Маска ФИО в открытых системах: альтернатива удалению
HR-директора часто сталкиваются с коллизией: данные о сотрудниках нужны в нескольких системах одновременно — КЭДО, системе контроля доступа, кадровом учёте, — но широкий доступ к ФИО создаёт риск утечки. Удаление записи не всегда возможно: срок хранения личного дела составляет 75 лет по типовым перечням, а трудовая документация подлежит хранению по ст. 22.2 ТК РФ. Маскирование ФИО — промежуточный инструмент, который снижает площадь экспозиции без уничтожения данных. Ниже — пошаговый алгоритм внедрения с учётом требований ст. 86–87 ТК РФ, ст. 9 ФЗ-152 и новых норм об обезличивании.
Шаг 1. Инвентаризируйте открытые системы, где видно ФИО сотрудников
Начните с карты данных: какие системы содержат ФИО в форме, доступной более чем одному пользователю без необходимости такого доступа. Типовой список для среднего предприятия — КЭДО, система электронного документооборота, платформа контроля рабочего времени, СКУД, корпоративный портал, HRM-система, реестр командировок.
Для каждой системы зафиксируйте: кто видит ФИО (роли пользователей), в каком контексте (список, отчёт, журнал событий), есть ли экспорт данных и куда. Именно экспортные форматы — основной канал утечки при инцидентах: по данным InfoWatch за 2025 год, более 250 публичных утечек в России произошли через выгрузки из корпоративных систем.
Фиксируйте результат в реестре обработки ПДн — он понадобится при обновлении уведомления в РКН по ст. 22 ФЗ-152 и при проверке соответствия фактической обработки заявленной.
Что такое маска ФИО с точки зрения законодательства о персональных данных?
Маска ФИО — это не обезличивание в юридическом смысле ст. 3 ФЗ-152. Обезличивание предполагает, что определить субъекта по оставшимся данным невозможно без дополнительных сведений. Маска скрывает часть данных от конкретного пользователя, но оператор сохраняет полные данные и при необходимости восстанавливает отображение — это контроль доступа, а не обезличивание.
Практическое следствие: применение маски не освобождает от обязанности получить согласие на обработку по ст. 9 ФЗ-152, назначить ответственного по ст. 22.1 ФЗ-152 и выполнить требования ст. 86–87 ТК РФ об ограничении целей обработки кадровых данных. Маска снижает риск, но не устраняет правовое основание обработки — оно должно быть самостоятельным.
С 01.09.2025 согласие работника оформляется отдельным документом по ФЗ-156 от 24.06.2025: его нельзя включить в трудовой договор, должностную инструкцию или политику конфиденциальности. Если в ваших системах ФИО обрабатывается на основании согласия (а не исполнения трудового договора) — это согласие требует переоформления по новым требованиям.
Согласия работников ещё в трудовом договоре?
Если HRD не переоформил согласия работников после 01.09.2025 — каждый документ создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽. Срок не восстанавливается: точкой отсчёта является дата заключения каждого договора после 01.09.2025. Юристы DATUM проведут аудит кадровой ОРД и соберут пакет согласий по требованиям ФЗ-156.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Шаг 2. Определите технические форматы маскирования под каждую систему
Для каждой системы из инвентаря выберите уровень маскирования. Три стандартных подхода: полная маска имени (отображается только первый символ фамилии и инициалы — «И*** И.И.»), частичная маска (фамилия полностью, имя и отчество скрыты), замена на идентификатор (табельный номер или UUID без привязки к ФИО в интерфейсе).
Для СКУД и систем биометрии вопрос стоит иначе: биометрические ПДн по ст. 11 ФЗ-152 обрабатываются только с письменного согласия, и отображение ФИО рядом с биометрическим идентификатором создаёт дополнительный риск. Оптимальная схема — в интерфейсе СКУД отображается только табельный номер; ФИО привязывается только в выделенном модуле с ограниченным доступом.
Для КЭДО и ПДн в кадровых документах важно разграничить: маска в интерфейсе не означает маску в самом документе — подписанный приказ о переводе содержит полное ФИО, это требование трудового законодательства. Маска применяется только к экранным формам просмотра и экспортным отчётам для ролей без необходимости видеть полное ФИО.
Шаг 3. Пропишите маскирование в локальных актах и политике обработки ПДн
Маскирование ФИО — организационно-техническая мера по ст. 19 ФЗ-152. Чтобы она считалась надлежащей, её нужно задокументировать: внести в политику обработки ПДн (ст. 18.1 ФЗ-152), в регламент предоставления доступа к системам и в инструкцию для ответственного за обработку по ст. 22.1 ФЗ-152.
Минимальный набор изменений в ОРД: дополнить политику обработки разделом о мерах контроля доступа по системам; внести в матрицу ролей, кто и в какой системе видит полное ФИО; обновить технический паспорт ИСПДн с указанием метода маскирования; зафиксировать ответственного за настройку маски в каждой системе.
Отсутствие политики, размещённой в открытом доступе (официальный сайт или стенд), само по себе образует состав по ч. 3 ст. 13.11 КоАП — штраф 30 000–60 000 ₽ для юридического лица.
Что подготовить при внедрении маски ФИО
- Реестр систем с ФИО: название системы, роли пользователей, наличие экспорта, применяемый уровень маски
- Обновлённая политика обработки ПДн с разделом о технических мерах контроля доступа (ст. 18.1 ФЗ-152)
- Матрица ролей по каждой системе: кто видит полное ФИО и по какому основанию
- Отдельные согласия работников по ст. 9 ФЗ-152 в редакции ФЗ-156 — для обработки, не вытекающей из трудового договора
- Журнал учёта обращений субъектов за 12 месяцев с датами и результатами
Шаг 4. Проверьте правовые основания обработки по каждой системе
Маскирование не устраняет вопрос о правовом основании обработки ПДн. По ст. 86 ТК РФ работодатель вправе обрабатывать персональные данные работника только в целях, непосредственно связанных с трудовыми отношениями. Если ФИО работника попало в систему управления проектами или корпоративный портал для публикации в открытом доступе — это отдельная цель, требующая отдельного согласия.
Для систем КЭДО вопрос об операторе ПДн принципиален: если КЭДО — внешняя облачная платформа, то работодатель выступает оператором, а провайдер — лицом, осуществляющим обработку по поручению (ст. 6 ФЗ-152). Поручение на обработку должно быть оформлено письменно с перечнем действий и обязательством конфиденциальности. Без поручения провайдер КЭДО является самостоятельным оператором — а это другой правовой режим.
Для систем с биометрией СКУД: согласие на обработку биометрических данных — обязательное письменное, по ст. 11 ФЗ-152. Заменить его ссылкой на трудовой договор нельзя. Работник вправе отказаться от биометрии без негативных трудовых последствий; альтернативный способ идентификации (пропуск, код) должен быть предусмотрен.
Шаг 5. Настройте процедуру ответа на запрос субъекта о доступе к данным
Работник вправе получить информацию о том, какие его ПДн обрабатываются, в течение 10 рабочих дней с даты обращения по ст. 20 ФЗ-152 (с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта). Маска в интерфейсе не ограничивает это право: по запросу работодатель обязан раскрыть полный перечень обрабатываемых данных.
Процедура должна быть прописана в ОРД: кто принимает запросы (ответственный по ст. 22.1), в каком формате направляется ответ, как фиксируется факт обращения. Журнал обращений субъектов — один из первых документов, которые запрашивает РКН при плановой или внеплановой проверке.
Отдельно: если работник потребовал уточнения недостоверных ПДн — срок устранения составляет 7 рабочих дней. Невыполнение требования субъекта образует состав по ч. 5 ст. 13.11 КоАП: штраф 50 000–90 000 ₽, при повторности — 300 000–500 000 ₽ по ч. 5.1.
Если HR-директор не уверен, как оформлено поручение на обработку ПДн с провайдером КЭДО или нет матрицы ролей по системам — это типичные находки при проверке РКН. Юристы DATUM соберут комплект ОРД под ключ: от политики до матрицы ролей и журналов.
Собрать ОРД под ключКак это применяется на практике
Кейс 1. Производственное предприятие (Уральский ФО, осень 2025): при внеплановой проверке РКН инспектор запросил матрицу ролей в системе учёта рабочего времени. Выяснилось, что ФИО всех 1 400 сотрудников были доступны менеджерам по продажам без служебной необходимости. HR-директор не мог показать документальное основание такого доступа. Компания получила предписание об устранении нарушения по ч. 1 ст. 13.11 КоАП; после документирования матрицы ролей и внедрения маски ФИО для торговых ролей дело завершилось штрафом в диапазоне нижней трети санкции. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.
Кейс 2. Медицинская организация (Центральный ФО, зима 2025–2026): провайдер КЭДО был заменён без переоформления поручения на обработку ПДн. Новый провайдер обрабатывал ФИО врачей и пациентов без письменного поручения оператора. После аудита DATUM было выявлено отсутствие поручения, составлен договор-поручение по ст. 6 ФЗ-152, а в интерфейсе КЭДО внедрена маска ФИО для ролей, не требующих полного отображения. Повторная проверка РКН нарушений не установила. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.
Типовые ситуации при внедрении маски ФИО
Ситуация 1. КЭДО без отдельного согласия работника. HR-директор использует внешнюю КЭДО-платформу для подписания кадровых документов. Платформа хранит ФИО, должность и паспортные данные. Согласие на обработку включено в текст трудового договора до 01.09.2025.
Доказательства нарушения: ст. 9 ФЗ-152 в редакции ФЗ-156 требует отдельного документа согласия с указанием оператора, цели, перечня данных, срока и способа отзыва. Трудовой договор больше не является достаточным основанием для обработки данных, выходящей за рамки исполнения трудовых обязанностей.
Вероятный исход: при проверке РКН — штраф по ч. 2 ст. 13.11 КоАП от 300 000 до 700 000 ₽ за обработку без надлежащего согласия. Стратегия: переоформить согласия для всех работников, принятых после 01.09.2025; для ранее принятых — оценить, требует ли обработка в КЭДО отдельного согласия или вытекает из трудового договора.
Ситуация 2. Биометрия СКУД без альтернативного способа идентификации. На предприятии установлен турникет с распознаванием лица. Все работники проходят биометрическую идентификацию; отказников не допускают на территорию.
Доказательства нарушения: ст. 11 ФЗ-152 требует письменного согласия на обработку биометрии; принуждение к биометрии под угрозой недопуска на работу означает, что согласие не является добровольным. Альтернативный способ идентификации обязателен.
Вероятный исход: штраф по ч. 16 ст. 13.11 КоАП за нарушение требований к обработке биометрии. Стратегия: внедрить пропускной альтернативный режим; переподписать согласия с явной добровольностью; в интерфейсе СКУД — маска ФИО для ролей без необходимости доступа к полным данным.
Ситуация 3. Уволенный работник требует удаления ПДн из всех систем. Работник после увольнения направил требование об уничтожении всех персональных данных. HR-директор не знает, какие данные можно удалить, а какие обязательны к хранению.
Доказательства: ст. 22.1 ТК РФ и типовые перечни документов устанавливают сроки хранения личного дела — до 75 лет. Уничтожение документов ранее истечения срока хранения — нарушение законодательства об архивном деле. Персональные данные, необходимые для исполнения законодательных обязанностей, сохраняются даже после отзыва согласия (ч. 2 ст. 9 ФЗ-152).
Вероятный исход: отказ в удалении документов трудового учёта — правомерен при наличии ссылки на срок хранения. Маска ФИО применяется к системам, где данные уволенного продолжают отображаться сотрудникам без служебной необходимости. Стратегия: разработать регламент работы с ПДн уволенных: архивирование, маскирование в оперативных системах, сроки уничтожения по окончании хранения.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка кадровой ОРД по чек-листу из 38 пунктов
- Комплект ОРД под ключ — политика, согласия, матрица ролей, журналы, поручения
- DPO-аутсорсинг — ответственный по ст. 22.1 на абонентском обслуживании
Частые вопросы
1. Нужно ли переподписывать согласия работников после 01.09.2025?
Согласия, полученные до 01.09.2025, сохраняют юридическую силу — ФЗ-156 обратной силы не имеет. Переподписывать их не требуется. Новые требования применяются к согласиям, оформляемым после 01.09.2025: они должны быть отдельным документом, не включённым в трудовой договор, оферту или политику конфиденциальности. Обязательные реквизиты по ст. 9 ФЗ-152: ФИО субъекта, контактные данные, наименование оператора, цель, перечень ПДн, срок действия и способ отзыва.
2. Какие данные нельзя спрашивать в анкете при приёме на работу?
Ст. 86 ТК РФ запрещает работодателю запрашивать данные, не связанные непосредственно с трудовой деятельностью: сведения о политических взглядах, религии, членстве в профсоюзах, национальности, состоянии здоровья (за пределами обязательного медосмотра), интимной жизни. Данные о судимости допустимы только для должностей, где закон прямо требует их проверки. Нарушение образует состав по ч. 1 ст. 13.11 КоАП: штраф 150 000–300 000 ₽ для юридического лица.
3. Можно ли вести видеонаблюдение в офисе?
Видеозапись изображения работника является биометрическими ПДн по ст. 11 ФЗ-152, если используется для идентификации личности. Для мониторинга безопасности без идентификации — это иная категория обработки. В обоих случаях работники должны быть письменно уведомлены о наблюдении (ст. 87 ТК РФ), цель наблюдения — зафиксирована в ОРД, сроки хранения записей — установлены. Использование видеозаписи для дисциплинарных взысканий требует отдельного правового обоснования.
4. Сколько хранить согласия после увольнения?
Согласие на обработку ПДн — кадровый документ, срок хранения которого привязан к сроку хранения личного дела. По типовым перечням архивных документов — до 75 лет для документов, связанных с трудовыми отношениями. Уничтожение согласия после увольнения до истечения этого срока недопустимо, поскольку оно подтверждает правомерность обработки за весь период. После истечения срока хранения — уничтожается по акту с записью в журнале уничтожения ПДн.
5. Кто является оператором при использовании КЭДО?
Работодатель является оператором ПДн по ст. 3 ФЗ-152 — он определяет цели и состав обработки. Провайдер КЭДО-платформы — лицо, осуществляющее обработку по поручению оператора (п. 3 ст. 6 ФЗ-152). Поручение должно быть оформлено письменным договором с указанием перечня действий, обязательством конфиденциальности и требованиями к защите. Без поручения провайдер считается самостоятельным оператором и несёт ответственность независимо от работодателя.
6. Что изменилось в обработке данных в СКУД с введением ст. 272.1 УК РФ?
Ст. 272.1 УК РФ, введённая ФЗ-421 от 30.11.2024 (действует с 11.12.2024), криминализировала незаконное использование, передачу, сбор или хранение компьютерной информации, содержащей ПДн. Для СКУД это означает: передача биометрических шаблонов или истории событий доступа третьим лицам без правового основания — потенциально уголовный состав. Максимальное наказание по ч. 5 — лишение свободы до 10 лет при тяжких последствиях. Маска ФИО в СКУД снижает риск, но ключевое — правовое основание передачи и поручение на обработку.
Итог
Маска ФИО — инструмент снижения площади экспозиции данных, а не замена правовому основанию обработки. Она уместна в системах, где широкий доступ к полному ФИО сотрудников не обусловлен служебной необходимостью: КЭДО для нечастых пользователей, системы отчётности, СКУД. Внедрение маски без обновления ОРД, матрицы ролей и согласий не устраняет риски по ст. 13.11 КоАП и ст. 272.1 УК РФ.
DATUM сопровождает HR-департаменты в приведении кадровой обработки ПДн в соответствие с 152-ФЗ: от аудита систем до сборки полного комплекта ОРД с учётом требований ФЗ-156 и новых норм об обезличивании.
14 января 2029 года