DATUM-сопровождение запуска КЭДО
С 2024 года Роскомнадзор включил работодателей с КЭДО в индикаторы риска для плановых проверок. Если HR-департамент перешёл на электронный кадровый документооборот, но не обновил комплект документов по 152-ФЗ — проверка выявит нарушения по четырём-пяти основаниям одновременно. Эта инструкция описывает восемь шагов запуска КЭДО в соответствии с требованиями закона, которые закрывают основные риски до начала обработки данных.
Шаг 1. Определите роли операторов при работе с КЭДО
При использовании КЭДО в обработке персональных данных работников участвуют минимум два субъекта: работодатель как оператор по ст. 3 ФЗ-152 и поставщик платформы КЭДО как лицо, осуществляющее обработку по поручению (п. 3 ст. 6 ФЗ-152). Работодатель несёт полную ответственность перед РКН за действия поставщика с данными — это прямо следует из позиции Верховного суда по делам об утечках через подрядчиков.
До запуска КЭДО проверьте: сервер поставщика находится в России (требование ч. 5 ст. 18 ФЗ-152 о локализации), договор содержит перечень разрешённых действий с данными и требования по защите, заключено отдельное соглашение-поручение на обработку. Без поручения передача данных платформе КЭДО нарушает ст. 6 ФЗ-152.
Шаг 2. Обновите уведомление в реестре РКН до запуска КЭДО
Если компания уже включена в реестр операторов персональных данных (pd.rkn.gov.ru), но КЭДО в перечне обрабатываемых данных не упоминалось — необходимо подать уведомление об изменении сведений до начала обработки. Основание — ст. 22 ФЗ-152. Форма подаётся через Приказ РКН №180 от 28.10.2022 с использованием УКЭП или ЕСИА.
Если компания вообще не уведомляла РКН — подайте первичное уведомление. Обработка без уведомления — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП (в редакции с 30.05.2025). Срок включения в реестр после подачи — 30 дней.
В уведомлении укажите: категории обрабатываемых ПДн (общие, биометрические — если есть СКУД с распознаванием), цели, правовые основания, поставщика КЭДО как обработчика по поручению, меры защиты.
Согласия работников ещё в трудовом договоре?
Если HRD не обновил форму согласия до 01.09.2025, каждый действующий трудовой договор с встроенным согласием — потенциальное нарушение ч. 2 ст. 13.11 КоАП (до 700 000 ₽ за факт). При запуске КЭДО риск удваивается: поручение обработчику без корректного согласия субъекта недействительно. Юристы DATUM проверят текущий комплект ОРД и подготовят согласия под новые требования ФЗ-156.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Шаг 3. Подготовьте согласия работников по требованиям ФЗ-156
С 01.09.2025 согласие на обработку персональных данных работника — самостоятельный документ (ФЗ-156 от 24.06.2025, поправки в ч. 1 ст. 9 ФЗ-152). Его нельзя включить в трудовой договор, в приказ, в правила внутреннего трудового распорядка или в форму КЭДО как один из разделов. Обратной силы поправки не имеют: согласия, полученные до 01.09.2025, переоформлять не обязательно — но только если они содержат все реквизиты ст. 9 ФЗ-152.
Обязательные реквизиты согласия на обработку в рамках КЭДО: ФИО и контактные данные работника, наименование работодателя-оператора и поставщика платформы, цель обработки (ведение кадровых документов в электронном виде, исполнение трудового договора), перечень ПДн (ФИО, дата рождения, ИНН, СНИЛС, должность, подпись — в зависимости от функционала платформы), перечень действий (сбор, хранение, передача поставщику), срок действия согласия, способ отзыва.
Если КЭДО используется для хранения медицинских документов (больничные листы, медкнижки) — требуется отдельное согласие на обработку специальных категорий ПДн по ст. 10 ФЗ-152, поскольку данные о состоянии здоровья относятся к спецкатегории.
Шаг 4. Оформите поручение на обработку данных поставщику КЭДО
Поручение на обработку — обязательный документ при любом варианте КЭДО на внешней платформе (SaaS-модель, облачное решение). Поручение оформляется как приложение к договору с поставщиком или отдельным соглашением. Требования к содержанию поручения следуют из п. 3 ст. 6 ФЗ-152.
Поручение должно содержать: конкретный перечень разрешённых действий с данными работников, цели обработки, обязанность поставщика по соблюдению конфиденциальности, требования к техническим мерам защиты (со ссылкой на уровень защищённости ИСПДн — УЗ-3 или УЗ-4 по ПП РФ №1119), запрет на передачу данных третьим лицам без отдельного разрешения оператора, срок действия и порядок уничтожения данных по окончании обработки.
Если платформа КЭДО использует серверы за рубежом — это трансграничная передача по ст. 12 ФЗ-152. Требуется уведомление РКН и проверка страны на соответствие перечню адекватной защиты. С 01.07.2025 требования к локализации первичного сбора ужесточены: первичная запись данных граждан РФ должна происходить на российском сервере.
Шаг 5. Проверьте соответствие СКУД с биометрией требованиям ст. 11 ФЗ-152
Если параллельно с КЭДО на предприятии используется система контроля и управления доступом (СКУД) с распознаванием лица или отпечатков пальцев — это биометрические ПДн по ст. 11 ФЗ-152. Обработка биометрии допускается только при наличии отдельного письменного согласия работника. Нарушение — штраф по ч. 16 ст. 13.11 КоАП.
С введением ФЗ-572 биометрия, которая используется для идентификации (в том числе в СКУД), должна либо храниться в ЕБС через оператора АО «Центр Биометрических Технологий», либо не подпадать под действие ФЗ-572 (внутренние СКУД без передачи в ЕБС — особый правовой режим, требует отдельного анализа). Согласие на биометрию в СКУД — отдельный документ от согласия на обработку общих ПДн в КЭДО.
Работник вправе отказаться от биометрической идентификации в СКУД. Работодатель обязан предусмотреть альтернативный способ подтверждения личности (пропуск, PIN-код). Принудить к биометрии нельзя — ст. 86 ТК РФ запрещает получение данных, не связанных с трудовой деятельностью, без обоснования необходимости.
Если HR-департамент уже использует СКУД с биометрией, а отдельных письменных согласий работников нет — каждый факт обработки создаёт нарушение по ч. 16 ст. 13.11 КоАП. Юристы DATUM проверят комплект согласий и поручений по биометрии и КЭДО.
Собрать ОРД под ключШаг 6. Соберите комплект ОРД для КЭДО
Организационно-распорядительная документация для КЭДО включает документы двух блоков: кадрово-трудовой (по ст. 86–88 ТК РФ) и комплаенсный по 152-ФЗ (по ст. 18.1 ФЗ-152). Без ОРД проверка РКН выявит нарушение ч. 3 ст. 13.11 (отсутствие политики, штраф 30 000–60 000 ₽) и нарушение ч. 1 или ч. 2 ст. 13.11 (незаконная или ненадлежащая обработка).
Что подготовить для запуска КЭДО по 152-ФЗ
- Политика обработки персональных данных с разделами по ч. 2 ст. 18.1 ФЗ-152 — опубликована на сайте и размещена в КЭДО.
- Отдельные согласия работников на обработку ПДн в КЭДО по требованиям ст. 9 ФЗ-152 в редакции ФЗ-156 (с 01.09.2025).
- Поручение на обработку поставщику КЭДО по п. 3 ст. 6 ФЗ-152 с перечнем допустимых действий.
- Приказ о назначении лица, ответственного за организацию обработки ПДн, по ст. 22.1 ФЗ-152.
- Регламент реагирования на инциденты с ПДн: уведомление РКН за 24 часа, отчёт за 72 часа (ч. 3.1 ст. 21 ФЗ-152, Приказ РКН №187).
Помимо перечисленного, по ст. 87 ТК РФ работодатель обязан установить порядок хранения и использования персональных данных. Для КЭДО это означает регламент с указанием сроков хранения документов (личное дело — 75 лет), порядка удалённого доступа, прав разных категорий пользователей платформы и порядка уничтожения данных после увольнения.
Как на практике выглядят нарушения при запуске КЭДО?
Ситуация 1. HR-директор крупного ритейлера (Приволжский ФО, осень 2025). Компания внедрила КЭДО в I квартале 2025 года. Договор с платформой заключён, но поручение на обработку не оформлено отдельным документом — только стандартные условия SaaS. После планового запроса РКН выявлено: передача данных 1 800 работников поставщику без надлежащего поручения. РКН выдал предписание, компания устранила нарушение в течение 30 дней и направила отчёт. Штраф по ч. 1 ст. 13.11 КоАП составил сотни тысяч рублей — при том что КЭДО уже 9 месяцев в работе.
Ситуация 2. Производственное предприятие (Уральский ФО, начало 2026) — кейс из практики DATUM. HR-директор обратился после того, как работник направил требование уничтожить его ПДн через три месяца после увольнения. Оказалось, что КЭДО хранит данные без ограничения срока, согласие работника включало формулировку «до прекращения трудовых отношений», срок хранения личного дела (75 лет) не был разграничен с остальными данными. Юристы DATUM подготовили регламент сроков хранения по категориям данных, скорректировали согласие и выработали ответ субъекту в срок 10 рабочих дней по ст. 20 ФЗ-152.
Шаг 7. Установите сроки хранения и порядок уничтожения данных
При запуске КЭДО нередко упускают разграничение сроков хранения: 75 лет — для документов личного дела (ст. 22.2 ТК РФ, архивное законодательство), но не для всех данных, которые обрабатываются в системе. Согласие работника, черновики документов, данные, собранные в ходе собеседований, — хранятся не 75 лет, а столько, сколько необходимо для достижения цели обработки (принцип ст. 5 ФЗ-152).
Для данных уволенного работника: документы личного дела — 75 лет; данные о кандидатах, не принятых на работу, — не более одного года, если иное не установлено соглашением; данные для зарплатного проекта — до прекращения расчётов плюс срок исковой давности. После истечения срока — уничтожение или обезличивание. Факт уничтожения фиксируется актом.
Шаг 8. Назначьте ответственного и проведите инструктаж сотрудников HR
По ст. 22.1 ФЗ-152 работодатель-юрлицо обязан назначить лицо, ответственное за организацию обработки ПДн. Приказ о назначении — самостоятельный документ. Для крупного HR-департамента функцию ответственного допустимо передать на аутсорсинг (DPO-аутсорсинг по ст. 22.1 ч. 4).
Ст. 18.1 ФЗ-152 требует, чтобы работники, непосредственно обрабатывающие ПДн, были ознакомлены с требованиями закона и локальными актами. Для HR-департамента, работающего с КЭДО, это означает: инструктаж по порядку доступа к данным в системе, правила реагирования на запросы работников (10 рабочих дней по ст. 20 ФЗ-152), порядок эскалации при признаках инцидента (24 часа до уведомления РКН по ч. 3.1 ст. 21 ФЗ-152).
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка КЭДО, согласий и ОРД по 38-пунктному чек-листу.
- Комплект ОРД под ключ — полный пакет документов для работодателя с КЭДО и СКУД.
- DPO-аутсорсинг — функция ответственного за обработку ПДн по ст. 22.1 на абонентской основе.
Частые вопросы
1. Нужно ли переподписывать согласия работников после 01.09.2025?
Согласия, полученные до 01.09.2025, сохраняют силу, если содержат все реквизиты ст. 9 ФЗ-152: ФИО субъекта, наименование оператора, цель, перечень данных и действий, срок, способ отзыва. ФЗ-156 не имеет обратной силы. Если согласие встроено в трудовой договор и не оформлено отдельным документом — при следующей проверке РКН это основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽. Проверьте комплект до запуска КЭДО, а не после.
2. Какие данные нельзя запрашивать в анкете при приёме на работу?
Ст. 86 ТК РФ запрещает получать данные, не связанные с трудовой деятельностью. Нельзя обязательно запрашивать: политические, религиозные убеждения, членство в профсоюзах, данные о состоянии здоровья (кроме случаев обязательных медосмотров по ТК), сведения о судимости (если должность не предполагает ограничений по ст. 351.1 ТК). Сбор таких данных без законного основания — обработка специальных категорий ПДн с нарушением ст. 10 ФЗ-152, что квалифицируется по ч. 1 или ч. 2 ст. 13.11 КоАП.
3. Можно ли вести видеонаблюдение в офисе без согласия работников?
Видеонаблюдение в рабочих зонах допустимо без согласия работников, если оно направлено на обеспечение безопасности труда, охрану имущества или контроль производственного процесса. Основание — ст. 86 ТК РФ и ст. 6 п. 2 ФЗ-152 (исполнение обязанностей оператора). Обязательно: уведомить работников о факте видеонаблюдения под подпись, установить локальным актом цели и порядок хранения записей, ограничить доступ к записям. Видеозапись лица в целях идентификации — биометрия по ст. 11 ФЗ-152, требует отдельного согласия.
4. Сколько хранить согласия после увольнения работника?
Само согласие как документ хранится столько же, сколько данные, обработанные на его основании. Документы личного дела — 75 лет (ст. 22.2 ТК РФ). Согласие, которое служило основанием для обработки данных личного дела, — тот же срок. Согласие на рассылку корпоративных уведомлений или маркетинговые цели — уничтожается вместе с данными после достижения цели. Рекомендация: хранить согласие плюс 3 года (срок исковой давности по ГК РФ) от даты последнего действия на его основании.
5. Кто является оператором ПДн при использовании КЭДО?
Оператором персональных данных остаётся работодатель — он определяет цели и состав обработки. Поставщик платформы КЭДО — обработчик по поручению в смысле п. 3 ст. 6 ФЗ-152. Ответственность перед РКН и работниками несёт оператор, а не обработчик. Если поставщик допустил утечку данных с платформы — оператор-работодатель обязан уведомить РКН за 24 часа и несёт ответственность по ст. 13.11 КоАП. Это прямо следует из позиции судов по делам с участием подрядчиков.
6. Что происходит с данными в КЭДО при смене поставщика платформы?
При смене поставщика КЭДО оператор-работодатель обязан: уведомить РКН об изменении сведений об обработчике (ст. 22 ФЗ-152), получить от прежнего поставщика подтверждение уничтожения данных или их передачи, заключить новое поручение с новым поставщиком. Данные нельзя оставить у прежнего поставщика после окончания договора — это нарушение ст. 21 ФЗ-152 (обязанность уничтожить данные при достижении целей или прекращении основания обработки).
Итог
Запуск КЭДО в соответствии с ФЗ-152 — это восемь последовательных шагов: от определения ролей операторов и уведомления РКН до инструктажа HR-персонала и установления сроков хранения. Каждый пропущенный шаг — отдельное основание для штрафа по ст. 13.11 КоАП в редакции с 30.05.2025.
Юристы DATUM сопровождают запуск КЭДО в части 152-ФЗ: проверяют комплект ОРД, готовят согласия под требования ФЗ-156, оформляют поручение обработчику и уведомление РКН. Практика охватывает HR-комплаенс с 2014 года.
3 февраля 2028 года