инструкция 14 января 2028 По состоянию на 14 января 2028

Отдельное согласие на передачу ПДн третьим лицам после 01.09.2025

С 01.09.2025 согласие работника на обработку персональных данных оформляется исключительно отдельным документом — не частью трудового договора, анкеты или политики конфиденциальности.

Основание — ФЗ-156 от 24.06.2025, изменивший ч. 1 ст. 9 ФЗ-152. Нарушение реквизитного состава согласия влечёт штраф по ч. 2 ст. 13.11 КоАП до 700 000 ₽ за каждый случай, повторно — до 1 500 000 ₽.

Если вы HRD и согласия работников ещё встроены в трудовой договор — каждый такой документ создаёт отдельный состав нарушения. → Разберём порядок переоформления по шагам.

ФЗ-156 не предусматривает обратной силы: согласия, полученные до 01.09.2025, не требуют принудительного переоформления. Но любое новое согласие — при приёме, переводе, смене зарплатного банка, подключении к КЭДО, установке биометрии СКУД — обязано соответствовать новым требованиям. Эта инструкция охватывает все типовые ситуации HR-департамента: личное дело, КЭДО, зарплатный проект, взаимодействие с рекрутинговыми агентствами и увольнение.

Что изменилось в ст. 9 ФЗ-152 с 01.09.2025?

До ФЗ-156 согласие на обработку ПДн допускалось включать в текст трудового договора или иного документа. Суды и РКН принимали такую практику при наличии минимального набора реквизитов. С 01.09.2025 это невозможно: согласие существует только как самостоятельный документ.

«Ст. 9 ФЗ-152 (ред. ФЗ-156 от 24.06.2025) — согласие субъекта персональных данных должно быть оформлено в виде отдельного документа. Включение согласия в текст иного документа не допускается.»

Обязательные реквизиты согласия остались прежними, но теперь каждый из них обязателен именно в отдельном документе. Состав по ст. 9 ФЗ-152: фамилия, имя, отчество и контактные данные субъекта; наименование и реквизиты оператора; цель обработки; перечень персональных данных; перечень действий с данными; срок действия согласия или условия его прекращения; способ отзыва.

Для передачи ПДн третьим лицам — зарплатному банку, страховой компании, рекрутинговому агентству, образовательной организации — согласие включает дополнительно: наименование третьего лица (или перечень), цель передачи и перечень передаваемых данных. Если третьих лиц несколько, допустимо одно согласие со списком — или отдельное на каждого.

Шаг 1. Проведите инвентаризацию действующих оснований обработки

Составьте реестр: для каких операций обработки ПДн работников вы сейчас используете согласие, а для каких — иное основание (ст. 6 ФЗ-152). Не всё требует согласия. Передача данных в ПФР, ФНС, ФСС осуществляется на основании закона — согласие здесь избыточно и не добавляет защиты оператору.

Согласие нужно там, где нет законного основания: передача данных зарплатному банку сверх минимума, необходимого для исполнения договора; передача страховщику ДМС; направление резюме в кадровое агентство; использование фото работника в корпоративных материалах; биометрия в СКУД; рассылки работникам через внешние сервисы.

Составьте таблицу: операция — основание — тип документа — дата последнего получения. Это покажет, где согласия уже есть в правильной форме, а где надо переоформить при следующем случае.

Шаг 2. Разработайте шаблоны согласий под каждый тип передачи

Один шаблон на все случаи не работает: у зарплатного банка иная цель, чем у страховщика. Для HR-департамента типовые шаблоны охватывают не менее шести направлений.

Зарплатный проект. Цель — перечисление заработной платы. Данные: ФИО, паспорт, ИНН, банковские реквизиты. Третье лицо — конкретный банк с указанием наименования и ИНН.
ДМС / страхование жизни. Цель — оформление страховки. Данные: ФИО, дата рождения, паспорт, при необходимости — состояние здоровья (спецкатегория по ст. 10 ФЗ-152, письменное согласие обязательно вне зависимости от формата).
Кадровое агентство / рекрутинг. Цель — поиск работы, передача резюме. Применяется при аутстаффинге или рекомендательных программах.
КЭДО. Если оператором КЭДО-платформы выступает третье лицо — необходимо поручение обработки по п. 3 ст. 6 ФЗ-152 плюс согласие работника на использование системы, если данные выходят за рамки поручения.
Биометрия СКУД. Отдельное письменное согласие по ст. 11 ФЗ-152. Отдельный документ — не часть согласия на обработку иных ПДн.
Публикация фото и данных работника. Согласие по ст. 10.1 ФЗ-152 на распространение данных — самостоятельный документ с правом субъекта ограничить условия распространения.

Согласия работников ещё в трудовом договоре?

Если шаблоны HR-документов не обновлялись после 01.09.2025, каждое новое согласие нарушает ч. 1 ст. 9 ФЗ-152 — это основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽. Срок устранения не восстанавливается: нарушение фиксируется на дату подписания документа.

Юристы DATUM разработают комплект шаблонов согласий для HR-департамента и проведут аудит действующих документов по чек-листу из 38 пунктов.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Включите обязательные реквизиты в каждый шаблон

Проверьте каждый шаблон согласия по следующему перечню. Отсутствие любого из пунктов — дефектное согласие, которое РКН квалифицирует как обработку без надлежащего согласия.

Обязательные реквизиты согласия по ст. 9 ФЗ-152

Фамилия, имя, отчество субъекта и контактные данные (телефон или email)
Наименование оператора (юридическое лицо — полное наименование, ИНН; физическое лицо — ФИО, адрес)
Цель обработки персональных данных — конкретная, не общая формулировка
Перечень персональных данных (каждая категория поимённо)
Перечень действий с данными (сбор, хранение, передача, уничтожение — по необходимости)
Срок действия согласия или условие его прекращения (например, расторжение трудового договора)
Способ отзыва согласия (адрес, форма, порядок)
Для передачи третьим лицам: наименование третьего лица, цель передачи, перечень передаваемых данных

Подпись работника — собственноручная или усиленная квалифицированная электронная подпись (УКЭП). При использовании КЭДО для подписания согласий — убедитесь, что платформа поддерживает УКЭП: простая ЭП для согласий на обработку ПДн недостаточна по позиции РКН.

Шаг 4. Выстройте процедуру получения согласий при приёме на работу

Согласие получают до начала обработки данных — то есть до передачи сведений зарплатному банку, страховщику или иному третьему лицу. Распространённая ошибка: данные уже переданы в банк для открытия карты, а согласие подписано через неделю.

Последовательность при приёме: (1) предложить работнику перечень третьих лиц, которым предполагается передача данных; (2) получить подписанные отдельные согласия до направления каких-либо сведений; (3) зарегистрировать каждое согласие в журнале учёта с датой получения.

Работник вправе отказаться от части согласий. Отказ от согласия на биометрию СКУД или зарплатный проект в конкретном банке не может служить основанием для отказа в приёме на работу — ст. 86 ТК РФ запрещает использование ПДн в целях, не обусловленных трудовой функцией. Предложите альтернативу: иной банк, пропуск без биометрии.

Шаг 5. Настройте хранение и учёт согласий

Согласия хранятся в личном деле работника или в отдельном регистре согласий. При использовании КЭДО — в электронном архиве с подтверждением целостности документа. Срок хранения: не менее срока действия согласия плюс три года для предъявления при проверке РКН; для согласий, связанных с трудовыми отношениями, — ориентир 75 лет по типовым срокам хранения личного дела (ст. 22.2 ТК РФ, перечни архивных документов).

После увольнения работника: согласие на обработку ПДн в целях исполнения трудового договора прекращает действие с даты расторжения договора (если иной срок не указан). Данные уничтожаются по истечении срока, предусмотренного законом или локальным актом. Отдельные категории — расчётные листки, приказы — хранятся по требованиям трудового и архивного законодательства вне зависимости от отзыва согласия.

Как применяется новый порядок в типовых ситуациях HR?

Ситуация 1. Зарплатный проект: смена банка. Компания переходит с одного зарплатного банка на другой. Прежнее согласие содержало наименование старого банка — оно не распространяется на нового получателя. Необходимо новое отдельное согласие с указанием нового банка, цели (перечисление заработной платы) и перечня передаваемых данных. Без этого передача данных в новый банк — нарушение ч. 1 ст. 13.11 КоАП (150 000 — 300 000 ₽). Стратегия: включить получение нового согласия в процедуру уведомления работников о смене банка.

Ситуация 2. КЭДО и третий оператор платформы. Компания подключает КЭДО-платформу стороннего поставщика. Поставщик обрабатывает ПДн работников (ФИО, должность, электронная подпись, документы). Оператор — работодатель, поставщик — лицо, осуществляющее обработку по поручению (п. 3 ст. 6 ФЗ-152). Поручение оформляется договором с перечнем разрешённых действий. Если поставщик собирает данные сверх поручения — нужно отдельное согласие работника на такую обработку. Риск: КЭДО-платформы нередко собирают аналитику, IP-адреса, данные об устройствах — это выходит за рамки стандартного поручения. Проверьте условия договора с платформой.

Ситуация 3. Биометрия СКУД и отказ работника. Работодатель внедряет систему контроля доступа с распознаванием лица. Работник отказался подписывать согласие на обработку биометрии по ст. 11 ФЗ-152. Принудить к подписанию нельзя — это нарушение ст. 86 ТК РФ и ст. 9 ФЗ-152. Уволить или лишить премии за отказ — риск трудового спора и жалобы в РКН. Исход при попытке принуждения: протокол по ч. 2 ст. 13.11 КоАП плюс трудовой спор. Стратегия: предусмотреть альтернативный способ прохода (карта, код), зафиксировать письменно предложение альтернативы и отказ работника.

Если HRD подключает КЭДО или СКУД с биометрией и не уверен в составе согласий — это точка риска. Каждое несоответствие реквизитного состава согласия требованиям ст. 9 ФЗ-152 фиксируется как отдельный состав нарушения при проверке РКН.

Собрать ОРД под ключ

Как выглядит практика применения норм

Кейс 1. В компании Приволжского ФО (осень 2025) плановая проверка РКН выявила, что согласия на передачу данных страховщику ДМС содержались в тексте трудового договора — без выделения в отдельный документ. На дату проверки было трудоустроено около 200 работников. РКН квалифицировал каждое включённое согласие как нарушение ч. 1 ст. 9 ФЗ-152 и возбудил дело по ч. 2 ст. 13.11 КоАП. После представления доказательств оперативного переоформления документов и первичности нарушения рассмотрение завершилось штрафом в нижней части диапазона. Стратегия переоформления до завершения проверки снизила итоговую сумму.

Кейс 2. HR-директор производственного предприятия Уральского ФО (начало 2026) провёл инвентаризацию оснований обработки перед введением СКУД с биометрией. Выяснилось, что согласия на биометрию в существующих шаблонах были совмещены с согласием на обработку общих ПДн. После разделения документов (отдельное согласие по ст. 11 ФЗ-152 для биометрии) и прохождения проверки РКН претензий по этому основанию предъявлено не было. Затраты на разработку шаблонов составили существенно меньше минимального штрафа по ч. 16 ст. 13.11 КоАП.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка всех оснований обработки и реквизитного состава согласий
Комплект ОРД под ключ — шаблоны согласий, политика, приказы, журналы для HR-департамента
DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентской основе

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Нет, обратной силы ФЗ-156 не имеет. Согласия, полученные до 01.09.2025 в правильном реквизитном составе, сохраняют силу до истечения срока или отзыва. Переоформление требуется только при получении новых согласий — при приёме, переводе, смене банка, подключении нового сервиса. Проверьте реквизитный состав действующих согласий: даже если они получены в отдельном документе, но без указания способа отзыва или наименования третьего лица — они дефектны по ст. 9 ФЗ-152 и подлежат замене при следующей операции обработки.

2. Какие данные нельзя спрашивать в анкете при приёме?

Ст. 86 ТК РФ ограничивает обработку ПДн работников целями, непосредственно связанными с трудовой деятельностью. Запрашивать политические взгляды, религиозные убеждения, членство в профсоюзах, данные о состоянии здоровья (кроме случаев обязательного медосмотра), сведения об интимной жизни — нельзя. Ст. 87 ТК РФ обязывает устанавливать порядок обработки ПДн локальным актом. Собирать данные сверх необходимого — нарушение принципа минимизации по ст. 5 ФЗ-152 и основание для штрафа по ч. 1 ст. 13.11 КоАП (150 000 — 300 000 ₽).

3. Можно ли вести видеонаблюдение в офисе?

Видеонаблюдение без распознавания лиц — обработка изображения в режиме реального времени без сохранения биометрических шаблонов. В этом случае по позиции РКН видеозапись может не квалифицироваться как биометрические ПДн при условии, что данные не используются для идентификации конкретного человека. Работников необходимо уведомить о факте наблюдения (ст. 91 ТК РФ) и закрепить порядок наблюдения в локальном акте. Если система сохраняет изображение с привязкой к личности — требуется согласие по ст. 11 ФЗ-152.

4. Сколько хранить согласия после увольнения?

Минимум — три года после прекращения обработки ПДн для возможности предъявить при проверке РКН или судебном споре. Согласия, связанные с личным делом работника, хранятся в составе личного дела — 75 лет для трудовых документов по ст. 22.2 ТК РФ и архивному законодательству. Согласие на биометрию уничтожается одновременно с биометрическими данными после увольнения, если иной срок не установлен локальным актом. Порядок уничтожения фиксируется актом с указанием даты и способа.

5. Кто оператор при использовании КЭДО?

Оператором остаётся работодатель — он определяет цели и состав обработки ПДн работников. Поставщик КЭДО-платформы выступает лицом, осуществляющим обработку по поручению оператора (п. 3 ст. 6 ФЗ-152). Поручение оформляется договором с перечнем разрешённых действий, ответственностью сторон и обязанностью поставщика соблюдать конфиденциальность. Если поставщик самостоятельно определяет цели обработки — он становится самостоятельным оператором и несёт ответственность наравне с работодателем. Проверьте договор с платформой: отсутствие поручения — нарушение ст. 6 ФЗ-152.

6. Можно ли получить согласие работника через КЭДО простой электронной подписью?

По действующей позиции регуляторов согласие на обработку ПДн должно однозначно идентифицировать субъекта и подтверждать его волеизъявление. Простая ЭП (смс-код, логин/пароль) не обеспечивает необходимого уровня идентификации для целей ст. 9 ФЗ-152. Для согласий в КЭДО используйте УКЭП или НЭП с сертификатом, выданным аккредитованным удостоверяющим центром. Для биометрии по ст. 11 ФЗ-152 письменная форма обязательна — это УКЭП или собственноручная подпись.

Итог

С 01.09.2025 отдельный документ — единственно допустимая форма согласия на обработку ПДн. Для HR-департамента это означает пересмотр всех шаблонов: от анкеты кандидата до документов при увольнении. Каждое дефектное согласие — самостоятельный состав нарушения по ч. 2 ст. 13.11 КоАП с диапазоном штрафа до 700 000 ₽, а при повторности — до 1 500 000 ₽.

DATUM сопровождает HR-департаменты в разработке комплектов согласий, аудите действующих документов и подготовке к проверкам РКН по направлению трудовых ПДн.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах.

14 января 2028 года