инструкция 12 января 2028 По состоянию на 12 января 2028

Можно ли включить согласие в трудовой договор после 2025

С 01.09.2025 согласие работника на обработку персональных данных — отдельный документ. Включать его в трудовой договор, приказ или анкету запрещено.

ФЗ-156 от 24.06.2025 изменил ч. 1 ст. 9 ФЗ-152: согласие не объединяется ни с каким другим документом. Каждое нарушение — повод для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽ за один факт.

→ Если в вашей компании согласия работников до сих пор вшиты в трудовой договор — прочитайте эту инструкцию и исправьте ситуацию до плановой проверки РКН.

ФЗ-156 вступил в силу 24.06.2025, а норма об отдельном согласии заработала с 01.09.2025. У большинства HR-департаментов оставалось три месяца на перестройку документооборота. Те, кто не успел, сейчас работают с дефектными документами: каждый трудовой договор с вшитым согласием — потенциальный протокол РКН. Ниже — пошаговый порядок приведения HR-пакета в соответствие.

Что изменил ФЗ-156 и почему это касается каждого работодателя?

До 01.09.2025 согласие на обработку персональных данных можно было размещать в любом документе: трудовом договоре, анкете соискателя, приказе о приёме на работу. Роскомнадзор периодически оспаривал такую практику, но суды признавали её допустимой, если остальные реквизиты ст. 9 ФЗ-152 соблюдались.

С 01.09.2025 ситуация изменилась принципиально. Ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156 прямо устанавливает: согласие оформляется отдельным документом и не может объединяться с иными документами. Трудовой договор, соглашение об изменении условий труда, анкета, должностная инструкция — ни один из них не может содержать текст согласия.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025: согласие субъекта персональных данных на обработку его персональных данных оформляется отдельным документом. Требование действует с 01.09.2025.»

Важный нюанс: обратной силы у нормы нет. Согласия, подписанные до 01.09.2025 в составе трудового договора, действительны, пока работник не отзовёт их или пока не истечёт цель обработки. Однако любое новое согласие — при приёме на работу после 01.09.2025 или при расширении объёма обработки существующих работников — должно быть оформлено отдельно.

Ст. 86 и 87 ТК РФ регулируют, какие персональные данные работника вправе обрабатывать работодатель и каков порядок. Они не отменены, но теперь действуют в связке с обновлённой ст. 9 ФЗ-152: форма согласия диктуется законом о персональных данных, а не трудовым законодательством.

Согласия работников ещё в трудовых договорах?

Если в вашей компании новые сотрудники подписывают согласие в составе трудового договора или анкеты — каждый такой документ нарушает ч. 1 ст. 9 ФЗ-152. Штраф по ч. 2 ст. 13.11 КоАП составляет от 300 000 до 700 000 ₽ за факт нарушения. Юристы DATUM проведут аудит HR-документооборота и подготовят отдельные согласия по всем категориям обработки в соответствии с требованиями ФЗ-156.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 1. Проведите инвентаризацию существующих согласий

Первое, что нужно сделать HRD, — получить полную картину текущего состояния. Без инвентаризации непонятно, какой объём работы предстоит.

Запросите у юриста или кадровика перечень документов, в которых сейчас содержится текст согласия. Типичный набор: трудовой договор (раздел «обработка ПДн»), анкета соискателя, согласие на видеонаблюдение в составе ПВТР, согласие на передачу данных в зарплатный банк в составе заявления.

Для каждого документа зафиксируйте: дата введения формы, категория субъектов (соискатели, действующие работники, уволенные), цель обработки, третьи стороны — получатели данных. Результат инвентаризации — таблица на бумаге или в Excel: документ × категория × дата × статус.

Что проверить на этапе инвентаризации

Трудовой договор: есть ли раздел или абзац о согласии на обработку ПДн
Анкеты соискателей: вшито ли согласие в бланк анкеты
Заявления на зарплатный проект: есть ли согласие на передачу данных в банк
ПВТР и локальные акты: содержат ли текст согласия на видеонаблюдение или СКУД
КЭДО: оформлено ли отдельное согласие на обработку ПДн в системе электронного документооборота

Шаг 2. Определите, какие согласия нужны под вашу обработку

Не все действия с персональными данными работников требуют согласия. Обработка, необходимая для исполнения трудового договора, осуществляется на основании п. 5 ч. 1 ст. 6 ФЗ-152 — без согласия. Это хранение трудовой книжки, начисление зарплаты, оформление отпуска, подача сведений в СФР.

Согласие требуется там, где обработка выходит за рамки прямых трудовых обязанностей. Типичные случаи для HR:

Биометрия в СКУД (сканер отпечатка пальца или распознавание лица) — ст. 11 ФЗ-152, письменное согласие обязательно
Передача ПДн работника третьим лицам: банку для зарплатного проекта, страховщику ДМС, корпоративному фитнес-оператору
Видеонаблюдение, если оно фиксирует биометрические характеристики и используется для идентификации
Публикация фотографий работника на корпоративном сайте или в соцсетях — ст. 10.1 ФЗ-152 (распространение)
Обработка специальных категорий ПДн: сведения о здоровье для ДМС или медосмотра, если они хранятся у работодателя сверх законного минимума
КЭДО: если система обрабатывает ПДн сверх необходимого для ведения кадрового документооборота

Для каждой из перечисленных категорий — отдельное согласие. Одно «универсальное» согласие на все цели сразу не соответствует принципу конкретности целей из ст. 5 ФЗ-152.

Шаг 3. Составьте отдельные формы согласий с обязательными реквизитами

Ч. 4 ст. 9 ФЗ-152 устанавливает обязательные реквизиты согласия. Если хотя бы один отсутствует — согласие считается ненадлежащим, а обработка на его основании — незаконной.

«Ст. 9 ч. 4 ФЗ-152: согласие в письменной форме должно содержать ФИО и контактные данные субъекта, наименование и адрес оператора, цель обработки, перечень персональных данных, перечень действий с ними, срок действия согласия и порядок его отзыва.»

Практические требования к оформлению после ФЗ-156:

Документ — отдельный лист, не часть трудового договора или анкеты
Заголовок — явно указывает на предмет: «Согласие на обработку персональных данных (биометрия СКУД)»
Одна цель — одно согласие. Нельзя объединять биометрию СКУД и передачу данных банку в один документ
Срок — конкретный или привязанный к событию: «на период трудовых отношений и 75 лет после их прекращения» для личного дела либо «до отзыва» для публикации фото
Порядок отзыва — обязательный пункт: указать, кому и в какой форме направлять заявление об отзыве
Подпись работника с датой — собственноручная или УКЭП при КЭДО

В КЭДО согласие можно оформить электронно, если система обеспечивает идентификацию работника и неизменность документа. Усиленная квалифицированная электронная подпись — безусловный вариант. Простая ЭП допустима только при наличии соглашения о КЭДО по ст. 22.2 ТК РФ, в котором стороны договорились о юридической силе ПЭП для конкретных видов документов.

Если в HR-пакете нет отдельных форм под биометрию СКУД, КЭДО и зарплатный проект — это три самостоятельных нарушения ч. 2 ст. 13.11 КоАП. Штраф по каждому — от 300 000 до 700 000 ₽. Юристы DATUM подготовят полный комплект ОРД и согласий под вашу структуру обработки.

Собрать ОРД под ключ

Шаг 4. Урегулируйте ситуацию с действующими работниками

Согласия, подписанные до 01.09.2025 в составе трудового договора, формально действительны — ФЗ-156 обратной силы не имеет. Однако у этой позиции есть практический риск: при проверке РКН инспектор может квалифицировать такое согласие как не соответствующее действующим требованиям ст. 9, если обработка продолжается после 01.09.2025.

Безопасный подход: переподписать согласия с действующими работниками в виде отдельных документов. Порядок: направить уведомление работнику о необходимости подписания нового согласия, объяснить причину (изменение законодательства), зафиксировать факт ознакомления.

Для уволенных работников переподписание невозможно. Если обработка их ПДн продолжается (архив личных дел — 75 лет по типовым перечням), основанием служит не согласие, а п. 2 ч. 1 ст. 6 ФЗ-152 (исполнение обязанностей, предусмотренных законодательством) в части обязательного хранения. Убедитесь, что основание в вашей системе учёта указано корректно.

Шаг 5. Обновите политику обработки ПДн и уведомление РКН

Изменение форм согласий — не изолированное действие. Оно влечёт необходимость актуализации смежных документов.

Политика обработки персональных данных по ч. 2 ст. 18.1 ФЗ-152 должна отражать актуальные цели и правовые основания. Если вы добавили отдельное согласие на биометрию СКУД или убрали согласие из трудового договора — политику нужно обновить.

Уведомление в реестре операторов РКН (ст. 22 ФЗ-152): если изменились категории ПДн, цели обработки или правовые основания — в течение 10 рабочих дней нужно подать уведомление об изменении сведений через портал pd.rkn.gov.ru. Срок на включение изменений в реестр — 30 дней.

Приказ о назначении ответственного за обработку по ст. 22.1 ФЗ-152 — убедитесь, что в нём указаны актуальные полномочия, включая работу с новыми формами согласий.

Типовые ситуации: что происходит при нарушении

Ситуация 1. Торговая компания (Сибирский ФО, осень 2025) при плановой проверке РКН показала анкеты соискателей с вшитым согласием. Инспектор квалифицировал это как нарушение ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156. Возбуждено дело по ч. 2 ст. 13.11 КоАП. Компания была включена в реестр операторов ПДн и имела политику, но форма согласия не была выделена в отдельный документ. Штраф составил сотни тысяч рублей. HR-директор инициировала переработку всего пакета HR-документов после окончания проверки.

Ситуация 2. Производственное предприятие (Уральский ФО, начало 2026) использовало СКУД с распознаванием лица. Согласие на обработку биометрии было включено в ПВТР — приложением к правилам трудового распорядка. РКН при внеплановой проверке (поступила жалоба работника) квалифицировал это как обработку биометрических ПДн без надлежащего согласия по ст. 11 ФЗ-152. Дело возбуждено по ч. 2 ст. 13.11 КоАП. Предприятие приостановило работу СКУД в режиме биометрии и переоформило согласия в виде отдельных документов для каждого работника.

Услуги DATUM по теме

Комплект ОРД под ключ — полный пакет HR-документов по 152-ФЗ, включая отдельные согласия по ФЗ-156
Аудит соответствия 152-ФЗ — проверка HR-документооборота по чек-листу из 38 пунктов
DPO-аутсорсинг — ведение функции ответственного по ст. 22.1, ответы на запросы работников

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Ст. 9 ФЗ-152 в редакции ФЗ-156 обратной силы не имеет: согласия, подписанные до 01.09.2025, остаются действительными. Однако при продолжении обработки на их основании после 01.09.2025 существует риск переквалификации РКН. Безопасная позиция — переподписать согласия с действующими работниками в виде отдельных документов. Все согласия с новыми сотрудниками с 01.09.2025 должны оформляться исключительно отдельным документом.

2. Какие данные нельзя запрашивать в анкете соискателя?

Ст. 86 ТК РФ запрещает получать и обрабатывать данные о политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях и профсоюзах без согласия работника. Данные о состоянии здоровья — только в объёме, необходимом для определения пригодности к работе и обеспечения охраны труда (ст. 10 ФЗ-152). В анкете соискателя не должно быть вопросов о семейном положении (кроме контактного лица для экстренной связи), вероисповедании, политических взглядах.

3. Можно ли вести видеонаблюдение в офисе?

Да, при соблюдении условий: работники должны быть уведомлены о видеонаблюдении (ст. 74 ТК РФ — изменение условий труда или включение в ПВТР), камеры не должны устанавливаться в местах, где работники вправе рассчитывать на приватность (туалеты, раздевалки). Если система видеонаблюдения используется для идентификации личности — это обработка биометрических ПДн, и требуется отдельное письменное согласие каждого работника по ст. 11 ФЗ-152.

4. Сколько хранить согласия после увольнения?

Срок хранения согласия определяется сроком хранения документа, в рамках которого оно действовало. Для документов личного дела — 75 лет (типовые перечни документов с указанием сроков хранения). Само согласие как документ хранится не менее трёх лет после прекращения обработки — чтобы подтвердить законность обработки при возможных претензиях субъекта или РКН.

5. Кто является оператором при использовании КЭДО?

Работодатель, внедривший систему КЭДО, является оператором персональных данных работников, обрабатываемых через эту систему, по ст. 3 ФЗ-152. Поставщик платформы КЭДО (SaaS или on-premise) — лицо, осуществляющее обработку по поручению оператора (п. 3 ст. 6 ФЗ-152). С ним обязательно заключается договор поручения обработки с перечнем разрешённых действий. Ответственность за соответствие обработки требованиям ФЗ-152 перед РКН несёт работодатель-оператор.

6. Что будет, если согласие нарушает требования ст. 9 ФЗ-152?

Обработка персональных данных на основании ненадлежащего согласия квалифицируется как обработка без письменного согласия, когда оно требуется, — ч. 2 ст. 13.11 КоАП. Штраф для юридического лица составляет от 300 000 до 700 000 ₽. При повторном нарушении по ч. 2.1 ст. 13.11 КоАП штраф возрастает до 1 000 000–1 500 000 ₽. Каждая дефектная форма согласия может рассматриваться как отдельное нарушение.

Итог

С 01.09.2025 включать согласие работника на обработку персональных данных в трудовой договор, анкету или любой другой документ нельзя — ФЗ-156 закрыл эту возможность. Каждая цель обработки, требующая согласия, оформляется отдельным документом с обязательными реквизитами ст. 9 ФЗ-152. Приоритетные направления переработки для HR: биометрия СКУД, КЭДО, зарплатные проекты, фото на корпоративном сайте.

Юристы DATUM сопровождают HR-департаменты в приведении документооборота в соответствие с требованиями ФЗ-152 в актуальной редакции: аудит существующих форм, разработка отдельных согласий под каждую категорию обработки, обновление политики и уведомления РКН.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах.

12 января 2028 года