инструкция 28 февраля 2028 По состоянию на 28 февраля 2028

Гибридный (КЭДО+бумага) подход: правовые риски

Q: Сколько хранить согласия после увольнения работника?

Срок хранения согласия привязан к сроку хранения кадрового документа, для которого оно получено. Личное дело работника хранится 75 лет. Согласие на обработку ПДн при трудоустройстве хранится весь этот срок. Согласие на биометрию СКУД — не менее срока хранения данных СКУД-системы. Минимальный практический срок — 3 года после увольнения.

Гибридный подход — одновременное ведение КЭДО и бумажного документооборота — создаёт двойной периметр обработки персональных данных и удваивает число оснований для штрафа по ст. 13.11 КоАП.

С 01.09.2025 по ФЗ-156 каждое согласие работника на обработку ПДн — отдельный документ. При гибридной схеме несоответствие форм в КЭДО и на бумаге ведёт к штрафу по ч. 2 ст. 13.11 до 700 000 ₽ за каждое нарушение.

Если вы HRD и в компании параллельно работают КЭДО и бумажные кадровые документы — читайте пошаговый разбор рисков и способов их устранить. →

Большинство компаний перешли на КЭДО частично: трудовые договоры — в системе, личные дела — в папках, согласия работников — где-то в обоих местах. Эта «гибридность» не нарушение сама по себе, но она создаёт зоны неопределённости, которые РКН квалифицирует как отсутствие надлежащего правового основания или ненадлежащее согласие. После 01.09.2025 год требования к форме согласия изменились, а значит, каждый документ, подписанный до этой даты в рамках другого документа (трудового договора, политики), потенциально недействителен. Ниже — шесть шагов, которые позволяют привести гибридную схему в соответствие с ФЗ-152, ст. 86–88 ТК РФ и ФЗ-156.

Шаг 1. Проведите инвентаризацию: где и какие ПДн обрабатываются

Первый шаг — составить карту обработки персональных данных с учётом обоих каналов. В КЭДО данные хранятся в информационной системе оператора или провайдера КЭДО-платформы; на бумаге — в личных делах, трудовых книжках, заявлениях. Объём пересекается: ФИО, паспортные данные, сведения о стаже присутствуют и там, и там.

Зафиксируйте для каждого вида документа: где хранится оригинал, кто имеет доступ, на каком правовом основании обрабатываются данные, предусмотрено ли поручение обработки КЭДО-провайдеру по п. 3 ст. 6 ФЗ-152. Если поручение не оформлено, а провайдер фактически имеет доступ к ПДн работников — это нарушение ч. 1 ст. 13.11 КоАП (штраф 150 000–300 000 ₽).

«Ст. 6 ФЗ-152 допускает передачу обработки ПДн третьему лицу только на основании договора-поручения, в котором перечислены цели, перечень действий и обязанности обработчика по соблюдению конфиденциальности.»

Список типичных «слепых пятен» гибридной схемы: согласие на фотосъёмку для пропуска (СКУД) есть только на бумаге, но изображение хранится в цифровой базе; медсправки отсканированы и загружены в КЭДО без отдельного согласия на спецкатегорию; трудовая книжка ведётся на бумаге, но сведения о стаже дублируются в КЭДО без указания цели.

Ваш КЭДО-провайдер не включён в договор поручения?

Если HRD не оформил поручение обработки ПДн КЭДО-провайдеру — каждый факт доступа провайдера к данным работников является обработкой без правового основания. Штраф по ч. 1 ст. 13.11 КоАП — 150 000–300 000 ₽. Аудит комплаенса HR-департамента занимает до 10 рабочих дней и выявляет все незакрытые основания.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 2. Проверьте согласия работников — что изменилось с 01.09.2025

ФЗ-156 от 24.06.2025 ввёл требование: согласие на обработку ПДн — отдельный документ, не объединяемый с трудовым договором, правилами внутреннего трудового распорядка или политикой конфиденциальности. Это требование распространяется на новые согласия, оформляемые после 01.09.2025. Уже полученные согласия обратной силы не имеют — переоформлять их не требуется, если они соответствовали требованиям ст. 9 ФЗ-152 на дату подписания.

Риск гибридной схемы состоит в другом: в КЭДО нередко используется форма, сгенерированная платформой, а на бумаге — шаблон из трудового договора 2021–2022 годов. Эти формы, как правило, не совпадают по составу обязательных реквизитов ст. 9 ФЗ-152. Если согласие не содержит перечня конкретных действий с ПДн, срока и способа отзыва — оно недействительно независимо от формы носителя.

«Ст. 9 ФЗ-152 (в ред. ФЗ-156) требует, чтобы согласие содержало: ФИО и контактные данные субъекта, наименование и адрес оператора, цель обработки, перечень ПДн, перечень действий, на которые даётся согласие, срок действия и порядок отзыва.»

Отдельного внимания требуют согласия на биометрию СКУД (изображение лица, отпечатки пальцев). Они должны быть письменными по ст. 11 ФЗ-152, содержать все реквизиты ст. 9 и не совмещаться с иными согласиями. При гибридной схеме часто обнаруживается, что согласие на СКУД включено в общее согласие при трудоустройстве — это нарушение.

Шаг 3. Разграничьте роли: кто оператор при использовании КЭДО

Работодатель — оператор персональных данных работников по ст. 22 ФЗ-152 независимо от того, ведётся ли документооборот в КЭДО или на бумаге. КЭДО-провайдер (МЧД-оператор, платформа ЭДО) является лицом, осуществляющим обработку по поручению оператора в понимании ст. 3 и ст. 6 ФЗ-152.

Работодатель обязан: уведомить РКН о намерении обрабатывать ПДн по ст. 22 ФЗ-152 (если ещё не состоит в реестре), указать КЭДО-провайдера в разделе «Лица, которым передаются ПДн» уведомления, заключить договор поручения обработки с перечнем мер защиты по ст. 19 ФЗ-152.

Характерная ошибка: компания состоит в реестре РКН, но в уведомлении не указан КЭДО-провайдер как получатель. При проверке РКН это интерпретируется как обработка в целях, не предусмотренных уведомлением, — состав ч. 1 ст. 13.11 КоАП. При повторности — ч. 1.1, штраф 300 000–500 000 ₽.

Что подготовить для гибридного КЭДО

Договор поручения обработки ПДн с КЭДО-провайдером по п. 3 ст. 6 ФЗ-152 с перечнем мер защиты
Отдельные согласия работников по ст. 9 ФЗ-152 в редакции ФЗ-156 — для каждой цели обработки (кадровый учёт, СКУД, публикация фото на сайте)
Актуальное уведомление в реестре РКН с указанием КЭДО-провайдера и реальных категорий обрабатываемых ПДн
Политика обработки ПДн по ч. 2 ст. 18.1 ФЗ-152 с описанием порядка работы в КЭДО
Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152

Шаг 4. Как правильно хранить личные дела при гибридной схеме?

Личное дело работника при гибридном подходе существует в двух форматах одновременно: электронном (в КЭДО или кадровой системе) и бумажном. Это само по себе не запрещено, но порождает риск дублирования без чёткого разграничения, что является оригиналом, а что копией.

По общему правилу типового срока хранения личного дела — 75 лет. При гибридном хранении компании нередко уничтожают бумажную копию после оцифровки, не фиксируя акт уничтожения. Это нарушает требования ст. 21 ФЗ-152 об уничтожении ПДн: уничтожение должно быть задокументировано, а факт уничтожения внесён в журнал. Для бумажных носителей — дополнительно требования ч. 6 ст. 13.11 КоАП при ненадлежащем хранении.

«Ст. 21 ФЗ-152: оператор обязан уничтожить ПДн при достижении целей обработки или утрате необходимости в ней; факт уничтожения фиксируется документально.»

При увольнении работника ПДн в КЭДО и в бумажном личном деле должны обрабатываться по одному и тому же регламенту. Запросы бывшего работника на уничтожение ПДн по ст. 21 ФЗ-152 требуют ответа в установленный срок и исполнения — за исключением данных, хранение которых обязательно по закону (например, сведения для ПФР, налоговая отчётность).

Шаг 5. Типовые сценарии нарушений и их последствия

Сценарий 1. КЭДО-провайдер получил доступ без договора поручения. Компания подключила облачную КЭДО-платформу, сотрудники подписывают документы через браузер. Провайдер технически имеет доступ к ПДн работников. Договора поручения обработки нет. При проверке РКН — нарушение ч. 1 ст. 13.11 КоАП, штраф 150 000–300 000 ₽. Стратегия: немедленно заключить договор поручения, внести провайдера в уведомление РКН.

Сценарий 2. Согласие на СКУД включено в общее согласие при трудоустройстве. Работник подписал одно согласие, охватывающее и кадровый учёт, и биометрию СКУД. После 01.09.2025 такое согласие нарушает требование об отдельном документе для биометрии (ст. 11 ФЗ-152) и о раздельном оформлении по ст. 9 ФЗ-152 в ред. ФЗ-156. Нарушение по ч. 2 ст. 13.11 — штраф 300 000–700 000 ₽. Стратегия: переоформить согласие на биометрию отдельным документом при ближайшем контакте с работником.

Сценарий 3. Бумажное личное дело уничтожено после оцифровки без акта. HR-специалист после загрузки сканов в КЭДО сдал бумажные оригиналы в шредер. Акт об уничтожении не составлен. При запросе бывшего работника или проверке РКН компания не может подтвердить ни факт уничтожения, ни срок хранения. Это создаёт риски по ч. 5 ст. 13.11 КоАП (невыполнение требования об уничтожении) и претензии надзорных органов по архивному законодательству. Стратегия: ввести регламент уничтожения с актом и журналом учёта.

Если в компании работают и КЭДО, и бумажные документы — ОРД HR-департамента нужно проверить по двум периметрам. Юристы DATUM проводят аудит за 10 рабочих дней и выдают приоритизированный план устранения нарушений.

Заказать аудит 152-ФЗ

Шаг 6. Реагирование на запрос работника и проверку РКН

Работник вправе запросить у работодателя информацию об обработке своих ПДн по ст. 14 ФЗ-152. Срок ответа — 10 рабочих дней с даты обращения, с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта. При гибридной схеме ответ должен охватывать данные в обоих каналах: и в КЭДО, и на бумажных носителях. Неполный ответ — нарушение ч. 4 ст. 13.11 КоАП, штраф 40 000–80 000 ₽.

При плановой или внеплановой проверке РКН инспектор запросит: выписку из реестра операторов ПДн, политику обработки ПДн, согласия работников, договор поручения с КЭДО-провайдером, приказ о назначении ответственного. При гибридной схеме часто обнаруживается, что бумажные согласия хранятся в личных делах у разных ответственных, а согласия из КЭДО — на серверах провайдера. Собрать их в рамках одной проверки за отведённое время крайне сложно без заранее подготовленного реестра.

Ключевой принцип: документация гибридной схемы должна быть актуальна одновременно в обоих форматах. Изменение формы согласия в КЭДО без обновления бумажного шаблона создаёт коллизию, которую РКН трактует не в пользу оператора.

Практика: как это выглядит в реальных делах

Кейс 1. Производственная компания Уральского ФО (лето 2025) прошла внеплановую проверку РКН после жалобы работника на отказ предоставить сведения об обработке его ПДн. HR-директор не смог в срок собрать согласия: часть хранилась в КЭДО-системе провайдера, часть — в бумажных личных делах в региональном филиале. РКН возбудил дела по ч. 3 и ч. 4 ст. 13.11 КоАП (отсутствие публичной политики и нарушение права на информацию). Компания получила штрафы в диапазоне нескольких десятков тысяч рублей по каждому составу. После проверки внедрила единый реестр согласий с указанием формата хранения.

Кейс 2. Торговая сеть Центрального ФО (осень 2025) использовала КЭДО для трудовых договоров и бумажный документооборот для согласий на обработку биометрии СКУД. Согласие на СКУД было включено в общее согласие при трудоустройстве в КЭДО. После вступления в силу требований ФЗ-156 (01.09.2025) инспектор РКН при проверке квалифицировал это как нарушение требований к форме и составу согласия по ч. 2 ст. 13.11 КоАП. Штраф для юрлица составил несколько сотен тысяч рублей. Компания переоформила согласия на биометрию отдельными документами в обоих каналах.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка HR-документации по двум периметрам (КЭДО + бумага)
Комплект ОРД под ключ — пакет документов с учётом гибридной схемы и требований ФЗ-156
DPO-аутсорсинг — ведение функции ответственного по ст. 22.1 ФЗ-152 на абонентской основе

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025 и соответствовавшие требованиям ст. 9 ФЗ-152 на дату подписания, обратной силы не имеют — переоформлять их не требуется. Новые согласия, оформляемые после 01.09.2025, должны быть отдельными документами по ФЗ-156 от 24.06.2025. Исключение: если старое согласие было включено в трудовой договор или иной документ и этот факт зафиксирован в актуальных ОРД — до следующей проверки РКН риск невысок, но при наличии возможности переоформление снижает его до нуля.

2. Какие данные нельзя запрашивать в анкете при приёме на работу?

Работодатель вправе запрашивать только данные, необходимые для заключения и исполнения трудового договора по ст. 86 ТК РФ и ст. 5 ФЗ-152. Запрещено спрашивать без явной производственной необходимости: сведения о членстве в партиях и религиозных организациях, состоянии здоровья (кроме случаев обязательных медосмотров по должности), данные о доходах до трудоустройства, семейное положение, сведения о детях — если это не связано с предоставлением льгот. Анкета с избыточными полями — основание для штрафа по ч. 1 ст. 13.11 КоАП.

3. Можно ли вести видеонаблюдение в офисе без согласия работников?

Видеонаблюдение в рабочих зонах допустимо без отдельного согласия работника, если работодатель уведомил работников о факте наблюдения в соответствии со ст. 22.2 ТК РФ и внёс соответствующее положение в локальный нормативный акт (ПВТР или отдельный регламент). Видеозапись является биометрическими ПДн только при условии её использования для идентификации конкретного лица (ст. 11 ФЗ-152). Архивная запись без цели идентификации — общие ПДн; для неё согласие не требуется, но нужно уведомление и локальный акт. Использование видео для распознавания лиц (СКУД с FaceID) — биометрия, необходимо письменное согласие.

4. Сколько хранить согласия после увольнения работника?

Срок хранения согласия привязан к сроку хранения самого кадрового документа, для которого оно было получено. Личное дело работника хранится 75 лет по типовым срокам. Согласие на обработку ПДн, полученное при трудоустройстве, хранится весь этот срок. Согласие на биометрию СКУД — не менее срока хранения данных самой СКУД-системы плюс период, необходимый для урегулирования возможных претензий. Минимальный практический срок — 3 года после увольнения.

5. Кто является оператором ПДн при использовании КЭДО?

Оператором ПДн работников всегда остаётся работодатель по ст. 22 ФЗ-152 — независимо от того, какая платформа используется для ведения КЭДО. КЭДО-провайдер является лицом, осуществляющим обработку по поручению оператора в соответствии со ст. 6 ФЗ-152. Ответственность за нарушение требований к обработке перед РКН и работниками несёт работодатель. Провайдер несёт ответственность перед работодателем по условиям договора поручения.

6. Что будет, если в уведомлении РКН не указан КЭДО-провайдер?

Если КЭДО-провайдер фактически обрабатывает ПДн работников, но не указан в уведомлении как получатель или обработчик, это означает несоответствие реальной обработки заявленным целям и составу. РКН квалифицирует это как нарушение ч. 1 ст. 13.11 КоАП — обработка в целях, не предусмотренных законом или уведомлением. Штраф для юрлица — 150 000–300 000 ₽. Устранение: подать уведомление об изменении сведений по форме Приказа РКН №180 от 28.10.2022.

Итог

Гибридный подход (КЭДО + бумага) допустим, но требует двойного комплаенса: каждое правило ФЗ-152 применяется одновременно к обоим каналам. Ключевые точки риска — договор поручения с провайдером, форма и состав согласий по ФЗ-156, разграничение биометрии СКУД и общих ПДн, порядок уничтожения бумажных носителей и ответы на запросы работников по обоим периметрам.

Практика DATUM по HR-комплаенсу охватывает аудит кадровых ОРД, переработку форм согласий под ФЗ-156 и сопровождение проверок РКН в HR-департаментах — от подготовки до представления интересов работодателя перед инспектором.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM. Специализация — согласия работников по ст. 9 152-ФЗ в ред. ФЗ-156, КЭДО, биометрия СКУД, сопровождение проверок РКН в HR-департаментах.

28 февраля 2028 года