инструкция 27 июля 2027 По состоянию на 27 июля 2027

КЭДО и Госуслуги: интеграция

Q: Сколько хранить согласия после увольнения работника?

Согласие на обработку ПДн как документ-основание хранится в течение срока обработки и не менее трёх лет после её прекращения — для целей доказывания правомерности обработки. Личное дело работника по типовым нормам хранится 75 лет (для принятых после 2003 года). Уничтожение данных после увольнения производится по регламенту оператора, если иной срок не установлен законом.

КЭДО через Госуслуги — это обработка персональных данных работников операторами двух уровней: работодатель и Минцифры. Каждый уровень требует отдельного правового основания.

С 01.09.2025 согласие на обработку ПДн работника — отдельный документ по ФЗ-156. Встроить его в трудовой договор или соглашение об ЭДО больше нельзя. Нарушение — штраф по ч. 2 ст. 13.11 КоАП до 700 000 ₽ за каждого работника.

Если вы HRD и в компании уже работает КЭДО или идёт подключение через Госуслуги — проверьте, есть ли отдельные согласия. Без них любая проверка РКН превращается в административное дело. → Разберём по шагам.

КЭДО через Госуслуги существенно упрощает документооборот с работниками, но одновременно создаёт новые риски для HR-директора. Минцифры получает доступ к ПДн работника, а значит, возникает вопрос о трансграничной передаче, поручении обработки и правовом основании каждого действия с данными. После вступления в силу ФЗ-156 от 24.06.2025 требования к согласиям ужесточились: документ, в котором согласие совмещено с другим — недействителен. Эта инструкция описывает шесть шагов подключения КЭДО к Госуслугам с соблюдением ФЗ-152.

Шаг 1. Определите, кто является оператором при использовании КЭДО через Госуслуги

Работодатель остаётся оператором персональных данных работника по ст. 6 ФЗ-152. Минцифры выступает лицом, осуществляющим обработку по поручению (ст. 6 ч. 3 ФЗ-152), поскольку платформа Госуслуг обрабатывает ПДн в интересах работодателя при подписании документов через ЕСИА. Разграничение принципиально: работодатель несёт ответственность за утечку даже если она произошла на инфраструктуре государственной платформы, если в договоре поручения нет разграничения ответственности.

Проверьте, заключён ли у компании договор поручения обработки ПДн с Минцифры или оператором КЭДО-системы. Без такого договора по ст. 6 ч. 3 ФЗ-152 передача данных третьей стороне неправомерна и квалифицируется по ч. 1 ст. 13.11 КоАП — штраф для юрлица 150 000 — 300 000 ₽.

«Ст. 6 ч. 3 ФЗ-152 — оператор вправе поручить обработку ПДн другому лицу на основании договора. Ответственность перед субъектом несёт оператор.»

Шаг 2. Подготовьте отдельные согласия работников по требованиям ФЗ-156

С 01.09.2025 согласие на обработку персональных данных работника должно быть оформлено отдельным документом и не может быть частью трудового договора, соглашения о КЭДО, заявления о приёме на работу или любого другого документа. Это требование ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025.

Согласие должно содержать: полные ФИО работника и контактные данные, наименование и адрес работодателя, конкретную цель обработки (для КЭДО — «обмен кадровыми документами в электронном виде через платформу Госуслуг»), исчерпывающий перечень обрабатываемых данных, перечень действий с ними (хранение, передача оператору КЭДО), срок действия согласия и способ его отзыва. Отсутствие любого реквизита делает документ недействительным по ст. 9 ФЗ-152.

«Ст. 9 ч. 1 ФЗ-152 в ред. ФЗ-156 от 24.06.2025 — согласие субъекта оформляется отдельным документом, не объединяется с иными документами.»

Согласия, полученные от работников до 01.09.2025, не требуют обязательного переоформления — закон обратной силы не имеет. Но если работодатель изменил цели или состав обрабатываемых данных (например, подключил КЭДО после даты вступления в силу), потребуется новое согласие в соответствии с требованиями ФЗ-156.

Согласия работников ещё встроены в трудовой договор или соглашение о КЭДО?

Если HR-директор не переоформил согласия работников после 01.09.2025, каждый такой документ создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП — до 700 000 ₽. При первичной проверке РКН это превращается в системное нарушение, а не единичный факт. Срок устранения ограничен: РКН вправе инициировать внеплановую проверку в любой момент после жалобы работника.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Уточните перечень ПДн, передаваемых при регистрации в КЭДО через Госуслуги

Принцип минимизации данных по ст. 5 ФЗ-152 требует, чтобы передаваемый набор ПДн соответствовал заявленной цели. Типовой состав при КЭДО через Госуслуги: ФИО, СНИЛС, ИНН, должность, табельный номер, электронный адрес для уведомлений. СНИЛС в данном случае является идентификатором в ЕСИА и его передача обоснована целью. Передавать паспортные данные, дату рождения в развёрнутом виде, семейное положение для целей КЭДО оснований нет.

По ст. 86 ТК РФ работодатель не вправе запрашивать данные о политических, религиозных убеждениях и частной жизни работника без его письменного согласия, а данные о состоянии здоровья — только в объёме, связанном с выполнением трудовых функций. Это ограничение действует и в рамках КЭДО: расширенная анкета при подключении к платформе с полями о здоровье или семейном положении нарушает ст. 10 ФЗ-152 (специальные категории).

«Ст. 5 ФЗ-152 — обрабатываемые данные должны соответствовать заявленным целям, быть точными и не избыточными.»

Шаг 4. Проверьте правовое основание для биометрической идентификации при КЭДО и СКУД

Часть работодателей при настройке КЭДО совмещает его с биометрическим контролем доступа (СКУД) — распознаванием лица или отпечатков пальцев. Биометрические ПДн по ст. 11 ФЗ-152 обрабатываются только с письменного согласия субъекта. Исключений для трудовых отношений нет: даже если СКУД используется в целях охраны труда, согласие оформляется отдельно от иных документов.

Если биометрия используется только для контроля доступа и не передаётся в Единую биометрическую систему (ЕБС), оператором остаётся работодатель. Если система подключена к ЕБС, применяется ФЗ-572 от 29.12.2022 и требования к размещению биометрии только в ГИС ЕБС. Совмещение КЭДО и биометрического СКУД требует двух отдельных согласий: на КЭДО и на обработку биометрии.

«Ст. 11 ФЗ-152 — биометрические данные обрабатываются исключительно при наличии письменного согласия субъекта, если иное не предусмотрено законом.»

Нарушение порядка обработки биометрии квалифицируется по ч. 16 ст. 13.11 КоАП. При утечке биометрических данных — ч. 17 ст. 13.11: штраф для юрлица 15 000 000 — 20 000 000 ₽.

Шаг 5. Внесите изменения в организационно-распорядительную документацию

Подключение КЭДО через Госуслуги меняет состав обрабатываемых ПДн и круг третьих лиц, которым передаются данные работников. Это требует обновления нескольких документов одновременно.

Что подготовить для КЭДО через Госуслуги

Актуализированная политика обработки персональных данных с разделом о КЭДО, перечнем третьих лиц (оператор КЭДО, Минцифры) и правовым основанием передачи (ч. 2 ст. 18.1 ФЗ-152).
Отдельные согласия работников на обработку ПДн в рамках КЭДО по форме, соответствующей ст. 9 ФЗ-152 в ред. ФЗ-156 (для новых сотрудников — при приёме, для действующих — при подключении к КЭДО).
Договор поручения обработки ПДн с оператором КЭДО-системы или дополнительное соглашение к нему с указанием нового состава передаваемых данных (ст. 6 ч. 3 ФЗ-152).
Уведомление Роскомнадзора об изменении сведений в реестре операторов ПДн — если изменился состав данных, цели или третьи лица (ст. 22 ФЗ-152, Приказ РКН №180).
Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152, если он не назначен или его полномочия не охватывают КЭДО.

Изменения в уведомлении РКН подаются через pd.rkn.gov.ru с использованием ЕСИА или УКЭП. Срок — до начала обработки ПДн в новом составе. Неуведомление о намерении обрабатывать ПДн — штраф по ч. 10 ст. 13.11 КоАП: 100 000 — 300 000 ₽ для юрлица.

Если HRD подключает КЭДО или переводит документооборот на Госуслуги, а пакет ОРД не обновлялся — риск штрафа по ст. 13.11 КоАП реален уже при первом запросе РКН. Политика, согласия, договор поручения и уведомление в реестр должны быть обновлены до старта обработки.

Собрать ОРД под ключ

Шаг 6. Настройте порядок реагирования на запросы работников и на случай инцидента

Работник как субъект ПДн вправе запросить информацию о составе своих данных, целях обработки и третьих лицах, которым они переданы (ст. 14 ФЗ-152). Срок ответа — 10 рабочих дней с даты обращения, с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта. Если КЭДО подключён к Госуслугам, работник вправе также потребовать уточнения или уничтожения данных. Непредоставление информации — штраф по ч. 4 ст. 13.11 КоАП до 80 000 ₽.

При инциденте с ПДн работников (утечка базы КЭДО, несанкционированный доступ к платформе) — первичное уведомление РКН направляется в течение 24 часов с момента обнаружения (ч. 3.1 ст. 21 ФЗ-152). Через 72 часа — отчёт о результатах внутреннего расследования по Приказу РКН №187. Срок не восстанавливается. Неуведомление — штраф по ч. 11 ст. 13.11 КоАП: 1 000 000 — 3 000 000 ₽.

«Ст. 21 ч. 3.1 ФЗ-152 — при выявлении утечки оператор уведомляет РКН в течение 24 часов и представляет отчёт в течение 72 часов.»

Типовые ситуации при подключении КЭДО к Госуслугам

Ситуация 1. Работодатель подключил КЭДО через Госуслуги и включил текст согласия в соглашение об ЭДО, которое работник подписывал при приёме. После 01.09.2025 РКН получил жалобу работника о том, что его согласие не является самостоятельным документом. Основание для протокола по ч. 2 ст. 13.11 КоАП — штраф до 700 000 ₽. Стратегия: немедленно переоформить согласия отдельными документами, зафиксировать дату исправления, при проверке представить доказательства добросовестности для применения ст. 4.1.1 КоАП (замена на предупреждение при первичном нарушении и отсутствии вреда).

Ситуация 2. IT-компания (Северо-Западный ФО, осень 2025) при переходе на КЭДО не обновила уведомление в реестре РКН и не заключила договор поручения с вендором КЭДО-системы. При плановой проверке РКН выявил оба нарушения: неуведомление об изменении состава обрабатываемых данных (ч. 10 ст. 13.11) и обработку данных без договора поручения (ч. 1 ст. 13.11). Совокупный штраф — в диапазоне нескольких сотен тысяч рублей. Устранение: обновлённое уведомление в РКН и ретроактивный договор поручения снизили штраф в арбитраже. ⚠️ Конкретный номер дела — менеджер уточняет при публикации.

Ситуация 3. Производственное предприятие (Уральский ФО, начало 2026) установило биометрический СКУД и одновременно подключило КЭДО. Согласие на биометрию было включено в общее согласие на обработку ПДн для КЭДО. РКН квалифицировал это как нарушение ст. 11 ФЗ-152: биометрическое согласие должно быть отдельным документом, независимым от согласия на КЭДО. Предписание об устранении — 30 дней. ⚠️ Конкретный номер дела — менеджер уточняет при публикации.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка всего цикла обработки ПДн работников, включая КЭДО
Комплект ОРД под ключ — политика, согласия, договор поручения, уведомление РКН
DPO-аутсорсинг — ответственный за обработку ПДн по ст. 22.1 на абонентском обслуживании

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025, обратной силой ФЗ-156 не затрагиваются и остаются действительными. Переоформление требуется только в двух случаях: если работодатель изменяет цели или состав обрабатываемых ПДн после 01.09.2025 (например, подключает КЭДО), либо если работник требует отзыва и последующего нового согласия. Новые работники, принятые после 01.09.2025, подписывают согласие исключительно отдельным документом — включение в трудовой договор недопустимо по ст. 9 ФЗ-152 в ред. ФЗ-156.

2. Какие данные нельзя запрашивать в анкете при приёме на работу?

По ст. 86 ТК РФ и ст. 10 ФЗ-152 запрещено запрашивать без специального основания данные о расовой и национальной принадлежности, политических и религиозных взглядах, состоянии здоровья сверх объёма, связанного с выполнением трудовой функции, и об интимной жизни работника. Данные о состоянии здоровья допустимы только при наличии обязательных медосмотров или ограничений по должности. Нарушение при сборе — квалифицируется по ч. 1 ст. 13.11 КоАП.

3. Можно ли вести видеонаблюдение в офисе и использовать записи в системе КЭДО?

Видеонаблюдение в офисе допустимо при соблюдении условий: работники уведомлены в письменной форме (ст. 22.2 ТК РФ), цель чётко определена (контроль рабочего времени, охрана), записи не передаются третьим лицам без основания по ст. 6 ФЗ-152. Если видеозаписи используются как доказательство нарушений при КЭДО (например, несанкционированное использование чужой учётной записи) — это отдельная цель обработки, требующая самостоятельного основания и отражения в политике обработки ПДн.

4. Сколько хранить согласия после увольнения работника?

Согласие на обработку ПДн как документ-основание для обработки хранится в течение срока обработки и не менее трёх лет после её прекращения — для целей доказывания правомерности обработки в случае возможного спора. Личное дело работника по типовым нормам хранится 75 лет (для принятых после 2003 года) или 50 лет (для принятых с 2003 года и позже по перечню Росархива). Уничтожение данных после увольнения производится по регламенту оператора, если иной срок не установлен законом.

5. Кто является оператором при использовании КЭДО через коммерческую систему?

Работодатель остаётся оператором ПДн работников по ст. 3 ФЗ-152 вне зависимости от того, используется ли государственная платформа Госуслуг или коммерческая КЭДО-система. Вендор выступает лицом, осуществляющим обработку по поручению. Ответственность перед работником и РКН несёт оператор-работодатель, поэтому договор поручения по ст. 6 ч. 3 ФЗ-152 с вендором обязателен: в нём фиксируются состав передаваемых данных, запрет на использование в собственных целях вендора и условия уничтожения данных при расторжении договора.

6. Как уведомить РКН при подключении нового КЭДО-вендора?

Если состав обрабатываемых данных, цели или третьи лица изменились после включения в реестр операторов, работодатель обязан подать уведомление об изменении сведений через pd.rkn.gov.ru (Приказ РКН №180 от 28.10.2022). Срок — до начала обработки в новом составе. Неуведомление квалифицируется по ч. 10 ст. 13.11 КоАП: штраф для юрлица 100 000 — 300 000 ₽. Уведомление подаётся с использованием ЕСИА или усиленной квалифицированной электронной подписи.

Итог

Интеграция КЭДО с Госуслугами затрагивает минимум шесть точек соответствия ФЗ-152: разграничение ролей оператора и обработчика, отдельные согласия по ФЗ-156, минимизацию состава передаваемых данных, правовое основание для биометрии, обновление ОРД и регламент реагирования на инциденты. Нарушение в любой из точек создаёт самостоятельный состав по ст. 13.11 КоАП.

Практика DATUM по ПДн в трудовых отношениях охватывает аудит КЭДО, подготовку согласий по требованиям ФЗ-156, договоры поручения с вендорами и сопровождение проверок РКН в HR-департаментах.

Есть вопросы по КЭДО, согласиям или проверке РКН?

Юристы DATUM с опытом сопровождения HR-департаментов по 152-ФЗ с 2014 года. Ответим на вопросы, проведём экспресс-оценку рисков или подготовим пакет документов. Практика «Ветров и партнёры» — более 300 операторов сопровождено.