Перейти к содержанию
инструкция 18 января 2028 По состоянию на 18 января 2028

Аудит КЭДО на соответствие 152-ФЗ

КЭДО обрабатывает персональные данные работников — а значит, оператор обязан выполнять требования 152-ФЗ: правовые основания, согласия, ОРД, технические меры защиты.
С 01.09.2025 согласие работника на обработку ПДн оформляется отдельным документом — включать его в трудовой договор или соглашение о КЭДО запрещено (ФЗ-156 от 24.06.2025). Нарушение влечёт штраф до 700 000 руб. по ч. 2 ст. 13.11 КоАП.
Если вы HRD и в компании внедрено КЭДО — проверьте каждый из шести шагов ниже: они покрывают типичные точки нарушений, которые фиксирует РКН при проверке HR-операторов.

КЭДО и персональные данные работников — два регулятора одновременно: Трудовой кодекс (ст. 22.2 ТК РФ) и 152-ФЗ. В 2025–2026 годах РКН усилил надзор за HR-сектором: рост числа внеплановых проверок после жалоб работников, протоколы по ч. 2 и ч. 3 ст. 13.11 КоАП. Аудит КЭДО на соответствие 152-ФЗ позволяет выявить разрывы до прихода инспектора. В этой инструкции — шесть последовательных шагов: от инвентаризации данных до проверки технических мер.

Что подготовить перед аудитом

  • Перечень всех ИСПДн, задействованных в КЭДО (платформа, облачное хранилище, СКУД, зарплатный проект)
  • Актуальные шаблоны согласий работников и даты их последнего обновления
  • Приказ о назначении ответственного за обработку ПДн (ст. 22.1 ФЗ-152)
  • Политику обработки ПДн и локальные нормативные акты по защите данных
  • Договоры с провайдером КЭДО и поручения на обработку ПДн по п. 3 ст. 6 ФЗ-152

Шаг 1. Установите правовые основания обработки данных в КЭДО

КЭДО обрабатывает минимум три категории данных: идентификационные (ФИО, СНИЛС, ИНН), кадровые (должность, подразделение, даты приёма/увольнения) и технические (логины, ЭЦП). Для каждой категории требуется отдельное правовое основание по ст. 6 ФЗ-152.

Обработка, необходимая для исполнения трудового договора, ведётся без согласия — по п. 5 ч. 1 ст. 6 ФЗ-152. Однако согласие обязательно при: передаче ПДн работника в зарплатный банк третьей стороны, использовании данных в рекламных или маркетинговых целях, биометрической идентификации в СКУД. Смешивать основания нельзя — это нарушение принципа целеограниченности (ст. 5 ФЗ-152).

«Ст. 6 ч. 1 п. 5 ФЗ-152 — обработка допускается для исполнения договора, стороной которого является субъект. Ст. 5 ФЗ-152 — цели обработки должны быть конкретными, заранее определёнными и законными; объединять базы с несовместимыми целями запрещено.»

Зафиксируйте матрицу: категория данных — цель — правовое основание — ИСПДн. Отсутствие обоснования хотя бы по одной позиции — потенциальный состав по ч. 1 ст. 13.11 КоАП (150 000–300 000 руб. для юрлица).

Шаг 2. Проверьте согласия работников по требованиям ФЗ-156

С 01.09.2025 согласие работника на обработку ПДн — строго отдельный документ. Его нельзя включать в трудовой договор, дополнительное соглашение о КЭДО, политику конфиденциальности или иной документ (ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025). Ранее подписанные согласия, встроенные в трудовые договоры, сохраняют силу — обратной силы закон не имеет, но переоформить их при первой возможности — правильная практика.

Обязательные реквизиты согласия по ст. 9 ФЗ-152: ФИО и контактные данные субъекта, наименование и адрес оператора, цель обработки, перечень ПДн, перечень действий с ПДн, срок действия, способ отзыва. Отсутствие любого реквизита — дефектное согласие, что равнозначно его отсутствию.

«Ст. 9 ФЗ-152 (ред. ФЗ-156 от 24.06.2025, действует с 01.09.2025) — согласие оформляется отдельным документом, содержащим исчерпывающий перечень реквизитов. Ст. 86–88 ТК РФ — работодатель вправе обрабатывать только те ПДн, которые необходимы для выполнения трудовых обязательств.»

Отдельное согласие требуется и для обработки в СКУД с биометрической идентификацией (ст. 11 ФЗ-152, только письменная форма). Согласие на биометрию не объединяется с иными согласиями.

Согласия работников ещё в трудовом договоре?

Если в компании КЭДО внедрено до 01.09.2025 и согласия встроены в трудовые договоры — формально нарушения по ст. 9 ФЗ-152 в новой редакции нет для старых документов, но любая новая кампания подписания уже требует отдельного документа. Риск возникает при проверке: инспектор запросит образцы, и если новые согласия оформлены по старому шаблону, это основание для протокола по ч. 2 ст. 13.11 КоАП — штраф до 700 000 руб. Юристы DATUM проведут аудит шаблонов согласий и доработают их под требования 152-ФЗ и ФЗ-156.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Проверьте поручение обработки провайдеру КЭДО

Провайдер платформы КЭДО — лицо, осуществляющее обработку ПДн по поручению оператора (п. 3 ст. 6 ФЗ-152). Оператор — работодатель. Ответственность перед субъектом остаётся на операторе: если произошла утечка через провайдера, штраф получает работодатель. Это подтверждает устойчивая позиция судов по принципу ответственности оператора за действия обработчика.

Проверьте договор с провайдером КЭДО: должно быть явное поручение с перечнем действий с ПДн, обязанность провайдера соблюдать конфиденциальность, запрет передачи третьим лицам без отдельного разрешения оператора, обязанность провайдера уведомлять оператора об инцидентах (для соблюдения 24-часового срока по ч. 3.1 ст. 21 ФЗ-152).

«П. 3 ст. 6 ФЗ-152 — оператор вправе поручить обработку другому лицу с согласия субъекта, если иное не предусмотрено федеральным законом, на основании договора. Договор должен содержать перечень действий с ПДн и цели обработки; обработчик обязан соблюдать принципы и правила обработки.»

Частая ошибка: провайдер КЭДО использует облачную инфраструктуру за рубежом. В этом случае дополнительно проверьте локализацию по ч. 5 ст. 18 ФЗ-152 — первичная запись и накопление ПДн граждан РФ обязаны происходить на серверах в РФ. Нарушение — штраф 1–6 млн руб. по ч. 8 ст. 13.11 КоАП.

Шаг 4. Как проверить данные в анкетах и личном деле?

Ст. 86 ТК РФ ограничивает перечень ПДн, которые работодатель вправе запрашивать: только данные, необходимые для трудовых отношений. Анкеты при приёме на работу нередко содержат избыточные поля: религиозная принадлежность, семейное положение партнёра, сведения о здоровье (вне рамок медосмотра). Это специальные категории ПДн по ст. 10 ФЗ-152 — их обработка без явного основания запрещена.

Проверьте анкету кандидата и форму личного дела: уберите все поля, не имеющие прямой связи с трудовой функцией. Сравните перечень полей с целями, заявленными в уведомлении РКН. Расхождение — нарушение принципа минимизации (ст. 5 ФЗ-152).

Личное дело в цифровом виде хранится в ИСПДн — проверьте, включена ли эта система в реестр ИСПДн, определён ли уровень защищённости по ПП РФ №1119. Кадровые данные без специальных категорий при числе субъектов до 100 000 — как правило, УЗ-3 или УЗ-4. При наличии данных о состоянии здоровья (медосмотры, больничные) — потенциально УЗ-3 или выше.

Шаг 5. Проверьте организационно-распорядительную документацию

Минимальный пакет ОРД для оператора, ведущего КЭДО: политика обработки ПДн с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152, опубликованная на сайте или стенде; приказ о назначении ответственного за обработку ПДн (ст. 22.1 ФЗ-152); регламент обработки ПДн в HR; инструкции для работников, допущенных к обработке; журнал обращений субъектов; порядок реагирования на инциденты с 24/72-часовыми сроками.

«Ст. 18.1 ФЗ-152 — оператор обязан принять меры по обеспечению выполнения обязанностей, в том числе издать документы, определяющие политику в отношении обработки ПДн. Ст. 22.1 ФЗ-152 — юридическое лицо обязано назначить лицо, ответственное за организацию обработки.»

Непубликация политики обработки ПДн — самостоятельный состав: ч. 3 ст. 13.11 КоАП, штраф 30 000–60 000 руб. Мелко, но фиксируется при любой плановой или внеплановой проверке как первый пункт протокола. Отсутствие приказа о назначении ответственного — ещё один типовой дефект, который инспекторы записывают в предписание.

Если HRD получил запрос РКН или уведомление о проверке — у вас есть время привести ОРД в порядок до визита инспектора. Юристы DATUM соберут комплект документов под ключ и подготовят позицию по каждому запросу.

Собрать ОРД под ключ

Шаг 6. Как проверить технические меры защиты КЭДО и СКУД?

Технические меры определяются уровнем защищённости ИСПДн. Для КЭДО с кадровыми данными без специальных категорий — как правило, УЗ-3 или УЗ-4 (ПП РФ №1119). Базовый набор мер по Приказу ФСТЭК №21: управление доступом (УПД), регистрация событий (РСБ), антивирусная защита (АВЗ), защита носителей информации (ЗНИ), обеспечение целостности (ОЦЛ).

Для СКУД с биометрической идентификацией — минимум УЗ-3 (биометрические ПДн плюс прочие категории, тип угроз 3). Хранение шаблонов биометрии вне ЕБС допустимо только при наличии письменного согласия работника и соответствия требованиям ФЗ-572, если СКУД не передаёт данные в ЕБС. При числе работников более 1 000 — отдельная оценка типа угроз.

Проверьте: настроено ли разграничение доступа к КЭДО (минимум по ролям: кадровик, руководитель, работник); ведётся ли журнал событий; есть ли резервное копирование; проводилось ли тестирование на проникновение или оценка уязвимостей. Документируйте результаты — при проверке РКН технические меры должны быть подтверждены актами, журналами, политиками ИБ.

Типичные ситуации при аудите КЭДО

Ситуация 1. Согласие на биометрию в СКУД встроено в трудовой договор. До 01.09.2025 это было распространённой практикой. После вступления в силу ФЗ-156 любое новое согласие — отдельный документ. Более того, согласие на биометрию по ст. 11 ФЗ-152 всегда требовало письменной формы и не могло быть частью договора. При проверке инспектор запрашивает оригинал согласия; встроенное в договор согласие признаётся дефектным. Стратегия: инициировать переподписание биометрических согласий отдельными документами при ближайшем удобном случае — плановый пересмотр ЛНА или внеплановое уведомление работников.

Ситуация 2. Провайдер КЭДО — иностранная компания, серверы за рубежом. Компания ведёт КЭДО на платформе, первичная запись происходит в облаке за пределами РФ. Нарушение ч. 5 ст. 18 ФЗ-152 — штраф 1–6 млн руб. по ч. 8 ст. 13.11 КоАП, при повторном нарушении — 6–18 млн руб. Стратегия: проверить договор с провайдером, запросить сведения о расположении серверов, при необходимости мигрировать на российскую платформу или потребовать локализацию данных.

Ситуация 3. В анкете кандидата — поля о вероисповедании и семейном положении супруга. Это специальные категории ПДн (ст. 10 ФЗ-152) без законного основания для обработки. При утечке анкеты или жалобе кандидата — нарушение влечёт штраф 150 000–300 000 руб. по ч. 1 ст. 13.11 КоАП и, потенциально, квалификацию по ч. 12–14 при достаточном числе субъектов. Стратегия: немедленно исключить избыточные поля из анкеты, уничтожить ранее собранные данные по этим полям с составлением акта.

Кейс из практики. HR-департамент торговой сети (Сибирский ФО, осень 2025) прошёл внеплановую проверку РКН по жалобе уволенного работника. Инспектор выявил три нарушения: биометрические согласия встроены в договор о полной материальной ответственности, политика ПДн не обновлена с 2021 года, в личном деле хранились данные о состоянии здоровья без отдельного основания. По итогам — предписание об устранении и протокол по ч. 1, ч. 2, ч. 3 ст. 13.11 КоАП. В совокупности штраф составил сотни тысяч рублей. При своевременном аудите КЭДО все три нарушения были бы устранены до проверки.

Услуги DATUM по теме

  • Аудит соответствия 152-ФЗ — анализ КЭДО, согласий, ОРД и технических мер по чек-листу из 38 пунктов
  • Комплект ОРД под ключ — политика ПДн, согласия работников, приказы, регламент реагирования
  • DPO-аутсорсинг — ответственный по ст. 22.1 на абонентском обслуживании, включая ответы на запросы работников

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, подписанные до 01.09.2025, сохраняют юридическую силу — ФЗ-156 обратной силы не имеет. Однако любое новое согласие, оформляемое после 01.09.2025, должно быть отдельным документом с полным перечнем реквизитов по ст. 9 ФЗ-152. Рекомендуется при плановом пересмотре ЛНА переоформить все согласия по новому шаблону, чтобы снять риски при проверке.

2. Какие данные нельзя спрашивать в анкете кандидата?

Ст. 86 ТК РФ ограничивает сбор данных рамками трудовых отношений. Под запрет попадают: религиозные и политические взгляды, национальная принадлежность, состояние здоровья (вне обязательного медосмотра), сведения о родственниках, не являющихся иждивенцами. Это специальные категории по ст. 10 ФЗ-152: обработка без явного законного основания запрещена. Наличие таких полей в анкете — самостоятельное нарушение.

3. Можно ли вести видеонаблюдение в офисе без согласия работников?

Да, если видеонаблюдение ведётся в законных целях (охрана собственности, контроль рабочего времени) и работники ознакомлены с ним под роспись в ЛНА. Согласие в этом случае не требуется — обработка ведётся на основании законного интереса работодателя (ст. 6 ФЗ-152) и норм ТК РФ об организации труда. Если биометрия лица используется для идентификации, требуется отдельное письменное согласие по ст. 11 ФЗ-152.

4. Сколько хранить согласия после увольнения работника?

Единого срока для согласий нет. Личное дело работника — как правило, 75 лет (для принятых до 2003 года) или 50 лет (принятых после 2003 года) по Приказу Росархива. Согласия как документ-основание хранятся весь срок хранения личного дела. После истечения срока — уничтожение с составлением акта. Уничтожать согласие раньше окончания хранения личного дела нельзя: это нарушение п. 4 ч. 4 ст. 9 ФЗ-152.

5. Кто является оператором ПДн при использовании КЭДО — работодатель или провайдер платформы?

Оператором является работодатель: именно он определяет цели и способы обработки ПДн работников. Провайдер КЭДО — обработчик по поручению оператора (п. 3 ст. 6 ФЗ-152). Договор с провайдером должен содержать явное поручение с перечнем действий. Ответственность перед РКН и работниками несёт оператор — работодатель, даже если утечка произошла на стороне провайдера.

6. Что проверяет РКН при внеплановой проверке HR-оператора?

Типовой перечень: наличие уведомления в реестре операторов ПДн на pd.rkn.gov.ru, актуальность политики обработки ПДн, наличие и состав согласий работников, приказ о назначении ответственного, договор поручения с провайдером КЭДО, меры по защите данных (организационные и технические), журнал обращений субъектов. При жалобе уволенного работника дополнительно запрашивают документы об уничтожении или блокировании его ПДн.

Итог

Аудит КЭДО на соответствие 152-ФЗ охватывает шесть направлений: правовые основания, согласия по ФЗ-156, поручение провайдеру, состав данных в анкетах и личном деле, ОРД и технические меры. Большинство нарушений устраняются на этапе подготовки документов — до того, как инспектор РКН составит протокол. Штрафы по ст. 13.11 КоАП в редакции с 30.05.2025 кратно выросли: нарушение по ч. 2 — до 700 000 руб., по ч. 12 при утечке — от 3 млн руб.

Юристы DATUM сопровождают HR-операторов по 152-ФЗ с 2014 года: аудит, сборка ОРД, проверка шаблонов согласий, подготовка к проверкам РКН и защита в арбитраже при штрафах по ст. 13.11 КоАП.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ (ФЗ-156), КЭДО, биометрия в СКУД, проверки РКН в HR-департаментах.

18 января 2028 года