Перейти к содержанию
инструкция 14 февраля 2027 По состоянию на 14 февраля 2027

Кто отвечает за утечку в КЭДО

Оператор ПДн в КЭДО — работодатель. Он несёт полную ответственность за утечку данных работников, даже если обработку ведёт IT-подрядчик или SaaS-провайдер системы электронного документооборота.
С 30.05.2025 штраф за утечку от 1 000 до 10 000 субъектов составляет 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП. С 01.09.2025 согласие работника на обработку ПДн вне трудового договора оформляется отдельным документом по ст. 9 ФЗ-152 в редакции ФЗ-156.
Если вы HRD и в компании внедрена или планируется КЭДО — проверьте, кто по документам является оператором, есть ли поручение обработки подрядчику и переоформлены ли согласия после 01.09.2025.

Кадровый электронный документооборот переносит персональные данные работников в цифровую среду: трудовые договоры, приказы, сведения о зарплате, биометрия СКУД. Это расширяет периметр атаки и создаёт новые основания для проверок Роскомнадзора. В 2024 году РКН зафиксировал более 135 случаев компрометации баз с суммарным объёмом свыше 710 млн записей. HR-данные — в числе наиболее востребованных у злоумышленников: ФИО, СНИЛС, паспортные данные, адрес, зарплата. Ниже — пошаговый разбор того, кто несёт ответственность, какие документы нужны и что делать, если инцидент уже произошёл.

Шаг 1. Определите, кто является оператором ПДн в вашей КЭДО

Оператор — лицо, которое самостоятельно или совместно с другими определяет цели и состав обрабатываемых данных (ст. 3 ФЗ-152). В КЭДО оператором всегда выступает работодатель: именно он решает, какие данные собирать, как долго хранить и кому передавать. IT-компания, предоставляющая платформу КЭДО в режиме SaaS, является лицом, осуществляющим обработку по поручению (ч. 3 ст. 6 ФЗ-152), — но не самостоятельным оператором.

Это разграничение имеет практическое значение: при утечке через платформу подрядчика РКН предъявит претензии работодателю. Верховный суд сформулировал позицию, согласно которой оператор отвечает за действия лица, осуществляющего обработку по его поручению, как за свои собственные.

«Ст. 6 ч. 3 ФЗ-152: оператор вправе поручить обработку другому лицу только на основании договора, который должен содержать перечень действий, цели обработки и обязанность соблюдать конфиденциальность. Ответственность перед субъектом несёт оператор.»

Практическая проверка: откройте договор с провайдером КЭДО. Если в нём нет раздела о поручении обработки ПДн с перечнем действий и требованием конфиденциальности — это нарушение ч. 3 ст. 6 ФЗ-152, которое РКН фиксирует в ходе документарных проверок.

Договор с провайдером КЭДО не содержит поручения на обработку ПДн?

Отсутствие корректного соглашения об обработке ПДн с подрядчиком — самостоятельное нарушение ч. 3 ст. 6 ФЗ-152. При проверке РКН это фиксируется как отдельный состав. Юристы DATUM проведут аудит договорной базы HR-департамента и составят корректное поручение обработки по всем требованиям ФЗ-152.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 2. Проверьте согласия работников после 01.09.2025

С 01.09.2025 вступили в силу поправки ФЗ-156 от 24.06.2025: согласие на обработку персональных данных оформляется отдельным документом и не может быть частью трудового договора, дополнительного соглашения, анкеты или иного документа. Это требование ст. 9 ФЗ-152 в новой редакции.

Для КЭДО это означает следующее. Если согласие работника на обработку ПДн в системе электронного документооборота было включено в сам трудовой договор или оферту сервиса — после 01.09.2025 оно формально не соответствует закону. Ранее выданные согласия переоформлять принудительно не нужно (поправки не имеют обратной силы), однако для новых работников и при изменении целей обработки документ должен быть отдельным.

«Ст. 9 ФЗ-152 (ред. ФЗ-156): согласие субъекта на обработку ПДн оформляется отдельным документом. Обязательные реквизиты: ФИО субъекта, контактные данные, наименование оператора, цель обработки, перечень ПДн, перечень действий с ними, срок действия и способ отзыва.»

Для КЭДО отдельного согласия требуют, в частности: обработка биометрических данных для СКУД (ст. 11 ФЗ-152), передача данных третьим лицам (банкам для зарплатного проекта, страховым компаниям), хранение данных в облачной инфраструктуре зарубежного провайдера (ст. 12 ФЗ-152 — трансграничная передача), а также любая обработка ПДн сверх того, что прямо предусмотрено ТК РФ и федеральными законами (ст. 86, 87 ТК РФ).

Что подготовить по согласиям в КЭДО

  • Отдельные согласия на обработку ПДн в КЭДО для всех новых работников с 01.09.2025 — со всеми реквизитами ст. 9 ФЗ-152.
  • Отдельные письменные согласия на биометрию СКУД (ст. 11 ФЗ-152) — с указанием целей, способа хранения и срока.
  • Согласие или иное правовое основание для передачи ПДн в банк по зарплатному проекту (ст. 6 ФЗ-152).
  • Актуализированный приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152.
  • Инструкция для работников о порядке обработки и защите данных коллег (ст. 87 ТК РФ, ст. 18.1 ФЗ-152).

Шаг 3. Убедитесь, что уведомление в реестре РКН отражает КЭДО

Работодатель обязан уведомить Роскомнадзор о намерении обрабатывать ПДн до начала обработки (ст. 22 ФЗ-152). Внедрение КЭДО — это новая цель обработки, новые категории данных и, зачастую, новые получатели. Если уведомление подавалось до внедрения системы, сведения в реестре устарели.

Неуведомление или несвоевременное уведомление РКН о новых целях обработки квалифицируется по ч. 10 ст. 13.11 КоАП — штраф для юридического лица 100 000–300 000 ₽. Проверить актуальность записи можно на pd.rkn.gov.ru по ИНН организации.

«Ст. 22 ФЗ-152: оператор направляет уведомление в РКН через форму Приказа РКН №180. При изменении сведений (новые цели, категории ПДн, получатели, сроки хранения) — уведомление об изменениях в течение 10 дней с момента изменения.»

Если HRD внедрил КЭДО, но уведомление в реестре РКН не обновлено — это самостоятельное нарушение ч. 10 ст. 13.11 КоАП (100–300 тыс. ₽). Юристы DATUM актуализируют уведомление и приведут реестровую запись в соответствие с реальной обработкой.

Подготовиться к проверке РКН

Шаг 4. Выстройте процедуру реагирования на инцидент за 24 часа

При обнаружении утечки данных из КЭДО у оператора есть 24 часа на первичное уведомление Роскомнадзора (ч. 3.1 ст. 21 ФЗ-152). Через 72 часа — отчёт о результатах внутреннего расследования по Приказу РКН №187 от 14.11.2022. Оба срока отсчитываются с момента обнаружения инцидента, а не с момента его подтверждения.

Типичная ошибка: компания обнаружила аномалию в логах, но несколько дней «проверяла» — является ли это утечкой. Инспекторы РКН квалифицируют момент обнаружения как момент появления первых признаков инцидента. Пропуск 24-часового срока влечёт штраф 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП.

«Ст. 21 ч. 3.1 ФЗ-152: при выявлении утечки оператор уведомляет РКН в течение 24 часов о факте инцидента и в течение 72 часов — о результатах внутреннего расследования с перечнем принятых мер. Порядок уведомления установлен Приказом РКН №187 от 14.11.2022.»

Для КЭДО регламент реагирования должен определять: кто фиксирует аномалию (IT-администратор, HR), кто принимает решение об уведомлении РКН (юрист, DPO, директор), в какой форме и через какой канал подаётся уведомление, кто уведомляет затронутых работников. Этот регламент — часть пакета ОРД по ст. 18.1 ФЗ-152.

Какие сценарии утечки в КЭДО наиболее вероятны?

Сценарий 1. Взлом или компрометация учётных данных администратора КЭДО. Работодатель не разграничил права доступа: несколько сотрудников HR работают под одной учётной записью. При компрометации данных одного — все записи КЭДО оказываются доступны злоумышленнику. Нарушение: отсутствие организационных и технических мер по ст. 19 ФЗ-152. Риск: штраф по ч. 12–14 ст. 13.11 КоАП (3–15 млн ₽ в зависимости от числа субъектов) + пропуск 24-часового срока уведомления (ч. 11, 1–3 млн ₽). Стратегия: внедрить ролевую модель доступа, логирование действий, двухфакторную аутентификацию и ежеквартальный аудит прав.

Сценарий 2. Утечка через подрядчика — провайдера платформы КЭДО. SaaS-провайдер допустил инцидент на своей стороне, данные работодателя утекли вместе с данными других клиентов. Поручение обработки в договоре не оформлено. Ситуация: РКН предъявляет претензии работодателю как оператору. Оператор не может сослаться на вину подрядчика без корректного договора поручения. Риск: штраф по ч. 12–14 + ч. 11 ст. 13.11 КоАП одновременно. Стратегия: включить в договор с провайдером требования по ИБ, SLA на уведомление об инциденте и ответственность подрядчика.

Сценарий 3. Инсайдерский слив HR-специалистом при увольнении. Работник HR-отдела, имевший доступ к КЭДО, при увольнении скопировал базу данных и передал конкуренту или разместил в открытом доступе. Квалификация: ст. 272.1 УК РФ (незаконное использование компьютерной информации с ПДн, введена ФЗ-421, действует с 11.12.2024) — для физического лица. Для работодателя как оператора — ответственность по ст. 13.11 КоАП, если не были приняты меры по ст. 19 ФЗ-152. Стратегия: при увольнении немедленно блокировать доступ к КЭДО, фиксировать факт блокировки в акте, хранить логи за 12 месяцев.

Как это применяется на практике

Кейс 1. Торговая компания (Уральский ФО, осень 2025). HRD внедрил КЭДО на базе SaaS-платформы без оформления поручения обработки ПДн. После кражи учётных данных одного из администраторов утекли данные около 2 000 работников: ФИО, адреса, паспортные данные, сведения о зарплате. Компания уведомила РКН на 31-й час с момента обнаружения — с нарушением 24-часового срока. РКН возбудил два дела: по ч. 12 ст. 13.11 (утечка 1 000–10 000 субъектов) и по ч. 11 ст. 13.11 (неуведомление в срок). Общий штраф — в нескольких миллионах рублей. При наличии корректного регламента реагирования и договора поручения риск ч. 11 был бы устранён, а по ч. 12 — применимы смягчающие по ст. 4.1 КоАП.

Кейс 2. Логистическая компания (Северо-Западный ФО, начало 2026). Уволенный HR-менеджер скопировал базу данных КЭДО на личный носитель. Работодатель обнаружил это через три дня при анализе логов. Уведомление направлено в РКН в пределах 24 часов с момента обнаружения, отчёт — в пределах 72 часов. В отношении физического лица возбуждено дело по ст. 272.1 УК РФ. Работодатель получил штраф в сотни тысяч рублей по ч. 12 ст. 13.11 КоАП; соблюдение сроков уведомления суд учёл как смягчающее обстоятельство. Дополнительно — иски работников о компенсации морального вреда.

Услуги DATUM по теме

  • Аудит соответствия 152-ФЗ — проверка договоров с провайдерами КЭДО, согласий, ОРД и уведомления в реестре РКН.
  • Комплект ОРД под ключ — политика, согласия работников, регламент реагирования на утечку, приказы по ст. 22.1 ФЗ-152.
  • DPO-аутсорсинг — абонентское сопровождение функции ответственного за обработку ПДн в HR-департаменте.

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Ранее выданные согласия принудительно переоформлять не требуется — ФЗ-156 не имеет обратной силы. Однако для новых работников, принятых после 01.09.2025, согласие на обработку ПДн сверх того, что предусмотрено ТК РФ, должно быть отдельным документом со всеми реквизитами ст. 9 ФЗ-152. Если вы изменяете цели обработки или вводите новые категории данных — согласие переоформляется для всех работников, которых это касается.

2. Какие данные нельзя спрашивать в анкете при приёме на работу?

Работодатель вправе запрашивать только данные, необходимые для трудовых отношений (ст. 86 ТК РФ). Запрещено без специального основания собирать: сведения о членстве в партиях и профсоюзах, религиозных убеждениях, состоянии здоровья (за исключением обязательных медосмотров), судимости (кроме случаев, установленных законом), национальности. Это специальные категории ПДн по ст. 10 ФЗ-152 — обработка по общему правилу запрещена.

3. Можно ли вести видеонаблюдение в офисе и хранить записи в КЭДО?

Видеонаблюдение в офисе допустимо при наличии правового основания (ст. 6 ФЗ-152), уведомления работников (ст. 86 ТК РФ) и локального нормативного акта. Видеозаписи, позволяющие идентифицировать человека, относятся к биометрическим ПДн (ст. 11 ФЗ-152) при их обработке именно в целях идентификации. Хранить такие записи в КЭДО следует с соблюдением мер защиты по ст. 19 ФЗ-152 и требований уровней защищённости ПП РФ №1119.

4. Сколько хранить согласия после увольнения работника?

Согласие работника — документ кадрового учёта. Типовой срок хранения личного дела составляет 75 лет для документов, оформленных до 2003 года, и 50 лет — для оформленных позднее (по правилам архивного законодательства). Само согласие как отдельный документ хранится не менее срока хранения тех ПДн, на обработку которых оно давалось. Уничтожение данных работника после увольнения ограничено этими сроками: до истечения — уничтожать нельзя.

5. Кто является оператором при использовании КЭДО: работодатель или платформа?

Оператором всегда является работодатель — он определяет цели и состав обрабатываемых данных (ст. 3 ФЗ-152). Провайдер платформы КЭДО — лицо, осуществляющее обработку по поручению, на основании ч. 3 ст. 6 ФЗ-152. Без письменного договора поручения обработки провайдер платформы фактически обрабатывает данные без надлежащего основания. Ответственность перед субъектами данных и перед РКН несёт работодатель.

6. Что включить в 72-часовой отчёт РКН об инциденте с КЭДО?

Приказ РКН №187 от 14.11.2022 определяет состав сведений отчёта: описание инцидента и его обстоятельств, категории и приблизительное число затронутых субъектов, категории и объём ПДн, перечень принятых мер по устранению последствий и предотвращению повторения, контактное лицо оператора. Отчёт подаётся через портал РКН в той же форме, что и первичное уведомление. Неподача или нарушение срока — ч. 11 ст. 13.11 КоАП, штраф 1–3 млн ₽.

Итог

Ответственность за утечку в КЭДО несёт работодатель как оператор ПДн — независимо от того, чья платформа использовалась и кто допустил инцидент технически. Минимизация рисков строится на трёх элементах: корректные договоры с провайдерами (поручение обработки), актуальные согласия работников (в редакции ФЗ-156 с 01.09.2025) и работающий регламент реагирования на инцидент за 24 часа. Каждый из этих элементов — самостоятельное основание для штрафа при его отсутствии.

DATUM сопровождает HR-департаменты при внедрении КЭДО: от аудита договоров с провайдерами и формирования пакета ОРД до реагирования на инциденты и представления интересов перед РКН.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах.

14 февраля 2027 года