инструкция 21 апреля 2028 По состоянию на 21 апреля 2028

Получение медсправки от кандидата

Q: Сколько хранить согласия после увольнения?

Согласие работника — часть личного дела, которое хранится 75 лет с момента увольнения. Согласие как подтверждение правомерности обработки должно храниться не меньше срока возможного обжалования действий работодателя. Уничтожать согласие раньше истечения срока хранения личного дела не рекомендуется.

Медицинская справка кандидата содержит данные о состоянии здоровья — это специальная категория персональных данных по ст. 10 ФЗ-152, обработка которой по общему правилу запрещена.

С 01.09.2025 согласие на обработку таких данных оформляется отдельным документом (ФЗ-156 от 24.06.2025). Штраф за нарушение требований к согласию — 300 000–700 000 ₽ по ч. 2 ст. 13.11 КоАП.

→ Если вы HRD и запрашиваете медсправки при трудоустройстве, эта инструкция покажет, как не получить штраф.

Запрос медицинской справки при найме выглядит рутинной процедурой, пока РКН не квалифицирует её как незаконную обработку спецкатегорий ПДн. С 30.05.2025 штраф по ч. 2 ст. 13.11 КоАП для юридического лица — от 300 000 до 700 000 ₽, при повторном нарушении — от 1 000 000 до 1 500 000 ₽. Инструкция описывает порядок действий: от проверки оснований до хранения документа в личном деле.

Шаг 1. Проверьте, есть ли законное основание запрашивать медсправку

Работодатель вправе требовать медицинскую справку только в случаях, прямо указанных в федеральном законодательстве. Ст. 213 ТК РФ устанавливает обязательные медицинские осмотры для работников, занятых на вредных и опасных производствах, на транспорте, в пищевой промышленности, здравоохранении, образовании и ряде других сфер.

Для должностей, не входящих в эти перечни, запрашивать медсправку как условие приёма на работу нельзя. Это нарушение ст. 86 ТК РФ, которая запрещает получение и обработку ПДн работника сверх того, что необходимо для исполнения трудового договора.

«Ст. 10 ФЗ-152 — обработка данных о состоянии здоровья запрещена, если нет основания из закрытого перечня: письменное согласие субъекта либо прямое указание федерального закона.»

Практический алгоритм: сверьтесь с Приказом Минздрава №29н от 28.01.2021 (перечень работ, требующих обязательного медосмотра) и отраслевыми нормами. Если должность не попадает в перечень — оснований для требования справки нет.

Шаг 2. Получите отдельное письменное согласие на обработку медицинских данных

Если основание есть, следующий шаг — оформить согласие. С 01.09.2025 согласие на обработку ПДн оформляется отдельным документом и не может быть частью трудового договора, анкеты или оферты (ФЗ-156 от 24.06.2025, изменения в ч. 1 ст. 9 ФЗ-152).

«Ст. 9 ФЗ-152 (в ред. ФЗ-156) — согласие должно содержать: ФИО субъекта, контактные данные, наименование оператора, цель обработки, перечень данных, перечень действий, срок, способ отзыва. Согласие на обработку спецкатегорий — письменное.»

Для медицинских данных применяется дополнительное требование: согласие должно быть письменным. Это означает собственноручную подпись кандидата на бумажном носителе или усиленную квалифицированную электронную подпись (УКЭП) при КЭДО.

В тексте согласия отдельно укажите цель — «прохождение предварительного медицинского осмотра в целях допуска к работе по должности [наименование]». Объединять эту цель с общей обработкой кадровых данных нельзя: ст. 5 ФЗ-152 запрещает обработку данных с несовместимыми целями.

Согласия работников ещё в трудовом договоре?

Если HRD не переоформил согласия после 01.09.2025 — каждый старый документ создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП (до 700 000 ₽). Срок не восстанавливается — с 01.09.2025 требования ФЗ-156 уже действуют. Юристы DATUM проведут аудит ОРД HR-департамента и соберут пакет согласий по новым требованиям.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Определите минимальный состав запрашиваемых данных

Принцип минимизации ПДн закреплён в ст. 5 ФЗ-152: объём данных должен соответствовать заявленной цели. Применительно к медсправке это означает: запрашивайте только ту информацию, которая необходима для допуска к конкретной должности.

Запрещено требовать данные о диагнозах, хронических заболеваниях, операциях, беременности, психиатрическом статусе, если это не предусмотрено нормой для данной должности. Справка по форме 086/у или 001-ГС/у содержит лишний объём — уточняйте у медицинской организации, какие сведения войдут в документ, и сопоставляйте с целью обработки.

Что подготовить перед запросом медсправки

Список должностей, для которых требуется медосмотр (со ссылкой на нормативный акт)
Отдельное письменное согласие по форме с реквизитами ст. 9 ФЗ-152 (редакция с 01.09.2025)
Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152
Локальный акт об обработке ПДн в HR-процессах с описанием цели и сроков хранения медданных
Журнал учёта согласий с отметками о дате получения и подписи кандидата

Шаг 4. Организуйте хранение медсправки в личном деле

Медицинская справка хранится в личном деле работника. Доступ к ней — только у лиц, которым это необходимо по должностным обязанностям: кадровик, ответственный за охрану труда, непосредственный руководитель при наличии обоснования. Ст. 87 ТК РФ требует ограничить доступ к персональным данным работника.

Хранить медданные отдельно от общих кадровых документов — рекомендованная практика, снижающая риск несанкционированного доступа. Если в компании применяется КЭДО, медицинские документы со спецкатегориями ПДн требуют повышенного уровня защиты: УЗ-3 или УЗ-2 по ПП РФ №1119 в зависимости от числа субъектов и типа угроз.

При использовании КЭДО оператором ПДн остаётся работодатель. Платформа КЭДО действует как лицо, обрабатывающее данные по поручению (п. 3 ст. 6 ФЗ-152). Поручение на обработку должно быть оформлено в письменном виде с перечнем действий и требованиями по защите.

Шаг 5. Установите сроки хранения и порядок уничтожения

Медицинская справка как часть личного дела хранится 75 лет по типовому перечню управленческих документов. Срок исчисляется с момента увольнения работника. После истечения срока — уничтожение с составлением акта.

Если кандидат не был принят на работу, медицинские данные подлежат уничтожению после отказа или по истечении срока, указанного в согласии. Хранить данные отвергнутых кандидатов дольше цели обработки нарушает ст. 5 ФЗ-152.

«Ст. 21 ФЗ-152 — оператор обязан уничтожить ПДн по достижении цели обработки или при отзыве согласия. Срок уничтожения — не более 30 дней с момента наступления основания.»

Если в HR-процессах медданные кандидатов хранятся без чёткого срока или согласие не соответствует требованиям ФЗ-156 — это прямое основание для штрафа при проверке РКН. Юристы DATUM соберут ОРД HR-департамента под ключ.

Собрать ОРД под ключ

Как применяются эти правила на практике

Кейс 1. Производственная компания в Сибирском ФО (осень 2025) получила предписание РКН по итогам плановой проверки: в анкете при трудоустройстве запрашивались сведения о хронических заболеваниях для офисных должностей, не входящих в перечень ст. 213 ТК РФ. Согласие не оформлялось — обработка квалифицирована по ч. 2 ст. 13.11 КоАП. Штраф составил несколько сотен тысяч рублей. После предписания компания переработала анкету, исключила медицинские вопросы и ввела отдельные согласия для должностей с обязательным медосмотром.

Кейс 2. Торговая сеть (Центральный ФО, начало 2026) хранила медсправки уволенных продавцов в общем архиве без ограничений доступа. Бывший сотрудник обратился с требованием уничтожить данные через год после увольнения. Компания не смогла подтвердить наличие локального акта с обоснованием срока хранения. Арбитражный суд региона признал хранение незаконным; штраф по ч. 5 ст. 13.11 КоАП составил в диапазоне 50 000–90 000 ₽, компания также понесла репутационные издержки. После этого введены раздельный архив медицинских документов и регламент уничтожения.

Типовые сценарии нарушений и стратегия действий

Сценарий 1. Медсправка запрошена для должности без законного основания. Ситуация: HR включил требование медсправки в стандартный пакет документов для всех кандидатов. Доказательства: шаблон вакансии, перечень запрашиваемых документов. Вероятный исход при проверке: нарушение ст. 10 ФЗ-152 + ст. 86 ТК РФ, протокол по ч. 1 или ч. 2 ст. 13.11 КоАП. Стратегия: немедленно исключить медсправку из общего пакета, сверить перечень должностей с Приказом Минздрава №29н, оформить отдельные основания для каждой должности из перечня.

Сценарий 2. Согласие включено в трудовой договор и не переоформлено после 01.09.2025. Ситуация: HR использует типовую форму договора, где согласие на обработку ПДн — отдельный пункт или приложение, но не самостоятельный документ. После 01.09.2025 такая форма не соответствует ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156. Вероятный исход: нарушение при очередной проверке или по жалобе работника. Стратегия: разработать отдельный документ согласия, собрать подписи со всех текущих работников, у которых обрабатываются спецкатегории ПДн.

Сценарий 3. КЭДО без оформления поручения на обработку ПДн медицинских документов. Ситуация: компания перешла на КЭДО, медсправки загружаются в систему провайдера. Поручение на обработку ПДн с провайдером не подписано или не содержит медицинские данные в перечне. Вероятный исход: ответственность оператора за действия провайдера как обработчика по поручению. Стратегия: проверить договор с провайдером КЭДО, включить перечень категорий ПДн, требования по защите и порядок уничтожения.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверим HR-процессы по чек-листу из 38 пунктов
Комплект ОРД под ключ — соберём пакет согласий, приказов и регламентов для HR
DPO-аутсорсинг — возьмём функцию ответственного по ст. 22.1 на абонентское обслуживание

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025, обратной силы не теряют — ФЗ-156 не предусматривает обязательного переоформления ранее полученных документов. Однако если согласие было частью трудового договора или анкеты и содержало медицинские данные, его форма не соответствует новым требованиям ч. 1 ст. 9 ФЗ-152. При плановой проверке РКН такое согласие может быть признано ненадлежащим. Рекомендация: переоформить согласия на обработку спецкатегорий ПДн отдельными документами при ближайшей возможности.

2. Какие данные нельзя спрашивать в анкете при найме?

Ст. 86 ТК РФ и ст. 10 ФЗ-152 запрещают собирать данные о состоянии здоровья, религиозных и политических взглядах, национальности, судимости — если это не обусловлено требованиями к должности по федеральному закону. Нельзя включать в анкету вопросы о диагнозах, беременности, инвалидности, членстве в профсоюзах. Допустимо запрашивать только те данные, которые необходимы для исполнения трудового договора: ФИО, дата рождения, образование, трудовой стаж, ИНН, СНИЛС.

3. Можно ли вести видеонаблюдение в офисе?

Да, при соблюдении условий: наличие локального акта об организации видеонаблюдения, уведомление работников под подпись, указание цели обработки (безопасность, охрана труда), размещение информационных табличек. Видеозапись лица — биометрические ПДн по ст. 11 ФЗ-152, если она используется для идентификации личности. Системы СКУД с распознаванием лица требуют письменного согласия каждого работника. Если видеонаблюдение ведётся без идентификации — согласие не требуется, но уведомление работников обязательно по ст. 22.2 ТК РФ.

4. Сколько хранить согласия после увольнения?

Согласие работника на обработку ПДн — документ личного дела. Личное дело хранится 75 лет с момента увольнения по типовому перечню управленческих документов. Согласие как подтверждение правомерности обработки должно храниться не меньше срока возможного обжалования действий работодателя. Уничтожать согласие раньше истечения срока хранения личного дела не рекомендуется: при претензии работника оператор обязан доказать наличие законного основания обработки.

5. Кто оператор при использовании КЭДО?

Оператором ПДн остаётся работодатель: он определяет цели и состав обрабатываемых данных. Провайдер КЭДО — лицо, осуществляющее обработку по поручению оператора в соответствии с п. 3 ст. 6 ФЗ-152. Поручение оформляется письменным договором с перечнем действий, категорий данных и требований по защите. Ответственность за соответствие обработки закону несёт оператор — то есть работодатель. Это подтверждает и общая практика: суды привлекают к ответственности оператора даже при утечке через подрядчика.

6. Что делать, если кандидат отказывается подписывать согласие на медосмотр?

Если медосмотр обязателен по федеральному закону для данной должности, отказ от него — законное основание для отказа в приёме на работу (ст. 213 ТК РФ). Отказ фиксируется письменно. Если медосмотр не является обязательным, работодатель не вправе требовать справку и тем более отказывать в трудоустройстве из-за её отсутствия. В этом случае требование медсправки само по себе нарушает ст. 86 ТК РФ и ст. 10 ФЗ-152.

Итог

Получение медсправки от кандидата правомерно только при наличии прямого указания в федеральном законе для данной должности. В остальных случаях это незаконная обработка спецкатегорий ПДн. С 01.09.2025 согласие оформляется отдельным документом, хранение и уничтожение медданных регулируются ст. 5 и ст. 21 ФЗ-152.

DATUM сопровождает HR-департаменты в настройке процессов обработки кадровых ПДн: от аудита документов до формирования пакета ОРД и абонентского DPO. Практика по 152-ФЗ в HR с 2014 года.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM. Специализация — согласия работников по ст. 9 152-ФЗ (ФЗ-156), КЭДО, биометрия СКУД, передача данных в зарплатных проектах. Сопровождение проверок РКН в HR-департаментах.