Перейти к содержанию
инструкция 14 января 2028 По состоянию на 14 января 2028

Должностная инструкция HR-специалиста по согласиям

HR-специалист по согласиям — должность, которая возникла после поправок в ст. 9 ФЗ-152 (ФЗ-156 от 24.06.2025): с 01.09.2025 согласие на обработку персональных данных работника оформляется отдельным документом и не может быть частью трудового договора или кадровых форм.
Без этой должности или явного распределения её функций HR-департамент нарушает требования ст. 9, ст. 86–88 ТК РФ и ст. 22.1 ФЗ-152 одновременно. Штраф по ч. 2 ст. 13.11 КоАП за обработку без надлежащего согласия — 300 000–700 000 ₽.
→ Если вы HRD и ещё не выделили функцию работы с согласиями — эта инструкция описывает полный состав обязанностей, нормативную базу и порядок действий.

С 01.09.2025 каждое согласие работника — отдельный документ с обязательными реквизитами по ст. 9 ФЗ-152 в редакции ФЗ-156. Прежние форматы, встроенные в трудовой договор или анкету соискателя, недействительны как основание обработки. HR-департаменты, которые не перестроили документооборот, получают риск штрафа по ч. 2 ст. 13.11 КоАП за каждую форму. Ниже — пошаговая должностная инструкция HR-специалиста, который ведёт это направление.

Шаг 1. Определите нормативную базу и цели обработки

HR-специалист по согласиям работает на стыке трудового и персональных данных законодательства. Ключевые нормы — ст. 86–88 ТК РФ (обработка персональных данных работника), ст. 9 ФЗ-152 (требования к согласию), ст. 22.1 ФЗ-152 (ответственный за обработку). Цели обработки необходимо зафиксировать до начала сбора данных — ст. 5 ФЗ-152 запрещает объединять несовместимые цели в одной базе.

«Ст. 86 ТК РФ: обработка персональных данных работника допускается исключительно для обеспечения соблюдения законодательства, содействия в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности, контроля количества и качества труда и сохранности имущества.»

Специалист составляет реестр целей обработки по каждой категории работников: соискатели, действующие работники, уволенные. Для каждой цели — правовое основание по ст. 6 ФЗ-152 (согласие, исполнение договора, требование закона). Согласие как основание используется там, где законодательного требования недостаточно.

Что подготовить на этом шаге

  • Реестр целей обработки ПДн по категориям работников (соискатель, работник, бывший работник)
  • Перечень правовых оснований по ст. 6 ФЗ-152 для каждой цели
  • Список категорий ПДн с указанием, относятся ли они к специальным (ст. 10) или биометрическим (ст. 11)
  • Актуальная редакция политики обработки ПДн с разделами, касающимися работников
  • Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152

Шаг 2. Разработайте формы согласий в соответствии с требованиями ФЗ-156

С 01.09.2025 согласие работника на обработку ПДн — обязательно отдельный документ. Реквизиты согласия по ст. 9 ФЗ-152: фамилия, имя, отчество и контактные данные субъекта; наименование и адрес оператора; цель обработки; перечень персональных данных; перечень действий с данными; срок действия согласия; способ отзыва. Отсутствие любого реквизита делает согласие юридически ничтожным.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025: согласие субъекта персональных данных не может включаться в текст иного документа — договора, заявления, анкеты. Нарушение этого требования при обработке ПДн работников квалифицируется по ч. 2 ст. 13.11 КоАП.»

HR-специалист разрабатывает отдельные формы для каждой цели: согласие на передачу данных в зарплатный проект банка, согласие на хранение резюме в базе кандидатов, согласие на публикацию фотографии на корпоративном сайте. Формы согласий, существовавшие до 01.09.2025, переоформлять не требуется — ФЗ-156 обратной силы не имеет. Новые согласия с 01.09.2025 — только по новым правилам.

Согласия работников ещё включены в трудовой договор?

Если HRD не привёл формы согласий в соответствие с ФЗ-156 до 01.09.2025, каждая новая форма, выданная после этой даты, создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП — до 700 000 ₽. Первая проверка РКН с индикатором риска по HR-документообороту выявит это автоматически. Юристы DATUM соберут актуальный пакет форм согласий и проведут аудит ОРД HR-департамента по чек-листу из 38 пунктов.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Организуйте сбор и хранение согласий

Сбор согласий при приёме на работу включает два потока: бумажный и электронный через КЭДО. При использовании КЭДО оператором персональных данных работников остаётся работодатель — ст. 22 ФЗ-152. Платформа КЭДО выступает обработчиком по поручению в соответствии с п. 3 ст. 6 ФЗ-152, и поручение должно быть оформлено письменным договором с перечнем разрешённых действий.

Хранение согласий — часть личного дела работника. Срок хранения личного дела — 75 лет (для руководителей — постоянно). Согласие хранится весь этот срок, поскольку подтверждает законность обработки в период трудовых отношений. После увольнения работника его согласия и документы, связанные с обработкой ПДн, не уничтожаются немедленно: срок хранения определяется целью обработки и требованиями архивного законодательства.

«Ст. 22.2 ТК РФ: работодатель при использовании КЭДО обязан обеспечить защиту персональных данных работников в соответствии с требованиями законодательства о персональных данных.»

Как организовать обработку биометрии через СКУД?

Биометрические персональные данные — отдельная категория по ст. 11 ФЗ-152. Отпечатки пальцев и изображение лица, используемые для идентификации в СКУД, относятся к биометрии только если применяются именно для установления личности работника. Обработка биометрии допускается исключительно с письменного согласия — п. 1 ч. 2 ст. 11 ФЗ-152. Устного или подразумеваемого согласия недостаточно.

HR-специалист оформляет отдельное письменное согласие на обработку биометрических ПДн через СКУД для каждого работника. Форма согласия — самостоятельный документ, не совмещённый с другими. Отказ работника от биометрии не может служить основанием для отказа в приёме на работу или дисциплинарного взыскания — ст. 86 ТК РФ запрещает принуждение к предоставлению данных, которые работодатель не вправе требовать по закону. При отказе необходимо обеспечить альтернативный пропускной режим.

«Ст. 11 ФЗ-152: обработка биометрических персональных данных без письменного согласия субъекта запрещена. Нарушение — ч. 16 ст. 13.11 КоАП; повторное нарушение — ч. 18 ст. 13.11, оборотный штраф от 1 до 3% годовой выручки, не менее 20 млн ₽.»

При установке новой СКУД-системы HR-специалист взаимодействует с IT-подразделением для определения уровня защищённости ИСПДн по ПП РФ №1119. Биометрические данные в СКУД, как правило, требуют УЗ-3 или УЗ-2 в зависимости от числа субъектов и типа угроз.

Если в компании установлен СКУД с биометрией и письменные согласия работников не оформлены — риск штрафа по ч. 16 ст. 13.11 КоАП. При повторном нарушении применяется оборотный состав ч. 18 без ограничения по минимуму 20 млн ₽. Юристы DATUM проведут аудит СКУД-документации и разработают форму согласия за 3 рабочих дня.

Заказать аудит 152-ФЗ

Шаг 5. Организуйте реагирование на обращения работников

Работник как субъект персональных данных вправе запросить сведения об обработке его данных, потребовать уточнения, блокирования или уничтожения. Срок ответа по ст. 20 ФЗ-152 — 10 рабочих дней с даты обращения; при необходимости срок продлевается ещё на 5 рабочих дней с уведомлением субъекта. HR-специалист ведёт журнал обращений: дата, суть требования, принятое решение, дата ответа.

При увольнении работник нередко требует уничтожения своих персональных данных. Такое требование не является безусловным: данные, которые работодатель обязан хранить по трудовому законодательству (личное дело — 75 лет, расчётные документы — 75 лет, сведения для ПФР — постоянно), не уничтожаются по требованию субъекта. Уничтожаются только те данные, правовое основание для хранения которых прекратилось.

Отказ выполнить законное требование субъекта в установленный срок — ч. 5 ст. 13.11 КоАП, штраф 50 000–90 000 ₽. Повторный отказ — ч. 5.1 ст. 13.11, 300 000–500 000 ₽.

Практика: типовые ситуации в HR-комплаенсе по ПДн

Ситуация 1. КЭДО без договора поручения. Крупная торговая сеть (Уральский ФО, начало 2026) перешла на КЭДО через стороннюю платформу. Договор поручения обработки не заключался, ссылки на платформу в политике ПДн не было. При внеплановой проверке РКН зафиксировал нарушение ст. 6 и ст. 18.1 ФЗ-152. Штраф — в диапазоне сотен тысяч рублей по ч. 1 ст. 13.11 КоАП. HR-директор получил предписание пересмотреть все договоры с КЭДО-операторами.

Ситуация 2. Биометрия СКУД без письменных согласий. Производственная компания (Центральный ФО, осень 2025) использовала распознавание лица для контроля рабочего времени. Согласие на биометрию было включено в трудовой договор единым пунктом. По жалобе работника РКН возбудил дело по ч. 2 ст. 13.11 (отсутствие надлежащего согласия на биометрию). Штраф — в диапазоне 300 000–700 000 ₽. Компания оформила отдельные согласия для всех 140 работников и уведомила РКН об устранении нарушения.

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025, переоформлять не требуется — ФЗ-156 от 24.06.2025 обратной силы не имеет. Все согласия, которые компания получает после 01.09.2025, должны оформляться как отдельный документ по ст. 9 ФЗ-152 в новой редакции. Если работник был принят на работу до 01.09.2025 и подписал согласие в составе трудового договора, это согласие остаётся действительным для тех целей, под которые оно получалось. При расширении целей обработки — требуется новое отдельное согласие.

2. Какие данные нельзя спрашивать у соискателя в анкете?

Ст. 86 ТК РФ запрещает запрашивать данные, не связанные с трудовой функцией. Нельзя собирать сведения о политических и религиозных взглядах, членстве в профсоюзах и общественных организациях без прямой связи с условиями труда, сведения о состоянии здоровья — за исключением данных о профпригодности для конкретной должности. Национальность, семейное положение, наличие детей — относятся к специальным категориям (ст. 10 ФЗ-152) или требуют обоснования. Сбор без законного основания — ч. 1 ст. 13.11 КоАП, штраф 150 000–300 000 ₽.

3. Можно ли вести видеонаблюдение в офисе?

Видеонаблюдение в офисе допустимо при соблюдении трёх условий: работники уведомлены о ведении съёмки (обычно — соответствующий пункт в трудовом договоре или отдельное уведомление), цель наблюдения обоснована производственной необходимостью (безопасность, охрана имущества), данные видеозаписей не используются в иных целях. Если изображение лица обрабатывается для идентификации личности, а не только как видеозапись событий, — это биометрия по ст. 11 ФЗ-152 и требует письменного согласия. Уведомление РКН при постановке видеонаблюдения как цели обработки — обязательно по ст. 22 ФЗ-152.

4. Сколько хранить согласия после увольнения?

Согласие — часть личного дела работника. Срок хранения личного дела по перечню типовых управленческих документов — 75 лет для рядовых работников, постоянно — для руководителей. Уничтожать согласие раньше окончания этого срока нельзя: оно подтверждает законность обработки в период, который может стать предметом спора. Если согласие получалось для конкретной цели с истёкшим сроком (например, хранение резюме в базе кандидатов — 3 года), оно уничтожается вместе с данными по окончании срока хранения этой категории.

5. Кто является оператором при использовании КЭДО?

Оператором персональных данных работников при переходе на КЭДО остаётся работодатель — именно он определяет цели и состав обработки. Платформа КЭДО действует как лицо, осуществляющее обработку по поручению оператора (п. 3 ст. 6 ФЗ-152). Поручение оформляется письменным договором, в котором перечислены разрешённые действия с данными, требования к защите, обязательство уничтожить данные после прекращения поручения. Без такого договора платформа обрабатывает данные без законного основания — нарушение ч. 1 ст. 13.11 КоАП.

6. Что включить в должностную инструкцию для работника HR, ответственного за ПДн?

Минимальный состав должностной инструкции: цели должности (организация законной обработки ПДн работников), нормативная база (ст. 86–88 ТК РФ, ст. 9, 11, 18.1, 22.1 ФЗ-152), основные функции (разработка форм согласий, ведение журнала обращений, взаимодействие с РКН), полномочия (запрос документов у подразделений, приостановка обработки при выявлении нарушений), ответственность (за нарушение требований ФЗ-152 в пределах должностных обязанностей). Назначение ответственного за обработку ПДн оформляется приказом по ст. 22.1 ФЗ-152 отдельно от должностной инструкции.

Итог

Должностная инструкция HR-специалиста по согласиям — рабочий документ, который определяет нормативную базу, состав форм, порядок хранения и процедуру реагирования на обращения. После ФЗ-156 от 24.06.2025 этот функционал стал самостоятельным направлением, а не дополнением к кадровому делопроизводству. Основные риски — ч. 2 ст. 13.11 КоАП (300 000–700 000 ₽) за ненадлежащие согласия и ч. 16 ст. 13.11 за нарушения при обработке биометрии в СКУД.

Практика DATUM сопровождает HR-департаменты в разработке форм согласий, аудите кадровой ОРД и подготовке к проверкам РКН по направлению ст. 86–88 ТК РФ и ст. 9 ФЗ-152 в редакции 2025 года.

Услуги DATUM по теме

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах. Сопровождение проверок РКН в HR-департаментах.

14 января 2028 года