инструкция 22 февраля 2027 По состоянию на 22 февраля 2027

Электронные согласия: УКЭП/УНЭП/ПЭП в HR

С 01.09.2025 согласие на обработку персональных данных — отдельный документ. Встроить его в трудовой договор или приказ больше нельзя (ФЗ-156 от 24.06.2025, ст. 9 ФЗ-152).

Для КЭДО и биометрии СКУД тип электронной подписи (УКЭП, УНЭП, ПЭП) определяет юридическую силу документа. Ошибка в выборе — основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽.

Если вы HRD и ещё не пересмотрели форму согласий — в этой инструкции шесть конкретных шагов с указанием нормы и типа подписи для каждой ситуации. → Читайте дальше.

С 01.09.2025 HR-департаменты работают в условиях обновлённых требований к согласию: его нельзя объединять с другими документами, а набор обязательных реквизитов зафиксирован в ст. 9 ФЗ-152. Одновременно ст. 22.2 ТК РФ допускает КЭДО с применением разных видов электронной подписи. Это порождает практический вопрос: какой вид ЭП подходит для каждого типа согласия — и что будет, если выбрать неправильный.

Шаг 1. Разберитесь, какие виды электронной подписи существуют и чем они отличаются

Федеральный закон № 63-ФЗ «Об электронной подписи» делит подписи на три вида. Простая электронная подпись (ПЭП) — это код, логин/пароль, SMS-код. Усиленная неквалифицированная (УНЭП) создаётся с помощью криптографии, но без аккредитованного удостоверяющего центра. Усиленная квалифицированная (УКЭП) — выдаётся только аккредитованным УЦ, имеет юридическую силу собственноручной подписи во всех случаях, не требующих иного.

Для HR-документов с ПДн критично следующее: ст. 22.2 ТК РФ допускает КЭДО с УНЭП и УКЭП, а для отдельных документов (трудовой договор, согласие на увольнение) — только УКЭП или УНЭП через систему «Работа в России». ПЭП в КЭДО допустима лишь для документов, прямо поименованных в локальном нормативном акте, и только если это разрешено соглашением сторон.

«Ст. 9 ФЗ-152 (в ред. ФЗ-156 от 24.06.2025) — согласие субъекта персональных данных оформляется отдельным документом и содержит: ФИО субъекта, контактные данные, наименование оператора, цель обработки, перечень ПДн, перечень действий, срок, способ отзыва. Объединение с трудовым договором, политикой или офертой — недопустимо.»

Шаг 2. Определите, для каких HR-процессов требуется письменное согласие на обработку ПДн

Не каждый кадровый документ требует отдельного согласия. Ст. 6 и ст. 86–88 ТК РФ устанавливают, что обработка ПДн работника возможна в целях исполнения трудового договора без согласия. Однако ряд ситуаций выходит за эти рамки.

Письменное согласие обязательно в следующих случаях: передача ПДн работника третьим лицам (банк для зарплатного проекта, страховая компания); обработка специальных категорий ПДн — состояние здоровья, судимость (ст. 10 ФЗ-152); биометрия в СКУД — отпечаток пальца, изображение лица для распознавания (ст. 11 ФЗ-152); распространение ПДн — размещение фото работника на сайте или в рекламе (ст. 10.1 ФЗ-152); обработка данных кандидатов — лиц, не состоящих в трудовых отношениях.

Что подготовить HRD до начала работы с электронными согласиями

Реестр всех процессов обработки ПДн с указанием правового основания (ст. 6 ФЗ-152 или согласие по ст. 9)
Перечень документов в КЭДО с указанием вида ЭП для каждого (ст. 22.2 ТК РФ)
Форма согласия — отдельный документ с 8 обязательными реквизитами по ст. 9 ФЗ-152
Локальный нормативный акт о КЭДО с разделом о видах ЭП и порядке отзыва согласий
Журнал учёта согласий: дата подписания, вид ЭП, статус (действует / отозвано)

Ещё не обновили согласия работников после 01.09.2025?

Если HRD не привёл форму согласий в соответствие с ФЗ-156, каждый кадровый документ с ПДн создаёт риск штрафа по ч. 2 ст. 13.11 КоАП — до 700 000 ₽. Срок действия «старых» согласий в совмещённых документах не определён судебной практикой. Юристы DATUM проведут аудит и соберут пакет согласий по новым требованиям.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Выберите вид ЭП для каждого типа согласия в HR

Выбор вида подписи зависит от типа обрабатываемых данных и канала оформления согласия.

Согласие на обработку общих ПДн для целей, не связанных с трудовым договором (зарплатный проект, анкета кандидата): допустима УНЭП, если соглашение сторон прямо это предусматривает и работник имеет доступ к КЭДО-системе. На бумаге — собственноручная подпись.

Согласие на обработку специальных категорий ПДн (здоровье, судимость по ст. 10 ФЗ-152): рекомендуется письменная форма с собственноручной подписью или УКЭП. УНЭП и ПЭП создают правовую неопределённость при оспаривании.

Согласие на биометрию в СКУД (ст. 11 ФЗ-152 — письменное согласие): обязательна письменная форма. В КЭДО — УКЭП. УНЭП допустима только при наличии дополнительного соглашения о признании УНЭП равнозначной собственноручной подписи для данного типа документов.

Согласие на распространение ПДн (ст. 10.1 ФЗ-152 — отдельный документ): УКЭП или собственноручная подпись. РКН трактует это согласие как особую категорию: при отзыве оператор обязан прекратить распространение немедленно.

Согласие кандидата (не состоит в трудовых отношениях): ПЭП допустима при использовании корпоративного HR-портала с идентификацией, если это зафиксировано в политике конфиденциальности. На практике суды оценивают, мог ли субъект идентифицировать себя однозначно.

«Ст. 11 ФЗ-152 — биометрические персональные данные обрабатываются только при наличии письменного согласия субъекта, за исключением случаев, прямо установленных федеральным законом.»

Шаг 4. Настройте порядок отзыва согласия в цифровой среде

Ст. 9 ФЗ-152 требует указывать способ отзыва согласия в самом документе. В КЭДО это означает: работник должен иметь функциональную возможность отозвать согласие тем же способом, которым оно давалось — или более простым.

Для систем с ПЭП (HR-порталы) реализуйте кнопку «Отозвать согласие» с фиксацией даты и времени в журнале. Для согласий в КЭДО (УНЭП/УКЭП) предусмотрите процедуру: работник направляет электронный документ-заявление, система фиксирует его, HR получает уведомление. Срок прекращения обработки после отзыва — не установлен в жёстком виде, но РКН ориентируется на разумный срок (несколько рабочих дней). Для согласий на распространение по ст. 10.1 — немедленно после получения заявления.

Отдельно: отзыв согласия не прекращает обработку, если она ведётся по иному правовому основанию. Работник может отозвать согласие на передачу ПДн в банк — но это не лишает работодателя права хранить личное дело 75 лет по требованиям архивного законодательства.

Шаг 5. Урегулируйте вопрос КЭДО и персональных данных в локальных актах

Использование КЭДО само по себе является обработкой ПДн. Оператором ИС КЭДО выступает работодатель, а если платформа предоставляется внешним сервисом — возникают отношения поручения обработки по ст. 6 ФЗ-152. В этом случае требуется отдельный договор или поручение с перечнем действий и обязательством соблюдать конфиденциальность.

В локальном нормативном акте о КЭДО следует закрепить: перечень документов с указанием вида ЭП; порядок хранения электронных документов с ПДн; порядок реагирования на запросы субъектов; сроки уничтожения ПДн, обрабатываемых исключительно для целей КЭДО.

РКН при проверке HR-сегмента запрашивает именно этот локальный акт как подтверждение, что компания осознаёт себя оператором ПДн в КЭДО-системе, а не просто «использует цифровой инструмент».

Если КЭДО уже работает, а поручение на обработку ПДн с вендором не подписано — это готовое основание для протокола РКН по ч. 1 ст. 13.11 КоАП. Срок на исправление до проверки ограничен. Юристы DATUM соберут пакет ОРД для КЭДО под ключ.

Собрать ОРД под ключ

Шаг 6. Проверьте соответствие всей цепочки перед проверкой РКН

Финальный контроль охватывает четыре уровня. Первый — документарный: каждое согласие существует как отдельный документ с 8 реквизитами, подписан надлежащим видом ЭП. Второй — процедурный: отзыв согласия работает технически и фиксируется в журнале. Третий — архитектурный: в ИС КЭДО заключено поручение на обработку ПДн с вендором. Четвёртый — актуальность: согласия кандидатов, не принятых на работу, хранятся не дольше обоснованного срока (как правило, до трёх лет, если иное не установлено внутренними правилами).

Особое внимание: согласие, полученное до 01.09.2025 в составе трудового договора или иного документа, формально не соответствует новой редакции ст. 9 ФЗ-152. ФЗ-156 не содержит прямого переходного положения о признании таких согласий недействительными — но и подтверждения их действительности нет. Риск — в позиции конкретного инспектора РКН при проверке. Консервативная стратегия: переоформить согласия при ближайшем плановом кадровом взаимодействии.

Как это применяется на практике

Кейс 1. Производственная компания (Уральский ФО, осень 2025). HR-директор получил уведомление о плановой проверке РКН. Согласие на обработку ПДн было оформлено приложением к трудовому договору и не являлось отдельным документом. Инспектор зафиксировал нарушение ч. 2 ст. 13.11 КоАП — обработка без надлежащего согласия. Компании выдано предписание об устранении; штраф составил сотни тысяч рублей. Параллельно выявлено отсутствие поручения на обработку ПДн с КЭДО-платформой. В результате — два протокола вместо одного.

Кейс 2. Торговая сеть (Сибирский ФО, начало 2026). В СКУД использовалось распознавание лиц сотрудников. Согласие на биометрию было подписано через КЭДО с применением УНЭП, при этом соглашения о признании УНЭП равнозначной письменной форме для биометрических согласий в компании не существовало. РКН квалифицировал ситуацию как обработку биометрии без письменного согласия по ст. 11 ФЗ-152. Юристы DATUM подготовили соглашение и дооформили согласия через УКЭП; предписание исполнено в установленный срок, штраф обжалован.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка согласий, ОРД и КЭДО по 38 пунктам
Комплект ОРД под ключ — согласия работников, политика, приказы, поручения на обработку
DPO-аутсорсинг — ответы на запросы субъектов, ведение реестра согласий

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

ФЗ-156 не обязывает переоформлять согласия, полученные до 01.09.2025, в явном порядке. Однако согласие, встроенное в трудовой договор или иной документ, не отвечает требованиям нового ст. 9 ФЗ-152 — оно не является отдельным документом. При проверке РКН инспектор вправе квалифицировать обработку на основании такого согласия как обработку без надлежащего согласия (ч. 2 ст. 13.11 КоАП, до 700 000 ₽). Консервативная стратегия — переоформить при ближайшем плановом взаимодействии с работником.

2. Какие данные нельзя запрашивать в анкете соискателя?

Ст. 86 ТК РФ запрещает запрашивать информацию о политических, религиозных и иных убеждениях, членстве в общественных объединениях. Ст. 87 ТК РФ ограничивает обработку ПДн целями трудовых отношений. Данные о здоровье — специальная категория по ст. 10 ФЗ-152 — допустимы только при наличии отдельного согласия и только в объёме, необходимом для определения пригодности к работе. Запрашивать национальность, вероисповедание, сведения об интимной жизни, судимости (без установленной законом обязанности) — нарушение.

3. Можно ли вести видеонаблюдение в офисе?

Видеонаблюдение в рабочих зонах допустимо при соблюдении трёх условий: работники письменно уведомлены о ведении съёмки (ст. 89 ТК РФ, ст. 9 ФЗ-152); зоны видеонаблюдения исключают пространства, где сотрудники вправе ожидать приватности (туалеты, переговорные комнаты без цели контроля); видеозаписи хранятся с ограниченным доступом и уничтожаются по истечении установленного срока. Если запись используется для идентификации лиц — это биометрия по ст. 11 ФЗ-152 и требует письменного согласия.

4. Сколько хранить согласия после увольнения работника?

Согласия, на основании которых обрабатывались ПДн в период трудовых отношений, хранятся вместе с личным делом. Типовой срок хранения личного дела работника — 75 лет (для документов, созданных до 2003 года — 75 лет; для более поздних — также 75 лет по Приказу Росархива № 236 от 20.12.2019). Согласия кандидатов, не принятых на работу, хранятся, как правило, не более трёх лет — за исключением случаев, когда кандидат разрешил хранить ПДн дольше.

5. Кто является оператором при использовании КЭДО через внешний сервис?

Оператором ПДн является работодатель — он определяет цели и способы обработки (ст. 3 ФЗ-152). Внешний КЭДО-провайдер действует по поручению оператора на основании ст. 6 ФЗ-152 и обязан обеспечивать конфиденциальность и безопасность ПДн. Письменное поручение на обработку — обязательный документ: его отсутствие при проверке РКН фиксируется как нарушение ч. 1 ст. 13.11 КоАП. Провайдер не несёт самостоятельной ответственности перед субъектом — ответственность остаётся у оператора.

6. Что будет, если работник отозвал согласие, а данные ещё нужны для расчёта зарплаты?

Отзыв согласия прекращает обработку только в части, которая велась на основании этого согласия. Обработка ПДн, необходимая для исполнения трудового договора (начисление зарплаты, налоговая отчётность, воинский учёт), ведётся по иным основаниям ст. 6 ФЗ-152 и ст. 86–88 ТК РФ — она продолжается независимо от отзыва. Работодатель обязан письменно уведомить работника о том, какие данные продолжают обрабатываться и на каком основании.

Итог

Электронные согласия в HR — это пересечение трёх правовых режимов: ст. 9 ФЗ-152 в редакции ФЗ-156 (отдельный документ), ст. 22.2 ТК РФ (вид ЭП в КЭДО) и ст. 11 ФЗ-152 (письменная форма для биометрии). Ошибка в любом из трёх слоёв — самостоятельный состав нарушения.

Юристы DATUM сопровождают HR-департаменты в части соответствия 152-ФЗ: аудит согласий, разработка форм под требования ФЗ-156, поручения на обработку для КЭДО-платформ, консультации при проверках РКН.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах.

22 февраля 2027 года