инструкция 14 октября 2027 По состоянию на 14 октября 2027

Передача ПДн в страховые компании по ДМС

Передача персональных данных работников в страховую компанию по договору ДМС — обязательная обработка третьей стороной, требующая отдельного письменного согласия по ст. 9 ФЗ-152.

С 01.09.2025 согласие работника оформляется отдельным документом (ФЗ-156 от 24.06.2025): включить его в трудовой договор или коллективное соглашение больше нельзя. За нарушение порядка получения согласия — штраф по ч. 2 ст. 13.11 КоАП до 700 000 ₽.

Если HRD сейчас передаёт данные в страховую без переоформленных согласий — каждый договор ДМС создаёт самостоятельное основание для протокола РКН. → Проверьте пакет документов до ближайшей заявки в страховую.

Работодатель оформляет ДМС на сотрудников и ежегодно (или при изменении состава) передаёт в страховую компанию списки застрахованных с персональными данными. С точки зрения ФЗ-152 это передача данных третьему лицу с новыми целями обработки — не теми, для которых работник давал согласие при трудоустройстве. Эта инструкция объясняет HR-директору, какие шаги пройти, чтобы передача была законной, какие ошибки дают повод для штрафа и как выстроить процесс в связке с КЭДО.

Почему передача данных страховщику требует отдельного согласия?

Основание обработки ПДн при трудоустройстве — исполнение трудового договора (п. 5 ч. 1 ст. 6 ФЗ-152) и требования трудового законодательства (ст. 86–87 ТК РФ). ДМС — социальный пакет, не вытекающий из обязательных норм ТК напрямую. Следовательно, передача данных страховщику не подпадает под «исполнение договора» и требует самостоятельного правового основания.

«Ст. 9 ФЗ-152 (в ред. ФЗ-156 от 24.06.2025, действует с 01.09.2025): согласие субъекта на обработку ПДн оформляется отдельным документом. Объединять его с трудовым договором, коллективным соглашением или офертой запрещено. Обязательные реквизиты: ФИО субъекта, наименование оператора, цель обработки, перечень ПДн, перечень действий, срок действия, способ отзыва.»

На практике HR-департаменты допускают три типичных ошибки. Первая — согласие включено в трудовой договор отдельным пунктом: после 01.09.2025 такой документ не соответствует требованиям ФЗ-156. Вторая — в согласии не указана страховая компания как получатель данных и цель «организация ДМС». Третья — согласие подписано один раз при приёме на работу без обновления при смене страховщика или при продлении договора ДМС на новый период.

Кроме согласия, работодателю необходимо включить страховую компанию в уведомление о намерении осуществлять обработку ПДн в РКН (ст. 22 ФЗ-152) как получателя данных. Если в действующем уведомлении такой получатель не указан — перед первой передачей подайте корректирующее уведомление через pd.rkn.gov.ru.

Согласия работников ещё в трудовом договоре?

Если HRD не переоформил согласия по форме ФЗ-156 до первой заявки в страховую после 01.09.2025 — это нарушение ч. 2 ст. 13.11 КоАП с штрафом до 700 000 ₽ за каждый факт. Срок на переоформление не восстанавливается. Юристы DATUM соберут пакет согласий под ДМС по новым требованиям и проведут аудит ОРД HR-департамента.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Шаг 1. Определите состав передаваемых данных

Для оформления полиса ДМС страховщику, как правило, нужны: фамилия, имя, отчество, дата рождения, серия и номер паспорта, пол. В ряде продуктов — СНИЛС и контактный телефон. Никаких медицинских данных, диагнозов или сведений о состоянии здоровья на этапе включения в страховую программу передавать не нужно и нельзя: они относятся к специальным категориям по ст. 10 ФЗ-152, обработка которых допускается только при наличии дополнительного основания.

Если страховая компания запрашивает анкету с вопросами о хронических заболеваниях или инвалидности — это спецкатегория. Для её передачи потребуется отдельное согласие с явным указанием состава медицинских сведений. Без такого согласия работодатель не вправе собирать и передавать эти данные, даже если страховщик настаивает.

Шаг 2. Подготовьте согласие работника на передачу данных в страховую

Согласие оформляется как отдельный документ — не пункт трудового договора, не приложение к нему. Минимальный состав реквизитов по ст. 9 ФЗ-152:

ФИО работника (субъекта ПДн);
наименование оператора — работодателя (юридическое лицо);
цель обработки: «организация добровольного медицинского страхования работника»;
перечень ПДн: фамилия, имя, отчество, дата рождения, серия и номер паспорта (указать конкретно);
наименование получателя — страховой компании (полное юрлицо, ОГРН);
перечень действий: передача третьему лицу;
срок действия согласия: период действия полиса ДМС или конкретная дата;
способ отзыва: письменное заявление на имя руководителя или в отдел кадров.

При смене страховщика или пролонгации договора ДМС — согласие переподписывается. Старое теряет силу с момента, когда истёк указанный в нём срок или изменился получатель данных.

Если компания использует КЭДО для кадрового документооборота, согласие можно оформить в электронном виде — при условии, что КЭДО-платформа обеспечивает идентификацию работника и сохраняет подтверждение подписания. Оператором ПДн в КЭДО остаётся работодатель; платформа действует как лицо, осуществляющее обработку по поручению (п. 3 ст. 6 ФЗ-152), и с ней должен быть заключён отдельный договор-поручение.

Шаг 3. Заключите договор-поручение со страховой компанией

Передача данных страховщику — это поручение обработки третьему лицу. По ст. 6 ФЗ-152 такое поручение оформляется договором или дополнительным соглашением, в котором обязательно указываются: перечень обрабатываемых ПДн, цели, действия страховщика с данными, срок, обязанность страховщика обеспечить конфиденциальность и принять меры по ст. 19 ФЗ-152.

«Ст. 6 ч. 3 ФЗ-152: оператор вправе поручить обработку ПДн другому лицу на основании договора. Лицо, осуществляющее обработку по поручению, несёт ответственность перед оператором. Оператор несёт ответственность перед субъектом ПДн.»

На практике крупные страховые компании имеют стандартные формы такого соглашения. Тем не менее проверьте: в типовой форме страховщика должны быть прямо прописаны обязательства по ст. 19 ФЗ-152 и запрет передавать данные работников субподрядчикам без уведомления работодателя. Если в договоре этого нет — добавьте соответствующий пункт. Ответственность перед субъектом ПДн при утечке через страховщика несёт работодатель как оператор.

Если HR-департамент передаёт данные в страховую без договора-поручения или с устаревшей формой — при проверке РКН это квалифицируется как нарушение ст. 6 ФЗ-152. Юристы DATUM разработают форму договора-поручения и проверят действующие соглашения со страховщиками.

Собрать ОРД под ключ

Шаг 4. Настройте порядок передачи и хранения данных

Физическая передача данных страховщику должна соответствовать требованиям ст. 19 ФЗ-152: защита от несанкционированного доступа при пересылке. Передача по незащищённому каналу (обычный email без шифрования) — нарушение организационных мер. Допустимые варианты:

передача через защищённый личный кабинет страховщика (HTTPS, двухфакторная аутентификация);
зашифрованный архив с паролем, переданным по отдельному каналу;
КЭДО-платформа с интеграцией со страховщиком, если она предусмотрена договором.

Хранить копии переданных списков и подтверждения передачи (скриншоты, квитанции об отправке, акты приёма-передачи) нужно не менее срока действия договора ДМС плюс три года — на случай разбирательств с работниками или проверки РКН. Согласия работников хранятся в личном деле и не уничтожаются в течение 75 лет (типовой срок хранения документов по личному составу).

При увольнении работника его данные у страховщика подлежат уничтожению по истечении срока полиса. Включите в договор-поручение обязанность страховщика уведомить работодателя об уничтожении данных бывшего сотрудника.

Типичные ситуации при передаче ПДн по ДМС

Ситуация 1. Смена страховщика в середине года. Компания расторгла договор с одним страховщиком и заключила с другим. HR передала списки сотрудников в новую страховую без переоформления согласий — в старых согласиях был указан прежний получатель. Это нарушение: согласие действует только в отношении указанного в нём получателя. При проверке РКН такое нарушение квалифицируется по ч. 1 ст. 13.11 КоАП (обработка ПДн в случаях, не предусмотренных законом) со штрафом для юрлица 150 000 — 300 000 ₽. Стратегия: переподписать согласия до передачи данных новому страховщику, не позднее дня первой передачи.

Ситуация 2. Страховая запросила расширенные медицинские анкеты. Страховщик прислал форму с вопросами о хронических заболеваниях, инвалидности и принимаемых препаратах. HR разослала анкеты сотрудникам и собрала ответы. Медицинские данные — спецкатегория по ст. 10 ФЗ-152. Для их сбора и передачи требуется отдельное согласие с прямым указанием состава медицинских сведений и явного согласия работника именно на обработку спецкатегории. При утечке таких данных через страховщика штраф для работодателя по ч. 12–14 ст. 13.11 КоАП — от 3 000 000 до 15 000 000 ₽ в зависимости от числа субъектов. Стратегия: не собирать медданные без отдельного согласия; если страховщик требует — добавить специальную форму согласия и хранить у себя.

Ситуация 3. Утечка списков застрахованных через страховщика. Страховая компания допустила утечку базы застрахованных, в которую вошли данные 4 000 сотрудников нескольких работодателей. Работодатель как оператор обязан уведомить РКН в течение 24 часов с момента, как узнал об инциденте (ч. 3.1 ст. 21 ФЗ-152), и направить отчёт о расследовании через 72 часа по Приказу РКН №187. Факт того, что утечка произошла у страховщика, не снимает обязанности уведомления. Штраф за неуведомление — 1 000 000 — 3 000 000 ₽ по ч. 11 ст. 13.11 КоАП. Стратегия: включить страховщика в план реагирования на инциденты с обязанностью немедленно уведомлять работодателя о любом инциденте с данными застрахованных.

Что подготовить HR-департаменту

Что подготовить

Отдельные согласия каждого работника на передачу ПДн в страховую компанию — по форме ст. 9 ФЗ-152 в редакции ФЗ-156, с указанием наименования страховщика, перечня ПДн и срока действия.
Договор-поручение со страховой компанией или дополнительное соглашение к договору ДМС с обязательными условиями по ст. 6 ч. 3 ФЗ-152.
Актуализированное уведомление в реестре РКН (pd.rkn.gov.ru) с указанием страховой компании как получателя ПДн.
Журнал передачи данных: дата, перечень переданных работников, канал передачи, подтверждение приёма страховщиком.
Регламент реагирования на инцидент, включающий страховую компанию в цепочку уведомлений.

Как это работает на практике

Кейс 1. HR-директор производственного предприятия (Уральский ФО, весна 2026) обнаружила, что согласия 320 сотрудников на передачу данных по ДМС включены в трудовые договоры пунктом 8.3 и не обновлялись с 2022 года. После консультации с юристами DATUM был разработан отдельный бланк согласия по новым требованиям ФЗ-156, согласия переподписаны до плановой заявки в страховую. Проверка РКН, инициированная жалобой уволенного сотрудника, нарушений не выявила — все переданные данные были покрыты актуальными согласиями.

Кейс 2. Ритейлер (Центральный ФО, осень 2025) передал страховой компании расширенный список из 2 800 сотрудников, включавший сведения об инвалидности — HR скопировала столбец из системы кадрового учёта, не проверив состав. Страховщик зафиксировал инцидент с несанкционированным доступом к базе. Работодатель не уведомил РКН в 24-часовой срок. Итог — протокол по ч. 11 ст. 13.11 КоАП с штрафом в сотни тысяч рублей, плюс претензии нескольких сотрудников по компенсации морального вреда. ⚠️ Конкретный номер дела и итоговая сумма — менеджер уточняет при публикации.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка согласий, ОРД и процессов передачи ПДн третьим лицам
Комплект ОРД под ключ — разработка форм согласий, договоров-поручений, регламентов под ДМС и иные случаи передачи
DPO-аутсорсинг — ответственный за обработку ПДн по ст. 22.1 на абонентском обслуживании

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, подписанные до 01.09.2025, не утрачивают силу автоматически — ФЗ-156 не имеет обратной силы. Однако если старое согласие включено в трудовой договор или не содержит обязательных реквизитов по ст. 9 ФЗ-152, оно не соответствует требованиям закона и создаёт риск нарушения по ч. 2 ст. 13.11 КоАП при следующей передаче данных страховщику. Рекомендуется переоформить такие согласия до очередного цикла передачи данных в страховую.

2. Какие данные нельзя спрашивать при сборе сведений для ДМС?

Запрещено собирать данные, избыточные для цели ДМС (принцип минимизации, ст. 5 ФЗ-152). Медицинские сведения — диагнозы, хронические заболевания, инвалидность, результаты анализов — относятся к спецкатегориям по ст. 10 ФЗ-152. Их сбор и передача страховщику без отдельного согласия с явным указанием состава медицинских данных запрещены. Данные о расовой или национальной принадлежности, политических взглядах, религии собирать для ДМС нельзя ни при каких условиях.

3. Можно ли вести видеонаблюдение в офисе и нужно ли отдельное согласие?

Видеонаблюдение в офисе допустимо для обеспечения безопасности имущества и трудовой дисциплины без согласия работников — оно относится к обработке в рамках трудовых отношений по ст. 86–88 ТК РФ. Однако работника необходимо уведомить о факте наблюдения: под подпись или путём размещения видимых предупреждающих знаков. Хранить видеозаписи следует только в течение срока, необходимого для достижения цели наблюдения. Биометрические системы СКУД (распознавание лица) требуют письменного согласия по ст. 11 ФЗ-152 — это уже биометрические ПДн.

4. Сколько хранить согласия после увольнения работника?

Согласие на обработку ПДн входит в состав личного дела работника. Срок хранения личных дел по типовым перечням архивных документов — 75 лет для большинства категорий работников. Уничтожать согласие после увольнения нельзя: оно служит доказательством законности обработки на весь период, в течение которого возможны претензии субъекта или проверка регулятора.

5. Кто является оператором ПДн при использовании КЭДО?

Оператором остаётся работодатель. КЭДО-платформа действует как лицо, осуществляющее обработку по поручению оператора (п. 3 ст. 6 ФЗ-152). С платформой должен быть заключён договор-поручение с условиями о конфиденциальности и мерах защиты по ст. 19 ФЗ-152. Ответственность перед работником и РКН при нарушении несёт работодатель, а не платформа.

6. Что делать, если работник отозвал согласие на передачу данных в страховую?

После получения заявления об отзыве работодатель обязан прекратить передачу данных этого работника страховщику и уведомить страховую компанию об исключении сотрудника из числа застрахованных. Сроки прекращения обработки — в разумные сроки, как правило не позднее 30 дней с даты обращения. Отзыв согласия не является основанием для дискриминации работника в части условий труда.

Итог

Передача ПДн работников в страховую компанию по ДМС требует трёх обязательных элементов: отдельного согласия каждого работника по форме ст. 9 ФЗ-152 в редакции ФЗ-156, договора-поручения со страховщиком и актуального уведомления в реестре РКН. С 01.09.2025 включение согласия в трудовой договор недопустимо. При смене страховщика согласия переподписываются, а при утечке через страховщика — работодатель уведомляет РКН в 24 часа.

Юристы DATUM сопровождают HR-департаменты при выстраивании процессов передачи ПДн третьим лицам: аудит существующих согласий и договоров-поручений, разработка новых форм под требования ФЗ-156, подготовка к проверке РКН по кадровому блоку.

Есть ситуация с ДМС, РКН или инцидентом с данными?

Практика Ветров и партнёры по 152-ФЗ с 2014 года. Оценим текущий пакет документов, выявим несоответствия и предложим план устранения. Ответим в течение двух рабочих часов.