инструкция 14 апреля 2028 По состоянию на 14 апреля 2028

Патенты на работу: ПДн и хранение

Патент на работу — это документ, содержащий персональные данные иностранного гражданина. Работодатель, который принимает патентника, автоматически становится оператором ПДн со всеми вытекающими обязанностями по ст. 6 и ст. 9 152-ФЗ.

С 30.05.2025 за нарушение правил хранения ПДн грозит штраф до 700 000 ₽ по ч. 2 ст. 13.11 КоАП. Хранение копий патентов без надлежащего правового основания — прямой риск протокола Роскомнадзора.

Если вы HRD и у вас в компании есть сотрудники на патентах — проверьте согласия, порядок хранения и сроки уничтожения прямо сейчас. → Ниже пошаговый разбор.

Приём иностранных граждан на работу по патентам создаёт для HR-директора двойную нагрузку: миграционное законодательство и требования 152-ФЗ о персональных данных пересекаются в одном пакете документов. С 01.09.2025 согласие на обработку ПДн стало отдельным документом по ФЗ-156. Это изменило требования к оформлению личных дел патентников. Инструкция описывает шесть последовательных шагов — от получения согласия до уничтожения данных после увольнения.

Шаг 1. Определите правовое основание обработки данных патентника

Работодатель обрабатывает данные патентника минимум по двум основаниям одновременно. Первое — исполнение трудового договора (п. 5 ч. 1 ст. 6 152-ФЗ): ФИО, паспортные данные, ИНН, СНИЛС, адрес регистрации. Эти данные можно обрабатывать без отдельного согласия, поскольку они необходимы для заключения и исполнения договора.

Второе основание — выполнение законодательно возложенных обязанностей (п. 2 ч. 1 ст. 6 152-ФЗ): уведомление МВД о приёме на работу, отчисление налогов, подача в ФНС сведений о доходах. Для этих операций согласие также не нужно — закон прямо обязывает работодателя передавать данные в государственные органы.

Отдельное согласие потребуется только для действий, выходящих за рамки договора и закона: хранение биометрии для СКУД, передача данных в кадровые агентства, использование фото в корпоративных материалах. С 01.09.2025 (ФЗ-156) такое согласие оформляется строго отдельным документом, не совмещённым с трудовым договором.

«Ст. 6 152-ФЗ устанавливает 11 правовых оснований обработки ПДн. Отсутствие хотя бы одного применимого основания для каждой операции с данными — состав ч. 1 ст. 13.11 КоАП (штраф 150 000–300 000 ₽ для юрлица).»

Шаг 2. Оформите согласие на обработку ПДн в соответствии с требованиями ФЗ-156

С 01.09.2025 согласие работника на обработку ПДн — это отдельный документ. Включать его текст в трудовой договор, анкету или политику конфиденциальности запрещено. Норма распространяется на все новые согласия. Ранее подписанные согласия, включённые в договор, переоформлять не нужно — ФЗ-156 обратной силы не имеет, однако при любом переоформлении документов применяются уже новые требования.

Обязательные реквизиты согласия по ст. 9 152-ФЗ: ФИО субъекта и его контактные данные; наименование и адрес оператора; цель обработки; перечень ПДн; перечень действий с данными; срок действия согласия или условие его прекращения; способ отзыва. Для патентника, не владеющего русским языком, рекомендуется двуязычная форма — суд расценит отсутствие перевода как признак порока воли при оспаривании согласия.

Согласие на обработку биометрических ПДн для СКУД (фото лица, отпечатки пальцев) — отдельный документ от согласия на обработку общих ПДн. Это требование ст. 11 152-ФЗ. Совмещение двух видов согласий в одном документе — нарушение, которое при проверке РКН фиксируется отдельным пунктом.

«Ст. 9 152-ФЗ (в ред. ФЗ-156 от 24.06.2025, вступила в силу 01.09.2025): согласие на обработку ПДн оформляется отдельным документом, не объединяется с иными документами. Отсутствие отдельного документа при обработке ПДн, требующей согласия, — ч. 2 ст. 13.11 КоАП (300 000–700 000 ₽ для юрлица).»

Согласия работников ещё в трудовом договоре?

Если HRD не переоформил согласия на обработку ПДн после 01.09.2025, каждый такой документ создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП — до 700 000 ₽. При повторном нарушении (ч. 2.1) штраф вырастает до 1 500 000 ₽. Срок не восстанавливается: чем дольше нарушение длится, тем больше субъектов затронуто.

Заказать аудит 152-ФЗ

Ответим в течение рабочего дня · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Определите состав данных, которые можно запрашивать у патентника

Ст. 86 ТК РФ прямо ограничивает состав данных, которые работодатель вправе получать от работника: только те, что необходимы для трудовых отношений. Ст. 87 ТК РФ устанавливает требования к порядку хранения и использования ПДн. Запрос сведений о религиозных взглядах, политических убеждениях, членстве в партиях, состоянии здоровья (кроме случаев обязательных медосмотров) — нарушение, которое РКН квалифицирует по ч. 1 ст. 13.11 КоАП.

Применительно к патентнику список законно запрашиваемых данных выглядит так: паспорт иностранного гражданина, патент с отметкой о продлении, миграционная карта, уведомление о постановке на учёт, ИНН (при наличии), документ об образовании (если требуется по должности), сведения о квалификации. Фотография для личного дела — только с письменного согласия.

Ст. 22.2 ТК РФ регулирует электронный документооборот в кадрах (КЭДО). При использовании КЭДО работодатель является оператором ПДн системы. Если КЭДО предоставляет внешний провайдер — обязательно заключение договора-поручения по ст. 6 152-ФЗ с перечислением разрешённых действий с данными.

Шаг 4. Организуйте хранение копий патента и связанных документов

Работодатель обязан снять копию патента при трудоустройстве — это требование миграционного законодательства. Однако хранение этой копии в личном деле создаёт риски по 152-ФЗ: патент содержит биографические данные, серию и номер документа, фотографию, отметки о продлении. Совокупность этих данных требует надлежащей организационной и технической защиты.

Для бумажных носителей — хранение в запираемых шкафах с ограниченным доступом (ч. 1 ст. 19 152-ФЗ). Для электронных копий — разграничение доступа по ролям, журнал обращений к файлам, резервное копирование. Уровень защищённости информационной системы определяется по ПП РФ №1119: при обработке общих ПДн менее 100 000 субъектов без угроз 1-го типа применяется УЗ-4.

Срок хранения личного дела работника — 50 лет для документов, оформленных после 01.01.2003, или 75 лет для более ранних (ст. 22.1 Федерального закона №125-ФЗ об архивном деле). Срок хранения согласия на обработку ПДн — на весь период действия согласия плюс 3 года после его отзыва (для целей доказывания). После истечения срока хранения данные подлежат уничтожению с составлением акта.

«Ст. 19 152-ФЗ обязывает оператора принимать организационные и технические меры защиты ПДн. Несоблюдение условий хранения материальных носителей, повлёкшее неправомерный доступ, — ч. 6 ст. 13.11 КоАП (50 000–100 000 ₽ для юрлица).»

Если в компании более 50 патентников и личные дела хранятся в разрозненных папках без описи и журнала доступа — это основание для штрафа при плановой проверке РКН. На приведение хранения в порядок у вас 10 рабочих дней с момента получения предписания (ст. 20 152-ФЗ). Юристы DATUM соберут ОРД для HR-департамента под ключ.

Собрать ОРД под ключ

Шаг 5. Настройте порядок уничтожения данных при увольнении

После прекращения трудового договора основание для обработки большей части ПДн патентника исчезает. Ст. 21 152-ФЗ обязывает оператора уничтожить или обезличить ПДн, когда цель обработки достигнута или необходимость в ней отпала. Применительно к уволенному сотруднику это означает: данные, не обязательные для хранения по специальным законам (налоговое, трудовое, архивное законодательство), уничтожаются в течение 30 дней после увольнения.

Какие данные остаются: расчётные ведомости (5 лет), трудовой договор (50 или 75 лет в зависимости от даты составления), приказы о приёме и увольнении (50 лет), сведения о доходах для ФНС. Согласие на обработку ПДн для целей, не связанных с трудовым законодательством (например, биометрия СКУД), автоматически теряет силу с момента увольнения — если только в нём не указан иной срок. Биометрические шаблоны из СКУД подлежат немедленному уничтожению.

Факт уничтожения фиксируется актом с указанием перечня уничтоженных документов, метода уничтожения (шредирование, гарантированное удаление с носителя), даты и подписей ответственных. Акт хранится 3 года — как доказательство надлежащего исполнения обязанности.

Шаг 6. Проверьте уведомление в реестре РКН и актуальность политики

Работодатель, обрабатывающий ПДн работников на патентах, обязан быть включён в реестр операторов ПДн (ст. 22 152-ФЗ). Уведомление подаётся до начала обработки через pd.rkn.gov.ru. Если компания уже в реестре, но расширила перечень обрабатываемых данных (например, добавила биометрию СКУД), — подаётся уведомление об изменении сведений. Срок включения в реестр — 30 дней с момента уведомления.

Политика обработки ПДн должна быть размещена на сайте компании (ч. 2 ст. 18.1 152-ФЗ) и отражать фактически выполняемые операции. Если в неё не включены сведения об обработке данных иностранных работников, КЭДО или биометрии СКУД — это нарушение, которое фиксируется при проверке в первую очередь. Отсутствие политики — штраф по ч. 3 ст. 13.11 КоАП (30 000–60 000 ₽), несоответствие содержания — предписание об устранении.

«Ч. 10 ст. 13.11 КоАП (в ред. ФЗ-420 от 30.11.2024): неуведомление или несвоевременное уведомление РКН о намерении обрабатывать ПДн — штраф 100 000–300 000 ₽ для юрлица. Действует с 30.05.2025.»

Типовые ситуации для HR-директора

Ситуация 1. HR-менеджер торговой компании (Приволжский ФО, начало 2026) вставил согласие на обработку ПДн в текст трудового договора для 60 патентников, оформленных до 01.09.2025. При плановой проверке РКН инспектор зафиксировал нарушение ст. 9 152-ФЗ в редакции ФЗ-156. Поскольку договоры заключались до вступления ФЗ-156 в силу, суд применил норму о первичности и назначил штраф в нижней части диапазона ч. 2 ст. 13.11. HR-директор немедленно инициировал переоформление согласий, что суд учёл как смягчающее обстоятельство.

Стратегия: не ждать проверки — переоформить согласия по ст. 9 152-ФЗ самостоятельно, зафиксировать дату и основание переоформления в акте.

Ситуация 2. Производственное предприятие (Уральский ФО, осень 2025) установило СКУД с распознаванием лиц и собрало биометрические шаблоны 120 сотрудников, включая патентников. Отдельное согласие на обработку биометрии не оформлялось — данные собирались по общему согласию в трудовом договоре. При проверке РКН составил протокол по ч. 2 ст. 13.11 (отсутствие письменного согласия на биометрию) и по ч. 16 ст. 13.11 (нарушение требований ст. 11 152-ФЗ к биометрическим ПДн). Совокупный штраф составил сотни тысяч рублей.

Стратегия: биометрия СКУД требует двух отдельных документов — общего согласия и специального согласия на биометрию. Совмещение недопустимо.

Ситуация 3. Компания использовала КЭДО-сервис внешнего провайдера без оформления договора-поручения на обработку ПДн. Провайдер хранил данные в облаке за рубежом. РКН зафиксировал нарушение ч. 5 ст. 18 152-ФЗ (локализация) и отсутствие поручения. Штраф по ч. 8 ст. 13.11 за нарушение локализации составил в диапазоне 1 000 000–6 000 000 ₽.

Стратегия: перед подключением КЭДО-сервиса — проверить страну хранения данных, заключить договор-поручение, убедиться, что данные граждан РФ хранятся на серверах в России.

Что подготовить HR-директору

Отдельные согласия на обработку ПДн по форме ст. 9 152-ФЗ (в редакции ФЗ-156) — для каждого работника, нанятого после 01.09.2025.
Отдельные письменные согласия на обработку биометрических ПДн — для всех, кто использует СКУД с биометрией (ст. 11 152-ФЗ).
Договор-поручение с КЭДО-провайдером с перечнем разрешённых действий с ПДн и подтверждением локализации (ст. 6 152-ФЗ, ч. 5 ст. 18 152-ФЗ).
Акты об уничтожении ПДн уволенных сотрудников за последние 3 года — как доказательство соблюдения ст. 21 152-ФЗ.
Актуальная политика обработки ПДн на сайте с разделами об иностранных работниках и биометрии СКУД (ч. 2 ст. 18.1 152-ФЗ).

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка 38 пунктов HR-блока, отчёт с планом устранения нарушений
Комплект ОРД под ключ — согласия, политика, приказы, регламент уничтожения данных
DPO-аутсорсинг — ответственный за обработку ПДн по ст. 22.1 152-ФЗ на абонентской основе

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, оформленные до 01.09.2025 и включённые в трудовой договор, переоформлять не требуется — ФЗ-156 обратной силы не имеет. Однако при любом новом оформлении или изменении согласия применяются уже новые требования: отдельный документ с обязательными реквизитами по ст. 9 152-ФЗ. Если компания принимает новых работников или пересматривает условия обработки данных существующих — новое согласие должно быть оформлено отдельно.

2. Какие данные нельзя спрашивать в анкете при трудоустройстве?

Ст. 86 ТК РФ запрещает запрашивать данные, не связанные с трудовыми отношениями: сведения о вероисповедании, политических взглядах, членстве в общественных организациях, состоянии здоровья (кроме случаев обязательных предварительных медосмотров), семейном положении (если оно не влияет на условия труда). Запрос таких сведений — нарушение ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽).

3. Можно ли вести видеонаблюдение в офисе?

Видеонаблюдение допустимо, если работники уведомлены об этом в письменной форме (ст. 74 ТК РФ, ст. 9 152-ФЗ). Запись видео с работников — это обработка ПДн. Для использования видеозаписей в целях, выходящих за рамки охраны труда (например, контроль производительности, передача в службу безопасности), требуется отдельное согласие. Использование видео с распознаванием лиц переводит данные в категорию биометрических — это ст. 11 152-ФЗ и обязательное письменное согласие.

4. Сколько хранить согласия после увольнения?

Согласие на обработку ПДн следует хранить на весь период действия плюс 3 года после отзыва или прекращения — для доказывания правомерности обработки в случае спора. Само личное дело хранится 50 лет (для документов после 01.01.2003) или 75 лет (для более ранних) по ФЗ №125 об архивном деле. Согласие на биометрию уничтожается одновременно с биометрическими шаблонами из СКУД — сразу после увольнения.

5. Кто оператор при использовании КЭДО?

Работодатель является оператором ПДн независимо от того, использует ли он собственную систему КЭДО или привлекает внешнего провайдера. Провайдер КЭДО — лицо, осуществляющее обработку по поручению оператора (п. 3 ст. 6 152-ФЗ). Обязательно заключение договора-поручения с перечнем разрешённых действий. Провайдер не отвечает перед РКН самостоятельно — за нарушения отвечает работодатель-оператор.

6. Что делать, если патентник отозвал согласие на обработку ПДн?

Отзыв согласия (ст. 9 152-ФЗ) не прекращает обработку, основанную на других правовых основаниях — договорных или законодательных. Работодатель продолжает хранить данные, необходимые для налоговой отчётности, архивного законодательства и исполнения трудового договора. Уничтожению подлежат только те данные, которые обрабатывались исключительно на основании отозванного согласия. Отзыв фиксируется письменно, дата отзыва — в журнале обращений субъектов.

Итог

Обработка ПДн патентников охватывает несколько пересекающихся правовых режимов: 152-ФЗ, ТК РФ, миграционное законодательство. После 01.09.2025 согласие на обработку ПДн — это отдельный документ, биометрия СКУД требует отдельного согласия по ст. 11 152-ФЗ, а КЭДО через внешнего провайдера без договора-поручения создаёт риск штрафа по ч. 8 ст. 13.11 КоАП за нарушение локализации.

Практика DATUM включает сопровождение HR-департаментов при переоформлении согласий, сборке ОРД под требования ФЗ-156 и подготовке к проверкам РКН по HR-кластеру. Юристы практики консультируют по ст. 86–88 ТК РФ в связке с 152-ФЗ без отрыва от кадрового документооборота.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите ПДн в HR. Специализация — согласия работников по ст. 9 152-ФЗ (ФЗ-156), КЭДО, биометрия СКУД, передача в зарплатных проектах, проверки РКН в HR-департаментах.

14 апреля 2028 года