Что грозит за отсутствие согласия после 01.09.2025
ФЗ-156 от 24.06.2025 изменил ч. 1 ст. 9 ФЗ-152: с 01.09.2025 согласие субъекта персональных данных оформляется исключительно отдельным документом. Для HR-директора это означает ревизию всей кадровой документации: анкеты при найме, трудовые договоры, согласия на обработку в КЭДО, биометрия в СКУД, передача данных в зарплатные проекты. Инструкция ниже содержит шесть шагов — от инвентаризации до финального контроля.
Шаг 1. Проведите инвентаризацию существующих согласий
Начните с полного реестра документов, в которых сейчас содержатся какие-либо основания для обработки ПДн работников. Типичные места «встраивания» согласия до 01.09.2025: трудовой договор (пункт «Работник даёт согласие на обработку ПДн»), анкета соискателя, согласие на обработку биометрии в СКУД, согласие при подключении к КЭДО, форма зарплатного проекта.
Зафиксируйте по каждому документу: дата подписания, категория данных, цель обработки, срок действия согласия. Это станет базой для шага 2.
Согласия, подписанные до 01.09.2025, обратной силы закон не имеет — переоформлять их не обязательно. Однако если содержание такого согласия не соответствовало требованиям ст. 9 ФЗ-152 (отсутствовал перечень ПДн, цель, срок или способ отзыва) — основания для штрафа по ч. 2 ст. 13.11 существовали и до поправок.
Согласия работников нужно проверить до следующей проверки РКН?
Если HR-директор ещё не провёл инвентаризацию кадровой документации по ст. 9 ФЗ-152 — каждый несоответствующий документ создаёт риск штрафа 300 000–700 000 ₽ по ч. 2 ст. 13.11 КоАП. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.
Заказать аудит 152-ФЗ+7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Шаг 2. Определите, какие согласия требуют переоформления
После инвентаризации разделите документы на три группы. Первая — согласия, оформленные как отдельный документ с полным набором реквизитов по ст. 9 ФЗ-152: ФИО работника, контактные данные, наименование оператора, цель обработки, перечень ПДн, перечень действий, срок, способ отзыва. Такие документы актуальны; переоформлять не нужно.
Вторая группа — согласия, встроенные в трудовой договор или иной документ и подписанные после 01.09.2025. Это прямое нарушение ч. 1 ст. 9 ФЗ-152 в новой редакции: основание для протокола по ч. 2 ст. 13.11 КоАП. Требуют немедленного переоформления.
Третья группа — согласия, оформленные до 01.09.2025 как отдельный документ, но с неполным составом реквизитов. Нарушение существовало и до ФЗ-156; при проверке РКН инспектор вправе применить ст. 13.11 ч. 2. Также подлежат переоформлению при первой возможности.
Шаг 3. Составьте корректные формы согласий для каждой цели обработки
Для каждой цели обработки ПДн — отдельная форма согласия. Смешивать цели в одном документе закон не запрещает, но перечень ПДн и действий должен строго соответствовать каждой заявленной цели. Типовые цели в HR: исполнение трудового договора, ведение личного дела, передача в государственные органы, передача в банк по зарплатному проекту, обработка биометрии в СКУД, обработка в системе КЭДО.
Обязательные реквизиты согласия по ст. 9 ФЗ-152: ФИО субъекта; контактные данные (адрес, телефон или email); наименование и адрес оператора; цель обработки; перечень персональных данных; перечень действий с ПДн (сбор, запись, хранение, передача и т. д.); срок действия согласия или условие его прекращения; способ отзыва.
Что подготовить для переоформления согласий
- Реестр целей обработки ПДн в компании с перечнем категорий данных по каждой цели
- Отдельные формы согласий под каждую цель: трудовые отношения, КЭДО, биометрия СКУД, зарплатный проект
- Актуальная политика обработки ПДн с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152 — опубликованная на сайте компании
- Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152
- Журнал учёта выданных согласий и фиксации фактов отзыва
Отдельного внимания требует согласие на распространение ПДн по ст. 10.1 ФЗ-152 — публикация фотографий работников на сайте, в социальных сетях, пресс-релизах. Это согласие обязано быть самостоятельным документом с прямым указанием на возможность распространения и конкретными площадками.
Шаг 4. Урегулируйте вопросы КЭДО и биометрии в СКУД
Кадровый электронный документооборот регулируется ст. 22.2–22.3 ТК РФ. Оператором ПДн при использовании КЭДО выступает работодатель. Согласие работника на обработку ПДн в системе КЭДО — отдельный документ; его нельзя совмещать с соглашением о переходе на электронный документооборот.
Биометрические данные (изображение лица для СКУД с распознаванием лиц, отпечатки пальцев) — специальная категория по ст. 11 ФЗ-152. Обработка только с письменного согласия. Работник вправе отказаться от биометрической идентификации без последствий для трудовых отношений; работодатель обязан предоставить альтернативный способ учёта рабочего времени.
Если СКУД использует систему с хранением биометрического шаблона на сервере компании — дополнительно проверьте соответствие техническим требованиям ПП РФ №1119 и Приказа ФСТЭК №21: биометрические данные в большинстве случаев требуют уровня защищённости УЗ-3 или УЗ-2.
Как выглядит нарушение на практике и чем грозит?
Кейс 1. Производственная компания Сибирского ФО (осень 2025) использовала типовой трудовой договор с пунктом «Работник даёт согласие на обработку ПДн в целях исполнения договора». После 01.09.2025 новый сотрудник подписал такой договор. РКН при плановой проверке в начале 2026 года квалифицировал это как нарушение ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156 и возбудил дело по ч. 2 ст. 13.11 КоАП. Штраф для юрлица составил сотни тысяч рублей. Параллельно зафиксировано нарушение по ч. 3 ст. 13.11 (отсутствие актуальной политики обработки ПДн на сайте). ⚠️ Номер дела и точная сумма уточняются менеджером при публикации.
Кейс 2. Торговая сеть Центрального ФО (начало 2026) подверглась внеплановой проверке РКН после жалобы уволенного работника. Согласие на передачу ПДн в банк для зарплатного проекта оказалось включено в анкету при трудоустройстве и не содержало срока действия. Дополнительно биометрическое согласие для СКУД не было оформлено как самостоятельный документ. РКН вынес предписание об устранении нарушений и возбудил дела по ч. 2 ст. 13.11 КоАП по каждому эпизоду. ⚠️ Номер дела и точные суммы уточняются менеджером при публикации.
Сценарии нарушений: что проверяет РКН у HR-директора
Сценарий 1. Согласие в трудовом договоре после 01.09.2025. Ситуация: в стандартном шаблоне договора остался пункт о согласии на обработку ПДн. Работник подписал договор после 01.09.2025. Доказательства: экземпляр договора у работодателя с датой подписания. Исход: ч. 2 ст. 13.11 КоАП, штраф 300 000–700 000 ₽ за каждый такой договор. Стратегия: немедленное переоформление отдельным документом; при наличии нескольких случаев — одновременная подача возражений по всем эпизодам с указанием на однородность нарушения.
Сценарий 2. Работник потребовал уничтожения ПДн после увольнения. Ситуация: уволенный сотрудник направил требование об уничтожении персональных данных, ссылаясь на прекращение трудовых отношений. Доказательства: обязанность хранить кадровые документы 75 лет по законодательству об архивном деле — это самостоятельное правовое основание по п. 2 ст. 6 ФЗ-152, не требующее согласия. Исход: требование правомерно отклоняется в части документов с установленным сроком хранения; данные, собранные сверх необходимого (например, паспортные данные родственников без основания), подлежат уничтожению. Стратегия: дать письменный ответ работнику в течение 10 рабочих дней по ст. 20 ФЗ-152 с указанием правового основания хранения каждой категории данных.
Сценарий 3. Согласие на биометрию в СКУД отсутствует или неполное. Ситуация: СКУД с распознаванием лиц введён в эксплуатацию без получения письменного биометрического согласия от работников. Доказательства: журнал ознакомления с СКУД не содержит отдельного биометрического согласия. Исход: ч. 2 ст. 13.11 (отсутствие письменного согласия при обязательности) + потенциально ч. 16 ст. 13.11 за нарушение требований к обработке биометрии. Стратегия: получить согласия немедленно; тех, кто отказывается — перевести на альтернативный метод идентификации.
Если HR-директор выявил хотя бы один из трёх сценариев — срок на устранение до следующего запроса РКН не определён заранее. Юристы DATUM соберут комплект ОРД под ключ: согласия, политика, приказы, регламент реагирования.
Собрать ОРД под ключШаг 5. Организуйте процесс сбора и хранения согласий
Согласие должно существовать до начала обработки персональных данных. На практике это означает: форма согласия подписывается в день приёма на работу, до внесения данных в кадровую систему, HR-программу или передачи в банк зарплатного проекта.
Храните подписанные согласия в личном деле работника. После увольнения личное дело хранится 75 лет (для документов, оформленных с 2003 года). Согласие как часть личного дела хранится тот же срок. Отзыв согласия работником фиксируйте в журнале с датой получения заявления: с этой даты прекращается обработка ПДн, не основанная на иных правовых основаниях.
Шаг 6. Проверьте готовность к взаимодействию с РКН
Роскомнадзор при плановой и внеплановой проверке запрашивает: уведомление о намерении обрабатывать ПДн по ст. 22 ФЗ-152 (наличие в реестре pd.rkn.gov.ru), политику обработки ПДн с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152, образцы согласий по каждой цели обработки, приказ о назначении ответственного по ст. 22.1, журнал обращений субъектов.
Неуведомление РКН о намерении обрабатывать ПДн грозит штрафом 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП. Отсутствие опубликованной политики — штраф 30 000–60 000 ₽ по ч. 3 ст. 13.11. Отсутствие ответственного по ст. 22.1 — нарушение, фиксируемое при каждой проверке.
Важный индикатор риска: если численность работников превышает порог и компания обрабатывает специальные категории ПДн (данные о здоровье в медицинских справках, листах нетрудоспособности) — требования к уровню защищённости ИСПДн повышаются до УЗ-3 по ПП РФ №1119.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка всех кадровых согласий и ОРД по 38 пунктам
- Комплект ОРД под ключ — формы согласий, политика, приказы, журналы для HR
- DPO-аутсорсинг — ответственный по ст. 22.1 на абонентском обслуживании
Частые вопросы
1. Нужно ли переподписывать согласия работников после 01.09.2025?
Согласия, оформленные до 01.09.2025 как отдельный документ с полным набором реквизитов по ст. 9 ФЗ-152, переоформлять не требуется: ФЗ-156 не имеет обратной силы. Если согласие было встроено в трудовой договор или иной документ и получено до 01.09.2025 — с юридической точки зрения оно остаётся действительным в части соответствия прежней редакции закона. Однако при подписании новых или перезаключении существующих договоров после 01.09.2025 согласие обязано быть отдельным документом.
2. Какие данные нельзя спрашивать в анкете?
Ст. 86 ТК РФ прямо запрещает получать и обрабатывать персональные данные о политических, религиозных и иных убеждениях, членстве в общественных объединениях, в том числе профсоюзах, без письменного согласия работника. Данные о состоянии здоровья запрашиваются только в объёме, необходимом для определения пригодности к работе. Данные о частной жизни, национальной принадлежности, судимости (если должность не предполагает соответствующих ограничений по закону) — собирать без основания нельзя. Каждый лишний вопрос в анкете создаёт риск нарушения ст. 5 ФЗ-152 (принцип соответствия объёма целям).
3. Можно ли вести видеонаблюдение в офисе?
Видеозапись, по которой можно идентифицировать конкретного человека, является персональными данными. Для ведения видеонаблюдения в офисе необходимо: уведомить работников о факте съёмки (ст. 22.2 ТК РФ и локальный нормативный акт), разместить таблички о видеонаблюдении, определить цели обработки (охрана труда, безопасность), установить срок хранения записей. Согласие работника на само видеонаблюдение не требуется, если оно обосновано трудовым законодательством и работники уведомлены. Если изображение лица используется для биометрической идентификации (СКУД с распознаванием) — это биометрия по ст. 11 ФЗ-152 и требует письменного согласия.
4. Сколько хранить согласия после увольнения?
Согласие на обработку персональных данных является частью личного дела работника. Личные дела работников, оформленные с 2003 года, хранятся 75 лет согласно перечню типовых управленческих архивных документов. Даже после отзыва согласия работником сам документ (факт подписания и отзыва) хранится в течение установленного срока как доказательство правомерности прежней обработки. Уничтожать согласие одновременно с увольнением работника нельзя.
5. Кто является оператором при использовании КЭДО?
При использовании системы КЭДО (кадровый электронный документооборот) оператором персональных данных работников является работодатель — именно он определяет цели и способы обработки ПДн в системе. Провайдер КЭДО выступает лицом, осуществляющим обработку по поручению оператора по п. 3 ст. 6 ФЗ-152. С провайдером обязательно заключение договора поручения обработки с перечнем разрешённых действий, требованиями к защите и обязанностью уничтожить данные по истечении договора. Согласие работника на обработку в КЭДО — отдельный документ; соглашение о переходе на КЭДО по ст. 22.2 ТК РФ его не заменяет.
Итог
После 01.09.2025 обработка ПДн работников без отдельного согласия грозит штрафом 300 000–700 000 ₽ по ч. 2 ст. 13.11 КоАП за каждый эпизод; при повторном нарушении — 1 000 000–1 500 000 ₽. Шесть шагов этой инструкции охватывают инвентаризацию, переоформление, работу с КЭДО и биометрией СКУД, организацию хранения и подготовку к проверке РКН.
DATUM сопровождает HR-департаменты в части соответствия 152-ФЗ: аудит согласий, сборка ОРД под ключ, аутсорсинг функции ответственного по ст. 22.1. Практика по кадровым персональным данным в сети «Ветров и партнёры» ведётся с 2014 года.
21 мая 2028 года