Перейти к содержанию
инструкция 25 января 2028 По состоянию на 25 января 2028

ПДн в больничных листах

Больничный лист содержит специальные категории персональных данных — сведения о состоянии здоровья работника. Обработка таких данных без надлежащего правового основания нарушает ст. 10 ФЗ-152 и влечёт штраф от 3 млн ₽ по ч. 12 ст. 13.11 КоАП.
С 01.09.2025 согласие работника на обработку ПДн оформляется отдельным документом (ФЗ-156 от 24.06.2025). Согласия, включённые в трудовой договор или коллективный документ, более не отвечают требованиям ст. 9 ФЗ-152 для специальных категорий.
Если вы HRD и в вашем отделе нет раздельных согласий на обработку медицинских ПДн — каждый принятый больничный лист создаёт основание для протокола РКН. → Проверьте пакет документов прямо сейчас.

Листок нетрудоспособности — документ, который HR обрабатывает ежемесячно. При этом он содержит данные о диагнозе, учреждении здравоохранения и периоде нетрудоспособности — всё это специальные категории персональных данных по ст. 10 ФЗ-152. После вступления в силу ФЗ-420 от 30.11.2024 и ФЗ-156 от 24.06.2025 требования к документальному оформлению этой обработки существенно выросли. Инструкция описывает шесть последовательных шагов: от проверки оснований обработки до порядка хранения и уничтожения листков нетрудоспособности.

Шаг 1. Определите правовое основание обработки медицинских ПДн

Листок нетрудоспособности относится к специальным категориям ПДн по ст. 10 ФЗ-152 — сведения о состоянии здоровья. По общему правилу обработка таких данных запрещена. Исключение — случаи, прямо указанные в ч. 2 ст. 10: исполнение прав и обязанностей в области трудового права, социального страхования и в сфере охраны здоровья.

«Ст. 10 ч. 2 п. 2.3 ФЗ-152 — обработка специальных категорий ПДн допустима, если она необходима для исполнения обязанностей и осуществления прав оператора или субъекта в области трудового законодательства, законодательства о социальном обеспечении и защите.»

Работодатель обрабатывает больничный лист на основании ст. 183 ТК РФ (гарантия при временной нетрудоспособности) и норм ФЗ-255 об обязательном социальном страховании. Это означает, что отдельное согласие работника на получение и хранение больничного листа не требуется — правовое основание установлено законом. Однако это не освобождает работодателя от обязанности ограничить доступ к документу и не передавать данные третьим лицам без самостоятельного основания.

На практике ошибка возникает в смежных ситуациях: когда HR запрашивает у работника развёрнутую медицинскую справку сверх листка нетрудоспособности, передаёт больничный лист руководителю подразделения без ограничения доступа или включает диагноз в корпоративную отчётность. Каждое из этих действий выходит за пределы законного основания и требует отдельного правового обоснования либо согласия.

Согласия на обработку медицинских ПДн ещё в трудовом договоре?

Если HRD не перевёл согласия на специальные категории ПДн в отдельные документы после 01.09.2025 — каждый больничный лист, по которому нет самостоятельного правового основания, создаёт риск штрафа до 700 тыс. ₽ по ч. 2 ст. 13.11 КоАП. У DATUM — готовый пакет ОРД для HR-департамента, включая согласия по новым требованиям ФЗ-156.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Шаг 2. Проверьте согласия работников после 01.09.2025

С 01.09.2025 вступила в силу редакция ч. 1 ст. 9 ФЗ-152, введённая ФЗ-156 от 24.06.2025. Согласие субъекта персональных данных теперь оформляется отдельным документом и не может быть объединено с договором, политикой или иным документом. Если ваши согласия работников включены в трудовые договоры или коллективные документы — они не отвечают актуальным требованиям.

«Ст. 9 ч. 1 ФЗ-152 в ред. ФЗ-156 от 24.06.2025 — согласие субъекта оформляется в виде отдельного документа. Объединение согласия с иным документом не допускается.»

Обязательные реквизиты согласия на обработку медицинских ПДн: ФИО работника, контактные данные, наименование работодателя как оператора, конкретная цель обработки (исполнение гарантий при нетрудоспособности), перечень обрабатываемых данных (номер листка нетрудоспособности, дата, период нетрудоспособности, наименование медицинской организации), перечень действий (получение, хранение, передача в СФР), срок и способ отзыва.

Важное уточнение: поскольку больничный лист обрабатывается на законном основании (ст. 183 ТК РФ, ФЗ-255), согласие требуется только для тех операций, которые выходят за пределы этого основания — например, включение медицинских данных в корпоративную аналитику или передача данных страховой компании по программе добровольного медицинского страхования. Для операций в рамках обязательного страхования согласие не нужно, но пакет ОРД должен фиксировать это явно.

Шаг 3. Установите порядок доступа и передачи данных

Ст. 87 ТК РФ обязывает работодателя установить порядок хранения и использования персональных данных работников в локальном акте. Применительно к больничным листам это означает: определить круг лиц, имеющих доступ к документу, и перечислить их в приказе.

Стандартный состав лиц с доступом: специалист по кадровому учёту, главный бухгалтер, уполномоченный по взаимодействию с СФР. Руководитель подразделения, в котором работает сотрудник, не имеет права знакомиться с диагнозом — ему достаточно сведений о периоде нетрудоспособности без медицинской информации. Передача диагноза руководителю без основания нарушает ст. 88 ТК РФ и ст. 10 ФЗ-152 одновременно.

«Ст. 88 ТК РФ — при передаче персональных данных работника работодатель не вправе сообщать их третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо для предупреждения угрозы жизни и здоровью.»

Отдельный вопрос — передача данных в СФР через систему прямых выплат. Здесь работодатель выступает транзитным звеном: он обязан передать листок нетрудоспособности в фонд, но не хранить его дольше установленного срока и не использовать в иных целях. Поручение обработки данных СФР формально не оформляется — СФР является самостоятельным оператором на основании закона. Однако взаимодействие с внешними подрядчиками (например, с операторами КЭДО) требует заключения договора поручения обработки по п. 3 ст. 6 ФЗ-152.

Как правильно организовать КЭДО и ПДн при электронных больничных?

С введением электронных листков нетрудоспособности (ЭЛН) работодатель получает данные через личный кабинет в системе СФР или через КЭДО-платформу. В обоих случаях к данным предъявляются те же требования, что и к бумажным носителям.

При использовании КЭДО-платформы стороннего провайдера работодатель остаётся оператором персональных данных, а провайдер — лицом, осуществляющим обработку по поручению (ст. 6 ч. 3 ФЗ-152). Договор с провайдером должен содержать: перечень обрабатываемых данных, цели обработки, перечень действий, обязанность обеспечить конфиденциальность, право оператора проверять исполнение. Без такого договора провайдер КЭДО становится несанкционированным получателем медицинских ПДн.

Если ваш КЭДО-провайдер обрабатывает электронные больничные без договора поручения — это нарушение ст. 6 ФЗ-152. До проверки РКН у вас есть время устранить пробел: DATUM подготовит договор поручения и проверит условия обработки за один рабочий день.

Собрать ОРД под ключ

Отдельно стоит вопрос о локализации: данные электронных больничных листов, обрабатываемые через КЭДО-платформу, должны храниться на серверах в России согласно ч. 5 ст. 18 ФЗ-152. Если провайдер использует зарубежные дата-центры или облачные сервисы с инфраструктурой за рубежом, нарушение по ч. 8 ст. 13.11 КоАП влечёт штраф от 1 до 6 млн ₽.

Шаг 4. Пропишите сроки хранения и порядок уничтожения

Срок хранения больничных листов установлен Приказом Росархива № 236 от 20.12.2019 — 5 лет. По истечении этого срока документы подлежат уничтожению. Уничтожение фиксируется актом с указанием реквизитов уничтоженных документов, даты и состава комиссии.

Электронные копии больничных листов, хранящихся в информационных системах КЭДО или учётных системах, уничтожаются в том же порядке: не позднее истечения установленного срока и с документальным подтверждением удаления из всех резервных копий. Это требование вытекает из принципа минимизации по ст. 5 ФЗ-152 — данные не хранятся дольше, чем необходимо для цели обработки.

После увольнения работника больничные листы, входящие в состав личного дела, хранятся 75 лет (для дел, оформленных до 2003 года) или 50 лет (с 2003 года) — в соответствии с требованиями архивного законодательства. Это исключение из общего правила минимизации: срок хранения установлен законом и не зависит от желания работодателя или работника.

Шаг 5. Организуйте защиту носителей и доступ к ИС

Бумажные больничные листы хранятся в запираемых шкафах или сейфах с ограниченным доступом. Ключи выдаются только лицам из утверждённого приказом перечня. Несоблюдение условий хранения материальных носителей при неавтоматизированной обработке, если это повлекло неправомерный доступ, квалифицируется по ч. 6 ст. 13.11 КоАП — штраф от 50 до 100 тыс. ₽.

«Ст. 19 ФЗ-152 — оператор обязан принимать организационные и технические меры, необходимые для защиты персональных данных от неправомерного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения.»

Для информационных систем, в которых хранятся медицинские данные работников, уровень защищённости определяется по ПП РФ № 1119. Медицинские данные — специальная категория, угрозы 3-го типа (актуальные угрозы, не связанные с НДВ), численность субъектов менее 100 000 — уровень защищённости УЗ-3. Конкретный состав мер устанавливается Приказом ФСТЭК № 21.

Видеонаблюдение в офисе — самостоятельный вопрос обработки биометрических ПДн. Если система видеонаблюдения используется для идентификации личности (СКУД с распознаванием лиц), это биометрическая обработка по ст. 11 ФЗ-152, требующая отдельного письменного согласия каждого работника. Обычная видеозапись без идентификации — иная категория данных, для которой достаточно уведомления в локальном акте и информирования работников под подпись.

Шаг 6. Подготовьте пакет ОРД для HR-департамента

Ст. 18.1 ФЗ-152 обязывает оператора принять комплекс организационных мер, включая разработку локальных актов. Для HR-департамента, обрабатывающего больничные листы, минимально необходимый пакет выглядит следующим образом.

Что подготовить для соответствия 152-ФЗ при обработке больничных листов

  • Положение об обработке персональных данных работников с разделом о специальных категориях ПДн (состояние здоровья) и порядке доступа к листкам нетрудоспособности.
  • Отдельные согласия работников на обработку ПДн в случаях, выходящих за пределы законного основания (ДМС, корпоративная аналитика), — по форме ст. 9 ФЗ-152 в ред. ФЗ-156.
  • Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 с указанием конкретного лица и его полномочий.
  • Договор поручения обработки с каждым КЭДО-провайдером и иным подрядчиком, получающим доступ к медицинским данным работников.
  • Журнал учёта обращений субъектов ПДн (работников) с фиксацией запросов и ответов на них в течение 10 рабочих дней по ст. 20 ФЗ-152.

Уведомление РКН о намерении обрабатывать специальные категории ПДн подаётся по форме Приказа РКН № 180 через портал pd.rkn.gov.ru. Если работодатель уже включён в реестр операторов, но не указал обработку специальных категорий — необходимо подать уведомление об изменении сведений. Неуведомление влечёт штраф от 100 до 300 тыс. ₽ по ч. 10 ст. 13.11 КоАП.

Типовые ситуации: как разворачиваются нарушения на практике

Ситуация 1. Диагноз передан руководителю подразделения. HR-менеджер розничной сети (Центральный ФО, осень 2025) направил скан больничного листа, включающий диагноз, непосредственному руководителю работника для обоснования отсутствия. Работник подал жалобу в РКН. При проверке установлено нарушение ст. 88 ТК РФ и ст. 10 ФЗ-152 — передача медицинских данных лицу, не включённому в перечень допущенных. Составлен протокол по ч. 2 ст. 13.11 КоАП. Стратегия устранения: внести изменения в локальный акт, ограничив перечень лиц с доступом к диагнозу; руководителям подразделений направлять только сведения о периоде нетрудоспособности без медицинских данных.

Ситуация 2. КЭДО-провайдер без договора поручения. IT-компания (Северо-Западный ФО, начало 2026) внедрила КЭДО-платформу, через которую работники загружали электронные больничные листы. Договор между работодателем и провайдером не содержал условий о поручении обработки ПДн. При плановой проверке РКН потребовал документы по ст. 6 ФЗ-152. Их отсутствие квалифицировано как нарушение условий обработки по ч. 1 ст. 13.11 КоАП. Стратегия: до внедрения любого КЭДО-инструмента заключить договор поручения обработки с перечнем данных, целей и мер защиты; ежегодно актуализировать.

Услуги DATUM по теме

  • Аудит соответствия 152-ФЗ — проверка HR-документации по чек-листу из 38 пунктов, включая обработку специальных категорий ПДн.
  • Комплект ОРД под ключ — полный пакет для HR: положение, согласия по ФЗ-156, приказы, договоры поручения.
  • DPO-аутсорсинг — ответственный по ст. 22.1 ФЗ-152 на абонентском обслуживании, ответы на запросы работников.

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025 и включённые в трудовой договор или иной объединённый документ, формально не отвечают требованиям ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156. Обратной силы поправки не имеют, но при следующей проверке РКН инспектор вправе оценить действующую практику согласования. Если компания продолжает собирать согласия в старом формате после 01.09.2025 — это нарушение. Переоформлять ранее полученные согласия закон не требует, однако при любом обновлении формы или новом приёме на работу следует использовать только отдельный документ.

2. Какие данные нельзя запрашивать у работника при приёме на работу?

Ст. 86 ТК РФ запрещает получать и обрабатывать ПДн работника о его политических, религиозных и иных убеждениях, членстве в общественных объединениях и профсоюзах — за исключением случаев, предусмотренных законом. Медицинские данные запрашиваются только в объёме, необходимом для оценки профессиональной пригодности: справка о прохождении предварительного медицинского осмотра для определённых должностей. Запрашивать полную медицинскую карту, сведения о хронических заболеваниях или семейном анамнезе работодатель не вправе.

3. Можно ли вести видеонаблюдение в офисе?

Видеонаблюдение без идентификации личности — обработка общих ПДн; достаточно уведомления работников в локальном акте и под подпись. Видеонаблюдение с функцией распознавания лиц для СКУД — обработка биометрических ПДн по ст. 11 ФЗ-152; требуется отдельное письменное согласие каждого работника. Отказавшийся от биометрической идентификации работник не может быть уволен только на этом основании: работодатель обязан предоставить альтернативный способ контроля доступа.

4. Сколько хранить согласия после увольнения?

Согласия работников, входящие в состав личного дела, хранятся 75 лет (для дел до 2003 года) или 50 лет (с 2003 года) согласно Приказу Росархива № 236. Согласия, не включённые в личное дело, хранятся в течение срока, необходимого для подтверждения правомерности обработки, — как правило, до истечения срока исковой давности после прекращения обработки (3 года). После истечения срока хранения — уничтожение с составлением акта.

5. Кто является оператором при использовании КЭДО?

Работодатель остаётся оператором персональных данных при любой модели КЭДО — самостоятельной разработке или использовании платформы провайдера. Провайдер КЭДО, получающий доступ к данным работников, является лицом, осуществляющим обработку по поручению оператора, в соответствии с п. 3 ст. 6 ФЗ-152. Это означает: ответственность перед работником и РКН несёт работодатель, а не провайдер. Договор поручения обязателен; без него провайдер не имеет законного основания для обработки.

6. Что делать, если работник потребовал уничтожить свои медицинские данные?

Если обработка велась на основании согласия — работник вправе его отозвать по ст. 9 ФЗ-152, после чего оператор обязан прекратить обработку и уничтожить данные в течение 30 дней (если иное не установлено договором или законом). Если обработка велась на законном основании (ст. 183 ТК РФ, ФЗ-255) — уничтожение до истечения установленных сроков хранения невозможно. Работнику следует письменно разъяснить правовое основание обработки и указать конкретный НПА, устанавливающий срок хранения. Ответ направляется в течение 10 рабочих дней по ст. 20 ФЗ-152.

Итог

Больничный лист — документ двойного режима: обязанность работодателя по ТК РФ и ФЗ-255 устанавливает законное основание для его обработки, но не снимает требований ФЗ-152 к ограничению доступа, срокам хранения и работе с подрядчиками. После 01.09.2025 особое значение приобрела раздельность согласий — любые операции с медицинскими ПДн, выходящие за пределы обязательного страхования, требуют отдельного документа по ст. 9 ФЗ-152 в редакции ФЗ-156.

DATUM сопровождает HR-департаменты в части соответствия ФЗ-152: аудит обработки кадровых ПДн, подготовка пакета ОРД под новые требования, проверка договоров с КЭДО-провайдерами, представление интересов при проверках РКН.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в ред. ФЗ-156, КЭДО, биометрия в СКУД, зарплатные проекты. Сопровождение проверок РКН в HR-департаментах.

25 января 2028 года