Перейти к содержанию
инструкция 22 апреля 2028 По состоянию на 22 апреля 2028

Допуск к гостайне: связь со 152-ФЗ

Оформление допуска к государственной тайне — это массовая обработка специальных категорий персональных данных: сведений о судимости, состоянии здоровья, родственных связях. Всё это регулируется ст. 10 ФЗ-152 и требует отдельного правового основания.
С 01.09.2025 согласие работника на обработку ПДн оформляется отдельным документом (ФЗ-156 от 24.06.2025): встроить его в анкету или трудовой договор — нарушение ч. 2 ст. 13.11 КоАП, штраф до 700 000 ₽ за каждый случай. Для HR-директора в организации с режимом секретности это означает пересмотр всего пакета кадровых документов.
→ Если в вашей организации оформляют допуск к гостайне и согласия сейчас вшиты в анкеты или трудовые договоры — читайте инструкцию: шесть шагов к соответствию 152-ФЗ без срыва режимных мероприятий.

Допуск к государственной тайне — не просто режимная процедура. Это систематический сбор данных о состоянии здоровья, судимости, поездках за рубеж, родственниках за границей. Каждая анкета по форме № 4 — обработка специальных категорий персональных данных по смыслу ст. 10 ФЗ-152. С 30.05.2025 за нарушения в этой цепочке действуют обновлённые санкции ст. 13.11 КоАП (ФЗ-420 от 30.11.2024). Ниже — последовательность действий для HR-директора, которому нужно привести кадровый блок в соответствие одновременно с ФЗ-152 и требованиями режима.

Шаг 1. Определите, какие данные вы обрабатываете при оформлении допуска

Анкета по форме № 4 (утверждена постановлением Правительства о порядке допуска к государственной тайне) включает: ФИО и дату рождения, сведения о гражданстве и выездах за рубеж, данные о судимости и привлечении к административной ответственности, сведения о состоянии здоровья (психические расстройства, наркологический учёт), информацию о близких родственниках и их гражданстве.

По классификации ст. 10 ФЗ-152 сведения о судимости и состоянии здоровья — специальные категории персональных данных. Их обработка допускается только при наличии одного из оснований п. 2 ст. 10: в частности, если обработка необходима в связи с осуществлением правосудия, исполнением работником трудовых обязанностей, либо при наличии явного согласия субъекта. Параллельно действует ст. 86 ТК РФ: работодатель обрабатывает ПДн работника исключительно в целях, связанных с трудовыми отношениями, и только в той мере, в какой это необходимо.

«Ст. 10 ФЗ-152 — обработка специальных категорий (здоровье, судимость) запрещена, кроме исчерпывающего перечня исключений п. 2, включая исполнение трудовых обязанностей. Ст. 86 ТК РФ ограничивает цель обработки ПДн работника трудовыми правоотношениями.»

Практический вывод: данные из анкеты формы № 4 обрабатываются на двух правовых основаниях одновременно — исполнение требований законодательства о государственной тайне (п. 2 ст. 10 ФЗ-152) и трудовые отношения (ст. 86–87 ТК РФ). Отдельное согласие по ст. 9 ФЗ-152 для специальных категорий всё равно потребуется, если собираете данные сверх анкеты или передаёте их третьим лицам (режимный орган — не ваш подрядчик, но договор поручения должен быть оформлен корректно).

Шаг 2. Проверьте основания и форму согласия работника

С 01.09.2025 согласие на обработку персональных данных — отдельный документ, не объединяемый с трудовым договором, анкетой, должностной инструкцией или офертой (ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025). Для специальных категорий ПДн требование письменного отдельного согласия действовало и прежде — ФЗ-156 распространил его на все типы данных без исключения.

«Ст. 9 ФЗ-152 (ред. с 01.09.2025) — согласие на обработку ПДн оформляется отдельным документом. Обязательные реквизиты: ФИО субъекта, контактные данные, наименование оператора, цель, перечень ПДн, перечень действий, срок действия, способ отзыва. Отсутствие любого реквизита — нарушение ч. 2 ст. 13.11 КоАП, штраф до 700 000 ₽.»

Что нужно сделать HR-директору: извлечь все согласия из трудовых договоров, анкет и форм заявлений; оформить отдельный документ на каждый вид обработки (общие ПДн — одно согласие, специальные категории — второе, биометрия СКУД — третье). Ранее полученные согласия, которые были оформлены в виде отдельного документа до 01.09.2025, переоформлять не требуется — ФЗ-156 обратной силы не имеет. Встроенные — переделать до первой проверки РКН.

Отдельный случай — соискатели. Если кандидат заполняет анкету формы № 4 до заключения трудового договора, основание ст. 86 ТК РФ ещё не возникло. Здесь единственным основанием остаётся согласие по ст. 9 ФЗ-152, оформленное отдельно от анкеты и до её заполнения.

Согласия работников ещё в анкетах или трудовых договорах?

Если HRD не переоформил согласия работников после 01.09.2025, каждый документ с встроенным согласием создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП — до 700 000 ₽ за факт. При режимных проверках документация кадрового блока изучается в первую очередь. Срок для приведения в порядок — не восстанавливается.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Настройте передачу данных в режимный орган как поручение обработки

При оформлении допуска вы передаёте анкету и сопутствующие сведения в орган, проводящий проверку. С точки зрения ФЗ-152 это передача персональных данных третьему лицу. Вопрос о квалификации — совместная обработка или поручение — зависит от того, действует ли орган проверки как самостоятельный оператор или по вашему заданию.

По общему правилу п. 3 ст. 6 ФЗ-152 оператор вправе поручить обработку ПДн другому лицу только на основании договора (или закона), в котором прописаны обязательные условия: перечень действий, цель, обязанность соблюдать конфиденциальность, право оператора проводить проверки. Передача данных без такого договора — нарушение ст. 6 ФЗ-152, риск штрафа по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽).

«Ст. 6 п. 3 ФЗ-152 — поручение обработки ПДн третьему лицу требует договора с обязательными условиями: перечень действий, цель, конфиденциальность, право проверки. Ответственность перед субъектом несёт оператор.»

На практике: если передача в режимный орган происходит во исполнение прямого требования закона (например, в ФСБ по установленным правилам), правовое основание — п. 2 ст. 6 ФЗ-152 (исполнение обязанности, возложенной законом). В этом случае договор поручения не требуется, но в уведомлении РКН и политике обработки ПДн цель и получатель должны быть указаны.

Шаг 4. Разграничьте обработку данных в КЭДО и режимных системах

Перевод кадрового документооборота на КЭДО создаёт отдельный риск: документы с персональными данными работников, включая анкеты формы № 4 и согласия, могут оказаться в информационной системе, оператором которой является внешний провайдер. По смыслу ст. 86–87 ТК РФ и ст. 18.1 ФЗ-152 работодатель обязан обеспечить, чтобы КЭДО-провайдер обрабатывал данные строго по поручению и не использовал их в иных целях.

Для организации с режимом секретности особенно важно: часть документов формируется в системах, аттестованных по требованиям защиты государственной тайны. Эти системы и системы КЭДО — разные ИСПДн с разными уровнями защищённости по ПП РФ № 1119. Смешивание режимных и кадровых данных в одной базе создаёт риск по ч. 1 ст. 13.11 КоАП (обработка несовместимая с целями — штраф 150 000–300 000 ₽) и дополнительные требования по Приказу ФСТЭК № 21.

«Ст. 5 п. 5 ФЗ-152 — не допускается объединение баз персональных данных, обработка которых ведётся в целях, несовместимых между собой. ПП РФ № 1119 — уровень защищённости ИСПДн зависит от категорий данных и числа субъектов (порог 100 000).»

Что сделать: провести инвентаризацию ИСПДн — отдельно режимных, отдельно кадровых. Убедиться, что договор с КЭДО-провайдером содержит условия поручения по ст. 6 ФЗ-152. Проверить, что в уведомлении РКН по ст. 22 ФЗ-152 каждая ИСПДн указана с правильной целью и правовым основанием.

Шаг 5. Проверьте обработку биометрических данных в СКУД

В организациях с режимом секретности системы контроля и управления доступом (СКУД) нередко используют биометрию: отпечатки пальцев, геометрию кисти, изображение лица. По ст. 11 ФЗ-152 это биометрические персональные данные, обработка которых допускается только с письменного согласия субъекта — в виде отдельного документа.

Согласие на биометрию в СКУД — третий отдельный документ помимо согласия на общие ПДн и на специальные категории. Его нельзя совместить ни с анкетой, ни с соглашением о неразглашении. Нарушение — штраф по ч. 16 ст. 13.11 КоАП (нарушение требований обработки биометрии).

«Ст. 11 ФЗ-152 — биометрические ПДн (изображение лица, отпечатки, геометрия кисти) обрабатываются только с письменного согласия субъекта. Исключения п. 2 ст. 11 — для судопроизводства, безопасности, обороны и ряда иных случаев.»

Если СКУД относится к системам, обеспечивающим безопасность в связи с государственной тайной, — возможно применение исключения п. 2 ст. 11 ФЗ-152 (обеспечение безопасности). Но это исключение должно быть явно квалифицировано и отражено в политике и ОРД: без письменного закрепления инспектор РКН по умолчанию будет требовать согласие.

Шаг 6. Определите сроки хранения и порядок уничтожения ПДн

Персональные данные, собранные при оформлении допуска к гостайне, хранятся по двум разным логикам. Данные личного дела работника — как правило, 75 лет по типовым перечням документов (приказы о приёме, трудовой договор, анкеты). Данные, сформированные в ходе проверки (проверочные материалы) — по правилам архивного хранения режимных документов, которые могут не совпадать со сроками 152-ФЗ.

По ст. 21 ФЗ-152 оператор обязан уничтожить или обезличить ПДн при достижении цели обработки или при поступлении требования субъекта об отзыве согласия. Но если данные хранятся по отдельному правовому основанию (архивное законодательство, требования режима), отзыв согласия не влечёт автоматического уничтожения: вы обязаны письменно объяснить субъекту, на каком основании продолжаете хранение.

«Ст. 21 ФЗ-152 — оператор уничтожает или обезличивает ПДн при достижении цели обработки. Если хранение продолжается по иному правовому основанию — оно должно быть явно указано в ответе на требование субъекта.»

Практически: для работников, которым отказано в допуске или которые уволены, — проверьте, есть ли у вас задокументированное основание продолжать хранение анкетных данных. Если основания нет — уничтожьте в течение 30 дней после наступления соответствующего события и зафиксируйте это актом.

Что подготовить HR-директору

  • Отдельные согласия работников: три вида — на общие ПДн, на специальные категории (здоровье, судимость), на биометрию СКУД; все оформлены по реквизитам ст. 9 ФЗ-152 в редакции с 01.09.2025.
  • Договор поручения обработки с КЭДО-провайдером по условиям п. 3 ст. 6 ФЗ-152 (перечень действий, цель, конфиденциальность, право проверки).
  • Актуальное уведомление в реестре операторов РКН: цели, категории ПДн, получатели — отдельно для каждой ИСПДн (кадровой и режимной).
  • Политика обработки ПДн, опубликованная на сайте или размещённая в доступном месте, с разделом о специальных категориях и биометрии.
  • Журнал учёта согласий: фиксация даты получения, реквизитов документа, факта отзыва — для каждого работника и соискателя.

Типичные ситуации: как это выглядит в практике HR-директора

Ситуация 1. Анкета формы № 4 как единственный документ на обработку ПДн. В производственной компании (Уральский ФО, начало 2026) инспектор РКН при плановой проверке обнаружил, что согласие на обработку специальных категорий ПДн вшито в анкету допуска. Отдельного документа не было. Компания получила предписание и штраф по ч. 2 ст. 13.11 КоАП. Ситуация: встроенное согласие на специальные ПДн. Доказательства: текст анкеты. Исход: штраф в диапазоне 300 000–700 000 ₽. Стратегия: немедленно оформить три отдельных согласия и подать возражения на стадии обжалования, опираясь на принятые меры.

Ситуация 2. КЭДО-провайдер без договора поручения. IT-компания с режимным подразделением (Центральный ФО, осень 2025) передала анкеты формы № 4 через КЭДО-систему внешнего провайдера. Договор поручения по ст. 6 ФЗ-152 отсутствовал. Ситуация: передача специальных категорий ПДн третьему лицу без надлежащего договора. Доказательства: протокол передачи данных в систему провайдера. Исход: нарушение ч. 1 ст. 13.11 (150 000–300 000 ₽), предписание заключить договор. Стратегия: заключить договор поручения, дополнить его условиями о конфиденциальности режимных сведений.

Если HR-директор получил предписание РКН или запрос о проверке кадровых ИСПДн — у вас 10 рабочих дней на ответ субъекту по ст. 20 ФЗ-152 и ограниченное время на устранение нарушений до составления протокола. Юристы DATUM подготовят комплект ОРД под ключ и представят интересы при проверке.

Собрать ОРД под ключ

Услуги DATUM по теме

  • Аудит соответствия 152-ФЗ — проверка кадрового блока по чек-листу из 38 пунктов, отчёт с приоритизированным планом.
  • Комплект ОРД под ключ — согласия, политика, приказы, регламент реагирования, журналы для HR-департамента.
  • DPO-аутсорсинг — функция ответственного по ст. 22.1 ФЗ-152 на абонентском обслуживании, включая ответы на запросы субъектов.

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, которые до 01.09.2025 уже были оформлены в виде отдельного документа с полным набором реквизитов ст. 9 ФЗ-152, переоформлять не нужно — ФЗ-156 не имеет обратной силы. Переоформлению подлежат только те согласия, которые были встроены в трудовой договор, анкету или иной документ: их нужно выделить в самостоятельный документ с обязательными реквизитами (цель, перечень ПДн, срок, способ отзыва). Для специальных категорий ПДн (здоровье, судимость в анкете допуска) письменная форма и отдельность требовались и до ФЗ-156 — здесь риск существовал изначально.

2. Какие данные нельзя спрашивать в анкете соискателя при оформлении допуска?

Ст. 86 ТК РФ запрещает работодателю получать и обрабатывать ПДн, не связанные непосредственно с трудовой деятельностью. Если конкретный вопрос анкеты не предусмотрен утверждённой формой № 4 и не обусловлен требованиями законодательства о государственной тайне — запрашивать такие сведения нельзя. Типичный пример: сведения о политических взглядах, религиозных убеждениях, членстве в общественных организациях выходят за рамки специальных категорий, допустимых к обработке в трудовых отношениях, если только это прямо не установлено законом для данной должности.

3. Можно ли вести видеонаблюдение в режимном офисе без согласия работников?

Видеонаблюдение с записью изображения лица — биометрические персональные данные по ст. 11 ФЗ-152, если запись используется для идентификации личности. Для режимных зон возможно применение исключения п. 2 ст. 11 (обеспечение безопасности государства) — но только если это явно следует из регламента системы защиты и отражено в локальных актах. Если видеозапись ведётся для контроля рабочего времени, а не для охраны секретного периметра, — исключение неприменимо, и письменное согласие обязательно. Факт ведения видеонаблюдения должен быть отражён в трудовом договоре или в правилах внутреннего распорядка (ст. 22.2 ТК РФ).

4. Сколько хранить согласия после увольнения работника?

Согласие на обработку ПДн — кадровый документ, срок хранения которого определяется в том числе перечнями типовых управленческих документов. По общему правилу согласия хранятся в течение срока действия трудовых отношений плюс срок хранения личного дела (до 75 лет — для документов, созданных после 2003 года, по новым перечням). Если согласие истекло или отозвано, но данные продолжают храниться по иному основанию (архивное законодательство), — это основание должно быть письменно зафиксировано. Уничтожение оформляется актом с указанием даты, состава уничтоженных документов и лиц, участвовавших в процедуре.

5. Кто является оператором при использовании КЭДО?

Оператором персональных данных работников остаётся работодатель — он определяет цели и способы обработки. КЭДО-провайдер действует по поручению работодателя и является лицом, осуществляющим обработку по поручению оператора (п. 3 ст. 6 ФЗ-152). Работодатель несёт ответственность перед работниками и регулятором за действия провайдера, если они совершены в рамках переданного поручения. Договор поручения должен включать обязательные условия ст. 6 ФЗ-152, иначе передача данных провайдеру квалифицируется как самостоятельная передача третьему лицу без достаточного основания.

6. Что делать, если соискатель отказывается подписывать согласие на спецкатегории ПДн?

Если обработка специальных категорий ПДн (здоровье, судимость) является обязательным условием оформления допуска, а допуск — условием замещения должности, отказ соискателя от согласия означает невозможность продолжить трудоустройство на данную позицию. Работодатель вправе отказать в заключении трудового договора по этому основанию, поскольку оно прямо связано с деловыми качествами и требованиями к должности (ст. 22.2 ТК РФ). Важно: отказ в трудоустройстве должен быть мотивирован именно невозможностью оформления допуска, а не самим фактом отказа от согласия — иначе возникает риск жалобы в трудовую инспекцию.

Итог

Допуск к государственной тайне — одна из немногих кадровых процедур, где обработка специальных категорий персональных данных неизбежна и обусловлена законом. Задача HR-директора — обеспечить, чтобы каждый элемент этой цепочки (согласие, передача данных в режимный орган, КЭДО, СКУД, хранение) имел самостоятельное правовое основание и был задокументирован согласно требованиям ст. 9, 10, 11, 18.1, 21 ФЗ-152.

Юристы DATUM сопровождают HR-блок организаций с режимом допуска: от аудита существующих согласий и ОРД до представления интересов при проверке РКН. Практика по 152-ФЗ ведётся с 2014 года.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах. Сопровождение проверок РКН в HR-департаментах.

22 апреля 2028 года