Перейти к содержанию
инструкция 14 октября 2027 По состоянию на 14 октября 2027

1С:Кабинет сотрудника: требования 152-ФЗ

1С:Кабинет сотрудника — это информационная система, обрабатывающая персональные данные работников по ст. 3 ФЗ-152: ФИО, контакты, банковские реквизиты, документы о трудовой деятельности.
С 01.09.2025 согласие работника оформляется отдельным документом по ст. 9 ФЗ-152 в редакции ФЗ-156. За нарушения — штраф до 700 000 ₽ по ч. 2 ст. 13.11 КоАП; при повторности — до 1 500 000 ₽.
Если вы HRD и 1С:Кабинет уже работает, а согласия сотрудников вшиты в трудовой договор — у вас есть основание для штрафа по каждому работнику. Шаги ниже позволяют привести систему в соответствие.

1С:Кабинет сотрудника используется в тысячах российских компаний как инструмент самообслуживания персонала: просмотр расчётных листков, подача заявлений, согласование графика отпусков, кадровый электронный документооборот. При этом система обрабатывает персональные данные — и значит, попадает под требования ФЗ-152. С 30.05.2025 действует обновлённая ст. 13.11 КоАП в редакции ФЗ-420: штрафы выросли кратно, добавился оборотный состав. В этой инструкции — шесть последовательных шагов, которые должен пройти HRD, чтобы использование 1С:Кабинета не стало поводом для проверки Роскомнадзора.

Что является нарушением при использовании 1С:Кабинета сотрудника?

Система 1С:Кабинет сотрудника обрабатывает персональные данные в смысле ст. 3 ФЗ-152: любые сведения, относящиеся к физическому лицу. Типовой состав данных в системе — ФИО, дата рождения, адрес, СНИЛС, ИНН, банковские реквизиты, сведения о трудовой деятельности, медицинские документы (справки, листки нетрудоспособности), данные документов удостоверяющих личность.

Статьи 86–88 Трудового кодекса устанавливают специальный режим обработки персональных данных работников. Работодатель вправе получать и обрабатывать только те данные, которые необходимы для исполнения трудового договора и соблюдения требований законодательства. Передача данных работника третьим лицам без его согласия по ст. 87 ТК допустима в строго ограниченных случаях.

Типовые нарушения при развёртывании 1С:Кабинета:

  • Согласие работника включено в текст трудового договора или оферты — с 01.09.2025 это нарушение ст. 9 ФЗ-152 в редакции ФЗ-156.
  • В анкете при приёме на работу запрашиваются данные о состоянии здоровья, семейном положении или политических взглядах без специального основания по ст. 10 ФЗ-152.
  • Биометрические данные (фото, отпечаток пальца в СКУД) обрабатываются без письменного согласия по ст. 11 ФЗ-152.
  • Оператор не уведомил РКН о намерении обрабатывать персональные данные по ст. 22 ФЗ-152.
  • Данные уволенных работников хранятся без ограничения срока — нарушение принципа ограничения хранения по ст. 5 ФЗ-152.
«Ст. 86 ТК РФ — работодатель вправе обрабатывать только те персональные данные работника, которые необходимы для исполнения трудового договора, соблюдения законодательства и выплаты пособий. Обработка данных сверх этого объёма — нарушение.»

Согласия работников ещё в трудовом договоре?

Если HRD не переоформил согласия работников после 01.09.2025, каждый старый документ создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП — до 700 000 ₽ за одно нарушение. Это не единственный риск: при проверке РКН инспектор проверяет все документы, а не только согласия. Срок на ответ субъекту по запросу — 10 рабочих дней по ст. 20 ФЗ-152; в условиях плановой проверки счёт идёт на дни.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 1. Проверьте уведомление оператора в реестре РКН

До начала обработки персональных данных в 1С:Кабинете работодатель обязан уведомить Роскомнадзор по ст. 22 ФЗ-152. Проверьте: есть ли ваша организация в реестре операторов персональных данных на pd.rkn.gov.ru. Если организация в реестре, убедитесь, что сведения актуальны: перечень обрабатываемых категорий ПДн, цели обработки, описание мер защиты должны соответствовать тому, что фактически происходит в 1С:Кабинете.

Если уведомление не подавалось — это штраф по ч. 10 ст. 13.11 КоАП от 100 000 до 300 000 ₽ для юридического лица. Подача уведомления через личный кабинет pd.rkn.gov.ru (с УКЭП или через ЕСИА) занимает один рабочий день; включение в реестр — до 30 дней. Форма подачи — Приказ РКН №180 от 28.10.2022.

Шаг 2. Приведите согласия работников к требованиям ФЗ-156

С 01.09.2025 согласие работника на обработку персональных данных должно быть оформлено отдельным документом — его нельзя включать в трудовой договор, политику конфиденциальности или любой иной документ (ст. 9 ФЗ-152, ред. ФЗ-156 от 24.06.2025). Обязательные реквизиты согласия: ФИО и контакты субъекта, наименование и реквизиты оператора, цель обработки, перечень персональных данных, перечень действий с ними, срок действия, способ отзыва.

Ранее оформленные согласия, включённые в трудовой договор, обратной силы не имеют — ФЗ-156 не требует принудительного переоформления уже действующих согласий. Однако при заключении новых трудовых договоров и при выявлении пробелов в существующих согласиях документы необходимо привести к новым требованиям.

Отдельного согласия требует обработка данных в целях, не предусмотренных трудовым законодательством: рассылка корпоративных новостей, участие в программах ДМС, передача данных в зарплатный банк, обработка биометрии в СКУД.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — согласие субъекта на обработку ПДн оформляется отдельным документом и не может быть частью договора или иного документа. Вступило в силу с 01.09.2025.»

Шаг 3. Настройте обработку биометрии СКУД по ст. 11 ФЗ-152

Если в компании используется система контроля доступа на основе биометрии (отпечаток пальца, распознавание лица), эти данные относятся к биометрическим персональным данным по ст. 11 ФЗ-152. Обработка биометрии допустима только на основании письменного согласия работника — отдельного от других согласий.

Работник вправе отказаться предоставлять биометрию для СКУД. Отказ не может быть основанием для отказа в приёме на работу или наложения дисциплинарного взыскания — это следует из ст. 22.2 ТК РФ и практики РКН. В этом случае работодатель обязан предоставить альтернативный способ прохода (карта, PIN-код).

Нарушение требований к обработке биометрии — штраф по ч. 16 ст. 13.11 КоАП. Утечка биометрических данных — штраф по ч. 17 ст. 13.11 от 15 000 000 до 20 000 000 ₽.

Если HRD подключает СКУД с распознаванием лица без отдельного согласия — это ч. 16 ст. 13.11 КоАП. При утечке биометрии штраф составит 15–20 млн ₽ по ч. 17 ст. 13.11. Разработаем согласие на биометрию и регламент СКУД под требования ФЗ-152 и ФЗ-572.

Собрать ОРД под ключ

Шаг 4. Разграничьте роли оператора и обработчика при КЭДО

При использовании кадрового электронного документооборота в 1С:Кабинете важно определить, кто является оператором персональных данных, а кто — лицом, осуществляющим обработку по поручению (ст. 6 ФЗ-152). Работодатель — оператор: он определяет цели и состав обрабатываемых данных. Поставщик 1С и компания-внедренец — обработчики по поручению, если они имеют доступ к данным.

С обработчиком по поручению необходимо заключить договор, предусматривающий: перечень действий с ПДн, цели обработки, обязанность конфиденциальности, требования по безопасности. Без такого договора передача данных обработчику является самостоятельным нарушением по ч. 1 ст. 13.11 КоАП.

Если КЭДО реализован через сторонний облачный сервис с серверами за рубежом, возникает вопрос трансграничной передачи и соответствия требованиям локализации по ч. 5 ст. 18 ФЗ-152. С 01.07.2025 (ФЗ-233) требования к локализации ужесточены: первичная запись и хранение ПДн граждан РФ допускаются только в базах, расположенных на территории РФ.

Шаг 5. Ограничьте сроки хранения и настройте удаление данных

Принцип ограничения хранения по ст. 5 ФЗ-152 обязывает оператора уничтожать или обезличивать персональные данные по достижении целей обработки. В контексте 1С:Кабинета это означает: данные уволенных работников не могут храниться в активной базе без отдельного законного основания.

Типовые сроки хранения кадровых данных: личное дело — 75 лет (по Перечню Росархива); расчётные ведомости — 6 лет; согласия на обработку ПДн — до истечения срока исковой давности (3 года) после прекращения обработки. После истечения срока данные подлежат уничтожению с составлением акта.

В 1С:Кабинете необходимо настроить политику архивирования: уволенные работники переводятся в закрытый раздел с ограниченным доступом, а по истечении срока хранения данные удаляются. Доступ к архивным данным должен быть журналируемым.

Шаг 6. Назначьте ответственного и подготовьте пакет ОРД

По ст. 22.1 ФЗ-152 работодатель-юридическое лицо обязан назначить лицо, ответственное за организацию обработки персональных данных. Приказ о назначении — обязательный документ; его отсутствие фиксируется при плановой проверке РКН.

Минимальный пакет ОРД для компании, использующей 1С:Кабинет сотрудника:

Что подготовить

  • Уведомление о намерении обрабатывать ПДн (реестр РКН, актуальные сведения)
  • Политика обработки персональных данных с разделами по ст. 18.1 ФЗ-152 — опубликована на сайте или размещена в доступном месте
  • Отдельные согласия работников по ст. 9 ФЗ-152 в редакции с 01.09.2025 (для каждой цели обработки, выходящей за пределы трудового договора)
  • Договор поручения обработки ПДн с 1С-партнёром (внедренцем, облачным провайдером) — если у них есть доступ к данным
  • Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152

Публикация политики обработки ПДн — обязанность по ст. 18.1 ФЗ-152. Отсутствие политики или её публикации фиксируется штрафом по ч. 3 ст. 13.11 КоАП: от 30 000 до 60 000 ₽. При проверке РКН инспектор запрашивает все перечисленные документы в первую очередь.

Типовые сценарии нарушений при использовании 1С:Кабинета

Сценарий 1. Согласие вшито в договор. HRD производственной компании (Уральский ФО, осень 2025) не переоформил согласия 340 работников после 01.09.2025: согласие по-прежнему включено в трудовой договор. РКН при плановой проверке выявил нарушение ст. 9 ФЗ-152. Протокол составлен по ч. 2 ст. 13.11 КоАП. Штраф для юридического лица — в диапазоне 300 000–700 000 ₽. Стоимость приведения согласий в порядок составила бы несколько десятков тысяч рублей при своевременном обращении.

Сценарий 2. Биометрия СКУД без согласия. Торговая сеть (Центральный ФО, начало 2026) ввела систему распознавания лиц для учёта рабочего времени. Согласия работников на обработку биометрии не были оформлены как отдельный документ. Один из работников обратился с жалобой в РКН. Внеплановая проверка — протокол по ч. 16 ст. 13.11 КоАП. Помимо штрафа, система СКУД была временно заблокирована до устранения нарушения.

Связанные услуги DATUM по теме

  • Аудит соответствия 152-ФЗ — проверка всей системы обработки ПДн, включая 1С:Кабинет, по 38 пунктам
  • Комплект ОРД под ключ — подготовка полного пакета: согласия, политика, приказы, договоры поручения
  • DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании, включая ответы на запросы работников

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Ранее оформленные согласия обратной силы не имеют — ФЗ-156 не требует принудительного переоформления действующих согласий. Однако если согласие включено в трудовой договор или иной документ, оно не соответствует ст. 9 ФЗ-152 в новой редакции. При заключении новых трудовых договоров и при выявлении таких пробелов необходимо оформить отдельный документ.

2. Какие данные нельзя спрашивать в анкете при приёме на работу?

Работодатель не вправе запрашивать данные, не необходимые для исполнения трудового договора (ст. 86 ТК). Без специального основания нельзя собирать: сведения о состоянии здоровья (кроме случаев обязательных медосмотров), религиозных и политических взглядах, национальности, семейном положении, наличии детей. Это специальные категории по ст. 10 ФЗ-152; их обработка без основания — нарушение.

3. Можно ли вести видеонаблюдение в офисе?

Видеонаблюдение в офисе допустимо при соблюдении ряда условий: работники должны быть письменно уведомлены о факте видеонаблюдения, цели обработки должны быть законными (безопасность, охрана труда), а само видеонаблюдение — пропорциональным целям. Если система анализирует лица и идентифицирует работников, это биометрическая обработка по ст. 11 ФЗ-152 и требует отдельного письменного согласия.

4. Сколько хранить согласия после увольнения?

Согласие на обработку персональных данных хранится до истечения срока исковой давности — как правило, три года с момента прекращения обработки данных. Это связано с возможностью предъявления субъектом требований о незаконной обработке. Само личное дело хранится 75 лет по срокам Росархива. После истечения срока хранения документы уничтожаются с составлением акта.

5. Кто является оператором при использовании КЭДО?

Оператором по ст. 3 ФЗ-152 является работодатель: он определяет цели и состав обрабатываемых персональных данных. Поставщик платформы КЭДО — обработчик по поручению, если у него есть доступ к данным. С обработчиком необходимо заключить договор по п. 3 ст. 6 ФЗ-152. Если договора нет, а обработчик фактически имеет доступ к ПДн, работодатель несёт ответственность за нарушение по ч. 1 ст. 13.11 КоАП.

6. Что делать, если работник отказывается давать согласие на обработку ПДн?

Отказ от согласия на обработку данных, предусмотренных трудовым договором и законодательством, не означает прекращения обработки: работодатель вправе обрабатывать такие данные без согласия по п. 5 ч. 1 ст. 6 ФЗ-152. Если же согласие нужно для дополнительных целей (биометрия СКУД, корпоративные рассылки, ДМС), работник вправе отказаться; принудить его нельзя. Отказ не может быть основанием для увольнения.

Итог

Использование 1С:Кабинета сотрудника создаёт обязательства по ФЗ-152 по всей цепочке: уведомление РКН, корректные согласия с 01.09.2025, отдельный режим для биометрии СКУД, договор с обработчиком, сроки хранения. Каждый пробел — самостоятельное основание для протокола по ст. 13.11 КоАП.

Практика DATUM по сопровождению HR-департаментов в части 152-ФЗ охватывает разработку пакета ОРД, аудит систем КЭДО и СКУД, подготовку к проверкам РКН и абонентское DPO-обслуживание.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах.

14 октября 2027 года