Специалист по охране труда каждый день работает с самой чувствительной информацией о сотрудниках. ФИО, СНИЛС, паспортные данные, состояние здоровья, результаты медосмотров, травмы. Всё это «специальная категория» по закону 152-ФЗ. Требования к обработке здесь гораздо строже, чем к обычным данным. А с 30 мая 2025 года за утечку персональных данных добавили уголовную ответственность. Разбираемся, как работать с ПДн в охране труда без риска для себя и компании.
В каких документах СОТ встречаются персональные данные
Вот перечень документов, где персональные данные проходят через руки специалиста по охране труда:
• журналы инструктажей (ФИО, должность, табельный номер, подпись)
• направления на медосмотры и психиатрическое освидетельствование
• медицинские заключения и итоговые акты медкомиссии
• карты СОУТ (ФИО, должность, рабочее место, класс условий)
• личные карточки выдачи СИЗ (рост, размеры, антропометрические данные)
• протоколы проверки знаний (ФИО, СНИЛС, результат)
• акты по форме Н-1 при несчастных случаях
• заключения по микротравмам
• списки групп риска (по профзаболеваниям, клещевому энцефалиту)
Как видите, объём личной информации внушительный. И с каждым документом нужно работать по правилам.
Когда согласие работника обязательно, а когда нет
Общее правило закона: обработка персональных данных требует письменного согласия. Но есть исключения.
Согласие НЕ требуется, если обработка необходима для исполнения обязанностей работодателя по федеральному закону:
• передача данных в аккредитованную организацию для СОУТ (обязанность по ФЗ-426)
• передача данных в медорганизацию для обязательных медосмотров (статья 220 ТК РФ)
• передача данных в психиатрическую комиссию (статья 220 ТК РФ)
• передача данных в Социальный фонд для расчёта взносов (ФЗ-125)
• передача данных в реестр обученных лиц ЛКОТ Минтруда (постановление № 2464)
Согласие ТРЕБУЕТСЯ в следующих случаях:
• передача данных третьим лицам, не связанным с обязательствами работодателя
• сбор биометрии и видеофиксация (нужно отдельное согласие)
При передаче данных в учебный центр отдельное согласие также не требуется. Это часть обязанности работодателя по передаче сведений в реестр обученных лиц.
Четыре правила обработки данных о здоровье
По статье 10 закона 152-ФЗ обработка данных о здоровье запрещена, кроме прямо прописанных исключений. Вот что можно делать специалисту по охране труда:
• хранить итоговые медицинские заключения в личном деле работника
• иметь доступ к категории годности (но не к диагнозу)
• видеть информацию о допуске или противопоказаниях к работе
• передавать данные в комиссию по расследованию профзаболевания
А вот что категорически нельзя:
• требовать от медорганизации диагноз (это врачебная тайна)
• обсуждать здоровье работника с другими сотрудниками
• хранить медкарты (они находятся в медучреждении)
• передавать данные о здоровье родственникам без согласия работника
Четыре меры защиты медицинских заключений от разглашения
Типичная проблема: медицинские заключения лежат в общем кабинете, куда заходят многие. Копии плавают в общих папках. Это прямая дорога к утечке.
Что нужно сделать:
• храните документы с категорией «здоровье» в отдельном шкафу под замком
• электронные документы держите в системе с разграничением доступа, а не на общем диске
• заведите журнал учёта выдачи и возврата таких документов
• возьмите со всех, кто имеет доступ, обязательство о неразглашении
При отправке документов за пределы организации (в учебный центр, медорганизацию, СФР) фиксируйте это в журнале с подписью получателя. А документы с истёкшим сроком хранения уничтожайте по акту (шреддер или термическое уничтожение).
Четыре вида ответственности за нарушение 152-ФЗ
Штрафы по статье 13.11 КоАП РФ выросли. Вот основные суммы для юридических лиц:
• обработка без согласия (когда оно требовалось): от 60 до 100 тысяч рублей
• обработка несовместимая с целями сбора: от 100 до 300 тысяч
• распространение данных без согласия: от 200 до 800 тысяч
• утечка более 10 тысяч записей: до 18 миллионов рублей
Кроме того, работник может подать гражданский иск о возмещении морального вреда. Судебная практика идёт в пользу работника, средняя компенсация 30-80 тысяч рублей за один случай.
И самое важное. С 30 мая 2025 года введена уголовная ответственность за утечку персональных данных. Статья 272.1 УК РФ предусматривает до 7 лет лишения свободы при тяжких последствиях для должностных лиц, виновных в утечке данных сотрудников.
Хотите защитить персональные данные сотрудников и избежать штрафов и уголовных дел? Обращайтесь в Первую Промышленную Академию поможем настроить систему работы с ПДн в охране труда и подготовить все необходимые документы.