Перейти к содержанию
инструкция 21 апреля 2028 По состоянию на 21 апреля 2028

Кейс несоответствия согласия: типовое предписание РКН

Несоответствие согласия на обработку персональных данных требованиям ст. 9 ФЗ-152 — одна из самых частых причин предписания Роскомнадзора по итогам проверки HR-департамента.
С 01.09.2025 согласие работника должно быть отдельным документом: вшитое в трудовой договор или анкету — недействительно. Нарушение влечёт штраф по ч. 2 ст. 13.11 КоАП до 700 000 ₽ за каждый случай обработки без надлежащего согласия.
Если вы HRD и согласия работников ещё не выделены в отдельный документ — у вас есть все предпосылки для типового предписания РКН. Ниже — пошаговый разбор кейса и алгоритм исправления.

Роскомнадзор в 2025–2026 годах переориентировал плановые и внеплановые проверки на работодателей: HR-документооборот, согласия при трудоустройстве, обработка биометрии в СКУД и передача данных в КЭДО стали приоритетными объектами контроля. По итогам шести административных штрафов, назначенных в 2025 году, суммарно около 570 000 ₽, РКН параллельно выдавал предписания об устранении нарушений — большинство из них связаны именно с формой и составом согласия. Эта инструкция разбирает типовой кейс от обнаружения нарушения до закрытия предписания.

Что такое несоответствие согласия и когда РКН его выявляет?

Несоответствие согласия — это ситуация, когда документ, которым работодатель обосновывает обработку персональных данных работника, не содержит обязательных реквизитов по ч. 4 ст. 9 ФЗ-152 или нарушает требование отдельного документа, введённое ФЗ-156 от 24.06.2025 с 01.09.2025.

Типовые признаки нарушения, которые инспектор РКН фиксирует при проверке:

  • Согласие включено в текст трудового договора или должностной инструкции — нет отдельного документа.
  • Отсутствует перечень конкретных действий с данными: «сбор, систематизация, хранение» не указаны отдельно или заменены общей формулой «обработка».
  • Не указан срок действия согласия или способ его отзыва.
  • Перечень категорий ПДн расплывчатый: «иные данные» без расшифровки — нарушение принципа конкретности ст. 5 ФЗ-152.
  • Согласие не подписано работником собственноручно или не содержит его контактных данных.
  • При КЭДО — согласие оформлено в электронном виде без квалифицированной или усиленной неквалифицированной ЭЦП, если иное не предусмотрено соглашением сторон.
«Ст. 9 ч. 4 ФЗ-152: согласие должно содержать ФИО, контактные данные субъекта, наименование и адрес оператора, цель обработки, перечень ПДн, перечень действий, срок и порядок отзыва. С 01.09.2025 (ФЗ-156 от 24.06.2025) — только отдельный документ, не совмещённый с договором, анкетой или иным актом.»

РКН выявляет нарушения тремя путями: при плановой документарной проверке, при внеплановой по жалобе работника (в том числе уволенного) и при контрольной закупке через имитацию трудоустройства. Жалоба уволенного — наиболее частый триггер: по ст. 87 ТК РФ работник вправе требовать уничтожения персональных данных, и если HR не реагирует, следует жалоба в РКН.

Получили запрос от инспектора РКН или уведомление о проверке?

Если проверка уже назначена, а согласия работников не соответствуют требованиям ФЗ-156 — срок на подготовку сжат. Каждое выявленное нарушение по ч. 2 ст. 13.11 КоАП — отдельный штраф до 700 000 ₽. Юристы DATUM проведут экспресс-аудит HR-документации и подготовят ответы на запросы инспектора.

Заказать аудит 152-ФЗ

+7 (383) 310-38-76 · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 1. Зафиксируйте предписание и его содержание

Предписание РКН об устранении нарушений — ненормативный правовой акт. Оно содержит: перечень выявленных нарушений со ссылками на нормы, требуемые действия по устранению и срок исполнения (как правило, 30–90 дней). Получив предписание, HR-директор обязан:

  • Зарегистрировать документ во входящей корреспонденции с точной датой получения — срок исполнения считается от этой даты.
  • Выделить конкретные пункты нарушений: разграничить нарушения формы согласия, нарушения состава согласия и нарушения оснований обработки.
  • Определить, сколько работников затронуто каждым нарушением: это влияет на риск штрафа по ч. 12–14 ст. 13.11 КоАП при повторной проверке.
  • Установить ответственного исполнителя — ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152 или привлечь внешнего DPO.

Типовое предписание по кейсу несоответствия согласия содержит три стандартных пункта: привести форму согласия в соответствие с ч. 4 ст. 9 ФЗ-152; обеспечить оформление согласия отдельным документом (требование действует с 01.09.2025); обновить политику обработки персональных данных с указанием правовых оснований для каждой категории данных.

Шаг 2. Проведите инвентаризацию действующих согласий

До разработки новой формы необходимо понять масштаб: сколько согласий уже подписано, в каком виде и чего им не хватает. Инвентаризация проводится по трём группам работников.

Работающие сотрудники. Проверьте личные дела: выделено ли согласие в отдельный документ, есть ли все реквизиты ч. 4 ст. 9. Если согласие встроено в трудовой договор — оно не соответствует требованиям с 01.09.2025. Такие работники должны подписать новое согласие.

Кандидаты на этапе подбора. Если анкета кандидата содержала пункт «согласен на обработку ПДн» без отдельного листа-согласия — это нарушение. Особое внимание: данные кандидатов, не принятых на работу, подлежат уничтожению через 30 дней после отказа (если иное не согласовано субъектом).

Уволенные работники. Личные дела хранятся 75 лет (для дел до 2003 года — 75 лет, для последующих — 50 лет по нормам архивного законодательства). Обработка продолжается на основании закона, а не согласия — но если согласие выдавалось, его несоответствие требованиям может быть основанием нарушения в период обработки.

Что подготовить для инвентаризации

  • Реестр всех работников с датой подписания согласия и его форматом (бумажное/электронное).
  • Образцы действующих форм согласий с пометкой «до 01.09.2025» и «после 01.09.2025».
  • Перечень систем, в которых хранятся ПДн: 1С ЗУП, МЧД, КЭДО-платформа, СКУД, корпоративная почта.
  • Журнал обращений субъектов за последние 12 месяцев — фиксирует запросы на уничтожение, уточнение и доступ.
  • Договоры с подрядчиками (расчёт зарплаты, КЭДО-оператор, охранное предприятие для СКУД) — проверить наличие поручения на обработку ПДн.

Шаг 3. Разработайте новую форму согласия по ст. 9 ФЗ-152

Новая форма должна быть отдельным документом — не приложением к договору, не разделом анкеты. Обязательные реквизиты по ч. 4 ст. 9 ФЗ-152:

  • ФИО работника, адрес регистрации, паспортные данные или иной идентифицирующий документ.
  • Наименование и юридический адрес работодателя-оператора.
  • Цель обработки — конкретно: «ведение кадрового учёта», «расчёт заработной платы», «оформление пропуска СКУД», а не «в целях трудовых отношений».
  • Перечень персональных данных: ФИО, дата рождения, паспортные данные, СНИЛС, ИНН, адрес, контактный телефон, сведения об образовании, трудовой стаж — каждая категория отдельно.
  • Перечень действий: сбор, запись, систематизация, накопление, хранение, уточнение, использование, передача (с указанием получателей), обезличивание, блокирование, удаление, уничтожение.
  • Срок действия согласия или указание на бессрочность с правом отзыва.
  • Способ отзыва: «путём подачи письменного заявления в отдел кадров».

Если в организации используется КЭДО, согласие может быть подписано в электронном виде при условии применения УКЭП или НЭП с отдельным соглашением о признании. Платформа КЭДО сама по себе оператором не является — оператором остаётся работодатель, а платформа действует как лицо, осуществляющее обработку по поручению (ст. 6 ч. 3 ФЗ-152). Это требует оформления договора-поручения с указанием перечня действий и требований по безопасности.

«Ст. 86–87 ТК РФ: работодатель вправе обрабатывать ПДн работника только для исполнения трудового законодательства. Данные, выходящие за пределы трудовых отношений (например, состояние здоровья для ДМС, биометрия для СКУД), — исключительно с отдельного письменного согласия по ст. 9 ФЗ-152.»

Шаг 4. Переподпишите согласия с работающими сотрудниками

Массовое переподписание — организационно сложная задача. Алгоритм её выполнения без остановки производственных процессов:

  • Подготовьте тираж новых форм в двух экземплярах на каждого работника.
  • Организуйте подписание через HR-бизнес-партнёров по подразделениям или через КЭДО — при наличии технической возможности.
  • Установите дедлайн: 10–15 рабочих дней с момента выдачи предписания (с запасом до срока исполнения).
  • Фиксируйте подписание в реестре: ФИО, дата, номер документа, подразделение.
  • Работника, отказавшегося подписать согласие сверх трудового законодательства, принуждать нельзя — но тогда соответствующая обработка (например, биометрия СКУД) прекращается.

Отдельный вопрос — биометрия в СКУД. Изображение лица и отпечатки пальцев относятся к биометрическим ПДн по ст. 11 ФЗ-152. Их обработка допускается только с письменного согласия. Если работник отказывает — работодатель обязан обеспечить альтернативный способ доступа (карта, PIN-код). Принуждение к биометрии как условие допуска к работе незаконно по ч. 2 ст. 86 ТК РФ.

Если HRD ведёт массовое переподписание согласий — нужен шаблон, проверенный на соответствие ФЗ-156. Ошибка в форме согласия воспроизводит нарушение в масштабе всего персонала. Юристы DATUM соберут комплект форм ОРД под кадровый блок за фиксированную стоимость.

Собрать ОРД под ключ

Шаг 5. Обновите политику обработки ПДн и направьте отчёт в РКН

Большинство предписаний требуют одновременного обновления политики обработки ПДн по ч. 2 ст. 18.1 ФЗ-152. Политика должна быть размещена на сайте работодателя (если есть) и доступна для ознакомления работникам. Требования к содержанию:

  • Перечень всех целей обработки — для каждой категории ПДн отдельно.
  • Правовые основания обработки: ст. 6 ФЗ-152 (закон, договор, согласие) — для каждой цели.
  • Сроки обработки и хранения по каждой категории.
  • Порядок реагирования на обращения субъектов — 10 рабочих дней на ответ по ст. 20 ФЗ-152.
  • Сведения об операторе и ответственном по ст. 22.1 ФЗ-152.

После выполнения всех пунктов предписания работодатель направляет в РКН отчёт об устранении нарушений. Форма — свободная, но обязательно содержит: реквизиты предписания, перечень выполненных мероприятий с датами, подтверждающие документы (образцы новых форм, реестр переподписаний, скриншот обновлённой политики). Срок направления — до истечения срока, указанного в предписании. Неисполнение предписания в срок — основание для внеплановой проверки и штрафа по ч. 1 ст. 13.11 КоАП в диапазоне 150 000–300 000 ₽.

Как это выглядит на практике: два сценария

Сценарий 1. Согласие в трудовом договоре — жалоба уволенного работника. Производственная компания (Уральский ФО, начало 2026 года) использовала трудовой договор с разделом «Согласие на обработку ПДн». Уволенный работник подал жалобу в РКН, потребовав уничтожения персональных данных и указав, что согласие является недействительным. Инспектор при проверке выявил нарушение ч. 4 ст. 9 ФЗ-152 — отсутствие отдельного документа. Выдано предписание на 60 дней. Компания переподписала согласия с 340 работниками, обновила политику и направила отчёт. Протокол об административном нарушении был составлен, но штраф снижен судом с учётом добровольного исполнения предписания.

Сценарий 2. Биометрия СКУД без отдельного согласия. Логистический центр (Центральный ФО, осень 2025 года) ввёл сканирование отпечатков пальцев на входе. Согласие на обработку биометрических данных включалось в общую анкету при приёме. При плановой проверке РКН квалифицировал это как нарушение ст. 11 ФЗ-152: биометрия требует отдельного письменного согласия, а не пункта в анкете. Предписание содержало два требования: отдельное согласие на биометрию для всего персонала и договор-поручение с компанией — оператором СКУД. HR-директор организовал переподписание в течение 45 дней. Штраф по ч. 2 ст. 13.11 КоАП в диапазоне сотен тысяч рублей был назначен, но заменён судом на предупреждение по ст. 4.1.1 КоАП как первичное нарушение. ⚠ Конкретный номер дела и точная сумма — менеджер уточняет при публикации.

Услуги DATUM по теме

  • Аудит соответствия 152-ФЗ — проверка HR-документации по 38 пунктам с приоритизированным планом устранения.
  • Комплект ОРД под ключ — формы согласий, политика, журналы, приказы под требования ФЗ-156 и ст. 9 ФЗ-152.
  • DPO-аутсорсинг — абонентское сопровождение ответственного за обработку ПДн по ст. 22.1 ФЗ-152.

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, подписанные до 01.09.2025, юридически сохраняют силу — ФЗ-156 обратной силы не имеет. Но если согласие встроено в трудовой договор и при этом обработка продолжается, РКН при проверке после 01.09.2025 вправе квалифицировать это как нарушение требования отдельного документа для текущей обработки. Практически безопаснее переподписать — именно так рекомендует большинство решений по предписаниям 2025–2026 годов. Переподписание не влечёт пересмотра трудовых отношений.

2. Какие данные нельзя спрашивать в анкете при приёме на работу?

По ст. 86 ТК РФ и ст. 10 ФЗ-152 запрещено запрашивать и обрабатывать без специальных оснований: сведения о состоянии здоровья (кроме медосмотра по закону), политических и религиозных взглядах, национальности, судимости (исключение — должности, для которых это требуется законом), а также сведения об интимной жизни. Биометрию (фото, отпечатки) — только с отдельного письменного согласия по ст. 11 ФЗ-152. Нарушение — специальная категория без оснований — квалифицируется по ч. 1 ст. 13.11 КоАП, штраф 150 000–300 000 ₽.

3. Можно ли вести видеонаблюдение в офисе?

Видеонаблюдение в рабочих зонах правомерно на основании ст. 22.2 ТК РФ при соблюдении условий: работник уведомлён об этом в письменной форме, цель — контроль производственного процесса, а не личная жизнь. Запись изображения лица без цели идентификации — не биометрия по ст. 11 ФЗ-152 (позиция РКН). Если же запись используется для идентификации (СКУД по лицу) — это биометрия, нужно отдельное согласие. Хранить записи рекомендуется не дольше, чем того требует цель, — обычно 30 дней.

4. Сколько хранить согласия после увольнения работника?

Личное дело работника, включая согласие на обработку ПДн, хранится 50 лет для документов, созданных после 2003 года (по нормам архивного законодательства). Само согласие — часть личного дела. Важно: хранение личного дела осуществляется не на основании согласия, а на основании трудового и архивного законодательства. Поэтому отзыв согласия после увольнения не означает уничтожения всего личного дела — уничтожаются лишь те данные, обработка которых велась исключительно на основании согласия и цель которой достигнута.

5. Кто является оператором при использовании КЭДО?

Оператором при использовании КЭДО остаётся работодатель — именно он определяет цели и состав обрабатываемых ПДн по ст. 3 ФЗ-152. Платформа КЭДО (внешний сервис) действует как лицо, осуществляющее обработку по поручению оператора (ст. 6 ч. 3 ФЗ-152). Это требует заключения договора-поручения с указанием перечня действий, которые платформа вправе совершать, и обязанностей по обеспечению безопасности. Без такого договора передача данных в КЭДО-платформу является нарушением ч. 1 ст. 13.11 КоАП.

6. Что если работник отказывается подписать новое согласие?

Работника нельзя принудить подписать согласие сверх того, что требует трудовое законодательство. По ст. 9 ч. 1 ФЗ-152 согласие — добровольное. Если обработка конкретных данных законодательно не обязательна (например, биометрия СКУД), а работник отказывает — работодатель обязан предоставить альтернативу. Если обработка обязательна по закону (СНИЛС для ПФР, ИНН для налоговой) — она ведётся без согласия на основании закона, и отказ работника значения не имеет.

Итог

Типовое предписание РКН по несоответствию согласия — устранимое нарушение. Алгоритм из пяти шагов позволяет закрыть предписание в отведённый срок: зафиксировать требования, инвентаризировать документы, разработать новую форму, переподписать с персоналом и направить отчёт регулятору. Критическая точка — 01.09.2025: с этой даты согласие в трудовом договоре не соответствует требованиям ФЗ-156, и продолжение такой обработки создаёт основание для нового нарушения по ч. 2 ст. 13.11 КоАП.

Практика DATUM по сопровождению HR-департаментов в части 152-ФЗ включает разработку форм согласий, комплектов ОРД для кадрового блока и защиту при штрафах по ст. 13.11 КоАП в арбитраже.

Смотрите также

Предписание получено или проверка назначена — что делать прямо сейчас?

Если вы HRD и в руках предписание РКН по несоответствию согласий — счёт идёт на дни. Срок исполнения предписания не восстанавливается, неисполнение означает новую проверку и штраф. Юристы DATUM с практикой по 152-ФЗ с 2014 года сопровождают от анализа предписания до направления отчёта в РКН. Свяжитесь через Telegram, email или по телефону.

Подготовиться к проверке РКН

+7 (383) 310-38-76 · +7 (983) 510-38-76 · Telegram · info@vitveteam.ru

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах. Сопровождение проверок РКН в HR-департаментах.

21 апреля 2028 года