Перейти к содержанию
инструкция 24 февраля 2028 По состоянию на 24 февраля 2028

Образец положения о согласиях работников

Положение о согласиях работников — внутренний акт оператора, который фиксирует основания, порядок получения и хранения согласий на обработку персональных данных по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025.
С 01.09.2025 согласие работника обязано быть отдельным документом: встроить его в трудовой договор или анкету нельзя. Нарушение — штраф до 700 000 ₽ по ч. 2 ст. 13.11 КоАП за каждое несоответствующее согласие.
→ Если вы HRD и в компании нет актуального положения — до проверки РКН это первое, что нужно исправить.

С 01.09.2025 все правовые основания для обработки персональных данных работника, которые требуют согласия, должны подтверждаться отдельным документом. Это требование ФЗ-156, изменившего ч. 1 ст. 9 ФЗ-152. HR-департамент без актуального положения о согласиях работает вслепую: непонятно, какие согласия брать, в какой форме, как хранить и когда уничтожать. Ниже — шаги по разработке положения и структура образца, пригодного для компании с 50 и более сотрудников.

Что регулирует положение о согласиях работников и зачем оно нужно?

Трудовые отношения — самостоятельное правовое основание для обработки персональных данных работника (ст. 6, ст. 88 ТК РФ, ч. 1 ст. 86 ТК РФ). Но ряд операций с данными за пределы этого основания выходит. Для них нужно отдельное согласие: передача третьим лицам (банки для зарплатного проекта), размещение фотографии на сайте компании, обработка в КЭДО, биометрия в системах контроля доступа. Положение устанавливает:

  • перечень ситуаций, в которых согласие требуется;
  • форму и обязательные реквизиты документа по ст. 9 ФЗ-152;
  • порядок подписания, отзыва и уничтожения;
  • ответственных лиц в HR-департаменте.

Без положения каждый HR-специалист решает вопрос согласия по-своему. Это прямой путь к нарушениям ч. 2 ст. 13.11 КоАП — штраф до 700 000 ₽ за обработку без надлежащего согласия или при несоответствии его состава требованиям закона.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — согласие субъекта персональных данных должно быть оформлено отдельным документом и не объединяться с другими соглашениями, договорами или заявлениями. Применяется с 01.09.2025. Ранее полученные согласия переоформления не требуют.»

Шаг 1. Составьте реестр оснований обработки ПДн работников

До написания положения нужно понять, где согласие обязательно, а где нет. Трудовые отношения покрывают: приём на работу, расчёт зарплаты, кадровый учёт, обязательная отчётность в ПФР и ФНС. Согласие для этих операций не нужно — есть ст. 6 ч. 1 п. 2 и п. 5 ФЗ-152.

Согласие обязательно для операций вне трудового договора:

  • передача данных в банк по зарплатному проекту (если иное не предусмотрено договором);
  • публикация фото и биографии работника на корпоративном сайте;
  • обработка биометрических данных в СКУД (ст. 11 ФЗ-152 — только письменное согласие);
  • обработка специальных категорий ПДн: состояние здоровья для ДМС, питание (религиозные ограничения) — ст. 10 ФЗ-152;
  • передача контактов работника третьим лицам для рекомендаций;
  • КЭДО с доступом провайдера к данным работника.

Результат шага — матрица: операция → основание → согласие нужно/нет. Она станет приложением к положению.

Согласия работников ещё в трудовом договоре?

Если до 01.09.2025 компания включала согласия в трудовой договор или анкету кандидата — это нарушение ч. 2 ст. 13.11 КоАП с 01.09.2025. Штраф — до 700 000 ₽ за каждый несоответствующий документ. Юристы DATUM проводят аудит HR-документов по чек-листу из 38 пунктов и собирают новые согласия под ключ.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 2. Разработайте шаблоны согласий с обязательными реквизитами

Ст. 9 ФЗ-152 устанавливает исчерпывающий перечень реквизитов согласия. Их отсутствие или неполнота — нарушение ч. 2 ст. 13.11 КоАП. Каждый шаблон в положении должен содержать:

  • ФИО субъекта (работника), контактные данные;
  • наименование и адрес оператора (работодателя);
  • цель обработки персональных данных — конкретная, не «иные законные цели»;
  • перечень персональных данных, на обработку которых даётся согласие;
  • перечень действий: сбор, запись, хранение, передача и т. д.;
  • срок действия согласия или условие его прекращения;
  • способ отзыва согласия.

В положении нужно предусмотреть отдельный шаблон для каждой ситуации из матрицы шага 1. Общий шаблон «на все цели» не защитит от штрафа: суды признают его несоответствующим требованию конкретности целей (ст. 5 ФЗ-152).

«Ст. 5 ФЗ-152 — персональные данные обрабатываются только в заранее определённых, законных и конкретных целях. Объединение баз данных с несовместимыми целями недопустимо.»

Отдельно — шаблон для биометрии СКУД. Ст. 11 ФЗ-152 требует письменного согласия. В нём указывается: вид биометрии (изображение лица, отпечаток пальца), устройство обработки, срок и условие уничтожения при увольнении. Срок уничтожения биометрии после увольнения — не позднее 30 дней (обычная практика операторов).

Шаг 3. Установите порядок получения, хранения и отзыва согласий

Положение должно описывать жизненный цикл согласия от подписания до уничтожения.

Получение. Согласие подписывается до начала обработки. Нельзя получить согласие задним числом. При приёме на работу — в пакете документов, отдельно от трудового договора. КЭДО допускает электронное согласие при условии использования УКЭП или УНЭП (ст. 22.2 ТК РФ).

Хранение. Согласие хранится в личном деле работника. Срок — не менее срока обработки данных, к которым оно относится. Для большинства кадровых данных — 75 лет (типовой срок по Перечню Росархива). После увольнения согласие на обработку, выходящую за пределы трудового договора, утрачивает силу, если иное прямо не указано в его тексте.

Отзыв. Работник вправе отозвать согласие в любой момент (ч. 2 ст. 9 ФЗ-152). Положение устанавливает: форму заявления об отзыве, срок прекращения обработки (разумный, но не более 30 дней), порядок уничтожения данных по истечении иных оснований.

Что включить в положение о согласиях работников

  • Матрица операций: где согласие нужно, где достаточно трудового договора
  • Шаблоны согласий по каждому основанию (зарплатный проект, СКУД, фото, КЭДО, ДМС)
  • Порядок хранения: место, срок, ответственный (ст. 22.1 ФЗ-152)
  • Порядок отзыва: форма заявления, срок реакции оператора, порядок уничтожения
  • Ответственный за актуализацию положения при изменении законодательства

Шаг 4. Зафиксируйте особенности КЭДО и биометрии СКУД

КЭДО — система электронного документооборота, в которой провайдер обрабатывает персональные данные работника по поручению работодателя (ст. 6 ч. 1 п. 3 ФЗ-152). Работодатель остаётся оператором. Согласие работника на КЭДО нужно, если:

  • провайдер получает доступ к данным за пределами кадрового учёта;
  • обрабатываются специальные категории ПДн (состояние здоровья — больничные листы);
  • данные передаются в облачную инфраструктуру за рубежом (ст. 12 ФЗ-152 — трансграничная передача).

В положение включается отдельный раздел: «Обработка ПДн через КЭДО». В нём — ссылка на договор поручения с провайдером и порядок ознакомления работника.

Биометрия СКУД. Изображение лица и/или отпечаток пальца — биометрические данные по ст. 11 ФЗ-152. Работник вправе отказаться от биометрии без правовых последствий для трудового договора. Отказ не может быть основанием для увольнения или депремирования. Положение должно предусматривать альтернативный способ доступа (карта, код) на случай отзыва биометрического согласия.

Типичные ситуации в HR: сценарии нарушений и их последствия

Сценарий 1. Согласие в тексте трудового договора. Работодатель включил пункт о согласии на обработку ПДн в трудовой договор до 01.09.2025. После этой даты такой документ не соответствует ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156. При проверке РКН выявит нарушение по ч. 2 ст. 13.11 КоАП. Для юрлица — штраф 300 000–700 000 ₽. Стратегия: подписать отдельные согласия у работников в рамках плановой актуализации кадровых документов.

Сценарий 2. Биометрия СКУД без письменного согласия. Компания внедрила систему контроля доступа с распознаванием лиц и не оформила согласия. Работник пожаловался в РКН. Возбуждено дело по ч. 2 ст. 13.11 (обработка без согласия, которое требуется письменно). Штраф для юрлица — до 700 000 ₽, плюс риск по ч. 16 ст. 13.11 за нарушение специальных требований к биометрии. Стратегия: до запуска СКУД — получить письменные согласия по шаблону положения, предусмотреть альтернативный доступ для отказавшихся.

Сценарий 3. Работник уволен, данные не уничтожены. После увольнения работодатель продолжил обрабатывать ПДн из СКУД и маркетинговых рассылок. Работник потребовал уничтожения согласно ч. 2 ст. 9 ФЗ-152 (отзыв согласия). Работодатель не отреагировал в установленный срок. Итог — дело по ч. 5 ст. 13.11 КоАП (невыполнение требования об уничтожении), штраф 50 000–90 000 ₽. Положение, описывающее порядок уничтожения при увольнении, снижает этот риск до нуля.

Если HR-директор не уверен, что согласия в компании соответствуют ФЗ-156 — у юристов DATUM есть чек-лист для самопроверки. Аудит ОРД HR-департамента занимает 5–7 рабочих дней и выявляет все уязвимые точки до проверки РКН.

Заказать аудит 152-ФЗ

Как это применяется на практике

Кейс 1. Производственная компания (Уральский ФО, осень 2025): внедрила СКУД с биометрией без согласий работников. После жалобы одного из сотрудников РКН возбудил административное дело. HR-директор обратился к юристам за 10 дней до рассмотрения. Была подготовлена позиция: оператор исправил нарушение до вынесения постановления, собрал письменные согласия, утвердил положение. Суд назначил штраф в нижней части диапазона ч. 2 ст. 13.11. Положение о согласиях стало частью ОРД компании.

Кейс 2. IT-компания (Северо-Западный ФО, начало 2026): плановая проверка РКН выявила, что согласия работников на передачу данных в банк для зарплатного проекта оформлены как пункт в анкете кандидата, а не как отдельный документ. Нарушение ч. 1 ст. 9 ФЗ-152 (редакция ФЗ-156). Поскольку компания — малое предприятие без предшествующих нарушений, суд применил ст. 4.1.1 КоАП и заменил штраф по ч. 2 ст. 13.11 на предупреждение. Условие — утвердить положение о согласиях и переподписать документы в течение 30 дней. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Услуги DATUM по теме

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025, обратной силы не имеют — ФЗ-156 не предписывает их переоформление. Однако если согласие включено в текст трудового договора или другого документа, а не оформлено отдельно, оно не соответствует ч. 1 ст. 9 ФЗ-152 в действующей редакции. Такие документы нужно заменить: подписать у работников отдельные согласия по шаблонам положения.

2. Какие данные нельзя запрашивать в анкете кандидата?

Ст. 86 ТК РФ запрещает требовать данные, не связанные с трудовой функцией. Нельзя запрашивать: политические и религиозные взгляды, национальность, состояние здоровья (кроме обязательных медосмотров), информацию о членстве в профсоюзах, семейное положение без производственной необходимости. Все специальные категории ПДн по ст. 10 ФЗ-152 — только с письменного согласия и при наличии законного основания.

3. Можно ли вести видеонаблюдение в офисе?

Видеонаблюдение допустимо при выполнении трёх условий: работники уведомлены об обработке (ст. 18.1 ФЗ-152, локальный акт), зоны наблюдения не захватывают приватные пространства (туалеты, комнаты отдыха), срок хранения записей определён и обоснован. Изображение лица для идентификации личности — биометрические ПДн по ст. 11 ФЗ-152. Если система используется для идентификации — нужно письменное согласие. Если только для охраны периметра без идентификации — согласия достаточно в форме уведомления.

4. Сколько хранить согласия после увольнения?

Срок хранения согласия определяется сроком хранения данных, к которым оно относится. Для большинства кадровых документов — 75 лет (приказы о приёме/увольнении, личные дела). Согласие на операции вне трудовых отношений (СКУД, фото на сайте) — хранится до уничтожения соответствующих данных, но не менее 3 лет на случай споров. Журнал полученных и отозванных согласий ведётся всё время деятельности оператора.

5. Кто является оператором при использовании КЭДО?

Оператором остаётся работодатель. Провайдер КЭДО обрабатывает данные по его поручению (ст. 6 ч. 1 п. 3 ФЗ-152). Это значит: с провайдером должен быть заключён договор поручения обработки с обязательными условиями по ст. 6 ФЗ-152, провайдер не вправе использовать данные в своих целях, ответственность перед работниками и РКН несёт работодатель. При сбое у провайдера — работодатель отвечает за утечку.

6. Что делать, если работник отозвал согласие на биометрию в СКУД?

Обработку биометрических данных нужно прекратить. Работодатель обязан уничтожить данные в разумный срок (в положении рекомендуется указать не более 30 дней). Отзыв согласия не может быть основанием для каких-либо неблагоприятных последствий для работника — ни дисциплинарных взысканий, ни лишения премии. Работнику предоставляется альтернативный способ доступа на объект. Факт уничтожения фиксируется в журнале.

Итог

Положение о согласиях работников — не формальный документ для «галочки», а рабочий инструмент HR-директора: снижает риск штрафа по ч. 2 ст. 13.11 КоАП (до 700 000 ₽), создаёт воспроизводимый процесс получения и хранения согласий, закрывает уязвимости при проверке РКН. После 01.09.2025 без этого документа каждый факт обработки ПДн вне трудового договора — потенциальное нарушение.

Практика DATUM сопровождает HR-департаменты при разработке ОРД по 152-ФЗ, включая положения о согласиях, шаблоны для СКУД, КЭДО и зарплатных проектов. Аудит HR-документов — от 100 000 ₽, срок — 5–7 рабочих дней.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции ФЗ-156, КЭДО, биометрия в СКУД, сопровождение проверок РКН в HR-департаментах.

24 февраля 2028 года