Персональные данные в охране труда: 152-ФЗ для СОТ

Специалист по охране труда работает с самыми чувствительными категориями персональных данных: ФИО, СНИЛС, паспортные данные, состояние здоровья, результаты медосмотров, данные о травмах. Это «специальная категория» по 152-ФЗ — обработка регулируется строже, чем обычные ПДн. Незнание тонкостей оборачивается штрафами Роскомнадзора, гражданскими исками работников и проблемами при проверках. С 30 мая 2025 года добавилась уголовная ответственность за утечку ПДн (статья 272.1 УК РФ). Разберём по статьям закона и реальным ситуациям СОТ.

Прочитав статью, вы узнаете:

• В каких документах СОТ работает с ПДн;
• Когда согласие работника обязательно;
• Особенности обработки данных о здоровье;
• Как защитить медицинские заключения от разглашения;
• Что грозит за нарушение 152-ФЗ.

В каких документах СОТ работает с ПДн

Перечень документов с персональными данными, проходящих через службу охраны труда:

• журналы инструктажей — ФИО, должность, табельный номер, подпись;
• направления на медосмотры и психиатрические освидетельствования — ФИО, паспорт, должность, описание условий труда;
• медицинские заключения и итоговые акты медкомиссии — диагнозы, противопоказания, ограничения;
• заключения психиатрической комиссии (приказ Минздрава России от 20.05.2022 № 342н) — без диагноза, но с категорией годности;
• карты СОУТ — ФИО, должность, рабочее место, класс условий труда;
• личные карточки выдачи СИЗ — антропометрические данные, рост, размеры;
• протоколы проверки знаний — ФИО, СНИЛС, программа, дата, результат;
• акты по форме Н-1 при несчастных случаях — обстоятельства травмы, состояние здоровья пострадавшего;
• заключения по микротравмам — описание повреждения здоровья;
• списки группы риска (например, по клещевому энцефалиту, профзаболеваниям) — данные о здоровье и иммунном статусе.

Когда согласие работника обязательно

Общее правило 152-ФЗ: обработка персональных данных требует письменного согласия субъекта. Но есть исключения — обработка без согласия допускается, если она необходима для исполнения работодателем обязанностей, возложенных федеральным законом.

Согласие НЕ требуется (по разъяснениям Минтруда России и Роскомнадзора):

• передача данных аккредитованной организации, проводящей СОУТ — это прямая обязанность работодателя по ФЗ-426;
• передача данных в медицинскую организацию для проведения обязательных медосмотров — обязанность по статье 220 ТК РФ;
• передача данных в психиатрическую комиссию — по статье 220 ТК РФ;
• передача данных в СФР для расчёта взносов и оформления страховых случаев — обязанность по ФЗ-125;
• передача данных в ЛКОТ Минтруда (реестр обученных лиц) — по постановлению № 2464.

Согласие требуется:

• передача данных третьим лицам, не связанным с обязательствами работодателя по охране труда;
• биометрия и видеофиксация — отдельное согласие.

При передаче данных учебному центру для проведения обучения работников отдельное согласие не требуется. Пункт 118 Правил, утверждённых ПП РФ от 24.12.2021 № 2464, устанавливает обязанность работодателя по передаче сведений в реестр обученных лиц. По пункту 2 части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ, если обработка персональных данных необходима для выполнения возложенных законодательством на оператора функций, согласие субъекта персональных данных не требуется.

Аналогично — при размещении сводных данных о результатах СОУТ на сайте организации. Пункт 6 статьи 15 Федерального закона от 28.12.2013 № 426-ФЗ обязывает работодателя организовать размещение на своём официальном сайте сводных данных о результатах проведения СОУТ в части установления классов (подклассов) условий труда и перечня мероприятий по улучшению условий и охраны труда. Согласие работника по статье 6 Закона № 152-ФЗ для этого не требуется. Дополнительный ориентир — пункт 92 ПП РФ от 24.12.2021 № 2464 (по протоколам проверки знаний).

Особенности обработки данных о здоровье

По части 1 статьи 10 152-ФЗ обработка специальных категорий ПДн (включая данные о состоянии здоровья) запрещена, кроме случаев, предусмотренных законом. Для медосмотров и психиатрических освидетельствований работодатель действует в рамках исключений.

Что можно:

• хранить итоговые медицинские заключения по медосмотрам в личном деле работника;
• иметь доступ к информации о категории годности (но не к диагнозу);
• видеть информацию о допуске или противопоказаниях к работе;
• передавать данные в комиссию по расследованию профзаболевания.

Что нельзя:

• требовать от медорганизации диагноз работника — он составляет медицинскую тайну;
• обсуждать состояние здоровья работника с другими сотрудниками;
• хранить медкарты работников — они находятся в медицинской организации;
• передавать данные о здоровье родственникам работника без его согласия (кроме случаев тяжкого вреда здоровью или гибели).

Подписывайтесь на канал для СОТов — Вас ждут:

• Анонсы важных обновлений законодательства;
• Обзоры на ошибки, которые могут стоить Вашей компании дорого;
• Полезные советы для создания безопасной рабочей среды;
• Развлекательный контент для СОТов.

Подписаться

Как защитить медицинские заключения от разглашения

Типичная зона риска для СОТ — медицинские заключения хранятся в кабинете, доступном многим, копии лежат в общих папках, журналы передаются между подразделениями. Что должно быть:

• отдельный шкаф под замком для документов с ПДн категории «здоровье»;
• электронные документы — в системе с разграничением доступа, не на общем сетевом диске;
• журнал учёта выдачи и возврата документов с ПДн;
• обязательство о неразглашении ПДн, подписанное всеми, кто имеет доступ;
• при отправке документов за пределы организации (учебный центр, медорганизация, СФР) — фиксация в журнале с подписью получателя;
• уничтожение документов по истечении сроков хранения — по акту с указанием способа (шреддер, термическое уничтожение).

Что грозит за нарушение 152-ФЗ

Ответственность работодателя по статье 13.11 КоАП РФ:

• обработка ПДн без согласия (когда оно требовалось) — для юрлица 60 000–100 000 рублей;
• обработка несовместимая с целями сбора — 100 000–300 000 рублей;
• распространение ПДн без согласия — 200 000–800 000 рублей;
• нарушение требований к обработке специальных категорий (здоровье, биометрия) — до 500 000 рублей;
• утечка ПДн — до 18 миллионов рублей при подтверждённой утечке более 10 000 субъектов (по поправкам 2024 года).

Дополнительно работник может подать гражданский иск о возмещении морального вреда — судебная практика уверенно идёт в пользу работника. Средний размер компенсации — 30 000–80 000 рублей за случай.

С 30 мая 2025 года введена уголовная ответственность за утечку ПДн — статья 272.1 УК РФ. Наказание — до 7 лет лишения свободы при тяжких последствиях. Это касается должностных лиц работодателя, виновных в утечке данных работников. Принципиально новый уровень риска для СОТ — раньше последствия ограничивались штрафами и моральной компенсацией, теперь — до уголовного дела.

Подготовить локальные акты по обработке персональных данных в охране труда и обучить службу — через профильных консультантов. Разработка документов по ОТ →