инструкция 28 февраля 2027 По состоянию на 28 февраля 2027

Согласие на медицинский осмотр работника

Медицинский осмотр работника затрагивает специальные категории ПДн по ст. 10 ФЗ-152 — состояние здоровья. Без отдельного письменного согласия или иного законного основания обработка этих данных запрещена.

С 01.09.2025 по ФЗ-156 согласие на обработку ПДн не может быть частью трудового договора, кадровой анкеты или иного документа. Только отдельный документ с обязательными реквизитами по ст. 9 ФЗ-152. Нарушение — штраф по ч. 2 ст. 13.11 КоАП до 700 000 ₽ за каждый случай.

Если вы HRD и медосмотры в вашей компании проводятся на основании старых форм — проверьте пакет документов до следующей проверки РКН. → Ниже пошаговая инструкция.

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420: нарушение требований к согласию при обработке специальных категорий ПДн (ч. 2) влечёт штраф на юрлицо от 300 000 до 700 000 ₽, при повторности — от 1 000 000 до 1 500 000 ₽ по ч. 2.1. Данные о здоровье работника, которые появляются при медосмотре, относятся именно к спецкатегориям. Инструкция ниже охватывает весь цикл: от определения оснований до хранения документов в личном деле и передачи в КЭДО.

Шаг 1. Определите правовое основание для обработки данных о здоровье

Медицинский осмотр работника регулируется ст. 220 ТК РФ (обязательные предварительные и периодические осмотры для отдельных категорий должностей) и ст. 86 ТК РФ (условия обработки ПДн работника). Данные, которые работодатель получает по результатам осмотра — сведения о состоянии здоровья, заключения врачей — это специальные категории ПДн по ст. 10 ФЗ-152.

«Ст. 10 ФЗ-152 запрещает обработку специальных категорий ПДн, включая данные о состоянии здоровья, за исключением случаев, перечисленных в ч. 2 той же статьи. Одно из исключений — обработка необходима для исполнения трудового договора и в соответствии с законодательством о труде (п. 2.3 ч. 2 ст. 10 ФЗ-152).»

Таким образом, если медосмотр обязателен по ст. 220 ТК РФ (работа с вредными условиями, пищевая промышленность, торговля и ряд других), правовым основанием для обработки данных о здоровье является не согласие, а исполнение требования закона. Если же осмотр добровольный или выходит за рамки обязательного перечня — необходимо отдельное письменное согласие работника по ст. 9 ФЗ-152 в редакции с 01.09.2025.

Ошибка большинства HR-департаментов: оформлять согласие даже там, где оно не требуется (создавая лишний документ с рисками при его некорректном оформлении), либо не оформлять там, где оно необходимо (добровольные осмотры, психиатрическое освидетельствование по ФЗ-3185-1, наркологическое обследование).

Шаг 2. Проверьте форму согласия на соответствие требованиям ФЗ-156

С 01.09.2025 согласие на обработку ПДн должно быть оформлено отдельным документом — это требование ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025. Любое согласие, включённое в текст трудового договора, кадровой анкеты, соглашения об КЭДО или иного документа, не соответствует закону.

«Ст. 9 ФЗ-152 устанавливает обязательные реквизиты согласия: полное имя субъекта, его контактные данные; наименование и адрес оператора; цель обработки; перечень обрабатываемых ПДн; перечень действий с ПДн; срок действия согласия или условие его прекращения; способ отзыва согласия. Отсутствие любого из реквизитов делает согласие недействительным.»

Для медосмотра работника в тексте согласия обязательно указать: конкретную цель (например, «прохождение обязательного предварительного медицинского осмотра при трудоустройстве»), перечень передаваемых медицинской организации данных (ФИО, дата рождения, должность, данные паспорта), наименование медицинской организации как получателя, срок действия согласия (как правило, до завершения осмотра и передачи заключения работодателю).

Согласия, оформленные до 01.09.2025 по старым формам, переоформлять ретроактивно не требуется — ФЗ-156 обратной силы не имеет. Но все новые согласия с 01.09.2025 должны быть на отдельном документе.

Согласия в трудовых договорах до сих пор не разделены?

Если HRD ещё не привёл формы согласий к требованиям ФЗ-156 (отдельный документ с 01.09.2025), каждое такое несоответствие при проверке РКН — основание для штрафа по ч. 2 ст. 13.11 КоАП от 300 000 до 700 000 ₽. При периодических осмотрах, где согласия подписывают ежегодно сотни работников, масштаб рисков кратно возрастает. Юристы DATUM проведут аудит пакета ОРД HR-департамента по чек-листу из 38 пунктов и выдадут приоритизированный план устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Оформите передачу данных в медицинскую организацию

Передача данных работника в медицинскую организацию для проведения осмотра — это поручение обработки ПДн третьему лицу по п. 3 ч. 1 ст. 6 ФЗ-152. Требуется заключить договор-поручение с медицинской организацией, в котором зафиксировать: перечень передаваемых ПДн, цель передачи, обязанность медорганизации соблюдать конфиденциальность, запрет использования данных в иных целях и обязанность уничтожить данные после исполнения поручения.

Помимо договора-поручения, для передачи специальных категорий ПДн (данных о здоровье) медицинской организации необходимо также согласие работника, которое явно охватывает эту передачу — если обязательный осмотр не является исключением по ч. 2 ст. 10 ФЗ-152. Формулировка согласия должна прямо называть медицинскую организацию как получателя.

На практике нередко встречается ситуация: компания заключает договор с клиникой, не включив медорганизацию в уведомление РКН как третью сторону и не указав в согласии конкретного получателя. Это нарушение ст. 22 и ст. 9 ФЗ-152 одновременно.

Шаг 4. Обновите уведомление в реестре операторов РКН

По ст. 22 ФЗ-152 оператор обязан направить уведомление о намерении осуществлять обработку ПДн до начала обработки. Если цели обработки изменились или появился новый вид обработки (например, компания впервые начала проводить медосмотры), уведомление нужно обновить. Срок включения в реестр после подачи уведомления — 30 дней. Неуведомление или несвоевременное уведомление — штраф по ч. 10 ст. 13.11 КоАП от 100 000 до 300 000 ₽.

«Ст. 22 ФЗ-152 обязывает оператора уведомить Роскомнадзор о намерении осуществлять обработку ПДн до её начала. Форма уведомления — Приказ РКН № 180 от 28.10.2022. Подача — через pd.rkn.gov.ru с УКЭП или через ЕСИА.»

В уведомлении нужно отразить специальные категории ПДн (данные о состоянии здоровья), цель обработки (проведение обязательных медосмотров по ст. 220 ТК РФ), правовые основания и перечень третьих лиц — в данном случае медицинских организаций, которым передаются данные.

Шаг 5. Организуйте хранение согласий и медзаключений в личном деле

Согласие на обработку ПДн хранится в личном деле работника. Срок хранения личного дела после увольнения — по общему правилу 75 лет (для документов по личному составу, принятых до 01.01.2003, — 75 лет; для принятых после 01.01.2003 — 50 лет согласно ст. 22.2 ТК РФ и нормам архивного законодательства). Медицинские заключения, полученные по результатам осмотра, хранятся отдельно от основного личного дела или в его составе — в зависимости от внутренних регламентов компании.

Важно разграничивать: само медицинское заключение (допущен/не допущен к работе) работодатель вправе хранить в личном деле как основание для кадрового решения. Развёрнутые медицинские данные (диагнозы, результаты анализов) — специальная категория ПДн, доступ к которой должен быть ограничен. Их хранение у работодателя без конкретной необходимости нарушает принцип минимизации данных по ст. 5 ФЗ-152.

Если компания ведёт КЭДО, согласие на медосмотр может быть оформлено электронно при условии, что система КЭДО обеспечивает однозначную идентификацию подписанта и невозможность изменения документа после подписания. Оператором при использовании КЭДО является работодатель — он несёт ответственность за сохранность данных и соответствие системы требованиям ПП РФ № 1119 и Приказа ФСТЭК № 21.

Что подготовить для соответствия требованиям

Форма согласия на обработку ПДн при медосмотре — отдельный документ с реквизитами ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156)
Договор-поручение с медицинской организацией — с перечнем передаваемых ПДн, условиями конфиденциальности и уничтожения данных
Актуальное уведомление в реестре РКН с отражением специальных категорий ПДн и медорганизации как третьей стороны
Регламент хранения медзаключений в личном деле с ограничением доступа к данным о здоровье
Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152

Как выглядит нарушение на практике

Ситуация 1. Производственная компания (Уральский ФО, весна 2025) включала согласие на обработку ПДн при медосмотре в текст трудового договора. После вступления в силу требований ФЗ-156 с 01.09.2025 плановая проверка РКН зафиксировала нарушение требований к форме согласия по ч. 2 ст. 13.11 КоАП. Штраф составил несколько сотен тысяч рублей. Дополнительно компания получила предписание привести все формы в соответствие — с установленным сроком.

Кейс 2. Торговая сеть (Центральный ФО, осень 2025) проводила ежегодные периодические медосмотры для сотрудников продовольственных отделов. Договор с клиникой не содержал условий поручения обработки ПДн. Уведомление в РКН не отражало медорганизацию как третью сторону. При проверке выявлены два самостоятельных нарушения: по ст. 9 (несоответствие согласия) и по ст. 22 (неполнота уведомления). Итоговая сумма штрафов по двум протоколам — в диапазоне нескольких сотен тысяч рублей.

Если HRD обнаружил, что договор с клиникой не содержит условий поручения обработки ПДн, а форма согласия не обновлялась после 01.09.2025 — это два одновременных нарушения. Юристы DATUM соберут ОРД HR-департамента под ключ и обновят уведомление в РКН.

Собрать ОРД под ключ

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка ОРД HR-департамента по чек-листу из 38 пунктов
Комплект ОРД под ключ — согласия, политика, приказы, регламенты по актуальным требованиям
DPO-аутсорсинг — ответственный за обработку ПДн по ст. 22.1 на абонентском обслуживании

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, оформленные до 01.09.2025, переоформлять ретроактивно не требуется — ФЗ-156 не имеет обратной силы. Однако все новые согласия с 01.09.2025 должны быть отдельными документами с реквизитами ст. 9 ФЗ-152. Если в компании запланированы периодические медосмотры и работники будут подписывать новые согласия — используйте только актуальные формы.

2. Какие данные нельзя спрашивать при медосмотре?

Работодатель не вправе запрашивать у медицинской организации развёрнутые медицинские данные (диагнозы, результаты анализов), если для принятия кадрового решения достаточно заключения «допущен/не допущен». Обработка избыточных данных о здоровье нарушает принцип минимизации по ст. 5 ФЗ-152. Запрос сведений о наличии психиатрических диагнозов вне рамок психиатрического освидетельствования по ФЗ-3185-1 также запрещён.

3. Можно ли вести видеонаблюдение в офисе и как это связано с ПДн?

Видеозапись в рабочих помещениях может содержать биометрические ПДн (изображение лица), если система идентифицирует конкретных работников. По ст. 11 ФЗ-152 обработка биометрии — только с письменного согласия. Если видеонаблюдение используется для контроля рабочего времени (СКУД), требуется отдельное согласие с описанием конкретной цели и перечня действий. Использование системы без согласия — нарушение ч. 2 ст. 13.11 КоАП (штраф до 700 000 ₽).

4. Сколько хранить согласия после увольнения?

Согласие на обработку ПДн хранится в составе личного дела работника. Для документов по личному составу, сформированных после 01.01.2003, срок хранения — 50 лет согласно ст. 22.2 ТК РФ. Уничтожение по истечении срока оформляется актом с указанием перечня документов. До уничтожения ПДн необходимо убедиться, что все основания для их хранения истекли.

5. Кто является оператором при использовании КЭДО?

При ведении КЭДО оператором ПДн является работодатель — он определяет цели и способы обработки данных работников в системе. Если КЭДО-платформа предоставляется внешним сервисом, поставщик платформы выступает обработчиком по поручению (п. 3 ч. 1 ст. 6 ФЗ-152). С ним необходимо заключить договор-поручение с условиями ст. 6 ФЗ-152. Ответственность перед работниками и РКН несёт работодатель.

6. Что проверяет РКН при плановой проверке HR-процессов?

В ходе плановой проверки РКН запрашивает: уведомление в реестре операторов с актуальными сведениями, политику обработки ПДн по ч. 2 ст. 18.1 ФЗ-152, образцы согласий по актуальным формам ст. 9, приказ о назначении ответственного по ст. 22.1, договоры-поручения с третьими лицами, журнал обращений субъектов. Отсутствие любого из этих документов — самостоятельное основание для протокола по соответствующей части ст. 13.11 КоАП.

Итог

Медицинский осмотр работника затрагивает специальные категории ПДн — данные о здоровье. Правовое основание для их обработки зависит от того, обязателен ли осмотр по закону. Для добровольных и расширенных осмотров, передачи данных в клинику и для ряда иных случаев необходимо отдельное согласие по ст. 9 ФЗ-152 в редакции ФЗ-156 от 01.09.2025.

Практика DATUM по ст. 86–88 ТК РФ и ФЗ-152 в HR охватывает аудит форм согласий, подготовку ОРД HR-департамента и сопровождение при проверках РКН в компаниях с численностью персонала от 50 человек.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, сопровождение проверок РКН в HR-департаментах.

28 февраля 2027 года