инструкция 17 февраля 2028 По состоянию на 17 февраля 2028

ЛНА о введении КЭДО: образец

Локальный нормативный акт о введении кадрового электронного документооборота — обязательный документ для оператора ПДн, который переводит взаимодействие с работниками в электронный формат.

Без ЛНА работодатель нарушает ст. 22.2 ТК РФ и создаёт основание для штрафа по ч. 1 ст. 13.11 КоАП до 300 000 ₽. С 01.09.2025 согласие на обработку ПДн в КЭДО обязано быть отдельным документом по ФЗ-156 от 24.06.2025.

→ Если вы HRD и готовите переход на КЭДО — проверьте, включены ли в ЛНА разделы о персональных данных, согласиях и биометрии СКУД.

Кадровый электронный документооборот меняет не только форму хранения документов, но и объём обрабатываемых персональных данных. Работодатель становится оператором ПДн с расширенным набором обязательств по ст. 18.1 ФЗ-152, а ЛНА о введении КЭДО — первичным документом, фиксирующим правовое основание обработки. В этой инструкции — структура ЛНА, образцы формулировок и порядок согласования с работниками.

Шаг 1. Определите категории ПДн, которые будет обрабатывать КЭДО

До составления ЛНА зафиксируйте, какие персональные данные система будет собирать и хранить. Стандартный КЭДО обрабатывает общие категории: ФИО, должность, табельный номер, контактные данные, сведения о стаже и квалификации. Если система интегрирована со СКУД с биометрической идентификацией, добавляются биометрические ПДн по ст. 11 ФЗ-152.

Разграничение важно: общие ПДн требуют согласия по ст. 9 ФЗ-152 или иного законного основания из ст. 6. Биометрия — только письменного согласия по ст. 11. Специальные категории (данные о здоровье, например листки нетрудоспособности) — отдельного основания по ст. 10.

«Ст. 6 ФЗ-152 устанавливает 11 правовых оснований обработки ПДн. Для обработки в рамках трудовых отношений достаточно п. 5 — исполнение обязанностей, возложенных на оператора законодательством. Однако это основание не распространяется на биометрию и данные, выходящие за рамки требований ТК РФ.»

Составьте перечень обрабатываемых данных в форме таблицы или списка — он войдёт в приложение к ЛНА и станет основой для уведомления РКН по ст. 22 ФЗ-152.

Шаг 2. Пропишите в ЛНА обязательные разделы по 152-ФЗ и ТК РФ

ЛНА о введении КЭДО должен включать не менее семи разделов. Отсутствие любого из них — риск при проверке Роскомнадзора или трудовой инспекции.

Обязательные разделы ЛНА о введении КЭДО

Раздел 1. Общие положения: цели введения КЭДО, перечень видов документов, переводимых в электронную форму, ссылка на ст. 22.2 ТК РФ.
Раздел 2. Перечень обрабатываемых ПДн и правовые основания (ст. 6, 9, 10, 11 ФЗ-152 по категориям данных).
Раздел 3. Порядок получения согласия работника: ссылка на форму согласия как отдельного документа (требование ФЗ-156 с 01.09.2025), способ подписания, порядок отзыва.
Раздел 4. Меры защиты ПДн в системе КЭДО: уровень защищённости по ПП РФ №1119, порядок доступа, журналирование операций.
Раздел 5. Порядок хранения и уничтожения документов: сроки хранения по номенклатуре дел, порядок уничтожения носителей по истечении срока.
Раздел 6. Права работников как субъектов ПДн: порядок обращения с запросами, срок ответа — 10 рабочих дней (ст. 20 ФЗ-152).

В разделе о мерах защиты укажите, какой уровень защищённости присвоен информационной системе КЭДО. Для большинства кадровых систем с данными менее 100 000 субъектов и угрозами 3-го типа это УЗ-3 по ПП РФ №1119. Если система обрабатывает специальные категории (медданные) — минимум УЗ-2.

Готовите ЛНА о введении КЭДО и не уверены в полноте разделов по 152-ФЗ?

Многие ЛНА о КЭДО не содержат раздела о правовых основаниях обработки ПДн или ссылаются на устаревшую форму согласия. С 01.09.2025 такое согласие недействительно по ФЗ-156. Это основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽. Юристы DATUM проверят ваш ЛНА и соберут пакет ОРД для КЭДО.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Составьте форму согласия работника — отдельный документ по ФЗ-156

С 01.09.2025 ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 требует, чтобы согласие на обработку ПДн оформлялось отдельным документом, не объединённым с трудовым договором, офертой или политикой конфиденциальности. Ранее полученные согласия, включённые в трудовой договор, сохраняют силу — обратной силы закон не имеет, но новые документы с 01.09.2025 обязаны соответствовать новым требованиям.

«Ст. 9 ФЗ-152 устанавливает обязательные реквизиты согласия: ФИО субъекта, контактные данные, наименование оператора, цель обработки, перечень ПДн, перечень действий с ПДн, срок действия согласия, способ его отзыва. ФЗ-156 добавил требование об оформлении согласия отдельным документом.»

Форма согласия для КЭДО должна прямо указывать цель: «организация кадрового электронного документооборота», перечень данных по категориям, наименование системы КЭДО как ИС, передачу данных оператору системы (если это не работодатель) как поручение по ст. 6 ФЗ-152. Согласие подписывается до предоставления доступа к системе. Отзыв согласия — в письменной форме; при отзыве работодатель обязан прекратить обработку, если нет иного законного основания.

Обратите внимание на ст. 86 ТК РФ и ст. 87 ТК РФ: работодатель не вправе получать и обрабатывать ПДн работника сверх необходимого для трудовых отношений. Данные о политических взглядах, религии, членстве в профсоюзах в анкете при приёме на работу — нарушение ст. 10 ФЗ-152 и ч. 4 ст. 86 ТК РФ.

Как учесть биометрию СКУД при введении КЭДО?

Если КЭДО интегрирован со системой контроля и управления доступом, использующей биометрическую идентификацию (отпечаток пальца, распознавание лица), — это отдельный пласт регулирования. Биометрические ПДн по ст. 11 ФЗ-152 обрабатываются только при наличии письменного согласия. Письменная форма обязательна даже при электронном документообороте — допустимо усиленное квалифицированное или усиленное неквалифицированное электронное подписание.

В ЛНА о введении КЭДО биометрия СКУД прописывается в отдельном разделе или приложении. Укажите: наименование СКУД, оператора биометрических данных (работодатель или провайдер СКУД), цель обработки, срок хранения биометрических шаблонов, порядок уничтожения при увольнении работника. Работник вправе отказаться от биометрической идентификации — работодатель обязан обеспечить альтернативный способ прохода.

«Ст. 11 ФЗ-152: биометрические ПДн — физиологические и биологические характеристики, позволяющие идентифицировать личность. Обработка без письменного согласия допустима только в случаях, прямо предусмотренных п. 2 ст. 11 (государственные органы, судопроизводство и иные законодательно установленные основания). Для работодателя общего режима — только письменное согласие.»

Провайдер СКУД, обрабатывающий биометрию по поручению работодателя, действует в рамках договора поручения по п. 3 ст. 6 ФЗ-152. Работодатель остаётся ответственным оператором и несёт ответственность за нарушения провайдера, если не предусмотрел требования безопасности в договоре.

Если HRD внедряет СКУД с биометрией без отдельного согласия работников — каждый такой работник создаёт риск штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽. Срок на исправление не гарантирован: РКН возбуждает дело по факту обращения субъекта или плановой проверки.

Собрать ОРД под ключ

Шаг 4. Согласуйте ЛНА с работниками и зафиксируйте ознакомление

ЛНА о введении КЭДО принимается по правилам ст. 22.2 ТК РФ. Работодатель обязан уведомить работников о введении КЭДО не позднее чем за три месяца и получить письменное согласие на переход (для уже работающих сотрудников). Новые работники выражают согласие при приёме.

Для целей 152-ФЗ ознакомление с ЛНА и получение согласия на обработку ПДн — разные процедуры. Ознакомление фиксируется в листе ознакомления или через КЭДО с подтверждением электронной подписью. Согласие на обработку ПДн — отдельный документ с реквизитами по ст. 9 ФЗ-152.

В журнале учёта согласий фиксируйте: дату подписания, вид согласия (общее / биометрия / специальная категория), способ подписания, отметку об отзыве при увольнении. Журнал — элемент ОРД по ст. 18.1 ФЗ-152 и доказательная база при проверке РКН.

Шаг 5. Проверьте уведомление в реестре РКН и обновите сведения

Введение КЭДО, как правило, изменяет состав обрабатываемых ПДн, цели обработки или используемые информационные системы. Если хотя бы один из этих параметров изменился — работодатель обязан направить в РКН уведомление об изменении сведений по форме Приказа РКН №180 от 28.10.2022. Срок — в течение 10 рабочих дней с момента изменений.

Проверьте текущие сведения в реестре на pd.rkn.gov.ru. Типовые расхождения после внедрения КЭДО: в реестре не указан оператор КЭДО как лицо, осуществляющее обработку по поручению; не отражена биометрия при подключении СКУД; цели обработки сформулированы без учёта электронного формата.

«Ст. 22 ФЗ-152: оператор обязан уведомить РКН до начала обработки ПДн. Неуведомление или несвоевременное уведомление об изменении сведений — штраф по ч. 10 ст. 13.11 КоАП от 100 000 до 300 000 ₽ в редакции с 30.05.2025.»

Если оператором КЭДО выступает внешний провайдер (SaaS-решение), проверьте локализацию данных. По ч. 5 ст. 18 ФЗ-152 запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан РФ должны осуществляться в базах данных на территории России. Хранение в иностранном облаке без российского сегмента — нарушение с штрафом по ч. 8 ст. 13.11 КоАП от 1 000 000 до 6 000 000 ₽.

Как выглядит практика: типовые ситуации для HRD

Ситуация 1. КЭДО внедрён, согласия в трудовом договоре. Средняя производственная компания (Уральский ФО, осень 2025) при проверке трудовой инспекции получила предписание: согласия на обработку ПДн включены в текст трудового договора, что нарушает требование ФЗ-156 об отдельном документе. РКН инициировал проверку по обращению. Компания переоформила согласия по новой форме и получила предупреждение по ч. 3 ст. 13.11 за отсутствие актуальной политики обработки ПДн. Стратегия: до внедрения КЭДО проверить форму согласия на соответствие ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156.

Ситуация 2. СКУД с биометрией без письменного согласия. Торговая сеть (Центральный ФО, начало 2026) использовала СКУД с распознаванием лица для учёта рабочего времени. Согласие на биометрию включили в общую анкету при приёме. После жалобы работника РКН установил нарушение ст. 11 ФЗ-152 — согласие не соответствовало требованию письменной формы с полным перечнем реквизитов. Штраф по ч. 2 ст. 13.11 составил несколько сотен тысяч рублей. Стратегия: для биометрии СКУД — отдельная форма письменного согласия, альтернативный способ доступа для отказавшихся.

Ситуация 3. Провайдер КЭДО в иностранном облаке. ИТ-компания (Северо-Западный ФО, 2025) перевела кадровые документы на зарубежную SaaS-платформу без проверки локализации. При плановой проверке РКН установил нарушение ч. 5 ст. 18 ФЗ-152 — первичная запись ПДн осуществлялась на серверах за пределами России. Компании предложено устранить нарушение, параллельно составлен протокол по ч. 8 ст. 13.11 КоАП. Стратегия: при выборе провайдера КЭДО получить письменное подтверждение о размещении серверов в РФ и включить это условие в договор поручения.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка ЛНА, согласий, уведомления РКН по чек-листу из 38 пунктов
Комплект ОРД под ключ — политика, согласия работников, приказы, регламент КЭДО и СКУД
DPO-аутсорсинг — абонентское ведение функции ответственного по ст. 22.1 ФЗ-152

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025, сохраняют юридическую силу — ФЗ-156 не имеет обратной силы. Переоформление необходимо только если: согласие не соответствовало требованиям ст. 9 ФЗ-152 уже на момент подписания (отсутствуют обязательные реквизиты), либо вы меняете цели или состав обрабатываемых данных. Все новые согласия с 01.09.2025 — только отдельный документ, не встроенный в трудовой договор или иное соглашение.

2. Какие данные нельзя спрашивать в анкете при приёме на работу?

Ст. 86 ТК РФ и ст. 10 ФЗ-152 запрещают собирать данные о политических, религиозных, философских взглядах, членстве в общественных объединениях и профсоюзах, если это не связано напрямую с трудовой функцией. Данные о состоянии здоровья допустимы только в объёме, необходимом для оценки профессиональной пригодности. Сведения о судимости — только по должностям с прямым законодательным ограничением (педагоги, медработники и др.).

3. Можно ли вести видеонаблюдение в офисе?

Видеонаблюдение в рабочих зонах допустимо при наличии законного основания (как правило, п. 5 ст. 6 ФЗ-152 — исполнение обязанностей работодателя по охране труда) и уведомления работников. Работники должны быть ознакомлены с фактом ведения съёмки под подпись или через ЛНА. Запись лиц без их ведома в местах, где они обоснованно рассчитывают на приватность (комнаты отдыха, туалеты), — нарушение ст. 137 УК РФ. Если камеры фиксируют лица для идентификации — это биометрия по ст. 11 ФЗ-152, требующая письменного согласия.

4. Сколько хранить согласия после увольнения?

Согласие на обработку ПДн работника хранится в течение срока обработки данных плюс срок исковой давности по трудовым спорам — как правило, не менее 3 лет с момента прекращения трудового договора. Документы личного дела хранятся 75 лет по типовым срокам хранения документов. Согласие как отдельный документ рекомендуется хранить не менее срока, в течение которого РКН вправе инициировать проверку, — 3 года.

5. Кто является оператором ПДн при использовании КЭДО?

Оператором ПДн остаётся работодатель — именно он определяет цели и состав обрабатываемых данных. Провайдер КЭДО действует как лицо, осуществляющее обработку по поручению оператора, по п. 3 ст. 6 ФЗ-152. Договор поручения должен содержать перечень разрешённых действий, требования безопасности и запрет на использование данных в собственных целях провайдера. Ответственность перед субъектами ПДн и РКН несёт работодатель, даже если утечка произошла на стороне провайдера.

6. Нужно ли новое уведомление в РКН при переходе на КЭДО?

Если переход на КЭДО изменяет состав обрабатываемых ПДн, цели обработки или перечень информационных систем — работодатель обязан направить уведомление об изменении сведений по форме Приказа РКН №180 в течение 10 рабочих дней. Если работодатель впервые регистрируется как оператор ПДн — подаётся первичное уведомление по ст. 22 ФЗ-152 до начала обработки. Подача — через pd.rkn.gov.ru с использованием ЕСИА или УКЭП.

Итог

ЛНА о введении КЭДО — это не только кадровый документ, но и основополагающий акт оператора ПДн, определяющий правовые основания обработки, состав данных и меры защиты. Отсутствие разделов по 152-ФЗ, устаревшая форма согласия или необновлённое уведомление в реестре РКН — каждое из этих нарушений образует самостоятельный состав административного правонарушения по ст. 13.11 КоАП.

Юристы DATUM сопровождают HR-департаменты при переходе на КЭДО: разрабатывают ЛНА с учётом требований ФЗ-156, составляют формы согласий для работников и подрядчиков, проверяют договоры с провайдерами КЭДО на предмет соответствия ч. 5 ст. 18 ФЗ-152.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах.

17 февраля 2028 года