Бумажные согласия после 01.09.2025
С 01.09.2025 правила оформления согласий на обработку персональных данных кардинально изменились. Поправки ФЗ-156 от 24.06.2025 к ч. 1 ст. 9 ФЗ-152 запрещают объединять согласие с любым другим документом: трудовым договором, должностной инструкцией, согласием на видеонаблюдение или политикой. Согласия, полученные до 01.09.2025 в составе других документов, обратной силы поправки не имеют — но новые необходимо оформлять по новым требованиям. В этой инструкции — шесть шагов, которые помогут HR-департаменту привести бумажный документооборот в соответствие с актуальными требованиями: от аудита существующих согласий до хранения и уничтожения.
Шаг 1. Проверьте, какие согласия у вас уже есть
До любых изменений нужно зафиксировать исходное состояние. Соберите все формы, которые HR подписывает с работниками при приёме: заявление о приёме, трудовой договор, анкету кандидата, согласие на обработку ПДн, согласие на видеонаблюдение, согласие на биометрию СКУД. Для каждой формы ответьте на три вопроса: включено ли согласие на обработку ПДн в состав другого документа; перечислены ли конкретные категории обрабатываемых данных; указана ли цель обработки, срок и способ отзыва.
Если согласие включено в трудовой договор или анкету — такая форма не соответствует ч. 1 ст. 9 ФЗ-152 в редакции с 01.09.2025 для новых работников. Работников, принятых до 01.09.2025 с такими согласиями, переподписывать не требуется — ФЗ-156 обратной силы не имеет. Но всех, кого вы принимаете после 01.09.2025, подписывать нужно по новым правилам.
Что должно быть в каждом бумажном согласии?
Ст. 9 ФЗ-152 устанавливает обязательный перечень реквизитов письменного согласия. Отсутствие хотя бы одного реквизита означает, что согласие считается недействительным, а обработка ПДн — незаконной по ч. 1 ст. 13.11 КоАП.
Обязательные реквизиты бумажного согласия
- Фамилия, имя, отчество субъекта персональных данных и его контактные данные
- Наименование и адрес оператора (работодателя), а также каждого третьего лица, если данные передаются
- Цель обработки персональных данных — конкретная, не обобщённая («для исполнения трудовых обязанностей» — недостаточно, нужно «для ведения кадрового учёта, расчёта заработной платы, передачи в ФНС»)
- Перечень персональных данных — категории и конкретный состав: ФИО, дата рождения, паспортные данные, СНИЛС, ИНН, банковские реквизиты, сведения об образовании
- Перечень действий с ПДн и общее описание методов обработки: сбор, запись, хранение, систематизация, передача
- Срок, в течение которого действует согласие, или условие его прекращения
- Способ отзыва согласия: письменное заявление на имя руководителя или ответственного за обработку ПДн
- Подпись субъекта с датой
Отдельно оформляются: согласие на распространение ПДн по ст. 10.1 ФЗ-152 (если вы размещаете данные работника на сайте компании или в справочнике), согласие на обработку биометрических ПДн по ст. 11 ФЗ-152 (СКУД по отпечатку или лицу), согласие на передачу данных третьим лицам (банки-партнёры зарплатного проекта, страховщики ДМС).
Согласия работников ещё в трудовом договоре?
Если HRD не выделил согласия в отдельные документы для новых работников после 01.09.2025 — каждый случай обработки без надлежащего согласия создаёт основание для штрафа до 700 000 ₽ по ч. 2 ст. 13.11 КоАП. Срок начала применения новых норм уже наступил. Юристы DATUM проведут аудит пакета кадровых согласий по 38-пунктному чек-листу и подготовят формы под новые требования ФЗ-156.
Заказать аудит 152-ФЗ+7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Шаг 2. Разделите согласия по целям и категориям данных
Одна цель — одно согласие. Это прямое требование ст. 5 ФЗ-152 о недопустимости объединения баз данных с несовместимыми целями обработки. На практике HR-департаментам требуется несколько отдельных документов для каждого работника.
Типовой набор для бумажного кадрового делопроизводства: (1) согласие на обработку ПДн для целей трудовых отношений — передача в ФНС, ПФР, ФСС, банк по зарплатному проекту; (2) согласие на обработку специальных категорий, если собираете данные о состоянии здоровья для ДМС или медосмотра (ст. 10 ФЗ-152); (3) согласие на биометрию СКУД по ст. 11 ФЗ-152 — письменное, отдельное, с указанием конкретной системы и оператора биометрии; (4) согласие на размещение фото работника на сайте или в корпоративных материалах — ст. 10.1 ФЗ-152; (5) согласие на передачу данных третьим лицам — страховщику, НПФ, банку ДМС-партнёру.
Ст. 86 ТК РФ ограничивает состав персональных данных, которые работодатель вправе запрашивать: только сведения, необходимые для исполнения трудового договора. Данные о членах семьи, политических взглядах, религии, судимости (если не требуется по должности) — запрашивать нельзя даже с согласия работника, если это не обусловлено характером работы. Ст. 87 ТК РФ обязывает установить порядок хранения и использования ПДн в локальных актах.
Шаг 3. Обновите формы и согласуйте с ответственным за обработку ПДн
После того как вы определили перечень необходимых согласий, разработайте новые формы. Каждая форма должна быть согласована с ответственным за обработку ПДн по ст. 22.1 ФЗ-152 и утверждена приказом руководителя. Форма согласия — часть организационно-распорядительной документации оператора.
Ст. 22.2 ТК РФ регулирует электронный документооборот между работником и работодателем в части КЭДО. Если в компании внедрён КЭДО — согласие на обработку ПДн для целей КЭДО тоже оформляется отдельным документом. Оператором ПДн при использовании КЭДО является работодатель, а платформа КЭДО выступает лицом, осуществляющим обработку по поручению в силу п. 3 ст. 6 ФЗ-152. Договор с оператором КЭДО должен содержать перечень действий с ПДн и обязанность по обеспечению конфиденциальности.
Для бумажного делопроизводства: форму согласия печатают в двух экземплярах, работник подписывает оба, один остаётся в личном деле, второй — у работника. Дата подписания на обоих экземплярах должна совпадать. Исправления в форме согласия не допускаются — при ошибке форма уничтожается и оформляется заново.
Если HRD ведёт КЭДО и нет договора с платформой, который регламентирует обработку ПДн по ст. 6 ФЗ-152 — это отдельный риск штрафа. Юристы DATUM подготовят комплект ОРД для HR-департамента, включая соглашение с оператором КЭДО.
Собрать ОРД под ключШаг 4. Организуйте хранение и учёт бумажных согласий
Бумажные согласия хранятся в личном деле работника. Ст. 22.1 ФЗ-152 обязывает оператора обеспечить защиту ПДн от несанкционированного доступа. Для бумажных носителей это означает: хранение в закрытых шкафах или сейфах, ограниченный доступ (только уполномоченные сотрудники HR), журнал учёта выдачи дел.
Ч. 6 ст. 13.11 КоАП устанавливает отдельный состав: несоблюдение условий хранения материальных носителей ПДн при неавтоматизированной обработке, если это повлекло неправомерный доступ. Штраф для юридического лица — 50 000–100 000 ₽. То есть ненадлежащее хранение бумажных личных дел — самостоятельное нарушение, не зависящее от содержания согласий.
Ведите журнал учёта согласий: дата оформления, вид согласия, ФИО работника, дата отзыва (если был). Журнал позволяет при проверке РКН оперативно подтвердить наличие правовых оснований для обработки по каждому работнику.
Шаг 5. Установите порядок отзыва и уничтожения согласий
Работник вправе отозвать согласие в любой момент — это прямое требование ст. 9 ФЗ-152. Порядок отзыва должен быть описан в самой форме согласия и в политике обработки ПДн. Типовой порядок: работник подаёт письменное заявление на имя руководителя или ответственного за обработку ПДн, оператор прекращает обработку в течение 30 дней, если иной срок не установлен законом.
При увольнении ситуация сложнее. Согласие на обработку ПДн в рамках трудовых отношений прекращается с расторжением трудового договора — но оператор вправе продолжать обработку, если это требуется для исполнения обязанностей по закону (налоговый учёт, воинский учёт, хранение документов по Перечню типовых архивных документов). Личное дело хранится 75 лет (для работников, принятых после 2003 года — 50 лет по приказу Росархива). В течение этого срока оператор вправе хранить ПДн без отдельного согласия — на основании закона.
Если работник требует уничтожить ПДн после увольнения — направьте мотивированный отказ со ссылкой на норму закона, обязывающую хранить документы. Уничтожению подлежат только те данные, обработка которых не предусмотрена законом: например, копии документов, которые были нужны для трудоустройства, но закон не требует их хранить после увольнения.
Шаг 6. Проверьте особые категории: биометрия СКУД и видеонаблюдение
Биометрические ПДн — отдельная категория со специальными требованиями. Если СКУД в офисе использует распознавание лица или отпечатка пальца — это биометрия по ст. 11 ФЗ-152. Обработка допустима только с письменного согласия работника. Согласие на биометрию не может быть условием трудоустройства: работодатель обязан предоставить альтернативный способ прохода (карта-пропуск, код).
Видеонаблюдение в офисе — более сложная ситуация. Если камера фиксирует лицо работника и это изображение используется для идентификации — это биометрия по ст. 11. Если камера ведёт запись в целях охраны периметра и изображение не используется для идентификации конкретных лиц — это обработка общих ПДн, основанием для которой может быть законный интерес оператора по п. 7 ч. 1 ст. 6 ФЗ-152 без отдельного согласия. Но работники должны быть уведомлены о ведении видеонаблюдения — через локальный акт и таблички.
За нарушение требований к обработке биометрических ПДн по ч. 16 ст. 13.11 КоАП предусмотрен отдельный штраф. При утечке биометрических данных — штраф по ч. 17 составляет 15 000 000–20 000 000 ₽.
Как это выглядит на практике: два сценария для HRD
Сценарий 1 — Приём нового сотрудника после 01.09.2025. Компания производственного сектора (Уральский ФО, осень 2025) при приёме продолжала использовать старую форму трудового договора с включённым согласием на обработку ПДн. На плановой проверке РКН инспектор зафиксировал нарушение ч. 1 ст. 9 ФЗ-152 по 14 трудовым договорам, заключённым после 01.09.2025. Составлен протокол по ч. 2 ст. 13.11 КоАП. Компания устранила нарушение до рассмотрения дела, оформив отдельные согласия и представив их в суд. Штраф составил несколько сотен тысяч рублей с учётом смягчающих обстоятельств. Вывод: обновлять формы нужно до первого приёма после 01.09.2025, а не после проверки.
Сценарий 2 — СКУД с распознаванием лица без письменных согласий. IT-компания (Центральный ФО, зима 2025) установила систему контроля доступа с распознаванием лица. Согласие на биометрию включала в анкету кандидата как один из пунктов. По жалобе одного из сотрудников РКН провёл внеплановую проверку. Зафиксировано нарушение ст. 11 ФЗ-152 — отсутствие отдельного письменного согласия на обработку биометрических ПДн. Дело направлено на рассмотрение по ч. 16 ст. 13.11 КоАП. Компания одновременно переключила СКУД на карты-пропуска для несогласных и оформила отдельные письменные согласия для тех, кто продолжил использовать биометрию. Это позволило квалифицировать нарушение как устранённое и применить смягчающие обстоятельства при назначении штрафа.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка кадровых согласий, ОРД, реестра по 38-пунктному чек-листу
- Комплект ОРД под ключ — формы согласий, политика, приказы, регламент хранения и уничтожения ПДн
- DPO-аутсорсинг — ответственный за обработку ПДн по ст. 22.1 на абонентском обслуживании
Частые вопросы
1. Нужно ли переподписывать согласия работников после 01.09.2025?
Нет, если согласие получено до 01.09.2025 — ФЗ-156 обратной силы не имеет. Работников, принятых до этой даты, переподписывать не нужно. Но всех, кого принимаете после 01.09.2025, подписывать необходимо по новым правилам: отдельный документ, все реквизиты ст. 9 ФЗ-152, не объединённый с трудовым договором или анкетой.
2. Какие данные нельзя запрашивать в анкете соискателя?
Ст. 86 ТК РФ ограничивает обработку ПДн работника целями трудовых отношений. Нельзя запрашивать: политические, религиозные, философские взгляды, членство в профсоюзах, данные о состоянии здоровья (кроме случаев обязательного медосмотра по должности), сведения о судимости (если она не является квалификационным требованием по закону). Данные о членах семьи — только в объёме, необходимом для предоставления льгот или гарантий, предусмотренных ТК РФ.
3. Можно ли вести видеонаблюдение в офисе без согласия сотрудников?
Зависит от цели. Если видеозапись ведётся для охраны периметра и не используется для идентификации конкретных лиц — это обработка общих ПДн, допустимая по законному интересу оператора (п. 7 ч. 1 ст. 6 ФЗ-152) без отдельного согласия. Работники должны быть уведомлены о наблюдении через локальный акт и таблички. Если система анализирует изображение лица для идентификации — это биометрия по ст. 11 ФЗ-152, и письменное согласие каждого работника обязательно.
4. Сколько хранить согласия после увольнения работника?
Согласие хранится в составе личного дела. Для работников, принятых с 2003 года, срок хранения личного дела — 50 лет (для принятых ранее — 75 лет) согласно Перечню типовых архивных документов. После этого срока документы подлежат уничтожению с составлением акта. Хранение сверх установленного срока без оснований нарушает принцип ограничения хранения по ст. 5 ФЗ-152.
5. Кто является оператором ПДн при использовании КЭДО?
Оператором при использовании КЭДО является работодатель. Платформа КЭДО обрабатывает данные по его поручению в силу п. 3 ст. 6 ФЗ-152 и ст. 22.2 ТК РФ. Договор с платформой должен содержать перечень действий с ПДн, требование конфиденциальности и обязанность уничтожить данные после окончания договора. Согласие работника на передачу данных оператору КЭДО оформляется отдельным документом по новым требованиям ст. 9 ФЗ-152.
6. Что делать, если работник отказывается подписывать согласие на обработку ПДн?
Если обработка необходима для заключения или исполнения трудового договора — согласие не требуется, основанием служит п. 5 ч. 1 ст. 6 ФЗ-152. Отказ работника подписывать согласие в этом случае не влечёт правовых последствий для оператора. Согласие требуется только для обработки сверх необходимого для трудовых отношений: размещение фото на сайте, передача данных третьим лицам по инициативе работника, биометрия СКУД. Принуждение к подписанию согласия как условие трудоустройства — нарушение ст. 9 ФЗ-152.
Итог
С 01.09.2025 согласие на обработку персональных данных работника — это отдельный документ с обязательными реквизитами, не объединяемый ни с трудовым договором, ни с анкетой, ни с политикой. Биометрия СКУД, КЭДО, передача данных в банк или страховщика — каждое из этих направлений требует отдельного согласия. Нарушение — штраф до 700 000 ₽ по ч. 2 ст. 13.11 КоАП за каждый случай.
Практика DATUM по сопровождению HR-департаментов в части соответствия 152-ФЗ охватывает разработку форм согласий, аудит существующего документооборота, подготовку ОРД и ответы на запросы РКН. Специализация — именно кадровые ПДн: ст. 86–88 ТК РФ, ст. 9, 10, 11, 22.1 ФЗ-152, КЭДО и биометрия СКУД.
14 января 2028 года