инструкция 4 декабря 2027 По состоянию на 4 декабря 2027

Какие данные работника не требуют согласия (ст. 6)

Q: Можно ли вести видеонаблюдение в офисе без согласия работников?

Да, если видеонаблюдение введено в целях обеспечения безопасности труда, охраны имущества или контроля трудовой дисциплины (ст. 86, 88 ТК РФ). Основание — п. 2 или п. 5 ст. 6 ФЗ-152. Работники должны быть уведомлены об установке камер письменно или через локальный нормативный акт. Скрытое видеонаблюдение без уведомления нарушает ст. 88 ТК РФ.

Q: Сколько хранить согласия после увольнения?

Согласие работника хранится не менее срока хранения личного дела. Типовой срок для лиц, принятых после 2003 года, — 75 лет (Приказ Росархива № 236 от 20.12.2019). После истечения срока данные уничтожаются с составлением акта по ст. 21 ФЗ-152.

Q: Кто является оператором при использовании КЭДО через внешний сервис?

Работодатель — оператор ПДн работников вне зависимости от используемого сервиса КЭДО. Внешний провайдер действует как лицо, осуществляющее обработку по поручению оператора (п. 3 ст. 6 ФЗ-152). С провайдером необходимо заключить поручение на обработку с перечнем разрешённых действий и требованиями к защите.

Работодатель вправе обрабатывать персональные данные сотрудника без его согласия — если есть иное правовое основание по ст. 6 ФЗ-152.

С 01.09.2025 согласие оформляется только отдельным документом (ФЗ-156 от 24.06.2025). Включение согласия в трудовой договор или приказ нарушает ч. 2 ст. 9 ФЗ-152 и грозит штрафом до 700 000 ₽ по ч. 2 ст. 13.11 КоАП.

→ Если вы HRD и не уверены, какие данные требуют согласия, а какие нет — эта инструкция даёт чёткую карту по каждому основанию.

Ошибка большинства HR-департаментов — брать согласие на всё подряд. Это создаёт иллюзию защиты, но порождает два риска: избыточный документооборот и уязвимость при отзыве согласия. Работник вправе отозвать согласие в любой момент (ст. 9 ФЗ-152), и если вся обработка держится на нём, продолжение будет незаконным. Правильная стратегия — разграничить данные, которые обрабатываются по закону или договору, от тех, на которые согласие действительно необходимо. Ниже — пошаговая инструкция для HRD.

Шаг 1. Определите, что вы обрабатываете и с какой целью

До разграничения оснований нужно зафиксировать перечень данных и цели их обработки. Ст. 5 ФЗ-152 запрещает обрабатывать данные сверх заявленных целей и в объёме, превышающем необходимый. Это означает: сначала цель, потом — основание и перечень данных, а не наоборот.

Типовые цели в трудовых отношениях: исполнение трудового договора, выполнение обязанностей работодателя по ТК РФ, воинский учёт, налоги и отчётность, охрана труда, расчёт заработной платы. Для каждой цели — своя правовая норма, которая заменяет согласие.

«Ст. 6 ч. 1 п. 5 ФЗ-152: обработка допускается, если необходима для исполнения договора, стороной которого является субъект. Трудовой договор — именно такой договор.»

Составьте реестр категорий данных с привязкой к цели ещё до того, как переходить к анализу оснований. Этот документ понадобится при проверке РКН: инспектор запрашивает перечень категорий ПДн и правовые основания в первую очередь.

Шаг 2. Какие данные обрабатываются на основании закона — без согласия?

Ст. 6 ч. 1 п. 2 ФЗ-152 разрешает обработку без согласия, если она необходима для выполнения обязанности, возложенной на оператора законодательством РФ. Для работодателя таких обязанностей несколько десятков. Рассмотрим ключевые.

Трудовой кодекс (ст. 86–88 ТК РФ). Работодатель обязан оформить трудовой договор, приказ о приёме, трудовую книжку (или сведения СТД-Р), личную карточку Т-2. Для всего этого нужны: ФИО, дата рождения, адрес, паспортные данные, ИНН, СНИЛС, трудовая биография, образование, воинский учёт. Согласие не требуется — основание п. 2 ст. 6 и ст. 86 ТК.

Налоговый кодекс и страховые взносы. Работодатель как налоговый агент обязан передавать данные о доходах работников в ФНС, СФР, ФСС. Это обязанность, установленная НК РФ и ФЗ-255. Согласие не нужно.

Воинский учёт (ФЗ «Об обороне», постановление Правительства). Работодатель ведёт воинский учёт и передаёт сведения в военкомат. Данные: военный билет, категория годности, специальность. Согласие не нужно.

Охрана труда (раздел X ТК РФ). Сведения о состоянии здоровья для медосмотра передаются в медицинскую организацию по направлению. Это законодательная обязанность работодателя, а не его усмотрение. Согласие пациента на медосмотр получает медорганизация — по ст. 20 ФЗ-323, а не работодатель по ст. 9 ФЗ-152.

«Ст. 86 ТК РФ: работодатель вправе обрабатывать ПДн работника исключительно в целях обеспечения соблюдения законов, содействия занятости, обучения, продвижения по службе, обеспечения сохранности имущества, охраны здоровья.»

Ваши согласия включены в трудовые договоры?

С 01.09.2025 такие документы нарушают ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156. Каждое нарушение — потенциальный штраф до 700 000 ₽ по ч. 2 ст. 13.11 КоАП. Аудит HR-документации до проверки РКН занимает 5–7 рабочих дней.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Какие данные обрабатываются на основании трудового договора — без согласия?

Ст. 6 ч. 1 п. 5 ФЗ-152: обработка допустима без согласия, если необходима для исполнения договора, стороной которого является субъект. Трудовой договор — это именно такой договор. Из него вытекает обработка данных о должности, квалификации, месте работы, режиме рабочего времени, зарплате, отпусках и дисциплинарных взысканиях.

Важное уточнение: на стадии найма (до заключения трудового договора) п. 5 ст. 6 не работает — договор ещё не заключён. Тем не менее ст. 6 ч. 1 п. 2 позволяет обрабатывать резюме и анкеты в рамках обязанности по ст. 25 Закона о занятости (сведения о вакансиях) без согласия. На практике большинство юристов рекомендуют брать отдельное согласие кандидата на хранение резюме — это снимает споры при проверке.

КЭДО и персональные данные. Ст. 22.2 ТК РФ регулирует электронный документооборот в трудовых отношениях. Обработка ПДн в системе КЭДО (подписание кадровых документов) осуществляется в рамках трудового договора. Оператором КЭДО по отношению к работникам является работодатель. Отдельное согласие на обработку в системе КЭДО не требуется — достаточно соглашения о подключении к КЭДО по ст. 22.2 ТК.

«Ст. 6 ч. 1 п. 5 ФЗ-152: обработка без согласия допускается для исполнения договора, стороной которого является субъект персональных данных.»

Шаг 4. На какие данные согласие всё-таки нужно?

Согласие обязательно там, где нет законодательного или договорного основания, а также для специальных категорий данных по ст. 10 ФЗ-152 и биометрии по ст. 11 ФЗ-152.

Специальные категории (ст. 10 ФЗ-152). Данные о состоянии здоровья (за пределами обязательного медосмотра), национальной принадлежности, политических взглядах, религиозных убеждениях. Если работодатель ведёт программу ДМС и собирает расширенные сведения о здоровье для страховщика — нужно отдельное согласие по ст. 10.

Биометрия в СКУД. Сканирование лица, отпечаток пальца, геометрия ладони для систем контроля доступа — это биометрические ПДн по ст. 11 ФЗ-152. Письменное согласие работника обязательно. Исключение: СКУД на режимных объектах, где биометрия предусмотрена специальным законодательством.

Распространение ПДн (ст. 10.1 ФЗ-152). Размещение фото работника на сайте, в корпоративных публикациях, соцсетях требует отдельного согласия на распространение. Молчание работника по умолчанию означает запрет распространения.

Передача третьим лицам вне законодательных оснований. Если работодатель передаёт данные банку для зарплатного проекта или страховщику для ДМС — нужно согласие, поскольку это не является исполнением законодательной обязанности работодателя.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 (действует с 01.09.2025): согласие оформляется отдельным документом. Включение в трудовой договор, политику или иной документ — нарушение.»

Форма согласия с 01.09.2025. По ФЗ-156 от 24.06.2025 согласие — самостоятельный документ с обязательными реквизитами: ФИО субъекта, контакты, наименование оператора, цель, перечень данных, перечень действий, срок, способ отзыва. Согласия, полученные до 01.09.2025, пересматривать не нужно — обратной силы у ФЗ-156 нет. Но новые согласия — только по новой форме.

Шаг 5. Как разграничить основания — практическая таблица решений

Используйте следующую логику при анализе каждой категории данных:

Вопрос 1: есть ли прямая норма закона или подзаконного акта, обязывающая работодателя собирать эти данные? Если да — основание п. 2 ст. 6 ФЗ-152, согласие не нужно.

Вопрос 2: является ли обработка необходимой для исполнения трудового договора? Если да — основание п. 5 ст. 6 ФЗ-152, согласие не нужно.

Вопрос 3: это специальные категории (ст. 10) или биометрия (ст. 11)? Если да — согласие обязательно вне зависимости от ответов на вопросы 1 и 2, за исключением прямо указанных в законе случаев.

Вопрос 4: данные передаются третьим лицам не в силу закона? Если да — согласие обязательно для каждого получателя.

Если ни на один вопрос нет положительного ответа — обработка без согласия невозможна, либо нужно найти иное основание из ст. 6.

Что подготовить HR-департаменту

Реестр категорий ПДн с указанием правового основания по ст. 6 ФЗ-152 для каждой категории
Отдельные письменные согласия на биометрию (СКУД), распространение фото, передачу в банк для зарплатного проекта и страховщику для ДМС
Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 с актуальной датой
Политику обработки ПДн с обязательным разделом об HR-обработке (ч. 2 ст. 18.1 ФЗ-152)
Журнал учёта согласий: дата получения, дата отзыва, форма документа (особенно актуально после 01.09.2025)

Типовые ситуации для HRD: три сценария

Сценарий 1. Согласие в трудовом договоре до 01.09.2025

Ситуация. Работодатель включил согласие на обработку ПДн в раздел трудового договора. На момент подписания это было распространённой практикой.

Исход. С 01.09.2025 такая форма согласия нарушает ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156 для новых трудовых договоров. Согласия, полученные до 01.09.2025, продолжают действовать до их отзыва. При проверке РКН инспектор запросит форму согласия — если новые договоры заключены после 01.09.2025 с «встроенным» согласием, это основание для протокола по ч. 2 ст. 13.11 КоАП (штраф до 700 000 ₽).

Стратегия. Немедленно разделить шаблоны: трудовой договор — без блока согласия; отдельная форма согласия — для случаев, где оно нужно.

Сценарий 2. Биометрия в СКУД без письменного согласия

Ситуация. Работодатель использует турникет со сканером лица для учёта рабочего времени. Работники проходят биометрическую идентификацию ежедневно. Согласия не оформлялись — ИТ-служба считала это «техническим вопросом».

Исход. Использование изображения лица для идентификации — это обработка биометрических ПДн по ст. 11 ФЗ-152. Без письменного согласия каждого работника обработка незаконна. Нарушение квалифицируется по ч. 2 ст. 13.11 КоАП (до 700 000 ₽) или по ч. 16 ст. 13.11 (нарушение требований к биометрии). Прокуратура или РКН при выявлении вправе потребовать прекратить обработку немедленно.

Стратегия. Получить письменные согласия по форме ст. 9 ФЗ-152 от всех работников, использующих СКУД. Для несогласных — предоставить альтернативный способ учёта времени (карточка, PIN).

Сценарий 3. Передача данных работников в банк для зарплатного проекта

Ситуация. Работодатель заключил договор с банком о зарплатном проекте. Передаёт ФИО, паспортные данные, СНИЛС, размер зарплаты. Согласия у работников не спрашивает, считая это нормальной практикой.

Исход. Ст. 6 ФЗ-152 не содержит основания для передачи ПДн банку вне законодательной обязанности. Это инициатива работодателя, а не требование закона. Без согласия работника передача незаконна. Нарушение — ч. 1 ст. 13.11 КоАП (до 300 000 ₽ для юрлица). Работник, узнав о передаче, вправе потребовать прекратить обработку и подать жалобу в РКН.

Стратегия. Оформить отдельное согласие на передачу данных конкретному банку. Работник вправе отказаться — работодатель не может принудить. В случае отказа — выдача зарплаты иным способом.

Если в вашем HR-департаменте СКУД с биометрией, зарплатный проект или КЭДО — нужен аудит оснований обработки. РКН проверяет HR-операторов в 2026 году активнее, чем прежде. На подготовку к проверке — 10 рабочих дней с момента уведомления.

Заказать аудит 152-ФЗ

Как это применяется на практике

Кейс 1. HR-директор производственного предприятия (Уральский ФО, начало 2026) обратился после получения уведомления о плановой проверке РКН. Аудит показал: согласия на биометрию СКУД отсутствовали у 340 из 420 работников, а блок согласия был включён в типовой трудовой договор. За 8 рабочих дней до проверки юристы DATUM помогли разделить форму трудового договора и форму согласия, получить подписи на биометрию и подготовить реестр оснований обработки. РКН зафиксировал нарушение в отношении договоров, заключённых до начала работы с юристами, — назначен штраф в диапазоне нескольких десятков тысяч рублей по ч. 3 ст. 13.11 (отсутствие надлежащей политики). Нарушения по биометрии и согласиям на дату проверки устранены.

Кейс 2. IT-компания (Северо-Западный ФО, осень 2025) использовала внешнюю HR-платформу для подбора персонала. Платформа хранила резюме кандидатов на серверах за рубежом без уведомления РКН о трансграничной передаче. Одновременно согласие кандидатов было оформлено через checkbox на сайте платформы — без соблюдения требований к реквизитам ст. 9 ФЗ-152. Итог: два самостоятельных нарушения (трансграничная передача по ч. 8 ст. 13.11 и форма согласия по ч. 2 ст. 13.11). Штраф по двум составам составил сумму в сотни тысяч рублей. ⚠️ Конкретный номер дела и точная сумма — менеджер уточняет при публикации.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка оснований обработки и форм согласий в HR
Комплект ОРД под ключ — разработка форм согласий, политики и приказов под HR
DPO-аутсорсинг — постоянный контроль соответствия 152-ФЗ в кадровом документообороте

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025, сохраняют силу до отзыва — обратной силы у ФЗ-156 нет. Переподписывать их не требуется. Однако если старые согласия не содержат обязательных реквизитов по ст. 9 ФЗ-152 (перечень действий, срок, способ отзыва), их стоит обновить в плановом порядке — при следующем кадровом событии (приём, перевод, смена условий) или в ходе аудита ОРД.

2. Какие данные нельзя спрашивать в анкете кандидата?

Работодатель не вправе без согласия собирать данные, не связанные с деловыми и профессиональными качествами кандидата. Ст. 86 ТК РФ прямо запрещает обрабатывать данные о политических, религиозных, философских взглядах, членстве в партиях и профсоюзах, состоянии здоровья (за исключением противопоказаний по должности), а также семейном положении, если оно не связано с условиями труда. Вопросы об этих данных в анкете — нарушение ст. 86 ТК и ст. 10 ФЗ-152.

3. Можно ли вести видеонаблюдение в офисе без согласия работников?

Да, если соблюдены условия: видеонаблюдение введено в целях обеспечения безопасности труда, охраны имущества или контроля трудовой дисциплины (ст. 86, ст. 88 ТК РФ). Основание — п. 2 ст. 6 ФЗ-152 (законодательная обязанность по охране труда) или п. 5 (трудовой договор). Работники должны быть заблаговременно уведомлены об установке видеокамер — письменно под роспись или через локальный нормативный акт. Скрытое видеонаблюдение без уведомления нарушает ст. 88 ТК и может квалифицироваться по ст. 137 УК РФ.

4. Сколько хранить согласия после увольнения?

Согласие работника — документ кадрового учёта. Типовой срок хранения личных дел — 75 лет для лиц, принятых после 2003 года (Приказ Росархива № 236 от 20.12.2019). Само согласие как документ следует хранить не менее срока хранения дела, к которому оно относится. После истечения срока хранения данные подлежат уничтожению с составлением акта по ст. 21 ФЗ-152. Уничтожение раньше срока хранения документов нарушает архивное законодательство.

5. Кто является оператором при использовании КЭДО через внешний сервис?

Работодатель — оператор ПДн своих работников вне зависимости от того, какой сервис используется для КЭДО. Внешний провайдер КЭДО действует как лицо, осуществляющее обработку по поручению оператора (п. 3 ст. 6 ФЗ-152). С провайдером необходимо заключить поручение на обработку с перечнем разрешённых действий и требованиями к защите. Без оформленного поручения любая передача данных провайдеру является незаконной передачей третьему лицу.

6. Что будет, если работник отзовёт согласие на обработку?

Если согласие — единственное основание для конкретной обработки, работодатель обязан прекратить её в течение 30 дней с момента получения отзыва (ст. 21 ФЗ-152). Однако прекращение обработки по законодательному или договорному основанию отзыв согласия не останавливает. Именно поэтому важно правильно разграничить основания: данные, обрабатываемые по закону или трудовому договору, нельзя «заблокировать» отзывом согласия — у них другое основание.

Итог

Большинство данных работника — ФИО, должность, зарплата, СНИЛС, налоговые сведения, медосмотры по закону, воинский учёт — обрабатываются без согласия: либо по прямой норме закона (п. 2 ст. 6 ФЗ-152), либо в рамках трудового договора (п. 5 ст. 6). Согласие необходимо для биометрии в СКУД, распространения фото, передачи данных банку для зарплатного проекта, расширенных медицинских сведений для ДМС и любых данных, выходящих за рамки трудовых отношений. С 01.09.2025 согласие — только отдельный документ, а не пункт договора.

Практика DATUM по HR-комплаенсу охватывает аудит оснований обработки, разработку форм согласий по требованиям ФЗ-156 и сопровождение проверок РКН в кадровых подразделениях.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах. Сопровождение проверок РКН в HR-департаментах.

4 декабря 2027 года