инструкция 13 января 2028 По состоянию на 13 января 2028

Согласие при оформлении ДМС: что подписать

Q: Сколько хранить согласия после увольнения работника?

Согласие — часть личного дела. Для коммерческих организаций минимальный ориентир — срок исковой давности (3 года) плюс срок, установленный внутренней номенклатурой. Согласие на обработку данных для ДМС рекомендуется хранить не менее 5 лет после прекращения действия полиса. При размещении в личном деле — фактически до уничтожения дела (до 75 лет для ряда категорий).

Оформление ДМС для работника — это передача его специальных категорий персональных данных (сведений о здоровье) страховой компании. По ст. 10 ФЗ-152 такая передача требует отдельного письменного согласия.

С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие не может быть частью трудового договора, приказа или анкеты — только отдельный документ. Нарушение: штраф по ч. 2 ст. 13.11 КоАП до 700 000 ₽ за каждый факт.

→ Если вы HRD и сотрудники подписывали согласие в форме приложения к договору — этот комплект нужно переделать до первой проверки РКН.

Добровольное медицинское страхование — стандартная часть социального пакета. Однако с точки зрения ФЗ-152 каждое оформление полиса ДМС — это передача специальных категорий ПДн третьему лицу (страховщику), обработка которых без надлежащего согласия образует состав административного правонарушения. В этой инструкции — пошаговый порядок сбора, оформления и хранения согласий при оформлении ДМС с учётом требований, действующих с 01.09.2025.

Почему ДМС требует отдельного согласия на обработку ПДн?

Данные о состоянии здоровья работника — специальная категория ПДн по ст. 10 ФЗ-152. Их обработка по общему правилу запрещена. Исключение: прямое письменное согласие субъекта. Направляя сведения о работнике страховщику для заключения договора ДМС, работодатель действует как оператор и осуществляет передачу третьему лицу. Это не просто обмен кадровыми данными — это отдельное юридически значимое действие.

Кроме данных о здоровье, страховая компания обычно запрашивает общие ПДн: ФИО, дату рождения, паспортные реквизиты, СНИЛС, адрес регистрации. По ст. 6 ФЗ-152 их передача третьему лицу также требует основания — либо согласия, либо нормы закона. Договор страхования, который заключает работодатель, не заменяет согласие самого работника: он не является стороной этого договора в смысле, снимающем требование ст. 9 ФЗ-152.

«Ст. 10 ФЗ-152 запрещает обработку данных о состоянии здоровья без явного письменного согласия субъекта — за исключением случаев, прямо предусмотренных законом. ДМС в этот перечень исключений не входит.»

С 01.09.2025 ситуацию ужесточил ФЗ-156: согласие на обработку ПДн больше не может объединяться в одном документе с трудовым договором, должностной инструкцией, анкетой или иным документом. Только отдельный лист — подписанный, датированный, с полным набором реквизитов по ст. 9 ФЗ-152.

Сотрудники подписали согласие в трудовом договоре или анкете?

Если HRD оформлял ДМС до 01.09.2025 и согласие было частью стандартного пакета документов при трудоустройстве — с точки зрения новых требований это несоответствующий документ. Штраф по ч. 2 ст. 13.11 КоАП составляет до 700 000 ₽. Юристы DATUM проведут аудит HR-документации и соберут корректный пакет согласий под ключ.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 1. Определите состав передаваемых данных

До составления согласия зафиксируйте, какие именно данные страховая компания требует для оформления полиса. Типичный перечень для корпоративного ДМС:

ФИО, дата рождения, пол — общие ПДн;
паспортные данные (серия, номер, дата выдачи, орган) — общие ПДн;
СНИЛС — общие ПДн (идентификатор);
адрес регистрации или проживания — общие ПДн;
сведения о хронических заболеваниях, группе здоровья или ограничениях — специальная категория (ст. 10 ФЗ-152);
данные о прикреплении к поликлинике — специальная категория.

Если страховщик запрашивает анкету здоровья — все её поля автоматически образуют специальную категорию. Согласие должно охватывать каждый пункт перечня отдельно: «данные о состоянии здоровья согласно анкете страховщика» — допустимая формулировка, но она должна быть конкретизирована приложением.

Данные, которые страховщик не запрашивает, в согласие включать не нужно — принцип минимизации по ст. 5 ФЗ-152. Сбор избыточных данных сам по себе образует нарушение.

Шаг 2. Составьте текст согласия с обязательными реквизитами

Согласие по ст. 9 ФЗ-152 в редакции ФЗ-156 должно содержать следующие обязательные элементы:

ФИО субъекта — полностью, без сокращений;
контактные данные субъекта (телефон или email);
наименование и ИНН оператора — работодатель как первичный оператор;
наименование третьего лица, которому передаются данные, — полное наименование страховой компании, ИНН;
цель обработки: «заключение и исполнение договора добровольного медицинского страхования в пользу работника»;
перечень ПДн — развёрнутый список, включая специальные категории с пометкой об их характере;
перечень действий: сбор, передача (предоставление) страховщику, хранение в течение срока действия договора ДМС и после его расторжения в течение установленного срока;
срок действия согласия: рекомендуется привязать к сроку действия полиса плюс срок исковой давности (3 года) или срок хранения по номенклатуре дел;
способ отзыва: письменное заявление в адрес работодателя; указать последствия отзыва — невозможность оформления/продления полиса.

«Ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156): согласие оформляется отдельным документом, не объединяется с договором, анкетой или иными документами. Молчание или конклюдентные действия не считаются согласием.»

Согласие подписывается работником собственноручно или через КЭДО — при условии, что система электронного документооборота обеспечивает юридически значимую подпись (усиленная квалифицированная или простая ЭП при наличии соглашения по ст. 22.2 ТК РФ). В КЭДО согласие также должно быть отдельным документом, не вшитым в тело трудового договора.

Шаг 3. Организуйте подписание и храните документы правильно

Подписание согласия организуется до передачи данных страховщику. Передача списка сотрудников страховщику до получения подписанных согласий — самостоятельное нарушение по ч. 2 ст. 13.11 КоАП.

Порядок при бумажном документообороте: работник подписывает два экземпляра, один остаётся у него, второй помещается в личное дело. Формально ФЗ-152 не обязывает вести личные дела коммерческих организаций, однако наличие подписанного согласия в деле — ключевое доказательство при проверке РКН и в арбитраже.

Порядок при КЭДО: согласие подписывается в системе, формируется электронный архивный документ с отметкой времени и идентификатором подписи. Работодатель как оператор КЭДО несёт ответственность за сохранность этой записи по ст. 87 ТК РФ и ст. 19 ФЗ-152.

Срок хранения подписанных согласий: не менее срока действия полиса ДМС плюс 3 года (срок исковой давности). При размещении документа в личном деле — фактически до уничтожения дела, но не менее 75 лет для категорий, попадающих под типовые перечни. Практика DATUM: хранить согласия отдельным регистром с датой подписания и датой истечения, чтобы контролировать актуальность при ежегодном продлении ДМС.

Если HRD ежегодно продлевает ДМС, но не обновляет согласия — накапливается риск по ч. 2 ст. 13.11 КоАП: до 700 000 ₽. С 01.09.2025 каждый новый полисный год требует актуализации документа с новыми реквизитами.

Собрать ОРД под ключ

Шаг 4. Оформите передачу данных страховщику как поручение обработки

Страховая компания, получая ПДн работников, становится лицом, осуществляющим обработку по поручению оператора, — в терминологии ст. 6 и ст. 3 ФЗ-152. Это означает, что между работодателем и страховщиком должен быть заключён договор поручения обработки ПДн (или соответствующее условие включено в договор страхования).

Такое соглашение должно содержать: перечень действий страховщика с данными, цели обработки, обязанность соблюдать конфиденциальность, запрет на передачу данных третьим лицам без ведома оператора, требования по уничтожению данных после расторжения договора.

«П. 3 ст. 6 ФЗ-152: оператор вправе поручить обработку ПДн другому лицу — только на основании договора, содержащего условия, установленные законом. Ответственность перед субъектом ПДн несёт оператор, а не обработчик.»

На практике крупные страховщики имеют типовые формы такого соглашения. Однако типовая форма страховщика нередко написана в его пользу и не включает все обязательные условия. Перед подписанием стоит проверить наличие: запрета на субпоручение без согласования, обязанности уведомить об инциденте в течение 24 часов, порядка уничтожения данных по окончании договора.

Как выглядят типичные ошибки HRD при оформлении ДМС

Сценарий 1. Согласие включено в анкету при трудоустройстве. Работодатель использует единую форму, в нижней части которой расположен блок «Я согласен на обработку ПДн, в том числе передачу страховщику для оформления ДМС». После 01.09.2025 такая форма не соответствует ст. 9 ФЗ-152 в редакции ФЗ-156 — согласие обязано быть отдельным документом. Результат: при плановой проверке РКН весь пакет согласий признаётся ненадлежащим; протокол по ч. 2 ст. 13.11 КоАП выписывается на количество работников. Стратегия: немедленно разделить формы, провести переподписание с действующим персоналом отдельными листами.

Сценарий 2. ДМС оформлено без согласия на специальные категории. HR передал страховщику анкету здоровья, полагая, что общее согласие на обработку ПДн при трудоустройстве покрывает и медицинские данные. Специальные категории по ст. 10 ФЗ-152 требуют отдельного явного согласия. Факт передачи анкеты без такого согласия — нарушение по ч. 2 ст. 13.11 (штраф до 700 000 ₽) в сочетании с возможной ответственностью по ч. 12–14, если данные впоследствии оказались скомпрометированы. Стратегия: составить отдельное согласие на обработку данных о здоровье с явным указанием целей и получателя.

Сценарий 3. Согласие есть, но договора поручения обработки со страховщиком нет. Работодатель собрал корректные согласия, однако договор страхования не содержит условий обработки ПДн, а отдельное соглашение по ст. 6 ФЗ-152 не заключалось. Страховщик де-факто обрабатывает ПДн без правового основания со стороны оператора. Нарушение по ч. 1 ст. 13.11 КоАП (до 300 000 ₽). Стратегия: запросить у страховщика типовое DPA-соглашение или включить соответствующий раздел в договор страхования при очередном перезаключении.

Что подготовить для корректного оформления ДМС

Отдельное согласие на обработку общих ПДн (передача страховщику) — для каждого работника, подписанное после 01.09.2025.
Отдельное согласие на обработку специальных категорий ПДн (данные о здоровье из анкеты страховщика) — с явным указанием перечня данных и получателя.
Договор поручения обработки ПДн со страховой компанией (DPA) — или соответствующий раздел в договоре страхования.
Регистр подписанных согласий с датами подписания и истечения — для контроля при ежегодном продлении ДМС.
Уведомление РКН о намерении обрабатывать ПДн (ст. 22 ФЗ-152) с указанием цели «оформление ДМС» и получателя — страховой компании.

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, оформленные до 01.09.2025 в составе трудового договора, анкеты или иного документа, не соответствуют требованиям ст. 9 ФЗ-152 в редакции ФЗ-156. Обратной силы у ФЗ-156 нет: ранее данные согласия формально не аннулируются автоматически, однако при проверке РКН или в судебном споре их юридическая сила под вопросом. Практически безопаснее провести переподписание отдельными документами при очередном продлении ДМС или при первом удобном кадровом событии (перевод, отпуск, плановый инструктаж).

2. Какие данные нельзя спрашивать у работника в анкете для ДМС?

По ст. 86 ТК РФ работодатель вправе обрабатывать только те ПДн работника, которые необходимы для трудовых отношений или прямо указаны в законе. Данные о политических взглядах, религиозных убеждениях, членстве в профсоюзах, расовой принадлежности — запрещены к сбору в любом виде по ст. 10 ФЗ-152, если только сам работник не инициировал их раскрытие. Запрос наследственных заболеваний или генетических данных для целей ДМС — выходит за рамки допустимого без специального основания.

3. Можно ли вести видеонаблюдение в офисе без отдельного согласия?

Видеонаблюдение в офисе допустимо без согласия работников при соблюдении двух условий: уведомление работников о факте наблюдения (ст. 22 ТК РФ) и законная цель (охрана имущества, безопасность). Если изображение сотрудника используется для идентификации личности — это биометрические ПДн по ст. 11 ФЗ-152, и тогда требуется письменное согласие. Видеозапись только в режиме охраны помещения без идентификации личности по сложившейся позиции не является биометрией.

4. Сколько хранить согласия после увольнения работника?

Согласие — часть личного дела работника. Срок хранения личного дела по типовому перечню — 75 лет для должностей, предполагающих государственные гарантии (или 50 лет по новому Перечню 2019 года для ряда категорий). Для коммерческих организаций минимальный ориентир — срок исковой давности (3 года) плюс срок хранения, установленный внутренней номенклатурой дел. Согласие на обработку данных для ДМС рекомендуется хранить не менее 5 лет после прекращения действия полиса.

5. Кто является оператором при использовании КЭДО?

При использовании КЭДО оператором ПДн остаётся работодатель — он определяет цели и состав обрабатываемых данных (ст. 3 ФЗ-152). Провайдер КЭДО-платформы — обработчик по поручению в смысле п. 3 ст. 6 ФЗ-152. Это означает: договор с провайдером должен содержать условия поручения обработки, а работодатель несёт полную ответственность перед субъектами ПДн и РКН за всё, что происходит на платформе. Согласие работника в КЭДО должно быть подписано отдельным документом — не встроено в тело трудового договора в системе.

6. Как обновить уведомление в реестре РКН, если добавилась цель «ДМС»?

По ст. 22 ФЗ-152 оператор обязан уведомить РКН об изменении сведений в течение 10 рабочих дней. Если обработка данных о здоровье (специальная категория) ранее не была отражена в уведомлении — необходимо подать уточнение через pd.rkn.gov.ru с добавлением соответствующей категории ПДн и цели обработки. Неуведомление РКН об изменениях — нарушение, которое может быть выявлено при плановой проверке и квалифицировано по ч. 10 ст. 13.11 КоАП (штраф 100 000 — 300 000 ₽).

Итог

Оформление ДМС — один из самых частых источников нарушений ФЗ-152 в HR-практике: специальные категории данных, третий получатель, обязательное поручение обработки. После 01.09.2025 требования к форме согласия ужесточились, и старые пакеты документов нужно пересматривать.

DATUM сопровождает HR-департаменты в приведении документации по ПДн в соответствие с текущими требованиями: аудит согласий, составление корректных форм, проверка DPA-соглашений со страховщиками, актуализация уведомления в реестре РКН.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка HR-документации: согласия, ОРД, регистры
Комплект ОРД под ключ — пакет документов для HR-департамента с учётом ФЗ-156
DPO-аутсорсинг — ответственный за обработку ПДн на абонентском обслуживании

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах.

13 января 2028 года