 3-5 рабочих дней. Бесплатно, не требует специальной квалификации.

Для стоматологии: уведомление обязательно, с обязательной пометкой «обработка специальных категорий». После подачи такого уведомления клиника автоматически попадает в риск-ориентированную категорию повышенного внимания.

Клиентская база: кто видит и что делает

Типичная база клиентов салона в Yclients или DIKIDI содержит: ФИО, телефон, email, даты визитов, услуги, мастера, суммы платежей, для косметологии – анкету здоровья. Доступ к базе:

  • Администратор – полный доступ к записям и истории
  • Мастер – доступ только к «своим» клиентам и их истории
  • Руководитель – полный доступ + аналитика
  • Маркетолог – агрегированная аналитика, без конкретных контактов (либо с согласием клиента на маркетинговую обработку)

Уход сотрудника с клиентской базой: что делать

Частая ситуация: мастер уходит из салона и уводит часть клиентов, сохранив их контакты. С точки зрения ФЗ-152 это нарушение: мастер не является оператором, данные клиентов ему переданы салоном по внутренним отношениям. Использование их после увольнения – обработка без правового основания.

Меры защиты:

  1. Трудовой договор / договор ГПХ с мастером должен содержать пункт об обязанности соблюдения режима ПДн и запрете использования данных клиентов вне рабочих отношений
  2. Соглашение о неразглашении (NDA) – для режима коммерческой тайны клиентской базы
  3. Технический контроль: мастер не имеет возможности массово выгрузить базу из системы записи
  4. При увольнении – формальный отзыв доступа, фиксация акта
  5. Если обнаруживается, что бывший мастер использует контакты – досудебная претензия и обращение в РКН

Рассылки и напоминания

Салоны активно рассылают:

  • Напоминания о записи (SMS, push) – это исполнение договора, не реклама, согласия отдельно не требует
  • Поздравления с днём рождения со скидкой – это реклама, требует согласия
  • Напоминания «пора повторить процедуру» через N недель – в большинстве случаев реклама
  • Анонс акций и новых услуг – реклама
  • Отзывопросы «оцените визит» – исполнение договора (контроль качества)

Практика: в карточке клиента при первом визите предлагается отдельный чекбокс «согласен на получение акций и персональных предложений» – с чётким разделением от обязательного согласия на запись.

Фото работ и согласие на публикацию

Салоны и стоматологии часто публикуют фото «до/после» в соцсетях и на сайте. Лицо человека – это биометрические ПДн (часть 1 статьи 11 ФЗ-152), при условии что фото позволяет идентифицировать человека. Публикация без согласия – нарушение.

Правильная практика

  1. При первом визите – отдельный документ «согласие на фото- и видеосъёмку и публикацию»
  2. Клиент имеет право отказать – отказ не влияет на возможность получения услуги
  3. Если клиент согласен – указать, где будут публикации (сайт, VK, Instagram-эпоха или TenChat), на какой срок
  4. Возможность в любой момент отозвать согласие – удалить публикации
  5. Для детей – согласие родителей (особенно для стоматологии с детьми)
  6. Кадрирование лица для анонимизации (обрезка, замыливание глаз) – снижает риск, но не полностью исключает: при сочетании с другими деталями идентификация возможна

Карты лояльности и программы постоянного клиента

Многие салоны внедряют карты лояльности: накопительные скидки, бонусы, пластиковые карты или мобильные приложения. По сути – отдельная система обработки ПДн с расширенными целями:

  • Хранение истории визитов, сумм, услуг
  • Автоматическое начисление бонусов
  • Рассылка персональных предложений
  • Сегментация клиентов для маркетинга

Соответственно, при регистрации в программе лояльности – отдельный согласительный блок: обработка для программы, маркетинговые коммуникации, профилирование (персональные предложения), передача партнёрам (если есть партнёрская программа).

Юридические формы малого бизнеса и обязанности

Форма ведения Ключевые обязанности по ФЗ-152
Салон как ООО Полные: политика, уведомление в РКН, назначение ответственного, защита
Салон как ИП Такие же, как для ООО; штрафы меньше
Мастер как самозанятый (на дому) Полные; часто упускают, что ФЗ-152 применяется к самозанятым
Арендатор кресла Самостоятельный оператор, должен иметь свою политику (не прикрываясь салоном)

Сайт-лендинг салона: минимум

  1. В подвале – ссылки «Политика конфиденциальности» и «Согласие на обработку ПДн»
  2. На каждой форме – чекбокс согласия, без предустановленной галочки
  3. Cookie-banner с настройкой (аналитика – по согласию)
  4. Если используется онлайн-запись через Yclients/DIKIDI – корректная настройка чекбоксов
  5. Если используется колбэк-форма – отдельный чекбокс
  6. Если есть форма «Оставить отзыв» – отдельный чекбокс (отзыв может содержать ПДн)
  7. Отсутствие лишних сборов (почему-то у 40% салонов в обратной форме есть поле «дата рождения»)

Чек-лист соответствия салона красоты и стоматологии ФЗ-152

  1. Политика конфиденциальности опубликована на сайте и в системе онлайн-записи
  2. Для стоматологии и медицинской косметологии – отдельная политика по спецкатегориям
  3. Уведомление в РКН подано (с пометкой о спецкатегориях для медицинских услуг)
  4. Форма онлайн-записи содержит чекбокс согласия, минимальные обязательные поля
  5. Анкета о здоровье/противопоказаниях заполняется под отдельное согласие
  6. Назначен ответственный за обработку ПДн
  7. Трудовые договоры мастеров и администраторов содержат пункт о конфиденциальности
  8. Доступ к клиентской базе разграничен по ролям
  9. Техническая защита – 2FA для администраторов, HTTPS на сайте, резервное копирование
  10. Рассылки рекламного характера – только с согласия, с возможностью отписки
  11. Фото «до/после» – только с подписанного согласия
  12. Карты лояльности оформлены как отдельный процесс обработки с собственным согласием
  13. Онлайн-запись и CRM – только на российских платформах
  14. Есть регламент реагирования на инциденты и ответ на запросы субъектов
  15. Регулярно (раз в год) аудит настроек и актуальности политики

Стоимость соответствия для малого бизнеса

Для небольшого салона или стоматологии соответствие ФЗ-152 не требует значительных инвестиций. Типовая оценка:

  • Шаблоны документов (политики, согласия) – от 10 000 до 30 000 ₽ у юриста-практика, либо от 0 ₽ с использованием общедоступных шаблонов и их адаптации
  • Уведомление в РКН – бесплатно, 1-2 часа работы
  • Корректная настройка онлайн-записи – в рамках абонентской платы Yclients/DIKIDI
  • Обучение персонала – от 5 000 до 20 000 ₽ за разовый тренинг
  • Техническая защита (антивирус, 2FA, HTTPS) – от 0 до 10 000 ₽ в месяц для типовой инфраструктуры

Итого базовое соответствие: 20 000–60 000 ₽ разовых затрат плюс 5 000–15 000 ₽ в месяц на техническую защиту. По сравнению с штрафами (от 30 000 ₽ за эпизод, до 400 000 ₽ за утечку) – инвестиции окупаются после избежания одного предписания.