инструкция 14 января 2028 По состоянию на 14 января 2028

Корпоративный email vs КЭДО: что юридически

Корпоративный email не равен КЭДО: обмен кадровыми документами через почту не соответствует требованиям ст. 22.2 ТК РФ и создаёт риски по ст. 9 ФЗ-152 в редакции с 01.09.2025.

С 01.09.2025 (ФЗ-156) согласие работника на обработку ПДн оформляется отдельным документом — вне трудового договора и любой переписки. Если HRD не разграничил каналы обмена документами, каждое кадровое письмо через корпоративный ящик может стать основанием для штрафа по ч. 2 ст. 13.11 КоАП — до 700 000 ₽ за нарушение требований к составу согласия.

→ Если в HR-департаменте кадровые документы до сих пор ходят по email — разберитесь с разграничением до ближайшей проверки РКН.

Для HRD вопрос «email или КЭДО» стал юридическим после двух событий: внесения ст. 22.2 в ТК РФ (закрепила КЭДО как отдельный правовой режим) и вступления в силу ФЗ-156 от 24.06.2025, который изменил ч. 1 ст. 9 ФЗ-152. Теперь согласие работника на обработку персональных данных — отдельный документ, не встроенный в трудовой договор, оферту или электронное письмо. Ниже — пошаговый разбор: чем отличаются два канала, какие обязательства возникают при каждом и как HRD выстроить документооборот без рисков по 152-ФЗ и ТК РФ.

Шаг 1. Разграничьте правовые режимы: email и КЭДО — разные правовые конструкции

Корпоративный email — это инструмент внутренней коммуникации. Он не создаёт юридически значимых документов в кадровом смысле, если у компании нет локального нормативного акта (ЛНА), прямо приравнивающего электронные письма к кадровым документам с подписью. Без квалифицированной электронной подписи (КЭП) или простой электронной подписи (ПЭП) в рамках КЭДО такое письмо — информационный обмен, не более.

КЭДО — это система электронного документооборота, введённая в трудовое право ст. 22.2 ТК РФ. Она позволяет работодателю создавать, подписывать, хранить и передавать кадровые документы в электронном виде с юридической силой. Обязательные условия: ЛНА о введении КЭДО, уведомление работников, получение их согласия на переход (ст. 22.2 ТК РФ), выбор системы (Госключ/платформа работодателя), обеспечение доступа.

«Ст. 22.2 ТК РФ — работодатель вправе вести кадровые документы в электронном виде при наличии ЛНА, уведомлении работников и их письменного согласия на переход. Документы подписываются КЭП работодателя и ПЭП/КЭП работника в зависимости от вида документа.»

Ключевое разграничение для HRD: корпоративный email может использоваться в кадровом процессе как вспомогательный канал (уведомления, информирование), но не как среда создания юридически значимых кадровых документов — если КЭДО не введено. При этом любая передача персональных данных работника через email — это обработка ПДн по ст. 3 ФЗ-152, и она требует правового основания.

Что важно зафиксировать на этом шаге: проверьте, есть ли в компании ЛНА о КЭДО. Если нет — корпоративный email не создаёт кадровых документов, а передача ПДн через него требует отдельного обоснования по ст. 6 ФЗ-152.

Шаг 2. Проверьте согласия работников: требования ст. 9 ФЗ-152 изменились с 01.09.2025

До вступления в силу ФЗ-156 от 24.06.2025 практика была неоднородной: многие компании включали согласие на обработку ПДн в трудовой договор, приложение к нему или в форму анкеты при приёме. С 01.09.2025 это недопустимо. Согласие работника должно быть оформлено как отдельный самостоятельный документ.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 — согласие субъекта на обработку персональных данных оформляется отдельным документом и не может быть объединено с другим договором, соглашением или иным документом. Обязательные реквизиты: ФИО и контактные данные субъекта, наименование и адрес оператора, цель обработки, перечень ПДн, перечень действий, срок действия, способ отзыва.»

Важно: ФЗ-156 не имеет обратной силы. Согласия, полученные до 01.09.2025, переоформлять не требуется, если они соответствовали действовавшим на тот момент требованиям. Но все новые приёмы на работу после этой даты — только отдельный документ. Кроме того, если работник ранее не давал согласия вообще (например, обработка велась на основании п. 5 ч. 1 ст. 6 ФЗ-152 — для целей договора), это не означает необходимости получать новое согласие: правовое основание остаётся.

В контексте КЭДО отдельный вопрос — это согласие на переход в электронный документооборот по ст. 22.2 ТК РФ и согласие на обработку ПДн по ст. 9 ФЗ-152. Это два разных документа с разными реквизитами и разными целями. Смешивать их нельзя.

Согласия работников оформлены как часть трудового договора?

Если HRD использовал форму, где согласие на обработку ПДн встроено в текст трудового договора или приложения к нему, — с 01.09.2025 это нарушение ч. 1 ст. 9 ФЗ-152. Каждый такой документ при новом приёме создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП: от 300 000 до 700 000 ₽. Юристы DATUM проведут аудит согласий HR-департамента по чек-листу и помогут собрать пакет ОРД под требования ФЗ-156.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Определите, какие данные обрабатывает каждый канал и на каком основании

Корпоративный email в кадровом процессе — это, как правило, передача общих персональных данных: ФИО, должность, рабочий адрес. Если через email передаются документы с СНИЛС, ИНН, паспортными данными, сведениями о здоровье или семейном положении — объём обрабатываемых данных расширяется, и правовое основание для каждой категории должно быть явным.

Ст. 86 ТК РФ прямо ограничивает цели обработки ПДн работника: только для обеспечения трудового законодательства и иных нормативных правовых актов. Ст. 87 ТК РФ обязывает работодателя установить порядок хранения и использования ПДн в ЛНА. Если email-переписка содержит ПДн работников, но ЛНА её не регулирует — это нарушение.

«Ст. 86 ТК РФ — работодатель вправе обрабатывать ПДн работника только в целях соблюдения законодательства о труде. Ст. 87 ТК РФ — порядок хранения и использования ПДн устанавливается работодателем самостоятельно в ЛНА с соблюдением требований ТК РФ и ФЗ-152.»

В КЭДО ситуация формализованнее: система фиксирует, кто создал документ, кто подписал, когда и с какого устройства. Это порождает отдельный массив технических ПДн (логи, метаданные), которые также подпадают под ФЗ-152 и требуют включения в политику обработки и уведомление РКН по ст. 22 ФЗ-152.

Практический вывод: составьте матрицу данных для каждого канала — какие категории ПДн, на каком основании (ст. 6 или ст. 9 ФЗ-152), кто имеет доступ. Это основа для актуального уведомления в реестре операторов РКН.

Шаг 4. Урегулируйте биометрию СКУД отдельно от КЭДО

Системы контроля и управления доступом (СКУД) с идентификацией по лицу или отпечатку пальца — биометрические персональные данные по ст. 11 ФЗ-152. Их нельзя включать ни в согласие на КЭДО, ни в общее согласие на обработку ПДн. Это отдельное письменное согласие с отдельной целью.

«Ст. 11 ФЗ-152 — биометрические ПДн обрабатываются только при наличии письменного согласия субъекта. Исключения — случаи, прямо установленные законом (ст. 11 ч. 2). Использование биометрии в СКУД без письменного согласия каждого работника — нарушение, влекущее ответственность по ч. 16 ст. 13.11 КоАП.»

С 30.05.2025 штраф за обработку биометрии с нарушением требований ст. 11 ФЗ-152 — по ч. 16 ст. 13.11 КоАП. Утечка биометрических ПДн — ч. 17 ст. 13.11 КоАП: от 15 000 000 до 20 000 000 ₽. Это существенно выше штрафов за нарушения с общими категориями данных.

HRD также должен зафиксировать в ЛНА: кто является оператором СКУД (работодатель или подрядчик), на каком основании подрядчик обрабатывает ПДн (поручение по п. 3 ст. 6 ФЗ-152), что включено в договор с ним. Ответственность за действия подрядчика перед субъектом несёт оператор — это устойчивая позиция судебной практики.

Если в офисе установлен СКУД с биометрией, но письменные согласия работников не собраны — это нарушение ст. 11 ФЗ-152 прямо сейчас. Штраф по ч. 16 ст. 13.11 применяется с 30.05.2025. Юристы DATUM помогут собрать ОРД под биометрию и СКУД.

Собрать ОРД под ключ

Шаг 5. Оцените риски по типовым сценариям и составьте план устранения

Три ситуации, с которыми HRD сталкивается чаще всего:

Сценарий 1 — кадровый документооборот ведётся через email без КЭДО и без ЛНА. Ситуация: согласия на обработку ПДн встроены в трудовой договор, email используется для передачи анкет и копий документов. Правовое основание обработки не зафиксировано отдельно. Исход при проверке РКН: протокол по ч. 2 ст. 13.11 КоАП (нарушение требований к составу согласия) — штраф 300 000–700 000 ₽, при повторном нарушении по ч. 2.1 — до 1 500 000 ₽. Стратегия: до следующего приёма на работу разработать отдельную форму согласия, обновить ЛНА, зафиксировать правовые основания для каждой цели обработки.

Сценарий 2 — КЭДО введено, но согласие на КЭДО и согласие на обработку ПДн объединены в один документ. Ситуация: HRD оформил переход в КЭДО одним многоцелевым согласием. После 01.09.2025 это нарушает ч. 1 ст. 9 ФЗ-152. Исход: штраф по ч. 2 ст. 13.11 для новых приёмов. Стратегия: разработать два отдельных документа — согласие на КЭДО (ст. 22.2 ТК) и согласие на обработку ПДн (ст. 9 ФЗ-152) — и применять их параллельно.

Сценарий 3 — личное дело хранится в бумаге и в КЭДО одновременно, дублирование не урегулировано. Ситуация: часть документов оцифрована, часть — на бумаге. Основание хранения и срок уничтожения не установлены для каждого носителя. Уволенный работник требует уничтожения своих ПДн. Исход: конфликт между требованием субъекта по ст. 17 ФЗ-152 и обязательством хранить личное дело 75 лет по архивному законодательству. Стратегия: разграничить в ЛНА, какие документы хранятся в КЭДО, какие — на бумаге, с какими сроками и основаниями; при запросе на уничтожение — письменно обосновать приоритет обязательного хранения.

Что подготовить HRD для соответствия 152-ФЗ

Отдельная форма согласия на обработку ПДн работника по ст. 9 ФЗ-152 (в редакции ФЗ-156, для приёмов после 01.09.2025)
ЛНА о КЭДО с описанием системы, видов документов и порядка доступа — если КЭДО введено или планируется
Отдельное письменное согласие на обработку биометрии в СКУД по ст. 11 ФЗ-152 — для каждого работника
Положение об обработке ПДн работников (ст. 87 ТК РФ × ст. 18.1 ФЗ-152) с матрицей данных, оснований и сроков хранения
Актуальное уведомление в реестре операторов РКН по ст. 22 ФЗ-152 с включёнными целями КЭДО и СКУД

Как это применяется на практике

Кейс 1. Производственное предприятие Уральского ФО (осень 2025) прошло внеплановую проверку РКН после жалобы работника. HRD использовал форму согласия, включённую в приложение к трудовому договору, для всех приёмов после 01.09.2025. По итогам проверки составлен протокол по ч. 2 ст. 13.11 КоАП. Компания заменила форму до вынесения постановления, представила доказательства устранения нарушения — штраф снижен до минимального значения диапазона. Юридически значимым оказалось именно то, что форма была исправлена и новые приёмы после исправления документально подтверждены.

Кейс 2. IT-компания Северо-Западного ФО (начало 2026) внедрила КЭДО через собственную платформу. Одновременно установила СКУД с распознаванием лиц. Юрист при аудите выявил: согласие на КЭДО и согласие на биометрию объединены в один документ, уведомление РКН не содержит цели «обработка биометрических ПДн в СКУД». Юристы DATUM разработали два отдельных согласия, обновили уведомление в реестре и разработали поручение на обработку для поставщика СКУД. Проверка РКН, инициированная через два месяца, нарушений не выявила.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка согласий, ЛНА и уведомления РКН по чек-листу
Комплект ОРД под ключ — разработка согласий, политики, положений об обработке ПДн работников
DPO-аутсорсинг — ответственный за обработку ПДн по ст. 22.1 ФЗ-152 на абонементе

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Нет, если согласия получены до 01.09.2025 и соответствовали требованиям, действовавшим на тот момент, — ФЗ-156 не имеет обратной силы. Переоформление требуется только при изменении целей или состава обрабатываемых данных. Все новые согласия, полученные после 01.09.2025, должны быть оформлены отдельным документом по ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156: смешивать с трудовым договором, приложениями или офертой нельзя.

2. Какие данные нельзя спрашивать в анкете при приёме на работу?

Ст. 86 ТК РФ запрещает получать и обрабатывать сведения о политических, религиозных и иных убеждениях работника, членстве в общественных объединениях. Данные о состоянии здоровья допустимы только в объёме, необходимом для оценки пригодности к работе (ст. 88 ТК РФ). Данные о судимости — только если закон обязывает проверять (ст. 351.1 ТК РФ). Все прочие специальные категории по ст. 10 ФЗ-152 запрашивать в анкете без явного основания запрещено.

3. Можно ли вести видеонаблюдение в офисе?

Видеонаблюдение в офисе допустимо, если работники уведомлены о нём в ЛНА (обычно в ПВТР или отдельном положении) и дали согласие. Если система распознаёт лица и идентифицирует конкретных работников — это биометрические ПДн по ст. 11 ФЗ-152, и требуется отдельное письменное согласие каждого работника. Запись без уведомления и основания создаёт риск по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽) и ст. 137 УК РФ.

4. Сколько хранить согласия после увольнения?

Согласие работника на обработку ПДн — часть личного дела. Личное дело по типовым срокам хранится 75 лет (для работников, принятых до 2003 года) или 50 лет (для принятых с 2003 года) по Перечню типовых архивных документов (Приказ Росархива № 236 от 20.12.2019). Уничтожать согласие по требованию уволенного работника нельзя, пока не истёк обязательный срок хранения — обязательное хранение по закону имеет приоритет над требованием субъекта по ст. 17 ФЗ-152.

5. Кто оператор при использовании КЭДО?

При использовании КЭДО оператором персональных данных остаётся работодатель — именно он определяет цели и состав обрабатываемых данных. Если КЭДО ведётся через платформу третьей стороны (SaaS-решение), такая компания является лицом, осуществляющим обработку по поручению оператора (п. 3 ст. 6 ФЗ-152). Работодатель обязан заключить с ней договор поручения с обязательными условиями конфиденциальности и безопасности ПДн, а ответственность перед субъектом несёт сам работодатель.

6. Что изменилось в КЭДО после принятия ФЗ-156?

ФЗ-156 изменил требования к согласию на обработку ПДн по ст. 9 ФЗ-152, но не затронул ст. 22.2 ТК РФ напрямую. На практике это означает, что компании, перешедшие на КЭДО и объединявшие согласие на электронный документооборот с согласием на обработку ПДн в один документ, обязаны разделить их с 01.09.2025. Согласие на КЭДО регулируется ТК РФ, согласие на обработку ПДн — ФЗ-152, и оба должны быть оформлены как отдельные самостоятельные документы.

Итог

Корпоративный email и КЭДО — не взаимозаменяемые инструменты: первый не создаёт юридически значимых кадровых документов без ЛНА, второй требует полноценной правовой инфраструктуры. С 01.09.2025 ключевое требование для HRD — отдельное согласие на обработку ПДн по ст. 9 ФЗ-152, отдельное согласие на КЭДО по ст. 22.2 ТК РФ и отдельное письменное согласие на биометрию в СКУД по ст. 11 ФЗ-152. Смешение этих документов — прямое основание для штрафа.

Практика DATUM по 152-ФЗ в HR-департаментах включает разработку согласий под требования ФЗ-156, аудит ЛНА и уведомлений РКН, сопровождение при введении КЭДО и СКУД.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах. Сопровождение проверок РКН в HR-департаментах.

14 января 2028 года