Перейти к содержанию
инструкция 28 января 2028 По состоянию на 28 января 2028

ПДн дистанционных работников по ст. 312.1 ТК

Персональные данные дистанционного работника обрабатываются по общим правилам ФЗ-152 и специальным нормам ст. 86–88 ТК РФ — дистанционный формат не отменяет ни одного требования.
С 01.09.2025 согласие работника на обработку ПДн оформляется отдельным документом (ФЗ-156 от 24.06.2025). Встроить его в трудовой договор или КЭДО-соглашение больше нельзя. Нарушение влечёт штраф до 700 000 ₽ по ч. 2 ст. 13.11 КоАП.
→ Если вы HRD и у вас дистанционные сотрудники с согласиями в трудовом договоре — читайте эту инструкцию: шаг за шагом разберём, что исправить и какие документы собрать.

Дистанционный формат создаёт специфическую правовую конфигурацию: работодатель обрабатывает ПДн работника через КЭДО, корпоративные мессенджеры, системы учёта рабочего времени и иногда СКУД с биометрией — при этом физически работник находится вне офиса. Ст. 312.1 ТК РФ регулирует саму дистанционную занятость, а ст. 86–88 ТК и ФЗ-152 — то, как обрабатываются данные такого работника. В 2025–2026 годах изменились требования к согласиям, к локализации и к порядку работы с КЭДО. Ниже — практический порядок действий для HR-директора.

Шаг 1. Проверьте правовые основания обработки ПДн дистанционного работника

Основное правовое основание обработки ПДн работника — исполнение трудового договора (п. 5 ч. 1 ст. 6 ФЗ-152, ст. 86 ТК РФ). Согласие для этого не нужно. Работодатель вправе обрабатывать те данные, которые необходимы для исполнения трудовых обязанностей: ФИО, должность, табельный номер, банковские реквизиты для зарплаты, адрес для направления корреспонденции.

Согласие требуется отдельно и только тогда, когда обработка выходит за рамки трудового договора. Типичные ситуации для дистанционных работников:

  • передача ПДн в зарплатный банк третьей стороны;
  • размещение фото работника на корпоративном сайте или в рекламных материалах (ст. 10.1 ФЗ-152 — отдельное согласие на распространение);
  • обработка биометрических данных через СКУД или системы видеонаблюдения с идентификацией лица (ст. 11 ФЗ-152);
  • передача ПДн в учебные центры, страховые компании, НПФ для корпоративных программ.
«Ст. 86 ТК РФ устанавливает: работодатель вправе обрабатывать только те ПДн, которые необходимы для исполнения трудового договора, соблюдения законодательства и обеспечения безопасности работника. Запрашивать данные о политических взглядах, вероисповедании и личной жизни без согласия самого работника — запрещено.»

Для дистанционного работника принципиально проверить: не запрашиваются ли избыточные данные при приёме на работу — например, сведения о членах семьи вне рамок льгот, данные о судимости без законного основания, сведения о состоянии здоровья вне медосмотра.

Согласия работников оформлены в трудовом договоре?

После 01.09.2025 такая форма согласия не соответствует ФЗ-156. Каждый документ, в котором согласие встроено в договор или политику, создаёт риск штрафа по ч. 2 ст. 13.11 КоАП — до 700 000 ₽ за каждый факт. Срок переоформления уже идёт: у РКН есть инструмент проверки через индикаторы риска.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 2. Оформите отдельное согласие работника по требованиям ФЗ-156

С 01.09.2025 согласие на обработку ПДн — это самостоятельный документ. Его нельзя объединять с трудовым договором, дополнительным соглашением к нему, КЭДО-соглашением или политикой конфиденциальности. Это требование ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025.

Обязательные реквизиты согласия работника (ст. 9 ФЗ-152):

  • ФИО и контактные данные субъекта (работника);
  • наименование и адрес работодателя-оператора;
  • цель обработки — конкретная, не «в целях трудовой деятельности» без детализации;
  • перечень персональных данных, на обработку которых даётся согласие;
  • перечень действий с ПДн (сбор, хранение, передача, уничтожение);
  • срок действия согласия или указание на то, что оно действует до отзыва;
  • способ отзыва согласия — конкретный, доступный работнику.
«Ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156): согласие субъекта персональных данных должно быть оформлено в виде отдельного документа — не как часть иного договора или соглашения. Смешанный документ не будет признан надлежащим согласием.»

Для дистанционного работника важно учитывать: согласие можно подписать через КЭДО с усиленной квалифицированной электронной подписью (УКЭП) или усиленной неквалифицированной (УНЭП) — если это прямо предусмотрено в соглашении об использовании КЭДО (ст. 22.2 ТК РФ). Простая электронная подпись для согласия на обработку специальных категорий ПДн и биометрии не подходит — там требуется письменная форма по ст. 10 и ст. 11 ФЗ-152.

Ранее полученные согласия, встроенные в трудовой договор, обратной силы ФЗ-156 не имеют — переоформлять их не обязательно, но рекомендуется при ближайшем взаимодействии с работником. Новые трудовые договоры с 01.09.2025 должны содержать согласие только в виде отдельного документа.

Шаг 3. Проверьте КЭДО как канал обработки ПДн

Кадровый электронный документооборот (КЭДО) сам по себе является информационной системой персональных данных (ИСПДн). Работодатель как оператор обязан определить уровень защищённости этой системы по ПП РФ №1119 и обеспечить соответствующие меры защиты по Приказу ФСТЭК №21.

Три ключевых вопроса для проверки КЭДО:

  • Кто оператор? Если КЭДО — внешняя платформа (1С:Кабинет сотрудника, СБИС, Контур и т. д.), работодатель остаётся оператором, а провайдер КЭДО — лицом, осуществляющим обработку по поручению (п. 3 ст. 6 ФЗ-152). Поручение должно быть оформлено договором с перечнем допустимых действий с ПДн.
  • Где хранятся данные? Первичный сбор, систематизация и хранение ПДн граждан РФ — только в базах на территории РФ (ч. 5 ст. 18 ФЗ-152). Если КЭДО-провайдер использует облачную инфраструктуру за рубежом — это нарушение локализации, ч. 8 ст. 13.11 КоАП, штраф 1–6 млн ₽.
  • Есть ли журнал доступа? Работодатель обязан обеспечить контроль доступа к ПДн работников. Выгрузки кадровых данных без оснований — нарушение ст. 19 ФЗ-152.
«Ст. 22.2 ТК РФ устанавливает требования к КЭДО, включая виды электронных подписей для разных документов. Для согласия на обработку ПДн — минимум УНЭП, для кадровых приказов, связанных с прекращением трудового договора, — УКЭП работника и работодателя.»

Шаг 4. Разберитесь с биометрией СКУД и видеонаблюдением

Биометрические персональные данные — это сведения, которые характеризуют физиологические и биологические особенности человека и позволяют установить его личность (ст. 11 ФЗ-152). Изображение лица в системе СКУД с функцией идентификации — биометрия. Фотография в личном деле без автоматической идентификации — нет.

Для дистанционных работников вопрос СКУД возникает, когда они периодически появляются в офисе или на объектах. Обработка биометрии через СКУД допустима только при наличии отдельного письменного согласия работника (ст. 11 ФЗ-152). Хранить биометрию вне Единой биометрической системы (ЕБС) для задач СКУД разрешено — ЕБС обязательна только для финансовых и государственных услуг (ФЗ-572).

Видеонаблюдение в офисе само по себе не является обработкой биометрии, если запись не используется для автоматической идентификации лиц. Работодатель обязан уведомить работников о наличии видеонаблюдения (ст. 86 ТК РФ) и отразить это в локальных актах — в правилах внутреннего трудового распорядка или отдельном положении.

«Ст. 11 ФЗ-152: биометрические ПДн обрабатываются только с письменного согласия субъекта. Исключения — случаи, прямо предусмотренные законом (оперативно-разыскная деятельность, уголовное судопроизводство и т. д.). Трудовые отношения к исключениям не относятся.»

Если HRD планирует внедрить СКУД с идентификацией лица для дистанционных работников, приезжающих в офис, — потребуются отдельные письменные согласия на биометрию и специальная ИСПДн. Без этого — штраф по ч. 16 ст. 13.11 КоАП. Юристы DATUM подготовят полный пакет документов.

Собрать ОРД под ключ

Шаг 5. Подготовьте ОРД: обязательный перечень документов

Организационно-распорядительная документация (ОРД) — это то, что инспектор РКН проверяет в первую очередь. Для HR-направления с дистанционными работниками минимальный пакет включает:

Что подготовить HRD для соответствия 152-ФЗ по дистанционным работникам

  • Политика обработки персональных данных — опубликована на сайте, содержит все обязательные разделы по ч. 2 ст. 18.1 ФЗ-152, включает категории работников как субъектов.
  • Отдельные согласия работников на обработку ПДн по новой форме (ст. 9 ФЗ-152 в ред. ФЗ-156) — для каждого основания, выходящего за рамки трудового договора.
  • Приказ о назначении ответственного за организацию обработки ПДн (ст. 22.1 ФЗ-152) — с указанием конкретного лица и его обязанностей.
  • Договор-поручение с провайдером КЭДО — с перечнем допустимых действий с ПДн (п. 3 ст. 6 ФЗ-152).
  • Журнал учёта обращений субъектов ПДн — с фиксацией запросов и ответов в сроки по ст. 20 ФЗ-152 (10 рабочих дней).

Дополнительно для компаний с биометрией СКУД: отдельное письменное согласие на биометрию, регламент работы СКУД, уведомление в реестре РКН о соответствующей цели обработки (ст. 22 ФЗ-152).

Типовые ситуации: как работает право на практике

Ситуация 1. Дистанционный работник требует уничтожить его данные после увольнения. Работодатель обязан уничтожить данные, обработка которых больше не нужна — те, что обрабатывались только на основании согласия. Но личное дело работника хранится 75 лет (для принятых на работу после 2003 года — 50 лет) согласно Приказу Росархива. Трудовой договор и кадровые документы — не уничтожаются по требованию работника, поскольку обрабатываются на основании закона, а не согласия. Работодатель вправе и обязан объяснить работнику разницу между этими основаниями.

Ситуация 2. КЭДО-провайдер хранит данные в облаке в Европе. Это нарушение ч. 5 ст. 18 ФЗ-152 — требование локализации. Штраф по ч. 8 ст. 13.11 КоАП составляет от 1 до 6 млн ₽, при повторном нарушении — от 6 до 18 млн ₽ (ч. 9 ст. 13.11). Стратегия: немедленно запросить у провайдера подтверждение расположения серверов, при необходимости — расторгнуть договор или настоять на переносе данных в РФ. Пока данные хранятся за рубежом — нарушение длящееся.

Ситуация 3. При приёме дистанционного работника анкета содержала вопросы о состоянии здоровья без медицинских оснований. Обработка специальных категорий ПДн (ст. 10 ФЗ-152) без оснований — нарушение ч. 1 ст. 13.11 КоАП, штраф 150 000–300 000 ₽. Кроме того, ст. 86 ТК РФ прямо запрещает запрашивать у работника данные о состоянии здоровья, не связанные с профессиональными требованиями или льготами. Рекомендация: проверить анкету кандидата и убрать все поля, не имеющие прямой связи с выполнением трудовых обязанностей.

Как это применяется на практике

Кейс 1. IT-компания (Центральный ФО, осень 2025) перешла на КЭДО с провайдером, который хранил данные в немецком дата-центре. При плановой проверке РКН выявил нарушение локализации по ч. 5 ст. 18 ФЗ-152. HR-директор не знал о расположении серверов, поскольку в договоре с провайдером этот вопрос не был закреплён. Компания получила предписание и штраф в диапазоне нескольких миллионов рублей. Провайдер перенёс данные в российский дата-центр в течение 30 дней; предписание исполнено. Вывод: договор-поручение с провайдером КЭДО должен содержать явное условие о локализации.

Кейс 2. Розничная сеть (Уральский ФО, начало 2026) провела аудит согласий дистанционных работников после вступления ФЗ-156 в силу. Оказалось, что 340 из 410 действующих согласий были встроены в трудовые договоры. HR-директор организовал переподписание через КЭДО с УНЭП в течение 6 недель — до плановой проверки РКН. Проверка прошла без замечаний по этому основанию. Вывод: заблаговременная инвентаризация согласий — дешевле переоформления под давлением проверки.

Услуги DATUM по теме

  • Аудит соответствия 152-ФЗ — проверка ОРД HR-департамента, согласий и КЭДО по чек-листу из 38 пунктов.
  • Комплект ОРД под ключ — политика, согласия, приказы, регламент реагирования для дистанционных работников.
  • DPO-аутсорсинг — ответственный по ст. 22.1 ФЗ-152 на абонентском обслуживании, включая ответы на запросы работников.

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, оформленные до 01.09.2025 в составе трудового договора, юридически остаются в силе — ФЗ-156 обратной силы не имеет. Переподписывать их в обязательном порядке закон не требует. Однако при любом взаимодействии с работником, при котором возникает повод переоформить документ, — рекомендуется выдать согласие отдельным документом. Новые трудовые договоры с 01.09.2025 должны сопровождаться только отдельным согласием: совмещённый документ нарушает ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156.

2. Какие данные нельзя спрашивать в анкете кандидата?

Ст. 86 ТК РФ запрещает запрашивать данные о политических, религиозных и иных убеждениях, членстве в партиях и профсоюзах, а также о состоянии здоровья, не связанном с профессиональными требованиями или льготами. На практике в анкеты нередко включают вопросы о хронических заболеваниях, семейном положении детей, судимости без законного основания. Каждый такой вопрос — потенциальное нарушение ст. 10 ФЗ-152 (специальные категории) и ч. 1 ст. 13.11 КоАП. Анкету следует проверить и привести к минимально необходимому составу.

3. Можно ли вести видеонаблюдение в офисе без согласия работников?

Видеонаблюдение без функции автоматической идентификации лиц — не обработка биометрических ПДн. Согласие работников не требуется, однако работодатель обязан уведомить их о наличии видеонаблюдения (ст. 86 ТК РФ) и отразить это в локальных актах — например, в правилах внутреннего трудового распорядка. Если система видеонаблюдения использует автоматическую идентификацию — это уже биометрия по ст. 11 ФЗ-152, и требуется письменное согласие каждого работника.

4. Сколько хранить согласия после увольнения работника?

Срок хранения зависит от типа документа. Личное дело работника, принятого на работу после 2003 года, хранится 50 лет (Приказ Росархива №236 от 20.12.2019), принятого до 2003 года — 75 лет. Согласие на обработку ПДн — часть личного дела, срок хранения аналогичен. Согласие на биометрию рекомендуется хранить на весь срок возможного предъявления претензий — минимум 3 года с момента окончания обработки. После истечения срока хранения документы уничтожаются по акту.

5. Кто является оператором ПДн при использовании КЭДО?

Оператором всегда остаётся работодатель — он определяет цели и состав обрабатываемых ПДн работников. Провайдер КЭДО (внешняя платформа) — лицо, осуществляющее обработку по поручению оператора (п. 3 ст. 6 ФЗ-152). Это означает: договор с провайдером обязан содержать перечень допустимых действий с ПДн, требование о конфиденциальности и условие о локализации данных в РФ. Если провайдер допустит утечку — отвечает перед РКН работодатель-оператор.

6. Что делать, если дистанционный работник отзывает согласие на передачу ПДн в банк по зарплатному проекту?

Отзыв согласия — право работника по ст. 9 ФЗ-152. Работодатель обязан прекратить обработку ПДн по этому основанию. Однако передача данных в банк для перечисления зарплаты может быть переведена на другое правовое основание — исполнение договора (п. 5 ч. 1 ст. 6 ФЗ-152), если работник указал реквизиты конкретного банка в заявлении. Если работник одновременно меняет банк — новое согласие оформляется отдельным документом по правилам ФЗ-156. Срок ответа на запрос работника — 10 рабочих дней (ст. 20 ФЗ-152).

Итог

ПДн дистанционных работников обрабатываются по общим правилам ФЗ-152 и ст. 86–88 ТК РФ. Специфика — в каналах (КЭДО, мессенджеры, СКУД), которые создают дополнительные точки риска: локализация данных провайдера, корректность согласий после 01.09.2025, биометрия при периодических визитах в офис. Каждый из этих рисков проверяем и устраним при системной работе с ОРД.

Практика DATUM по HR-направлению охватывает инвентаризацию согласий, проверку договоров с КЭДО-провайдерами, подготовку к проверкам РКН по индикаторам риска HR-кластера. Опыт — с 2014 года в сети «Ветров и партнёры».

Есть вопросы по ПДн дистанционных работников или запрос от РКН?

Если HRD получил запрос РКН или планирует внедрение КЭДО — у вас 10 рабочих дней на ответ субъекту (ст. 20 ФЗ-152) и 30 дней на подачу уведомления при новых целях обработки (ст. 22 ФЗ-152). Юристы DATUM с практикой по 152-ФЗ с 2014 года проведут аудит HR-ОРД, переоформят согласия и возьмут на себя взаимодействие с РКН. Более 300 операторов сопровождено.

Оценить риски по 152-ФЗ

+7 (383) 310-38-76 · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах. Сопровождение проверок РКН в HR-департаментах.

28 января 2028 года