инструкция 3 июня 2027 По состоянию на 3 июня 2027

Нужно ли брать новое согласие с действующих работников

Q: Что делать, если работник отозвал согласие на передачу данных в банк для зарплатного проекта?

Работодатель обязан обеспечить выплату зарплаты иным способом: наличными через кассу или на счёт в другом банке. Принудить работника к участию в зарплатном проекте нельзя — это нарушение ст. 136 ТК РФ. Передача данных в банк после отзыва согласия является нарушением ч. 2 ст. 13.11 КоАП со штрафом от 300 000 ₽.

С 01.09.2025 согласие на обработку персональных данных работника — отдельный документ. Встроенное в трудовой договор или в анкету согласие не соответствует требованиям ст. 9 ФЗ-152 в редакции ФЗ-156.

За обработку ПДн без надлежащего согласия — штраф по ч. 2 ст. 13.11 КоАП от 300 000 до 700 000 ₽. При повторном нарушении (ч. 2.1) — от 1 000 000 до 1 500 000 ₽.

Если вы HRD и согласия работников до сих пор в трудовом договоре — у вас конкретный риск. Ниже — пошаговый порядок приведения документации в соответствие.

ФЗ-156 от 24.06.2025 изменил ч. 1 ст. 9 ФЗ-152: согласие субъекта оформляется самостоятельным документом и не может быть частью договора, оферты или иного соглашения. Норма действует с 01.09.2025. Ранее выданные согласия обратной силы закон не имеет — переоформлять их принудительно не требуется, если они отвечали требованиям, действовавшим на момент подписания. Однако большинство HR-документов содержат согласия, которые никогда не соответствовали полному перечню реквизитов ст. 9. Это означает, что реальный риск выше, чем кажется. Инструкция ниже помогает разобраться: что переделать, что оставить и как это зафиксировать.

Что изменилось с 01.09.2025 и почему старые согласия проблемны?

До вступления ФЗ-156 в силу рынок допускал включение согласия в трудовой договор или в заявление о приёме на работу. Роскомнадзор трактовал это неоднозначно: часть проверок заканчивалась штрафами, часть — предупреждениями. С 01.09.2025 позиция зафиксирована в законе: смешанный документ не засчитывается как согласие.

Согласие по ст. 9 ФЗ-152 должно содержать: полное наименование и адрес оператора, ФИО и контактные данные субъекта, цель обработки, перечень персональных данных, перечень действий с данными, срок обработки или условие прекращения, способ отзыва. Ни один трудовой договор не включает все эти реквизиты в форме самостоятельного блока.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 (действует с 01.09.2025): согласие субъекта персональных данных оформляется в виде отдельного документа. Объединение согласия с иным документом не допускается.»

Практический вывод: если согласие было подписано до 01.09.2025 и оформлено отдельно с соблюдением всех реквизитов ст. 9 — оно действительно. Если оно входило в трудовой договор или анкету — оно де-факто не соответствует требованиям вне зависимости от даты. Именно такие документы и нужно заменить.

Нужно ли переоформлять согласия работников, принятых до 01.09.2025?

Закон не содержит нормы об обязательном переоформлении ранее полученных согласий. ФЗ-156 обратной силы не имеет. Однако это не означает, что старые согласия автоматически действительны: если они не содержали всех обязательных реквизитов по ст. 9 ФЗ-152 в редакции, действовавшей на момент подписания, — они были недействительны ещё тогда.

Проверьте согласия по трём критериям. Первый: согласие оформлено отдельным документом, не встроено в договор. Второй: перечень ПДн соответствует тем данным, которые реально собираются (включая КЭДО, зарплатный проект, личное дело, медосмотры, СКУД). Третий: указаны цели, срок и способ отзыва. Если хотя бы один критерий не выполнен — согласие нужно переоформить.

Согласия работников ещё в трудовом договоре?

Если HRD не проверил пакет согласий после 01.09.2025 — каждый старый документ создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП (до 700 000 ₽). При повторном нарушении — до 1 500 000 ₽. Юристы DATUM проведут аудит ОРД HR-департамента и соберут пакет согласий по требованиям ФЗ-156.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 1. Составьте реестр оснований обработки ПДн работников

Перед тем как формировать новые согласия, определите: по каким основаниям вы вообще обрабатываете ПДн работников. Ст. 6 ФЗ-152 предусматривает несколько оснований. Трудовой договор и исполнение законодательных обязанностей (подача отчётности в СФР, ФНС, ОМС) не требуют отдельного согласия — они прямо предусмотрены законом.

Согласие нужно только там, где нет иного законного основания: передача данных третьим лицам (страховые компании, банки для зарплатных проектов), публикация фото и видео работника, обработка биометрии в СКУД, сбор данных о родственниках, избыточный сбор сведений в анкете при приёме.

Зафиксируйте реестр в таблице: категория данных — основание — форма согласия (нужна / не нужна). Это базовый документ для следующих шагов.

Шаг 2. Проверьте соответствие действующих согласий требованиям ст. 9 ФЗ-152

Возьмите все документы, которые использовались как согласие: анкеты соискателей, заявления о приёме, трудовые договоры, дополнительные соглашения. Для каждого документа проверьте наличие 7 обязательных реквизитов:

наименование и адрес оператора;
ФИО и контактные данные субъекта;
конкретная цель обработки;
перечень персональных данных, на обработку которых даётся согласие;
перечень действий с данными;
срок обработки или условие прекращения;
способ отзыва согласия.

Документы, не содержащие всех реквизитов или объединённые с иным соглашением, — в список на замену. Документы, соответствующие всем критериям и оформленные отдельно, — действительны без переподписания.

Шаг 3. Разработайте формы новых согласий по категориям

Не используйте одно универсальное согласие «на всё». Роскомнадзор при проверке сравнивает перечень ПДн в согласии с фактически обрабатываемыми данными. Несоответствие — самостоятельное нарушение.

Типовые формы для HR-департамента:

согласие на обработку ПДн при трудоустройстве (анкета, резюме, проверка через СБ);
согласие на передачу данных в банк для зарплатного проекта;
согласие на обработку биометрических данных (фото лица для СКУД) — требует письменной формы по ст. 11 ФЗ-152;
согласие на использование фото и видео работника в корпоративных материалах;
согласие на обработку данных о родственниках (например, для полиса ДМС);
согласие в рамках КЭДО — если платформа обрабатывает ПДн сверх объёма, предусмотренного трудовым законодательством.

Каждая форма должна отражать конкретную цель. Размытые формулировки («для целей трудовой деятельности») не защищают от претензий РКН.

Если в КЭДО-платформе или в зарплатном проекте данные работников передаются третьим лицам без отдельного согласия — это нарушение ч. 2 ст. 13.11 КоАП. Срок на устранение до проверки РКН не восстанавливается. Юристы DATUM соберут пакет ОРД под ключ — включая согласия по КЭДО, СКУД и зарплатным проектам.

Собрать ОРД под ключ

Шаг 4. Организуйте процедуру переподписания

Переподписание действующих работников — административный процесс, а не юридический. Согласие нельзя получить под принуждением: работник вправе отказаться от подписи в части обработки данных, не предусмотренной законом (ст. 86 ТК РФ). Откажется от передачи данных в банк — оформите зарплату наличными или иным способом. Откажется от биометрии в СКУД — обеспечьте альтернативный контроль доступа.

Порядок переподписания: уведомите работников письменно о том, что компания приводит документацию в соответствие с ФЗ-156; разъясните, на что даётся согласие и каково право на отзыв; соберите подписи в срок, определённый внутренним регламентом. Рекомендованный срок — не более 30 дней с даты введения новых форм.

Работников, отказавшихся от согласия на обработку данных, предусмотренных законом, — не существует: исполнение трудового договора и отчётность в госорганы согласия не требуют. Отказ возможен только в части добровольной обработки.

Шаг 5. Обновите политику обработки ПДн и локальные акты

Новые формы согласий требуют синхронного обновления смежной документации. Политика обработки персональных данных по ч. 2 ст. 18.1 ФЗ-152 должна отражать актуальный перечень целей, категорий ПДн и оснований. Если политика описывает обработку на основании «согласия», а вы переходите на иное основание — политику нужно скорректировать.

Проверьте также: приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152; регламент ответов на запросы субъектов (срок — 10 рабочих дней по ст. 20 ФЗ-152); перечень лиц, допущенных к обработке ПДн работников; инструкции для HR-специалистов по порядку сбора и хранения согласий.

Что подготовить HR-департаменту

Реестр оснований обработки ПДн работников по категориям данных (согласие / исполнение закона / договор).
Новые формы согласий: зарплатный проект, биометрия СКУД, КЭДО, ДМС, фото/видео — каждая отдельным документом.
Журнал подписания согласий с датой, ФИО работника, формой согласия и отметкой о вручении экземпляра.
Обновлённая политика обработки ПДн с актуальными целями и основаниями по ч. 2 ст. 18.1 ФЗ-152.
Регламент уничтожения согласий после истечения срока хранения (в общем случае — через 3 года после прекращения обработки).

Типовые ситуации: что происходит на практике

Ситуация 1. Согласие встроено в трудовой договор, работник уже три года в штате. Ситуация: работодатель обрабатывает ПДн в КЭДО и передаёт данные в банк для зарплатного проекта на основании «согласия», включённого в п. 5 трудового договора. Доказательства: договор не содержит отдельного перечня ПДн и не указывает способ отзыва. Исход: при плановой проверке РКН — протокол по ч. 2 ст. 13.11 КоАП, штраф от 300 000 ₽. Стратегия: получить отдельные согласия до проверки; обновить политику; уведомить банк об актуальных основаниях передачи.

Ситуация 2. Биометрия в СКУД без письменного согласия. Ситуация: компания установила турникет с распознаванием лица; согласие — устное или встроено в правила внутреннего распорядка. Доказательства: обработка биометрических ПДн без письменного согласия нарушает ст. 11 ФЗ-152. Исход: штраф по ч. 2 ст. 13.11 КоАП (до 700 000 ₽) или по ч. 16 (нарушение требований к биометрии). Стратегия: ввести письменные согласия на биометрию СКУД, предусмотреть альтернативный способ доступа для отказавшихся.

Ситуация 3. Работник уволился и требует уничтожить его ПДн. Ситуация: бывший работник направил требование уничтожить все данные о нём. Доказательства: личное дело работника хранится по ст. 22.2 ТК РФ и архивному законодательству — типовой срок 75 лет (для документов, созданных до 2003 года), 50 лет — для более поздних. Исход: уничтожение невозможно в части данных, для которых установлен законный срок хранения. Стратегия: письменно разъяснить субъекту, что обработка ведётся не на основании согласия, а в силу закона; отозвать только те согласия, срок обработки по которым истёк (например, данные для КЭДО-платформы после расторжения трудового договора).

Кейс из практики. HR-директор производственного предприятия в Уральском ФО (осень 2025) получил уведомление о внеплановой проверке РКН. На момент проверки согласия 140 действующих работников были включены в типовые трудовые договоры без отдельного перечня ПДн. Компания за две недели до проверки ввела новые формы, получила подписи, обновила политику. РКН вынес предупреждение — без штрафа, с указанием на устранение. Ключевой фактор: досрочное устранение нарушения до составления протокола.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка согласий, политики, ОРД HR-департамента по чек-листу из 38 пунктов.
Комплект ОРД под ключ — подготовка форм согласий, политики, регламентов и приказов по требованиям ФЗ-156.
DPO-аутсорсинг — абонентское сопровождение функции ответственного за обработку ПДн по ст. 22.1 ФЗ-152.

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Обязательного переоформления всех согласий закон не требует — ФЗ-156 обратной силы не имеет. Переподписание нужно в двух случаях: если старое согласие не содержало всех реквизитов, установленных ст. 9 ФЗ-152 на момент его подписания; или если оно было встроено в иной документ (договор, анкету, правила распорядка). Согласие, которое не соответствовало требованиям на момент подписания, было недействительным ещё тогда — вне зависимости от даты 01.09.2025.

2. Какие данные нельзя спрашивать в анкете при приёме на работу?

Ст. 86 ТК РФ запрещает получать данные о политических, религиозных и иных убеждениях, членстве в общественных объединениях (кроме профсоюзов), а также данные о частной жизни без письменного согласия. Ст. 10 ФЗ-152 относит сведения о здоровье, национальности, вероисповедании к специальным категориям — их обработка по общему правилу запрещена. На практике проблемными остаются пункты анкет о наличии детей, семейном положении, хронических заболеваниях и наличии родственников за рубежом — они не нужны для исполнения трудового договора и требуют отдельного обоснования или согласия.

3. Можно ли вести видеонаблюдение в офисе без согласия работников?

Видеонаблюдение в рабочих зонах допустимо без согласия работников при соблюдении трёх условий: работодатель вправе контролировать трудовую дисциплину по ст. 87 ТК РФ; работники уведомлены о наблюдении (под подпись в локальном акте); наблюдение ведётся только в рабочих зонах, не в местах отдыха и санузлах. Видеозаписи относятся к биометрическим ПДн при использовании для идентификации личности — в этом случае требуется письменное согласие по ст. 11 ФЗ-152. Если камера фиксирует рабочий процесс без функции распознавания — согласие не нужно, но уведомление обязательно.

4. Сколько хранить согласия после увольнения работника?

Согласие как документ — часть личного дела работника. Срок хранения личного дела по ст. 22.2 ТК РФ: 75 лет — для документов, созданных до 2003 года; 50 лет — для созданных начиная с 2003 года. Отдельные согласия (например, на передачу в банк или в рекламные материалы) хранятся три года с момента прекращения обработки — если иное не установлено законодательством. После истечения срока согласие уничтожается с составлением акта.

5. Кто является оператором при использовании КЭДО-платформы?

Оператором остаётся работодатель — именно он определяет цели и состав обрабатываемых данных работников. КЭДО-платформа выступает лицом, осуществляющим обработку по поручению оператора, в соответствии с п. 3 ст. 6 ФЗ-152. Поручение должно быть оформлено письменным договором, в котором указаны перечень обрабатываемых ПДн, цели, действия платформы и её обязательство по конфиденциальности. Если договора нет — работодатель нарушает ст. 6 ФЗ-152 и несёт ответственность за действия платформы как за свои собственные.

6. Что делать, если работник отозвал согласие на передачу данных в банк для зарплатного проекта?

Отзыв согласия не прекращает трудовые отношения и не освобождает работодателя от обязанности выплатить заработную плату. Работодатель обязан обеспечить выплату иным способом: наличными через кассу или на счёт в другом банке по реквизитам, указанным работником. Принудить работника к участию в зарплатном проекте нельзя — это нарушение ст. 136 ТК РФ. Передача данных в банк после отзыва согласия является нарушением ч. 2 ст. 13.11 КоАП со штрафом от 300 000 ₽.

Итог

Вопрос о переоформлении согласий работников не сводится к дате 01.09.2025. Ключевой критерий — соответствие согласия всем реквизитам ст. 9 ФЗ-152 на момент его подписания и оформление его отдельным документом. Большинство HR-пакетов этим требованиям не отвечают — вне зависимости от даты ФЗ-156. Работа по аудиту и переоформлению согласий занимает от двух до четырёх недель и в разы дешевле штрафа по ч. 2 ст. 13.11 КоАП.

Практика DATUM по HR-направлению включает аудит согласий работников, разработку типовых форм по категориям данных, сопровождение взаимодействия с РКН при проверках HR-документации. Сопровождено более 300 операторов — в том числе производственные предприятия, ретейл и IT-компании с распределёнными командами.

Есть вопрос по согласиям работников или предстоит проверка РКН?

Юристы DATUM оценят пакет HR-документов, определят, какие согласия требуют переоформления, и подготовят формы по требованиям ФЗ-156 от 24.06.2025. Практика «Ветров и партнёры» по 152-ФЗ с 2014 года.