Перейти к содержанию
инструкция 14 марта 2027 По состоянию на 14 марта 2027

Хранение согласий: где, как, сколько

Согласие работника на обработку персональных данных — самостоятельный документ с обязательными реквизитами по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025. С 01.09.2025 его нельзя вшивать в трудовой договор, анкету или приказ.
Нарушение требований к форме и хранению согласий тянет штраф по ч. 2 ст. 13.11 КоАП — от 300 000 до 700 000 ₽ за каждый факт. При повторном нарушении — от 1 000 000 до 1 500 000 ₽ по ч. 2.1.
→ Если вы HRD и согласия работников до сих пор включены в трудовые договоры — ниже пошаговый порядок выстраивания системы хранения, которая выдержит проверку Роскомнадзора.

С 1 сентября 2025 года ФЗ-156 изменил требования к форме согласия: теперь это отдельный документ, который нельзя объединять ни с трудовым договором, ни с должностной инструкцией, ни с политикой конфиденциальности. Задача HR-директора — не только переоформить существующие согласия, но и выстроить систему их хранения: где держать оригиналы, как организовать доступ, сколько времени их сохранять и что делать при увольнении. Эта инструкция охватывает весь цикл — от подписания до уничтожения.

Шаг 1. Что должно быть в согласии работника?

Согласие работника — не произвольный текст. Статья 9 ФЗ-152 устанавливает обязательный перечень сведений, без которых документ не имеет юридической силы. После поправок ФЗ-156 к этому добавилось требование об отдельном документе: смешение с договором или анкетой автоматически делает согласие недействительным.

«Ст. 9 ФЗ-152 (в ред. ФЗ-156 от 24.06.2025, действует с 01.09.2025) — согласие оформляется отдельным документом. Обязательные реквизиты: ФИО субъекта, контактные данные, наименование и адрес оператора, цель обработки, перечень персональных данных, перечень действий с ПДн, срок действия согласия или условие его прекращения, подпись.»

Для HR-департамента на практике это означает несколько видов согласий под разные цели:

  • Согласие на обработку при найме — анкетирование, проверка рекомендаций, передача в кадровые агентства.
  • Согласие на обработку в период трудовых отношений — передача данных в зарплатный проект банка, страховые компании по ДМС, корпоративным провайдерам.
  • Согласие на обработку биометрических ПДн — если в офисе установлен СКУД с распознаванием лица или отпечатков пальцев (ст. 11 ФЗ-152: только письменная форма, отдельный документ).
  • Согласие на распространение — если данные работника публикуются на сайте, в пресс-релизах, корпоративных СМИ (ст. 10.1 ФЗ-152).
  • Согласие при использовании КЭДО — если оператором кадрового электронного документооборота выступает внешняя платформа, работник подписывает отдельное согласие на передачу ПДн третьему лицу.

Статья 86 ТК РФ ограничивает состав ПДн работника, которые работодатель вправе обрабатывать: только те, что необходимы для трудовых отношений. Статья 87 ТК РФ обязывает установить порядок хранения и использования ПДн в локальном нормативном акте. Это — отдельный приказ или Положение о защите персональных данных работников, а не часть трудового договора.

Согласия работников ещё в трудовых договорах?

Если HRD не переоформил согласия после 01.09.2025 — каждый документ, объединённый с договором, создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП (300 000–700 000 ₽). Юристы DATUM соберут пакет согласий по новым требованиям ФЗ-156 и проведут аудит ОРД HR-департамента.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 2. Где хранить согласия работников?

Место хранения согласия определяется форматом: бумажный оригинал или электронный документ. ФЗ-152 не запрещает электронную форму, но предъявляет требования к её идентификации. Согласие должно позволять однозначно установить, кто и когда его дал.

Для бумажных согласий применимы два варианта организации:

  • Хранение в личном деле работника — удобно для быстрого поиска при проверке, но требует ограничения доступа: к личному делу должны иметь доступ только уполномоченные сотрудники HR и руководство (ст. 88 ТК РФ запрещает передачу ПДн работника без его письменного согласия).
  • Хранение в отдельном деле «Согласия на обработку ПДн» — позволяет разграничить трудовую документацию и документы по персональным данным, упрощает аудит и проверку РКН.

Для электронных согласий — в том числе подписанных через КЭДО — требования строже:

  • Усиленная квалифицированная электронная подпись (УКЭП) или усиленная неквалифицированная (УНЭП) при обмене через платформу КЭДО, если это предусмотрено соглашением сторон (ст. 22.2 ТК РФ).
  • Лог-файл о времени подписания и идентификаторе работника — обязательный элемент доказательной базы.
  • Хранение на серверах в Российской Федерации — требование ч. 5 ст. 18 ФЗ-152 о локализации распространяется и на ПДн работников.
«Ч. 5 ст. 18 ФЗ-152 — запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных граждан РФ должны осуществляться с использованием баз данных, расположенных на территории РФ.»

Отдельная история — биометрия СКУД. Если система контроля доступа использует изображение лица или отпечаток пальца, согласие на обработку биометрических ПДн хранится отдельно от кадровых документов. Любое изменение параметров обработки — расширение базы сравнения, подключение нового подрядчика СКУД — требует нового согласия. Хранение биометрии вне ЕБС при использовании ЕБС-совместимых систем запрещено с 01.06.2023 по ФЗ-572.

Шаг 3. Как организовать доступ и защиту согласий?

Организационные меры защиты согласий — часть общей системы защиты персональных данных по ст. 19 ФЗ-152 и ст. 87 ТК РФ. Недостаточно просто собрать документы: нужно ограничить круг лиц, которые к ним допущены, и зафиксировать это в локальном акте.

Что подготовить для системы хранения согласий

  • Приказ о назначении ответственного за обработку ПДн (ст. 22.1 ФЗ-152) с указанием конкретного должностного лица в HR.
  • Положение о защите персональных данных работников по ст. 87 ТК РФ — с порядком хранения, доступа и уничтожения согласий.
  • Журнал учёта согласий: номер, ФИО работника, дата подписания, цель, срок действия, дата отзыва или уничтожения.
  • Перечень лиц, допущенных к работе с согласиями (не более 2–3 человек в HR), подписанный руководителем.
  • Соглашение о конфиденциальности для каждого допущенного сотрудника.

При использовании КЭДО-платформы (внешний оператор) оператором персональных данных остаётся работодатель, а КЭДО-платформа выступает лицом, осуществляющим обработку по поручению (ст. 6 ч. 3 ФЗ-152). Это означает обязанность заключить договор поручения, в котором прописаны меры защиты, запрет на самостоятельную обработку и порядок уничтожения данных по окончании договора.

Если HRD передаёт кадровые данные в КЭДО-платформу без договора поручения — это нарушение ст. 6 ФЗ-152 и потенциальный штраф по ч. 1 ст. 13.11 (150 000–300 000 ₽). Юристы DATUM собирают ОРД для HR под ключ, включая договоры с КЭДО-операторами.

Собрать ОРД под ключ

Шаг 4. Сколько хранить согласия и когда уничтожать?

Срок хранения согласия определяется целью обработки и сроком трудовых отношений. Принцип ст. 5 ФЗ-152 — хранить не дольше, чем это необходимо для достижения цели. Применительно к HR это означает несколько временных горизонтов.

В период трудовых отношений согласие хранится весь срок работы. После увольнения — в зависимости от цели обработки и архивного законодательства:

  • Личное дело работника — 75 лет для документов, возникших после 2003 года (по Перечню типовых управленческих архивных документов). Согласия, хранящиеся в личном деле, следуют его судьбе.
  • Согласия на маркетинговые рассылки, публикацию фото на сайте — уничтожаются в течение 30 дней после отзыва согласия или прекращения трудовых отношений, если иной срок не указан в самом согласии.
  • Согласия на биометрию СКУД — уничтожаются вместе с биометрическими данными не позднее 30 дней после увольнения или отзыва согласия.
  • Согласия на передачу в зарплатный проект банка — уничтожаются после прекращения отношений с банком или увольнения работника (если цель обработки достигнута).
«Ст. 21 ФЗ-152 — при достижении цели обработки или при утрате необходимости в ней оператор обязан прекратить обработку и уничтожить персональные данные в течение 30 дней, если иное не установлено договором или законом.»

Факт уничтожения согласий фиксируется актом комиссионного уничтожения с подписями членов комиссии. Акт хранится в течение 3 лет — это стандартный срок исковой давности и срок, в течение которого РКН может инициировать проверку по факту нарушения.

Шаг 5. Что делать при запросе работника или РКН?

Работник вправе в любой момент запросить сведения об обработке своих ПДн (ст. 14 ФЗ-152) и отозвать согласие (ст. 9 ФЗ-152). Срок ответа на запрос — 10 рабочих дней с возможностью продления ещё на 5 рабочих дней при уведомлении работника. Нарушение этого срока — штраф по ч. 4 ст. 13.11 КоАП (40 000–80 000 ₽).

При отзыве согласия работодатель обязан прекратить обработку ПДн и уничтожить их в течение 30 дней — если нет иного правового основания продолжать обработку. Важная оговорка по ст. 9 ч. 2 ФЗ-152: отзыв согласия не прекращает обработку, если она необходима для исполнения договора, обязательной отчётности или по иному законному основанию. Трудовой договор — отдельное основание, которое не зависит от согласия.

При проверке Роскомнадзора инспектор вправе запросить любые согласия из базы. Типичный вопрос — соответствие реквизитов требованиям ст. 9 и наличие согласий для каждой задекларированной цели обработки. Если согласие отсутствует или не соответствует новым требованиям ФЗ-156, а обработка велась — это основание для протокола по ч. 2 ст. 13.11.

Как это выглядит на практике

Кейс 1. Торговая компания (Сибирский ФО, осень 2025): HR-директор выяснил при внутреннем аудите, что согласия 340 сотрудников включены в тексты трудовых договоров, заключённых до 01.09.2025. После консультации с юристами DATUM приняли решение не переоформлять массово — ФЗ-156 не имеет обратной силы. Согласия, подписанные до 01.09.2025 в составе договора, сохраняют действие. Новые трудоустройства с октября 2025 года оформляются с отдельным согласием по обновлённой форме. Журнал учёта согласий внедрён за 2 недели. При плановой проверке РКН в ноябре 2025 года претензий по HR-документам не поступило.

Кейс 2. IT-компания (Центральный ФО, начало 2026): в офисе установлен СКУД с распознаванием лиц. Согласия на биометрию хранились вместе с анкетами соискателей в общей папке HR. После увольнения трёх сотрудников биометрические данные не были удалены, согласия не уничтожены. Один из уволенных направил запрос в РКН. Возбуждено дело по ч. 3 ст. 13.11 КоАП (отсутствие политики обработки биометрии в открытом доступе) и по ч. 5 (невыполнение требования об уничтожении). Штраф составил сотни тысяч рублей. Компания выстроила отдельное хранилище биометрических согласий с автоматическим напоминанием об уничтожении после увольнения.

Услуги DATUM по теме

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, подписанные до 01.09.2025 в составе трудового договора или анкеты, сохраняют юридическую силу — ФЗ-156 не имеет обратной силы. Переоформление обязательно только при заключении новых трудовых отношений после 01.09.2025 или при изменении цели обработки ПДн. Добровольное переоформление старых согласий снижает риски при проверке РКН.

2. Какие данные нельзя запрашивать у работника при найме?

Статья 86 ТК РФ запрещает запрашивать данные, не связанные с трудовой деятельностью: политические и религиозные взгляды, членство в партиях и профсоюзах (кроме случаев, установленных законом), сведения о состоянии здоровья — за исключением данных о профпригодности. Запрос таких сведений в анкете даже с согласия работника создаёт риски по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽).

3. Можно ли вести видеонаблюдение в офисе без согласия работников?

Видеозаписи, позволяющие идентифицировать человека, — это персональные данные. Видеонаблюдение в производственных и служебных помещениях допустимо без отдельного согласия, если оно предусмотрено локальным нормативным актом работодателя и работники ознакомлены с ним под подпись (ст. 22 ТК РФ). Системы с распознаванием лиц (биометрия) требуют письменного согласия по ст. 11 ФЗ-152 — это другой правовой режим.

4. Сколько хранить согласия после увольнения работника?

Зависит от цели обработки. Согласия, хранящиеся в составе личного дела, следуют сроку хранения личного дела — 75 лет (для документов, созданных после 2003 года). Отдельные согласия на маркетинг, биометрию, публикацию фото уничтожаются в течение 30 дней после увольнения или отзыва согласия. Акт уничтожения хранится 3 года.

5. Кто является оператором при использовании КЭДО-платформы?

Оператором персональных данных остаётся работодатель — он определяет цели и состав обрабатываемых данных. Платформа КЭДО действует как обработчик по поручению (ст. 6 ч. 3 ФЗ-152). Без письменного договора поручения любая передача данных в КЭДО-систему считается незаконной передачей третьему лицу, что влечёт штраф по ч. 1 или ч. 2 ст. 13.11 КоАП.

6. Что делать, если работник отозвал согласие?

Работодатель обязан прекратить обработку ПДн по данной цели и уничтожить данные в течение 30 дней, если нет иного законного основания их хранить (ст. 21 ФЗ-152). Трудовые отношения сами по себе являются законным основанием для обработки данных, необходимых для их исполнения — это основание не зависит от согласия. Факт отзыва и принятые меры фиксируются в журнале учёта согласий.

Итог

Система хранения согласий — это не отдельная папка в сейфе, а связанный контур: форма документа, физическое или электронное место хранения, журнал учёта, ограничение доступа, сроки и акты уничтожения. Каждый разрыв в этом контуре — потенциальное основание для штрафа по ст. 13.11 КоАП или предписания РКН.

DATUM сопровождает HR-департаменты в выстраивании документационного цикла персональных данных работников: от проверки текущего состояния согласий до разработки форм под ФЗ-156 и постановки журнала учёта.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах.