Перейти к содержанию
инструкция 4 февраля 2029 По состоянию на 4 февраля 2029

DATUM-консультация по сложным HR-случаям

Сложный HR-случай по 152-ФЗ — это ситуация, когда стандартный пакет документов не даёт однозначного ответа: согласие в трудовом договоре после 01.09.2025, биометрия в СКУД без письменного согласия, КЭДО без поручения обработчику, личное дело уволенного сотрудника при его требовании об уничтожении ПДн.
С 30.05.2025 штраф за обработку ПДн без надлежащего согласия составляет 300 000 — 700 000 ₽ по ч. 2 ст. 13.11 КоАП. Повторное нарушение — 1 000 000 — 1 500 000 ₽. В HR-департаментах именно нестандартные случаи чаще всего становятся основанием для протокола.
→ Если вы HRD и столкнулись с нетипичной ситуацией — эта инструкция даёт пошаговый алгоритм действий и разбор шести распространённых кейсов.

С 01.09.2025 года требования к согласию работника по ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 изменились: согласие оформляется только отдельным документом, его нельзя встраивать в трудовой договор или политику конфиденциальности. Параллельно растёт число HR-ситуаций, где очевидного ответа нет: работник требует уничтожить данные из личного дела, КЭДО-оператор получает доступ к ПДн сотрудников без явного поручения, система СКУД снимает изображения лиц без отдельного согласия. Ниже — шесть шагов, которые помогают HR-директору оценить ситуацию, выбрать правовое основание и принять решение, не создавая рисков штрафа.

Шаг 1. Определите категорию данных и правовое основание обработки

Первое действие при любом нестандартном HR-случае — квалифицировать данные. От этого зависит основание обработки и перечень документов.

  • Общие ПДн (ФИО, дата рождения, адрес, контакты) — обрабатываются в рамках трудового договора по п. 5 ч. 1 ст. 6 ФЗ-152 без отдельного согласия, если данные необходимы для его исполнения.
  • Специальные категории (состояние здоровья, судимости, профсоюзное членство) — обрабатываются только при наличии письменного согласия или в силу прямого указания закона (ч. 2 ст. 10 ФЗ-152). Стандартный пример: справка о медосмотре, сведения о беременности.
  • Биометрические ПДн (изображение лица в СКУД, отпечатки пальцев) — требуют отдельного письменного согласия по ст. 11 ФЗ-152. Исключение — случаи, прямо предусмотренные федеральным законом (охрана отдельных категорий объектов).
  • Данные сверх цели трудового договора (например, сведения о хобби для корпоративного профиля, персональные фотографии для внутреннего портала) — требуют отдельного согласия по ст. 9 ФЗ-152 в редакции с 01.09.2025.
«Ст. 10 ФЗ-152 устанавливает, что обработка сведений о состоянии здоровья, убеждениях и судимостях по общему правилу запрещена. Допустима только при письменном согласии субъекта или в случаях, прямо указанных в федеральном законе (ч. 2 ст. 10 ФЗ-152).»

Практическое правило: если вы не можете назвать конкретную норму ФЗ-152 или ТК РФ, которая разрешает обработку данных без согласия, — согласие требуется.

Шаг 2. Проверьте соответствие согласия требованиям ФЗ-156

С 01.09.2025 согласие работника на обработку ПДн, выходящую за рамки трудового договора, должно быть оформлено отдельным документом. Реквизиты согласия по ст. 9 ФЗ-152: ФИО и контактные данные субъекта, наименование и адрес оператора, цель обработки, перечень ПДн, перечень действий с ПДн, срок действия, способ отзыва.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025: согласие субъекта оформляется отдельным документом. Включение согласия в текст трудового договора, должностной инструкции или политики конфиденциальности недопустимо с 01.09.2025.»

Типовые ошибки при проверке согласий в HR:

  • Согласие встроено в оферту КЭДО-платформы или в договор с провайдером — это не согласие работника, это согласие оператора платформы.
  • В перечне ПДн указана обобщённая формулировка «персональные данные, необходимые для трудовых отношений» — норма требует конкретного перечня.
  • Отсутствует срок действия согласия или способ отзыва — два обязательных реквизита по ст. 9 ФЗ-152.
  • Согласие подписано до 01.09.2025 и включено в трудовой договор — переоформлять обратной силы нет, но при первом изменении в обработке нужно получить новое согласие.

Согласия, полученные до 01.09.2025 по старым формам, сохраняют силу в части, соответствующей прежним требованиям. При расширении целей обработки или изменении состава данных — новое согласие обязательно.

Согласия работников всё ещё в трудовых договорах?

Если HRD не привёл согласия в соответствие с ФЗ-156 к 01.09.2025, каждый действующий документ создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП — до 700 000 ₽. При повторном нарушении — до 1 500 000 ₽. Срок для оценки ситуации ограничен: РКН проверяет соответствие при плановых и внеплановых инспекциях, в том числе дистанционно через анализ форм на сайте и в КЭДО.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Проверьте КЭДО: кто оператор и есть ли поручение?

КЭДО (кадровый электронный документооборот) — типичная точка риска, которую обнаруживают при аудите. Провайдер КЭДО получает доступ к ПДн работников, однако договор с ним нередко не оформлен как поручение обработки по п. 3 ст. 6 ФЗ-152.

Алгоритм проверки:

  • Установите, кто является оператором: работодатель или провайдер платформы. Оператор — тот, кто определяет цели и состав обработки. Как правило, это работодатель.
  • Проверьте договор с провайдером КЭДО: в нём должны быть закреплены цели обработки, перечень ПДн, перечень действий, обязательство конфиденциальности, требование уничтожить ПДн по завершении договора — всё это обязательные условия поручения по п. 3 ст. 6 и ч. 3 ст. 6 ФЗ-152.
  • Убедитесь, что в политике обработки ПДн компании указан провайдер КЭДО как лицо, осуществляющее обработку по поручению.
  • Проверьте, уведомлён ли РКН о новой цели обработки через КЭДО (ст. 22 ФЗ-152) — если уведомление не обновлялось после подключения системы.
«П. 3 ч. 1 ст. 6 ФЗ-152: обработка ПДн допустима без согласия субъекта, если осуществляется в целях исполнения договора, стороной которого является субъект. Поручение обработчику — отдельное основание: оператор не освобождается от ответственности за действия обработчика перед субъектом (ч. 5 ст. 6 ФЗ-152).»

Если провайдер КЭДО хранит ПДн на серверах за пределами РФ — это дополнительный риск: нарушение требований локализации по ч. 5 ст. 18 ФЗ-152 карается штрафом 1 000 000 — 6 000 000 ₽ по ч. 8 ст. 13.11 КоАП.

Можно ли использовать биометрию в СКУД без согласия работника?

Системы контроля доступа с распознаванием лиц или считыванием отпечатков — биометрические ПДн по ст. 11 ФЗ-152. Обработка биометрии без письменного согласия допустима только в случаях, прямо предусмотренных федеральным законом: охрана отдельных категорий объектов (государственные органы, оборонные предприятия, объекты критической инфраструктуры).

Для коммерческого работодателя с обычным офисом использование СКУД с биометрией без письменного согласия работника — нарушение ч. 1 ст. 11 ФЗ-152. Штраф по ч. 16 ст. 13.11 КоАП — верифицировать перед публикацией по актуальному тексту КоАП.

  • Согласие должно быть оформлено отдельным документом с обязательными реквизитами по ст. 9 ФЗ-152.
  • Работник вправе отозвать согласие: оператор обязан прекратить обработку биометрии и уничтожить данные в сроки, установленные ст. 21 ФЗ-152.
  • Отказ от биометрической идентификации не может быть основанием для отказа в трудоустройстве или применения дисциплинарных мер — ст. 86 ТК РФ запрещает обработку ПДн, не обусловленную трудовой функцией.
  • Альтернатива: карточная СКУД без биометрии — согласие не требуется, если карта является инструментом доступа, а не содержит биометрические образцы.
«Ст. 86 ТК РФ: работодатель не вправе получать и обрабатывать ПДн работника о его членстве в общественных объединениях, а также ПДн, не обусловленные трудовой функцией. Ст. 87 ТК РФ устанавливает, что порядок хранения и использования ПДн работников определяется работодателем с соблюдением требований ФЗ-152.»

Если в компании уже установлена биометрическая СКУД, но согласия работников не собраны или оформлены неверно — это активный риск штрафа. Срок устранения нарушения после предписания РКН ограничен, обычно 30 дней. Юристы DATUM проверят СКУД, КЭДО и весь HR-пакет ОРД за одну сессию аудита.

Заказать аудит 152-ФЗ

Шаг 4. Разберитесь с требованием работника об уничтожении ПДн

После увольнения работник вправе потребовать прекратить обработку ПДн, на которую он давал согласие (ч. 2 ст. 9 ФЗ-152). Однако право на уничтожение ограничено случаями, когда обработка продолжается на основании согласия, а не закона.

Ключевое разграничение:

  • Документы, хранение которых обязательно по закону (личное дело, трудовая книжка, расчётные ведомости, копии приказов) — уничтожать нельзя до истечения нормативных сроков. Личное дело госслужащего — 75 лет; коммерческие организации ориентируются на перечни типовых управленческих документов (Приказ Росархива).
  • ПДн, обрабатываемые на основании согласия (фотография для корпоративного портала, биометрические данные СКУД, адрес для доставки корпоративных подарков) — уничтожаются в течение 30 дней с момента отзыва согласия или прекращения обработки, если иное не установлено законом.
  • ПДн для судебных и административных споров — работодатель вправе сохранить данные на период рассмотрения спора (ч. 3 ст. 21 ФЗ-152).

Ответить на запрос работника о судьбе его ПДн нужно в течение 10 рабочих дней с даты обращения по ст. 20 ФЗ-152. Срок может быть продлён ещё на 5 рабочих дней при направлении уведомления работнику. Молчание — основание для жалобы в РКН и штрафа по ч. 4 ст. 13.11 КоАП (40 000 — 80 000 ₽).

Шаг 5. Оцените риски по матрице нестандартных HR-ситуаций

Ситуация А: Анкета кандидата содержит вопросы о семейном положении и наличии детей.

Ст. 86 ТК РФ запрещает запрашивать ПДн, не обусловленные трудовой функцией. Сведения о семье — специальные или общие данные, сбор которых без согласия и обоснования незаконен. Доказательство нарушения — сам бланк анкеты. Вероятный исход при проверке: протокол по ч. 1 ст. 13.11 КоАП (150 000 — 300 000 ₽). Стратегия: исключить вопросы из анкеты, если сведения не нужны для трудовой функции; при необходимости — оформить отдельное согласие с конкретной целью.

Ситуация Б: КЭДО-платформа хранит ПДн сотрудников на серверах в Германии.

Нарушение ч. 5 ст. 18 ФЗ-152 (локализация). Первичная запись и хранение ПДн граждан РФ должны осуществляться в базах на территории РФ. Доказательство нарушения устанавливается при проверке серверной инфраструктуры провайдера. Вероятный исход: предписание РКН + штраф по ч. 8 ст. 13.11 КоАП — 1 000 000 — 6 000 000 ₽. Повторное нарушение — 6 000 000 — 18 000 000 ₽. Стратегия: проверить договор и SLA провайдера, потребовать локализацию или сменить платформу.

Ситуация В: Работник отозвал согласие на обработку биометрических данных в СКУД, доступ не ограничен.

После отзыва согласия оператор обязан прекратить обработку биометрии и уничтожить данные. Продолжение обработки после отзыва — нарушение ч. 1 ст. 9 ФЗ-152 и ч. 5 ст. 9 ФЗ-152. Доказательство: зафиксированная дата отзыва + данные в системе после неё. Вероятный исход: штраф по ч. 16 ст. 13.11 КоАП. Стратегия: разработать регламент отзыва согласия с фиксацией срока удаления биометрического образца; при невозможности ограничить доступ к системе — переключить работника на карточную идентификацию немедленно.

Что подготовить HR-директору для соответствия 152-ФЗ

  • Отдельные согласия работников по требованиям ст. 9 ФЗ-152 в редакции ФЗ-156 — для каждой цели обработки сверх трудового договора.
  • Договор с провайдером КЭДО как поручение обработки по п. 3 ч. 1 ст. 6 ФЗ-152 с перечнем ПДн, целей и обязательством уничтожения.
  • Письменные согласия работников на биометрическую обработку в СКУД с указанием цели, срока и способа отзыва.
  • Регламент ответов на запросы работников по ст. 20 ФЗ-152 с фиксацией даты поступления и направления ответа (журнал или тикет-система).
  • Актуальное уведомление в реестре операторов РКН с учётом всех изменений в составе обработки (КЭДО, СКУД, системы подбора персонала).

Шаг 6. Зафиксируйте решение и обновите ОРД

Любое решение по нестандартному HR-случаю должно быть задокументировано. Это снижает риск при проверке и позволяет обосновать позицию в арбитраже. Минимальный набор документации:

  • Служебная записка с описанием ситуации, применённой нормой и принятым решением — подписывает ответственный по ст. 22.1 ФЗ-152.
  • Обновлённое согласие или отказ от его получения с обоснованием правового основания обработки.
  • Фиксация в журнале обращений субъектов — если ситуация инициирована запросом работника.
  • Обновление локального акта (политики, приказа) — если ситуация выявила системный пробел, а не разовый случай.
«Ст. 18.1 ФЗ-152 обязывает оператора принимать меры для обеспечения исполнения закона, назначить ответственного за обработку ПДн и обеспечить ознакомление работников с требованиями ФЗ-152. Отсутствие политики обработки — штраф по ч. 3 ст. 13.11 КоАП (30 000 — 60 000 ₽).»

Обновление ОРД после нестандартного кейса — не разовая мера: документы нужно проверять при каждом изменении в HR-процессах (подключение нового КЭДО-провайдера, внедрение СКУД, передача функции подбора аутсорсеру, ввод системы прокторинга для удалённых сотрудников).

Как это применяется на практике

Кейс 1. HR-директор торговой компании (Уральский ФО, весна 2026) обратилась в DATUM после получения предписания РКН об устранении нарушений. При проверке выяснилось: согласия работников на передачу ПДн зарплатному банку были встроены в трудовые договоры. После 01.09.2025 такая форма не соответствует ст. 9 ФЗ-152 в редакции ФЗ-156. Юристы DATUM подготовили новые формы согласий для 340 работников, обновили приказ о назначении ответственного и внесли изменения в уведомление РКН. Предписание было исполнено в срок; протокол по ч. 2 ст. 13.11 не составлялся.

Кейс 2. IT-компания (Центральный ФО, осень 2025) использовала СКУД с распознаванием лиц в офисе без письменных согласий сотрудников. После жалобы одного из работников РКН возбудил дело по ст. 13.11 КоАП. До получения постановления компания самостоятельно собрала согласия, уведомила РКН и документально подтвердила устранение нарушения. Арбитражный суд региона учёл оперативность и смягчающие обстоятельства. Итоговый штраф составил сумму в пределах минимального диапазона по применимой части ст. 13.11 КоАП.

Услуги DATUM по теме

  • Аудит соответствия 152-ФЗ — проверка HR-документов, КЭДО, СКУД и уведомления РКН по чек-листу из 38 пунктов.
  • Комплект ОРД под ключ — согласия работников, политика, приказы, регламент реагирования для HR-департамента.
  • DPO-аутсорсинг — ответственный по ст. 22.1 ФЗ-152 на абонентском обслуживании, включая ответы на запросы работников.

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025 по старым формам, сохраняют силу в части, не противоречащей прежней редакции ФЗ-152. Переоформлять их принудительно не требуется — ФЗ-156 обратной силы не имеет. Однако при любом изменении в обработке ПДн (новая цель, новый перечень данных, новый обработчик) необходимо получить новое согласие по обновлённым требованиям ст. 9 ФЗ-152: отдельный документ с полным перечнем реквизитов.

2. Какие данные нельзя спрашивать в анкете кандидата?

Ст. 86 ТК РФ запрещает получать ПДн, не обусловленные трудовой функцией. На практике это означает: нельзя спрашивать о семейном положении, планах на детей, членстве в политических партиях, вероисповедании, состоянии здоровья (кроме случаев обязательного медосмотра по закону), судимостях (кроме должностей с установленными ограничениями). Нарушение — основание для протокола РКН по ч. 1 ст. 13.11 КоАП (150 000 — 300 000 ₽ для юридических лиц).

3. Можно ли вести видеонаблюдение в офисе без согласия сотрудников?

Видеозапись в рабочих помещениях допустима без отдельного согласия, если осуществляется в целях безопасности, охраны имущества и контроля производственной дисциплины и работник уведомлён об этом в письменной форме (например, через локальный акт или трудовой договор). Изображение человека при этом является биометрическими ПДн только в том случае, если используется для идентификации личности (ст. 11 ФЗ-152). Пассивное видеонаблюдение без автоматического распознавания биометрией не является — согласие по ст. 11 не нужно. СКУД с распознаванием лиц — другой случай: требует отдельного согласия.

4. Сколько хранить согласия после увольнения работника?

Срок хранения согласия на обработку ПДн определяется целью обработки: пока обработка ведётся и три года после её прекращения (общий срок исковой давности). Согласие на передачу ПДн в зарплатный банк нужно хранить на протяжении всего срока действия зарплатного проекта плюс три года. Документы личного дела, которые хранятся по нормативным срокам (до 75 лет), — основание хранения не согласие, а прямое указание закона; они не уничтожаются по требованию работника.

5. Кто является оператором при использовании КЭДО?

Оператором является работодатель — он определяет цели и состав обработки ПДн работников через КЭДО. Провайдер платформы выступает обработчиком по поручению в соответствии с п. 3 ч. 1 ст. 6 ФЗ-152. Договор с провайдером должен содержать обязательные условия поручения: перечень ПДн, перечень действий, цели, требования конфиденциальности и обязательство уничтожения. Отсутствие такого договора означает, что провайдер обрабатывает ПДн без правового основания, а работодатель несёт за это ответственность перед субъектами и РКН.

6. Что делать, если работник требует удалить его данные, а срок хранения не истёк?

Ответить на запрос нужно в течение 10 рабочих дней по ст. 20 ФЗ-152 с объяснением, какие данные и почему сохраняются. Если хранение обусловлено законом (архивные сроки, налоговое законодательство, трудовое законодательство) — уничтожение неправомерно. Если данные обрабатываются только на основании согласия и оно отозвано — уничтожить в срок, установленный ст. 21 ФЗ-152. Молчание в ответ на запрос работника — штраф по ч. 4 ст. 13.11 КоАП (40 000 — 80 000 ₽).

Итог

Сложные HR-случаи по 152-ФЗ объединяет одна черта: стандартный пакет документов не покрывает нестандартную ситуацию. Пошаговый разбор — квалификация данных, проверка правового основания, оценка КЭДО и СКУД, ответ на запрос работника, фиксация решения в ОРД — позволяет снизить риск штрафа по ст. 13.11 КоАП и подготовить обоснованную позицию для РКН.

Практика DATUM по HR-кластеру 152-ФЗ охватывает аудиты HR-документов, разработку пакетов согласий под конкретные HR-процессы (КЭДО, СКУД, аутстаффинг, дистанционная работа) и сопровождение при проверках РКН в HR-департаментах. Юристы специализации работают с ТК РФ и ФЗ-152 как со связанными системами — без разрыва между трудовым и персональноданным регулированием.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции ФЗ-156, КЭДО, биометрия в СКУД, сопровождение проверок РКН в HR-департаментах.

4 февраля 2029 года