Перейти к содержанию
инструкция 4 июля 2026 По состоянию на 4 июля 2026

Договор с оператором КЭДО: 7 обязательных условий

Договор с оператором КЭДО — это не только соглашение об электронном документообороте, но и поручение на обработку персональных данных работников по ст. 6 ч. 3 ФЗ-152.
Если договор не содержит 7 обязательных условий, компания несёт ответственность за нарушения оператора КЭДО как собственный оператор ПДн — штраф по ст. 13.11 КоАП до 700 000 ₽ за каждое нарушение. С 01.09.2025 ФЗ-156 изменил требования к согласиям работников: старые формы в трудовом договоре не работают.
→ Если вы HRD и уже подписали договор с КЭДО без проверки — проверьте прямо сейчас: каждый пропущенный пункт создаёт основание для штрафа.

С 2022 года КЭДО перешло из эксперимента в стандарт: ст. 22.1–22.3 ТК РФ закрепили право работодателя использовать электронный кадровый документооборот. Вместе с этим любой оператор КЭДО получает доступ к персональным данным работников — ФИО, должность, паспортные данные, СНИЛС, ИНН, нередко биометрия СКУД. По ст. 6 ч. 3 ФЗ-152 работодатель обязан оформить поручение на обработку ПДн отдельным договором или соглашением. Без этого документа оператор КЭДО обрабатывает данные без правового основания, а ответственность перед Роскомнадзором остаётся на работодателе. В этой инструкции — 7 условий, которые обязаны присутствовать в каждом таком договоре.

Шаг 1. Зафиксируйте статус сторон: кто оператор, кто обработчик?

По ст. 3 ФЗ-152 оператор — тот, кто определяет цели и состав обработки ПДн. Работодатель, нанимая сотрудника, становится оператором его персональных данных. Компания-разработчик или провайдер КЭДО, которой работодатель передаёт данные для технической обработки, становится лицом, осуществляющим обработку по поручению оператора. Это различие имеет принципиальное значение: обработчик действует строго в рамках поручения и не вправе использовать ПДн в собственных целях.

В договоре должны быть явно прописаны: наименование оператора (работодатель) и обработчика (оператор КЭДО), их реквизиты, а также прямое указание на то, что обработчик действует исключительно в интересах и по инструкции оператора. Формулировка «стороны обеспечивают защиту персональных данных» без разграничения ролей не соответствует требованиям ФЗ-152.

«Ст. 6 ч. 3 ФЗ-152: оператор вправе поручить обработку ПДн другому лицу на основании договора, заключённого с этим лицом. Лицо, осуществляющее обработку по поручению, обязано соблюдать принципы и правила обработки, предусмотренные ФЗ-152.»

Шаг 2. Укажите исчерпывающий перечень ПДн и разрешённых действий

Принцип минимизации по ст. 5 ФЗ-152 требует, чтобы оператор КЭДО обрабатывал только те данные и совершал только те действия, которые необходимы для ведения электронного документооборота. В договоре необходимо перечислить категории ПДн — например: ФИО, дата рождения, СНИЛС, ИНН, должность, табельный номер, реквизиты трудового договора, адрес электронной почты для ЭЦП, при необходимости — данные документов, удостоверяющих личность.

Рядом с каждой категорией фиксируется разрешённый перечень действий: сбор, запись, систематизация, хранение, передача работодателю, уничтожение. Формулировка «любые действия с персональными данными» создаёт неограниченное поручение и противоречит ст. 5 и ст. 6 ФЗ-152. Если оператор КЭДО планирует использовать биометрию для подписания документов через СКУД — это отдельная категория по ст. 11 ФЗ-152, требующая письменного согласия работника и отдельного описания в поручении.

Договор с КЭДО уже подписан, но проверить его не было времени?

Если HRD подписал соглашение с оператором КЭДО без юридической экспертизы — это стандартная ситуация. Риск реализуется при первой проверке РКН или жалобе работника. Юристы DATUM проверят договор по чек-листу из 38 пунктов и укажут, какие условия нужно дополнить до получения предписания.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Установите цели обработки в связке со ст. 86–87 ТК РФ

Цели обработки ПДн работников ограничены ст. 86 ТК РФ: обеспечение соблюдения законодательства, содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности и контроль количества и качества труда. Договор с оператором КЭДО должен воспроизводить эти цели применительно к конкретным функциям системы — ведение кадрового документооборота, хранение и подписание документов, интеграция с учётными системами.

По ст. 5 ФЗ-152 запрещено объединять базы данных, собранных для несовместимых целей. Если оператор КЭДО одновременно оказывает другие услуги — рекрутинг, аналитику, маркетинг — необходимо явное разграничение в договоре: данные работников не могут использоваться для этих целей без отдельного основания. Отсутствие такого разграничения — нарушение ст. 5 ФЗ-152 и основание для штрафа по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽ для юрлица в редакции с 30.05.2025).

Шаг 4. Пропишите требования к защите и уровню защищённости

Работодатель как оператор обязан обеспечить технические и организационные меры защиты ПДн по ст. 19 ФЗ-152 и ПП РФ №1119. Поручая обработку оператору КЭДО, он не снимает с себя эту ответственность — он обязан договором обязать обработчика соблюдать аналогичные требования.

В договоре необходимо указать: применимый уровень защищённости ИСПДн (как правило, УЗ-3 или УЗ-4 для кадровых данных без спецкатегорий при числе субъектов до 100 000), обязанность обработчика выполнять меры по Приказу ФСТЭК №21, запрет на передачу ПДн третьим лицам без согласования с оператором, обязанность уведомить оператора об инциденте в течение 24 часов — чтобы оператор мог уведомить РКН в срок по ч. 3.1 ст. 21 ФЗ-152. Пропуск срока уведомления обходится в 1 000 000–3 000 000 ₽ по ч. 11 ст. 13.11 КоАП.

«Ч. 3.1 ст. 21 ФЗ-152 и Приказ РКН №187: при выявлении утечки оператор уведомляет РКН в течение 24 часов с момента обнаружения, через 72 часа — направляет отчёт о результатах внутреннего расследования. Срок не восстанавливается.»

Шаг 5. Включите условие об отдельном согласии работника по ФЗ-156

С 01.09.2025 ФЗ-156 изменил ч. 1 ст. 9 ФЗ-152: согласие на обработку ПДн оформляется отдельным документом, не объединяется с трудовым договором, офертой, политикой конфиденциальности или любым другим соглашением. Это требование прямо затрагивает КЭДО: если работник подписывает соглашение об использовании КЭДО и согласие на обработку ПДн одним документом — такое согласие с 01.09.2025 не соответствует закону.

В договоре с оператором КЭДО необходимо закрепить обязанность обработчика принимать к работе только документы, подписанные работниками с соблюдением требований ФЗ-156: согласие оформлено отдельно, содержит обязательные реквизиты по ст. 9 ФЗ-152 (ФИО, контактные данные, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва), не содержит условий, ущемляющих права работника. Для биометрии в системе СКУД — отдельное согласие по ст. 11 ФЗ-152 в письменной форме, даже после 01.09.2025.

Если HRD не переоформил согласия работников после 01.09.2025 — каждый старый документ создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП (до 700 000 ₽). Юристы DATUM соберут пакет согласий по требованиям ФЗ-156 и проверят, что оператор КЭДО принимает корректные формы.

Собрать ОРД под ключ

Шаг 6. Определите порядок уничтожения ПДн при расторжении договора

По ст. 21 ФЗ-152 оператор обязан уничтожить или обезличить ПДн, когда цель обработки достигнута или отпала. При расторжении договора с оператором КЭДО работодатель должен получить подтверждение уничтожения всех данных, которые находились у обработчика. Без этого условия в договоре оператор КЭДО формально может хранить данные неопределённо долго.

Договор должен устанавливать: срок, в течение которого обработчик уничтожает ПДн после расторжения (практика — 30 дней), форму подтверждения уничтожения (акт с подписью уполномоченного лица), запрет на создание резервных копий без согласования, порядок передачи данных оператору перед уничтожением при необходимости. Отдельно — срок хранения документов кадрового делопроизводства: личное дело по типовым срокам хранится 75 лет, поэтому данные должны оставаться у работодателя, а не только у обработчика.

Шаг 7. Включите ответственность обработчика и право на аудит

По ст. 6 ч. 3 ФЗ-152 оператор несёт ответственность перед субъектом ПДн за действия обработчика. Это означает: если оператор КЭДО допустит утечку или нарушит требования закона, штраф по ст. 13.11 КоАП получит работодатель. Чтобы иметь возможность предъявить регрессный иск, договор должен содержать ответственность обработчика в рублях — не только «несёт ответственность в соответствии с законодательством».

Обязательные элементы этого раздела: право оператора проводить проверку (аудит) соответствия обработчика требованиям договора и ФЗ-152 не реже одного раза в год, обязанность обработчика предоставлять документацию по запросу, штрафные санкции за нарушение условий поручения (размер — предмет переговоров, но он должен быть), обязанность немедленно уведомить оператора о любом запросе от субъекта ПДн или регулятора в адрес обработчика. Последнее условие критично: если работник подаст запрос на удаление своих данных напрямую оператору КЭДО — работодатель должен узнать об этом в тот же день.

Типовые ситуации: как нарушения договора с КЭДО приводят к штрафам

Ситуация 1. Оператор КЭДО передал данные работников смежному сервису без уведомления работодателя. Компания (Уральский ФО, весна 2025) обнаружила, что оператор КЭДО интегрировал базу сотрудников с собственным рекрутинговым сервисом. Договор содержал формулировку «передача данных партнёрам для оказания услуг» без конкретного перечня партнёров. РКН квалифицировал это как обработку в целях, несовместимых с изначальными. Штраф для работодателя составил несколько сотен тысяч рублей по ч. 1 ст. 13.11 КоАП. Договор с обработчиком не содержал условий об ответственности, регрессный иск затруднён.

Ситуация 2. Утечка данных через КЭДО — 24-часовой срок пропущен. Оператор КЭДО сервисной компании (Центральный ФО, осень 2025) зафиксировал инцидент, но уведомил работодателя только через 36 часов. Работодатель не успел направить первичное уведомление в РКН в срок 24 часа по ч. 3.1 ст. 21 ФЗ-152. Итог — штраф 1 200 000 ₽ по ч. 11 ст. 13.11 КоАП за несвоевременное уведомление. Договор с оператором КЭДО обязанности уведомить работодателя в течение нескольких часов не содержал. Регрессный иск к обработчику осложнён тем же договором.

Что подготовить для проверки договора с оператором КЭДО

  • Действующий договор с оператором КЭДО или соглашение об обработке ПДн — проверить наличие всех 7 разделов из этой инструкции.
  • Отдельные согласия работников на обработку ПДн в КЭДО — в редакции после 01.09.2025 (отдельный документ по ФЗ-156, не включён в трудовой договор).
  • Согласие на обработку биометрических ПДн (отпечаток пальца, изображение лица) для СКУД — письменное, по ст. 11 ФЗ-152, если биометрия применяется.
  • Акт об уровне защищённости ИСПДн (УЗ-3 или УЗ-4) и документация по Приказу ФСТЭК №21 от обработчика.
  • Регламент реагирования на инциденты с указанием: кто, в течение скольких часов уведомляет работодателя и РКН.

Услуги DATUM по теме

  • Аудит соответствия 152-ФЗ — проверка договора с КЭДО и полного пакета ОРД по чек-листу из 38 пунктов.
  • Комплект ОРД под ключ — согласия работников, политика, приказы, регламент реагирования по требованиям ФЗ-156.
  • DPO-аутсорсинг — ответственный за обработку ПДн по ст. 22.1 ФЗ-152 на абонентском обслуживании.

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025, обратной силы не теряют — ФЗ-156 не обязывает переоформлять уже действующие документы. Однако если согласие было включено в текст трудового договора или иного документа, а не оформлено отдельно, — после 01.09.2025 такая форма не соответствует обновлённой ч. 1 ст. 9 ФЗ-152. При подписании новых согласий, а также при найме сотрудников после 01.09.2025, необходимо использовать отдельный документ со всеми обязательными реквизитами. Ревизию действующего архива рекомендуется провести при ближайшем обновлении ОРД.

2. Какие данные нельзя запрашивать у работника при трудоустройстве?

Ст. 86 ТК РФ запрещает получать и обрабатывать ПДн работника, не связанные с его трудовой деятельностью. Под запретом — сведения о политических, религиозных и философских убеждениях, членстве в общественных объединениях и профсоюзах (кроме случаев, предусмотренных ТК). Данные о состоянии здоровья могут запрашиваться только в объёме, необходимом для определения профессиональной пригодности. Запрос сведений о кредитной истории, семейном положении, доходах супруга без связи с условиями труда — нарушение ст. 86 ТК и ст. 5 ФЗ-152.

3. Можно ли вести видеонаблюдение в офисе и хранить записи в КЭДО?

Видеонаблюдение допустимо при соблюдении нескольких условий: работники письменно уведомлены о факте наблюдения (ст. 22 ТК РФ), издан приказ с указанием целей, помещения оборудованы информационными табличками, срок хранения записей определён локальным актом. Если видеозаписи сохраняются в облачной системе оператора КЭДО или передаются ему — это самостоятельная передача по поручению, требующая отдельного раздела в договоре. Видеозаписи, содержащие биометрические данные (изображение лица для идентификации), регулируются ст. 11 ФЗ-152 и требуют отдельного согласия работника.

4. Сколько хранить согласия работников после увольнения?

Срок хранения зависит от типа документа. Согласие на обработку ПДн, входящее в состав личного дела, хранится вместе с ним — 75 лет по типовым срокам хранения документов по личному составу. Согласие на рекламные рассылки, программы лояльности и иные цели, не связанные с трудовыми отношениями, хранится в течение срока действия и трёх лет после его окончания — для возможного подтверждения в случае жалобы. Уничтожение согласий вместе с иными ПДн до истечения установленного срока — самостоятельное нарушение по ст. 21 ФЗ-152.

5. Кто является оператором ПДн при использовании КЭДО — работодатель или платформа?

Оператором остаётся работодатель: именно он определяет цели и состав обработки ПДн работников в соответствии со ст. 3 и ст. 86 ТК РФ. Платформа КЭДО — обработчик по ст. 6 ч. 3 ФЗ-152, действующий исключительно на основании поручения. Это означает: платформа не вправе использовать ПДн работников в собственных целях, а ответственность перед РКН и субъектами ПДн несёт работодатель — в том числе за нарушения, допущенные платформой. Поэтому договор с оператором КЭДО, оформленный как поручение на обработку, защищает работодателя при условии, что все 7 обязательных условий в нём соблюдены.

6. Что будет, если договор с оператором КЭДО не содержит условий о поручении на обработку ПДн?

Без оформленного поручения оператор КЭДО обрабатывает ПДн без правового основания по ст. 6 ФЗ-152. Роскомнадзор при проверке квалифицирует это как обработку в случаях, не предусмотренных законом, — ч. 1 ст. 13.11 КоАП, штраф для юрлица 150 000–300 000 ₽. При повторном нарушении — ч. 1.1, до 500 000 ₽. Если утечка произошла через такого обработчика — ответственность по ч. 12–14 ст. 13.11 также лежит на работодателе (от 3 000 000 ₽ за утечку от 1 000 субъектов). Устранить нарушение постфактум возможно, но только до получения предписания от РКН.

Итог

Договор с оператором КЭДО — юридически договор о поручении на обработку персональных данных работников. Семь обязательных условий охватывают: разграничение ролей оператора и обработчика, исчерпывающий перечень ПДн и действий, цели в рамках ст. 86–87 ТК РФ, требования к уровню защиты и уведомлению об инцидентах, условие об отдельном согласии работника по ФЗ-156 с 01.09.2025, порядок уничтожения данных при расторжении, ответственность обработчика и право аудита.

DATUM сопровождает HR-подразделения среднего и крупного бизнеса при выборе и проверке операторов КЭДО, оформлении поручений на обработку и переходе на новые требования по согласиям с 01.09.2025 — без потери действующей кадровой документации.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах.

4 июля 2026 года