инструкция 18 февраля 2027 По состоянию на 18 февраля 2027

КЭДО для дисциплинарных взысканий: правовые риски

Q: Сколько хранить согласия после увольнения работника?

Само согласие хранится вместе с личным делом работника — типовой срок 50–75 лет в зависимости от категории должности. Однако данные, на обработку которых было дано согласие, могут уничтожаться раньше — по достижении целей или по требованию субъекта (ст. 21 ФЗ-152), если нет иного законного основания хранить их дольше. В КЭДО рекомендуется настроить раздельное хранение: документы личного дела по архивным срокам, операционные данные системы по срокам из политики обработки ПДн.

КЭДО сокращает срок оформления дисциплинарного взыскания с 3–5 дней до нескольких часов, но создаёт отдельный контур рисков по 152-ФЗ, которых нет при бумажном делопроизводстве.

Каждый шаг — от сбора объяснительной до ознакомления с приказом — фиксирует персональные данные работника. Без правильно оформленных согласий и технических мер оператор получает основания для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽ за каждое нарушение.

Если вы HRD и дисциплинарная практика уже переведена в КЭДО — проверьте пять ключевых точек из этой инструкции до прихода проверки Роскомнадзора.

С 01.09.2025 согласие работника на обработку его персональных данных оформляется отдельным документом — совмещать его с трудовым договором или локальным актом больше нельзя (ФЗ-156 от 24.06.2025). Дисциплинарные взыскания в КЭДО напрямую затрагивают эту норму: система хранит объяснительные записки, приказы, ЭЦП работника и системные метаданные. Всё это — персональные данные по ст. 3 ФЗ-152. Ниже — пять шагов, которые HR-директор обязан пройти до того, как КЭДО станет инструментом дисциплинарной практики.

Шаг 1. Определите правовое основание обработки данных в КЭДО

Дисциплинарное производство предполагает обработку данных, которые выходят за рамки ст. 86 ТК РФ. Базовая норма ТК позволяет работодателю собирать и хранить данные, необходимые для трудовых отношений. Но объяснительная записка, психологические характеристики в комиссионных материалах, сведения о прогулах с геолокацией из КЭДО — это уже граничные категории.

По ст. 6 ФЗ-152 обработка правомерна, если опирается на одно из 11 оснований. Для дисциплинарных взысканий рабочими основаниями являются: исполнение обязанностей по трудовому договору (п. 5 ч. 1 ст. 6) и выполнение требований трудового законодательства (п. 2 ч. 1 ст. 6). Согласие работника — резервное основание: если данные нужны для целей, выходящих за рамки ТК, согласие обязательно.

«Ст. 86 ТК РФ — работодатель вправе обрабатывать персональные данные работника исключительно в целях соблюдения законодательства и содействия трудоустройству. Ст. 6 ФЗ-152 — обработка без согласия допустима, если она необходима для исполнения договора, стороной которого является субъект.»

Практический вывод: перед внедрением КЭДО для дисциплинарных процедур составьте матрицу данных — какие категории, на каком основании, с каким сроком хранения. Если в матрице появляются данные о состоянии здоровья (например, медицинская справка как основание опоздания) — это спецкатегория по ст. 10 ФЗ-152 с требованием письменного согласия.

Согласия работников ещё в трудовом договоре?

Если HRD не переоформил согласия работников в отдельный документ после 01.09.2025, каждое нарушение создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽. КЭДО для дисциплинарных взысканий умножает число таких точек. Юристы DATUM проведут аудит ОРД HR-департамента и соберут пакет согласий по требованиям ФЗ-156.

Заказать аудит 152-ФЗ

Ответим в течение рабочего дня · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 2. Переоформите согласия по требованиям ФЗ-156 от 01.09.2025

ФЗ-156 от 24.06.2025 внёс изменения в ч. 1 ст. 9 ФЗ-152: с 01.09.2025 согласие на обработку персональных данных оформляется отдельным документом. Его нельзя включать в трудовой договор, правила внутреннего трудового распорядка, политику конфиденциальности или любой иной документ.

Для дисциплинарных процедур в КЭДО это означает следующее. Если система собирает данные сверх прямых требований ТК — например, фиксирует IP-адрес, геолокацию при подписании документа, биометрический идентификатор из СКУД — каждое из этих действий требует отдельного согласия с обязательными реквизитами по ст. 9 ФЗ-152.

Обязательные реквизиты согласия по ст. 9 ФЗ-152: ФИО субъекта, контактные данные, наименование оператора, цель обработки, перечень обрабатываемых данных, перечень действий с ними, срок действия согласия, способ отзыва. Отсутствие любого реквизита делает согласие дефектным — штраф по ч. 2 ст. 13.11 составляет 300 000–700 000 ₽ для юридического лица.

«Ст. 9 ФЗ-152 (в ред. ФЗ-156 от 24.06.2025) — согласие оформляется отдельным документом, не объединяемым с иными. Перечень обязательных реквизитов закрытый: ФИО, контакты субъекта, наименование оператора, цель, состав данных, перечень действий, срок, порядок отзыва.»

Ранее выданные согласия переоформлять не требуется — ФЗ-156 не имеет обратной силы. Но все согласия, которые вы получаете от работников с 01.09.2025 и позднее, обязаны соответствовать новым требованиям. В КЭДО это затрагивает онбординг, ввод новых модулей системы и расширение функциональности действующих.

Шаг 3. Урегулируйте отношения с оператором КЭДО как обработчиком

Работодатель при использовании КЭДО-платформы выступает оператором персональных данных по ст. 3 ФЗ-152, а поставщик системы — лицом, осуществляющим обработку по поручению (п. 3 ст. 6 ФЗ-152). Это разграничение критично: оператор отвечает перед работниками и РКН за всё, что происходит с данными в системе поставщика.

Типовая ошибка: договор с КЭДО-вендором не содержит поручения на обработку с закрытым перечнем данных и действий. В этом случае работодатель фактически передаёт данные работников третьему лицу без надлежащего правового основания — ч. 1 ст. 13.11 КоАП, штраф 150 000–300 000 ₽.

«П. 3 ст. 6 ФЗ-152 — оператор вправе поручить обработку ПДн другому лицу только при наличии договора (поручения), содержащего закрытый перечень данных, действий и требование конфиденциальности. Ответственность перед субъектом несёт оператор.»

Поручение на обработку должно содержать: перечень данных и действий с ними, цели обработки, обязанность поставщика по конфиденциальности, требование уничтожить или вернуть данные при прекращении договора, обязанность поставщика соблюдать требования ФЗ-152. Проверьте действующий договор с КЭДО-платформой на наличие каждого из этих пунктов.

Шаг 4. Настройте порядок использования биометрии СКУД в дисциплинарных расследованиях

В ряде компаний дисциплинарное расследование опирается на данные СКУД с биометрической идентификацией — отпечаток пальца или распознавание лица при входе в здание. Эти данные по ст. 11 ФЗ-152 являются биометрическими персональными данными и обрабатываются только на основании письменного согласия работника.

Если работодатель использует журнал СКУД как доказательство прогула или опоздания — он тем самым совершает действие с биометрическими данными в новой цели (доказывание нарушения), которая не была указана в первоначальном согласии. Это нарушение принципа целевого ограничения по ст. 5 ФЗ-152 и может квалифицироваться по ч. 1 ст. 13.11 КоАП (несовместимость с целями — 150 000–300 000 ₽) или по ч. 16 ст. 13.11 (нарушение требований к обработке биометрии).

Что подготовить для работы с КЭДО в дисциплинарной практике

Отдельные согласия работников на каждую цель обработки, оформленные по ст. 9 ФЗ-152 в редакции ФЗ-156 (отдельный документ с обязательными реквизитами).
Договор с КЭДО-вендором с поручением на обработку по п. 3 ст. 6 ФЗ-152 — закрытый перечень данных, действий, обязанность уничтожить данные при расторжении.
Матрица обрабатываемых данных в КЭДО — категория, цель, основание, срок хранения, ответственный.
Локальный акт о порядке использования СКУД с описанием целей и ограничений для дисциплинарных процедур.
Политика обработки ПДн в актуальной редакции с разделом о КЭДО и порядком ознакомления работников (ч. 2 ст. 18.1 ФЗ-152).

Для решения этой проблемы в согласии на обработку биометрических данных СКУД явно укажите среди целей: «подтверждение присутствия на рабочем месте, включая использование в рамках дисциплинарных расследований». Без этой формулировки любое использование данных СКУД в приказах о взысканиях — риск.

Если СКУД с биометрией уже используется как доказательная база в дисциплинарных делах — проверьте формулировки согласий немедленно. Штраф по ч. 16 ст. 13.11 за нарушение требований к обработке биометрии назначается за каждый задокументированный случай. Юристы DATUM соберут пакет ОРД под ключ с учётом специфики HR-практики.

Собрать ОРД под ключ

Шаг 5. Выстройте сроки хранения и порядок уничтожения данных

Данные дисциплинарного производства в КЭДО — это объяснительные записки, приказы, акты, журналы событий системы. Сроки их хранения определяются несколькими нормами одновременно, и они вступают в противоречие с принципом минимизации по ст. 5 ФЗ-152.

Приказы о дисциплинарных взысканиях хранятся в составе личного дела работника. Типовой срок хранения личного дела — 75 лет (для руководителей и ряда категорий) или 50 лет по новым нормам архивного законодательства. На протяжении всего срока хранения данные работника остаются в КЭДО или должны быть перенесены в архивное хранилище с аналогичным уровнем защиты.

После прекращения трудовых отношений работник вправе потребовать уничтожения своих персональных данных по ст. 21 ФЗ-152. Работодатель обязан удовлетворить требование, если нет иного законного основания для хранения. Для данных дисциплинарного производства таким основанием является требование архивного законодательства и трудового права. Важно: это требование должно быть отражено в политике обработки ПДн и объяснено работнику при отказе в уничтожении — иначе штраф по ч. 5 ст. 13.11 КоАП (50 000–90 000 ₽ за невыполнение требования субъекта).

«Ст. 22.2 ТК РФ — работодатель при использовании КЭДО обязан обеспечить защиту персональных данных работников. Ст. 21 ФЗ-152 — при достижении целей обработки или утрате необходимости оператор обязан уничтожить данные в течение 30 дней, если иное не установлено федеральным законом.»

Как это применяется на практике

Кейс 1. В производственной компании (Уральский ФО, осень 2025) HR-директор перевёл дисциплинарные расследования в КЭДО-платформу без обновления договора с вендором. Поручения на обработку в договоре не было — данные работников фактически передавались третьему лицу без правового основания. При плановой проверке РКН инспектор квалифицировал ситуацию по ч. 1 ст. 13.11 КоАП. Работодатель устранил нарушение до вынесения постановления — направил в РКН исправленный договор с поручением. Штраф назначен в нижней части диапазона. Представление интересов потребовало нескольких недель и дополнительных затрат, сопоставимых со стоимостью аудита.

Кейс 2. Розничная компания (Центральный ФО, зима 2025–2026) использовала данные СКУД с распознаванием лица для обоснования трёх приказов об опоздании. Согласие работников на обработку биометрии не содержало цели «использование в дисциплинарных расследованиях». Работники оспорили приказы в трудовой инспекции, сославшись на нарушение ст. 11 ФЗ-152. HR-директор был вынужден отменить приказы и переоформить все согласия на СКУД. Итог: дополнительные расходы на юридическое сопровождение и репутационные потери внутри коллектива.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка ОРД HR-департамента, согласий работников, договоров с КЭДО-вендорами.
Комплект ОРД под ключ — политика, согласия, поручения, локальные акты с учётом КЭДО и биометрии СКУД.
DPO-аутсорсинг — ответственный за обработку ПДн по ст. 22.1 ФЗ-152 на абонентском обслуживании.

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025, переоформлять не требуется — ФЗ-156 не имеет обратной силы. Все согласия, которые вы получаете от работников начиная с 01.09.2025, обязаны соответствовать новым требованиям ч. 1 ст. 9 ФЗ-152: отдельный документ, не совмещённый с трудовым договором или иным актом, с полным перечнем обязательных реквизитов. При расширении функциональности КЭДО — новые согласия по новым правилам.

2. Какие данные нельзя запрашивать в анкете при дисциплинарном расследовании?

По ст. 86 ТК РФ и ст. 10 ФЗ-152 работодатель не вправе запрашивать данные о политических, религиозных или иных убеждениях работника, его частной жизни, членстве в профсоюзах. Данные о состоянии здоровья допустимы только в объёме, необходимом для оценки трудоспособности — и только с письменного согласия. Запрашивать в КЭДО-форме для объяснительной семейное положение, информацию о третьих лицах или медицинские детали инцидента без отдельного согласия — нарушение.

3. Можно ли вести видеонаблюдение в офисе и использовать записи в дисциплинарных делах?

Видеонаблюдение в рабочих помещениях допустимо, если работники письменно уведомлены о его ведении — это требование ст. 87 ТК РФ и ст. 9 ФЗ-152. Видеозапись как доказательство прогула или нарушения дисциплины правомерна только при соблюдении двух условий: цель «использование в дисциплинарных расследованиях» прямо указана в согласии на видеонаблюдение или в локальном акте, с которым работник ознакомлен под роспись; данные хранятся не дольше срока, необходимого для целей (как правило — 30 суток, если нет текущего расследования).

4. Сколько хранить согласия после увольнения работника?

Само согласие как документ хранится вместе с личным делом работника — типовой срок 50–75 лет в зависимости от категории должности (архивное законодательство). Однако данные, на обработку которых было дано согласие, могут уничтожаться раньше — по достижении целей обработки или по требованию субъекта (ст. 21 ФЗ-152), если нет иного законного основания хранить их дольше. В КЭДО рекомендуется настроить раздельное хранение: документы личного дела — по архивным срокам, операционные данные системы (логи, метаданные) — по срокам, определённым в политике обработки ПДн.

5. Кто является оператором при использовании КЭДО — работодатель или платформа?

Оператором по ст. 3 ФЗ-152 является работодатель: он определяет цели и способы обработки данных работников. Платформа КЭДО выступает лицом, осуществляющим обработку по поручению оператора (п. 3 ст. 6 ФЗ-152). Ответственность перед работниками и Роскомнадзором несёт оператор — работодатель. Именно поэтому договор с КЭДО-вендором обязан содержать поручение на обработку с закрытым перечнем данных и требованием конфиденциальности.

6. Что делать, если работник отзывает согласие на обработку данных в КЭДО в разгар дисциплинарного расследования?

Отзыв согласия по ст. 9 ФЗ-152 не прекращает обработку, если она опирается на иное правовое основание — например, на ст. 86 ТК РФ или на требование федерального закона. Если дисциплинарное расследование ведётся в рамках трудового законодательства, работодатель вправе продолжить обработку данных на этом основании и обязан письменно уведомить работника об основании продолжения обработки в течение 10 рабочих дней с момента получения отзыва (ст. 20 ФЗ-152). Нарушение этого срока — штраф по ч. 4 ст. 13.11 КоАП (40 000–80 000 ₽).

Итог

КЭДО в дисциплинарной практике создаёт пять обязательных точек контроля по 152-ФЗ: правовое основание обработки, актуальные согласия по ФЗ-156, договор-поручение с вендором, порядок использования биометрии СКУД и сроки хранения данных. Ни одна из этих точек не закрывается автоматически при внедрении системы — каждая требует отдельного организационно-распорядительного документа.

DATUM сопровождает HR-департаменты при переводе дисциплинарного делопроизводства в КЭДО: аудит правового основания, разработка согласий под ФЗ-156, поручение на обработку для КЭДО-вендора, локальные акты по СКУД и биометрии.

Есть запрос РКН или готовитесь к проверке HR-практики?

Если HRD получил уведомление о проверке Роскомнадзора или готовится перевести дисциплинарное делопроизводство в КЭДО — оцените риски до инцидента, а не после. Практика «Ветров и партнёры» по 152-ФЗ с 2014 года. Юристы DATUM проведут аудит, соберут ОРД и возьмут функцию DPO на абонентское обслуживание.