Перейти к содержанию
инструкция 21 января 2028 По состоянию на 21 января 2028

Аудит согласий: чек-лист на 20 пунктов

Согласие на обработку персональных данных по ст. 9 ФЗ-152 с 01.09.2025 — отдельный документ. Совмещать с трудовым договором, анкетой или офертой нельзя.
Штраф за согласие без обязательных реквизитов или объединённое с другим документом — от 300 000 до 700 000 рублей по ч. 2 ст. 13.11 КоАП (в редакции с 30.05.2025). Повторное нарушение — от 1 000 000 до 1 500 000 рублей.
Если вы HRD и согласия работников до сих пор вшиты в трудовой договор — каждый такой документ создаёт отдельное основание для протокола РКН. → Проверьте свои формы по чек-листу из 20 пунктов.

С 01.09.2025 требования к согласию изменились: ФЗ-156 от 24.06.2025 закрепил, что согласие оформляется только отдельным документом. HR-департаменты, которые не привели формы в соответствие, работают в зоне административного риска. В этой инструкции — 20 проверочных пунктов: реквизиты согласия, ограничения по категориям данных, КЭДО, биометрия СКУД, хранение и уничтожение. Каждый пункт привязан к конкретной норме.

Шаг 1. Проверьте, что согласие оформлено отдельным документом

С 01.09.2025 согласие нельзя включать в трудовой договор, анкету соискателя, соглашение о конфиденциальности или любой иной документ. Это требование ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025. Ранее полученные согласия, встроенные в другие документы, формально продолжают действовать — обратной силы норма не имеет. Но если работник отзовёт старое согласие, получить новое можно только по новым правилам.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — согласие на обработку персональных данных оформляется в виде отдельного документа. Объединение с иными документами не допускается.»

Пункты 1–4: форма документа

  • Согласие — отдельный лист или файл, не встроено в трудовой договор или анкету.
  • Документ подписан работником собственноручно или усиленной квалифицированной электронной подписью.
  • При дистанционной работе или КЭДО — подписание УКЭП или НЭП по соглашению сторон (ст. 22.2 ТК РФ).
  • Дата подписания указана в самом согласии, а не только в листе ознакомления.

Шаг 2. Проверьте обязательные реквизиты согласия

Ст. 9 ФЗ-152 устанавливает минимальный состав сведений, без которых согласие считается ненадлежащим. Отсутствие любого реквизита — основание для протокола по ч. 2 ст. 13.11 КоАП. Инспектор РКН проверяет реквизиты в первую очередь: это формальный состав, который устанавливается без дополнительного расследования.

Пункты 5–10: обязательные реквизиты

  • Фамилия, имя, отчество субъекта — работника или соискателя.
  • Контактные данные субъекта: адрес, телефон или email.
  • Полное наименование оператора и его адрес.
  • Цель (цели) обработки — конкретные, не «в целях трудовых отношений» без расшифровки.
  • Перечень персональных данных, на обработку которых даётся согласие.
  • Срок действия согласия или указание на бессрочность, а также способ отзыва.

Согласия работников составлены до 01.09.2025 — что переделывать?

Если в вашем HR-пакете согласия встроены в трудовой договор или не содержат всех реквизитов по ст. 9 ФЗ-152 — каждый такой документ создаёт риск штрафа от 300 000 до 700 000 рублей. Новые сотрудники уже должны подписывать согласие по новым правилам. Юристы DATUM проведут аудит форм и соберут пакет согласий, соответствующих требованиям ФЗ-156. Работа — от 45 000 рублей, срок — до 10 рабочих дней.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Проверьте ограничения по категориям данных по ст. 86–87 ТК РФ

Ст. 86 ТК РФ запрещает запрашивать у работника данные о политических взглядах, религии, членстве в профсоюзах — если только это не требуется по федеральному закону. Ст. 87 ТК РФ обязывает хранить персональные данные в порядке, обеспечивающем их защиту от несанкционированного доступа. Нарушение этих норм дополнительно квалифицируется по трудовому законодательству. HR-анкеты нередко содержат вопросы, которые не нужны для трудовых отношений и создают риск одновременно по ТК и ФЗ-152.

«Ст. 10 ФЗ-152 — обработка специальных категорий ПДн (сведения о здоровье, судимости, политических взглядах) по общему правилу запрещена. Допустима только при наличии оснований п. 2 ст. 10, в том числе при наличии письменного согласия субъекта.»

Пункты 11–14: категории данных и анкета

  • В анкете соискателя нет вопросов о политических взглядах, религии, членстве в партиях или профсоюзах.
  • Сведения о состоянии здоровья запрашиваются только при наличии законодательного требования (например, предварительный медосмотр для должностей по ст. 213 ТК) и с отдельным согласием на спецкатегорию.
  • Согласие на обработку спецкатегорий — отдельный документ, не объединено с общим согласием на обработку ПДн.
  • Данные о судимости запрашиваются только для должностей, для которых это прямо предусмотрено федеральным законом.

Шаг 4. Проверьте согласие на биометрию при использовании СКУД

Если в офисе установлена система контроля доступа по отпечатку пальца, геометрии руки или изображению лица — это биометрические персональные данные по ст. 11 ФЗ-152. Для их обработки требуется письменное согласие, отдельное от общего согласия на ПДн. Устное согласие или отметка в листе ознакомления не являются надлежащим основанием. Исключение — ст. 11 ч. 2 ФЗ-152 (государственные функции, безопасность и пр.) — к частным работодателям не применяется.

Пункты 15–17: биометрия СКУД

  • Согласие на обработку биометрии — отдельный письменный документ по ст. 11 ФЗ-152, подписан до начала сбора биометрических данных.
  • В согласии указан конкретный тип биометрии (изображение лица / отпечаток), цель (контроль доступа), оператор СКУД.
  • Работник, не давший согласие на биометрию, имеет альтернативный способ прохода (карта, пин-код) — отказ не является дисциплинарным нарушением.

Если HRD получил предписание РКН по биометрии СКУД или согласиям работников — у вас ограниченное время на устранение нарушений. Юристы DATUM оценят документы и подготовят ответ на предписание.

Подготовиться к проверке РКН

Шаг 5. Проверьте хранение, уничтожение и обработку в КЭДО

Согласие хранится в личном деле работника. Личное дело по типовым срокам хранится 75 лет после увольнения. Само согласие как документ, подтверждающий правомерность обработки, нужно сохранять не менее срока обработки плюс период возможного обжалования. Если данные больше не нужны — обработку необходимо прекратить и данные уничтожить по ст. 21 ФЗ-152. При ведении КЭДО оператором является работодатель: он обязан обеспечить соответствие обработки ПДн в системе КЭДО всем требованиям ФЗ-152, включая уведомление РКН по ст. 22.

«Ст. 21 ФЗ-152 — оператор обязан уничтожить или обезличить ПДн при достижении цели обработки или при отзыве согласия субъектом. Срок уничтожения — не позднее 30 дней с момента наступления соответствующего основания (если иное не предусмотрено законом).»

Пункты 18–20: хранение и КЭДО

  • Согласия хранятся в личном деле с соблюдением режима конфиденциальности; доступ — только уполномоченным сотрудникам.
  • После увольнения данные обрабатываются только в объёме, необходимом для исполнения обязательных требований (налоговый учёт, архив); избыточные данные уничтожаются с составлением акта.
  • В системе КЭДО заключён договор-поручение с оператором системы по п. 3 ст. 6 ФЗ-152; поручение содержит перечень допустимых действий и требование о конфиденциальности.

Как ошибки в согласиях выглядят на практике

Сценарий 1. Производственная компания (Уральский ФО, весна 2025) использовала единое согласие, совмещённое с трудовым договором. При плановой проверке инспектор РКН зафиксировал нарушение ч. 1 ст. 9 ФЗ-152. Составлен протокол по ч. 2 ст. 13.11 КоАП (в тогда ещё действующей редакции). Штраф для юридического лица составил сотни тысяч рублей. После вступления в силу ФЗ-420 с 30.05.2025 тот же состав влечёт от 300 000 до 700 000 рублей. Стратегия: до прихода инспектора перейти на отдельные формы согласий и сохранить доказательства даты перехода.

Сценарий 2. IT-компания (Центральный ФО, лето 2025) внедрила биометрическую СКУД без отдельных письменных согласий — использовала стандартную отметку в листе ознакомления с ПВТР. Один из сотрудников подал жалобу в РКН. Возбуждено дело по ч. 2 ст. 13.11 (обработка биометрии без письменного согласия по ст. 11 ФЗ-152). Оператор устранил нарушение до рассмотрения дела, что было учтено судом. Стратегия: до запуска биометрии — отдельное согласие и альтернативный способ доступа для отказавшихся.

Услуги DATUM по теме

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025, обратной силы ФЗ-156 не имеют: их переподписывать не требуется, если они содержат все реквизиты по ст. 9 ФЗ-152 в прежней редакции и не совмещены с документом, который сам по себе создаёт противоречие (например, прямо запрещает отдельное оформление). Новые работники, принятые с 01.09.2025, должны подписывать согласие только в виде отдельного документа. Если работник отзывает старое согласие — новое оформляется уже по требованиям ФЗ-156.

2. Какие данные нельзя спрашивать в анкете соискателя?

Ст. 86 ТК РФ и ст. 10 ФЗ-152 запрещают без специального основания запрашивать: политические и религиозные взгляды, членство в партиях и профсоюзах, сведения о состоянии здоровья (кроме предусмотренных законом медосмотров), данные о судимости (только для должностей, где это предусмотрено федеральным законом), сведения об интимной жизни. Анкета может содержать только данные, необходимые для оценки профессиональных качеств и заключения трудового договора.

3. Можно ли вести видеонаблюдение в офисе?

Видеонаблюдение в офисе допустимо при наличии надлежащего правового основания. Изображение лица, если оно используется для идентификации конкретного работника, — биометрические ПДн по ст. 11 ФЗ-152 и требует письменного согласия. Если запись ведётся только в целях общей безопасности и идентификация конкретных лиц не производится — это иная категория обработки, но работники всё равно должны быть уведомлены под подпись (ст. 86 ТК РФ). Уведомление о наблюдении размещается на видном месте в помещении.

4. Сколько хранить согласия после увольнения?

Согласие как документ, подтверждающий правомерность обработки, хранится в составе личного дела. Типовой срок хранения личного дела работника — 75 лет (для документов, созданных до 2003 года — 75 лет, после 2003 — 50 лет по Приказу Росархива №236). Само согласие должно быть доступно на протяжении всего периода возможного обжалования действий оператора. После истечения всех сроков хранения документы уничтожаются с составлением акта по ст. 21 ФЗ-152.

5. Кто является оператором при использовании КЭДО?

Оператором персональных данных при использовании КЭДО является работодатель — он определяет цели и способы обработки ПДн работников в системе. Поставщик КЭДО-платформы выступает лицом, осуществляющим обработку по поручению оператора (п. 3 ст. 6 ФЗ-152). Поручение должно быть оформлено договором с перечнем допустимых действий и требованием конфиденциальности. Работодатель несёт ответственность за соответствие обработки ПДн в КЭДО требованиям ФЗ-152, включая уведомление РКН по ст. 22.

6. Что делать, если работник отказывается подписывать согласие?

Отказ работника от согласия на обработку ПДн, которое не является обязательным условием трудовых отношений, не может быть основанием для отказа в приёме на работу или увольнения. Обработка данных, необходимых непосредственно для исполнения трудового договора, осуществляется на основании п. 5 ч. 1 ст. 6 ФЗ-152 без согласия. Согласие требуется только для тех данных и целей, которые выходят за пределы прямых трудовых отношений, — например, для передачи данных третьим лицам или для биометрии СКУД.

Итог

Чек-лист из 20 пунктов охватывает пять ключевых зон риска HR-департамента: форма и реквизиты согласия по ст. 9 ФЗ-152 в редакции ФЗ-156, ограничения по категориям данных по ст. 86–87 ТК и ст. 10 ФЗ-152, биометрия СКУД по ст. 11 ФЗ-152, хранение и уничтожение после увольнения, поручение обработки в КЭДО. Нарушение любого из этих блоков создаёт самостоятельное основание для протокола РКН и штрафа от 300 000 рублей.

DATUM сопровождает HR-департаменты в приведении согласий и ОРД в соответствие с актуальными требованиями: аудит форм, разработка пакета документов, представление интересов при проверке РКН.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах.

21 января 2028 года