ПДн участников корпоративного спорта/программ
Корпоративные программы здоровья и спорта — распространённая практика: компании компенсируют фитнес, организуют соревнования, собирают медицинские справки, подключают ДМС, устанавливают биометрические турникеты на входе. За каждым из этих действий стоит обработка персональных данных работников. После вступления в силу ФЗ-420 (с 30.05.2025) и ФЗ-156 (с 01.09.2025) правила ужесточились, а штрафы выросли многократно. Ниже — пошаговый порядок приведения обработки ПДн участников корпоративных программ в соответствие с законом.
Шаг 1. Составьте реестр обрабатываемых ПДн по программам
Первый шаг — инвентаризация: какие именно данные, в каких процессах и на каком основании вы обрабатываете. Корпоративные спортивные программы затрагивают несколько категорий ПДн одновременно.
В типичной программе оздоровления компания собирает: ФИО и контактные данные участников (регистрация на соревнования), сведения о состоянии здоровья и физических ограничениях (анкета допуска к занятиям), платёжные реквизиты для компенсации фитнеса, сведения о посещаемости, данные биометрии в СКУД (изображение лица, отпечатки). При подключении ДМС к программе — сведения о болезнях и хронических заболеваниях, то есть специальные категории по ст. 10 ФЗ-152.
По итогам инвентаризации составьте таблицу: программа — вид ПДн — категория (общие / специальные / биометрические) — правовое основание — срок хранения. Это исходный документ для последующих шагов.
Шаг 2. Определите правовое основание для каждого вида обработки
Ключевая ошибка HR-служб — попытка подвести корпоративный спорт под ст. 86 ТК РФ (обработка ПДн в целях трудовых отношений). Ст. 86 ТК допускает обработку ПДн работника только в той мере, в какой это необходимо для исполнения трудового договора. Участие в корпоративном спортивном мероприятии — добровольное, не является частью трудовой обязанности. Следовательно, ст. 86 ТК здесь не применяется.
Правильное основание для обработки данных участников корпоративных программ — согласие субъекта по п. 1 ч. 1 ст. 6 ФЗ-152. Для специальных категорий (здоровье, биометрия) — письменное согласие по ч. 1 ст. 10 и ч. 1 ст. 11 ФЗ-152 соответственно. Для компенсации фитнеса через бухгалтерию возможно основание «исполнение договора» (п. 5 ч. 1 ст. 6), если с работником заключён отдельный договор о компенсации.
Участие работника в программе ДМС при наличии медицинских данных требует отдельного письменного согласия на обработку специальной категории ПДн даже при наличии корпоративного договора страхования.
Согласия работников не переоформлены после 01.09.2025?
Если HRD не привёл документы в соответствие с требованиями ФЗ-156, каждое устаревшее согласие — это основание для штрафа по ч. 2 ст. 13.11 КоАП (до 700 000 ₽). Юристы DATUM соберут пакет согласий по новым требованиям и проведут аудит ОРД HR-департамента.
Заказать аудит 152-ФЗ+7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Как оформить согласие участника корпоративной программы после 01.09.2025?
С 01.09.2025 согласие на обработку ПДн оформляется только отдельным документом — его нельзя включать в трудовой договор, приказ об участии в программе, оферту или политику конфиденциальности (ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025). Согласия, полученные до 01.09.2025, переоформлять не обязательно, если они изначально соответствовали требованиям ст. 9 — обратной силы у поправок нет.
Обязательные реквизиты согласия по ст. 9 ФЗ-152: ФИО субъекта, его контактные данные, наименование и адрес оператора, конкретная цель обработки, перечень ПДн, перечень действий с ПДн, срок действия согласия и способ его отзыва.
Для программ с несколькими целями (допуск к соревнованиям, ДМС, фитнес-компенсация, биометрия СКУД) необходимо отдельное согласие на каждую цель — объединять их в один документ запрещено принципом разграничения целей (ст. 5 ФЗ-152). На практике это означает от двух до четырёх отдельных форм согласия для одного работника.
Шаг 3. Оформите согласия на обработку биометрии в СКУД
Биометрические данные — особая категория. По ст. 11 ФЗ-152 обработка биометрии допускается только при наличии письменного согласия субъекта (с рядом исключений, к корпоративному спорту не относящихся). Изображение лица при использовании СКУД с распознаванием — это биометрия по позиции Роскомнадзора.
Письменное согласие на обработку биометрии в СКУД должно содержать: описание системы (модель, производитель, адрес установки), конкретные биометрические характеристики (изображение лица, отпечатки — в зависимости от системы), цели (идентификация для прохода в здание), срок хранения шаблона, порядок уничтожения при увольнении.
Работник вправе отказаться от биометрии — в этом случае работодатель обязан обеспечить альтернативный способ идентификации (ключ-карта, пропуск). Отказ не может быть основанием для ограничения трудовых прав.
Что подготовить по биометрии СКУД
- Письменное согласие на обработку биометрических ПДн — отдельный документ для каждого работника
- Техническое описание системы СКУД с указанием типа биометрических данных и места хранения шаблонов
- Порядок уничтожения биометрического шаблона при увольнении или отзыве согласия (с фиксацией факта уничтожения)
- Локальный акт о применении системы биометрической идентификации с описанием альтернативного способа прохода
- Уведомление в реестр РКН с указанием биометрической обработки (ст. 22 ФЗ-152)
Шаг 4. Актуализируйте уведомление в реестре РКН и ОРД
Если компания добавляет новую программу с обработкой ПДн (например, запускает корпоративные соревнования с медицинским допуском), она обязана скорректировать уведомление об обработке ПДн в Роскомнадзоре (ст. 22 ФЗ-152). В уведомлении должны быть отражены цели, категории ПДн, правовые основания, меры защиты и сведения о трансграничной передаче (если данные уходят к зарубежному ДМС-оператору или фитнес-платформе).
Если в компании запустили корпоративную программу, а уведомление в РКН не обновили — это нарушение ч. 10 ст. 13.11 КоАП (штраф 100 000 — 300 000 ₽). Срок включения в реестр после подачи уведомления — 30 дней.
Собрать ОРД под ключОРД по теме обработки ПДн в корпоративных программах включает: приказ о назначении ответственного за обработку (ст. 22.1 ФЗ-152), политику обработки ПДн с разделом о программах здоровья и спорта, регламент хранения и уничтожения данных участников, инструкцию по работе с обращениями субъектов (срок ответа — 10 рабочих дней по ст. 20 ФЗ-152), журнал учёта обращений, поручение на обработку ПДн третьим лицам (фитнес-оператор, страховая, провайдер СКУД).
Шаг 5. Настройте порядок хранения и уничтожения данных
Срок обработки ПДн участников программ ограничен сроком действия программы плюс период, необходимый для исполнения налоговых и бухгалтерских обязательств. После прекращения цели ПДн подлежат уничтожению или обезличиванию (ст. 21 ФЗ-152).
При увольнении работника данные в рамках корпоративных программ (в отличие от кадровых документов личного дела с 75-летним сроком хранения) уничтожаются по истечении срока исковой давности. Биометрический шаблон в СКУД уничтожается немедленно после увольнения или отзыва согласия — хранение шаблона без основания образует состав ч. 2 ст. 13.11 КоАП.
Для КЭДО, если согласия работников подписаны через электронный документооборот, оператором остаётся работодатель — провайдер КЭДО выступает лицом, осуществляющим обработку по поручению (п. 3 ч. 1 ст. 6 ФЗ-152). Договор с провайдером обязан содержать условия поручения на обработку с перечнем действий, целью и обязанностью конфиденциальности.
Типовые ситуации: где чаще всего нарушают
Ситуация 1. Анкета допуска к соревнованиям с вопросами о здоровье. Компания собирает медицинские сведения (хронические заболевания, противопоказания) через анкету, встроенную в форму регистрации на корпоративный турнир. Основание — «трудовые отношения» по ст. 86 ТК. Это неверно: здоровье — специальная категория по ст. 10 ФЗ-152, требует отдельного письменного согласия. Вероятный исход при проверке — протокол по ч. 2 ст. 13.11, штраф 300 000 — 700 000 ₽. Стратегия: заменить анкету на форму согласия с описанием цели (допуск к соревнованиям) и перечнем данных; хранить отдельно от личного дела.
Ситуация 2. Фитнес-компенсация через агрегатор без поручения на обработку. HR передаёт список сотрудников (ФИО, email, телефон) в приложение корпоративного фитнеса без договора поручения. Провайдер хранит данные на серверах в ЕС — возникает трансграничная передача без уведомления РКН по ст. 12 ФЗ-152. Вероятный исход: нарушение локализации по ч. 8 ст. 13.11 (штраф 1 000 000 — 6 000 000 ₽) плюс отсутствие поручения по ч. 1 ст. 13.11. Стратегия: заключить договор поручения с провайдером, уточнить локализацию серверов, при необходимости подать уведомление о трансграничной передаче.
Ситуация 3. Биометрия СКУД без альтернативы. Компания перешла на турникеты с распознаванием лица. Работники подписали согласие, встроенное в приказ о переходе на СКУД. Согласие не является отдельным документом — нарушение ст. 9 ФЗ-152 в редакции ФЗ-156. Вероятный исход: ч. 2 ст. 13.11 за ненадлежащее согласие, ч. 16 ст. 13.11 за нарушение требований к биометрии. Стратегия: переподписать согласия отдельными документами, обеспечить альтернативный способ прохода, зафиксировать отказников.
Как применяется на практике
Кейс 1. Производственная компания (Уральский ФО, осень 2025) запустила корпоративную программу ДМС. HR-служба включила согласие на передачу медицинских данных в страховую в текст дополнительного соглашения к трудовому договору. После плановой проверки РКН в I квартале 2026 года составлен протокол по ч. 2 ст. 13.11 КоАП: согласие не является отдельным документом, требования ФЗ-156 не соблюдены. Штраф в несколько сотен тысяч рублей. Компания переоформила согласия и заключила договор поручения со страховой — повторного нарушения удалось избежать.
Кейс 2. IT-компания (Северо-Западный ФО, начало 2026) использовала биометрические турникеты. Согласия работников были получены, но не переоформлены после 01.09.2025 — прежние формы были встроены в корпоративный регламент. По результатам внутреннего аудита, инициированного HRD, выявлено несоответствие. Компания до проверки РКН переоформила отдельные документы согласия, обновила ОРД и направила изменения в уведомление РКН — предписание и штраф получены не были.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка документов HR-департамента, согласий и ОРД по корпоративным программам
- Комплект ОРД под ключ — подготовка согласий, политики, регламентов и поручений на обработку
- DPO-аутсорсинг — ответственный за обработку ПДн по ст. 22.1 на абонентском обслуживании
Частые вопросы
1. Нужно ли переподписывать согласия работников после 01.09.2025?
Согласия, полученные до 01.09.2025 и изначально оформленные как отдельный документ с реквизитами ст. 9 ФЗ-152, переоформлять не требуется — поправки ФЗ-156 не имеют обратной силы. Если согласие было встроено в трудовой договор, дополнительное соглашение или приказ — оно не соответствует новым требованиям. Такие согласия необходимо заменить отдельными документами до следующей обработки данных на их основании.
2. Какие данные нельзя спрашивать в анкете участника корпоративных программ?
Без письменного согласия на обработку специальных категорий нельзя запрашивать сведения о состоянии здоровья, хронических заболеваниях, противопоказаниях, инвалидности. Также без специального основания нельзя собирать национальность, религиозные взгляды, политические убеждения (ст. 10 ФЗ-152). Общее правило ст. 87 ТК РФ и ст. 86 ТК РФ: работодатель вправе обрабатывать только те ПДн, которые необходимы для трудовых отношений. Корпоративный спорт к трудовым отношениям не относится.
3. Можно ли вести видеонаблюдение в офисе?
Видеозапись лиц работников относится к биометрическим ПДн, если она используется для их идентификации (позиция РКН). Для ведения видеонаблюдения в целях безопасности потребуется: письменное согласие или иное законное основание, уведомление работников о факте съёмки (ст. 22.2 ТК РФ), локальный акт с описанием целей, сроков хранения записей и порядка доступа. Запись без уведомления работников является нарушением ст. 86 ТК РФ.
4. Сколько хранить согласия после увольнения?
Согласие на обработку ПДн — часть документации оператора. По общему правилу хранить его следует не менее срока исковой давности (3 года) после прекращения обработки, но с учётом отраслевых сроков. Данные личного дела работника хранятся 75 лет (типовой срок). Согласия на участие в корпоративных программах — отдельный документ; срок их хранения определяется приказом руководителя о сроках хранения ОРД, но не менее 3 лет после увольнения работника.
5. Кто является оператором при использовании КЭДО?
Оператором при использовании КЭДО остаётся работодатель — он определяет цели и состав обрабатываемых ПДн работников. Провайдер КЭДО выступает лицом, осуществляющим обработку по поручению оператора (п. 3 ч. 1 ст. 6 ФЗ-152). Договор с провайдером обязан содержать условия поручения: перечень ПДн, допустимые действия, цель, обязанность конфиденциальности и уничтожения данных по истечении срока. Без такого договора вся обработка провайдером является неправомерной.
6. Нужно ли уведомлять РКН при подключении нового провайдера фитнеса?
Если при подключении нового провайдера меняется состав обрабатываемых ПДн, цели обработки или появляется трансграничная передача — уведомление в РКН необходимо скорректировать (ст. 22 ФЗ-152). Срок включения изменений в реестр — 30 дней. Неуведомление об изменениях влечёт штраф по ч. 10 ст. 13.11 КоАП (100 000 — 300 000 ₽).
Итог
Корпоративные спортивные и оздоровительные программы требуют отдельного пакета документов по 152-ФЗ: согласий на общие, специальные и биометрические ПДн, договоров поручения с провайдерами, актуального уведомления в реестре РКН и регламентов хранения. С 01.09.2025 согласия — только отдельным документом. Штрафы за нарушения выросли до 700 000 ₽ за каждый случай, а повторное нарушение грозит оборотным штрафом по ч. 15 ст. 13.11 КоАП.
Практика DATUM сопровождает HR-департаменты крупных работодателей в приведении документации по 152-ФЗ в соответствие — от инвентаризации ПДн до полного пакета ОРД и поддержки при проверках Роскомнадзора.
3 февраля 2028 года