Перейти к содержанию
инструкция 7 июня 2027 По состоянию на 7 июня 2027

ПДн госслужащих в коммерческих компаниях

Госслужащий, перешедший в коммерческую структуру, остаётся субъектом ПДн по ФЗ-152 — но обрабатывать его данные сложнее: часть сведений охраняется отдельными законами о государственной службе.
С 01.09.2025 согласие на обработку ПДн должно быть отдельным документом (ФЗ-156). Нарушение этого требования — штраф до 700 000 ₽ по ч. 2 ст. 13.11 КоАП за каждого работника.
Если вы HRD и в штате есть бывшие (или действующие совместители из) государственные служащие — проверьте согласия, КЭДО и биометрию СКУД по этой инструкции.

Коммерческие компании нанимают бывших чиновников, военных, сотрудников госкорпораций. Ряд работников совмещает гражданскую службу с деятельностью в частном секторе. В обоих случаях HR-департамент получает особую категорию субъектов: часть сведений об их прошлой или нынешней службе охраняется нормами о государственной тайне, служебной тайне или специальным законодательством о противодействии коррупции. При этом ФЗ-152 продолжает действовать в полном объёме. Ниже — пошаговый порядок работы с ПДн таких работников.

Шаг 1. Определите, кто перед вами: бывший или действующий госслужащий?

Прежде чем собирать данные, HR-директор обязан установить правовой статус кандидата или работника. От этого зависит объём допустимой обработки.

Бывший госслужащий — лицо, уволенное с гражданской, военной или муниципальной службы. Специальных ограничений по ФЗ-152 нет, однако остаётся обязанность соблюдать требования о противодействии коррупции: в течение двух лет после увольнения работодатель обязан уведомлять прежнее место службы о заключении трудового договора (ст. 12 ФЗ-273 «О противодействии коррупции»). Для уведомления нужны персональные данные — должность на госслужбе, наименование органа, дата увольнения. Основание обработки этих данных — исполнение требований закона (п. 2 ч. 1 ст. 6 ФЗ-152), согласие не требуется.

Действующий совместитель — лицо, продолжающее занимать государственную должность и одновременно работающее у вас по совместительству (разрешено в ограниченных случаях). Здесь объём запрашиваемых ПДн строго ограничен: вы вправе запросить только то, что необходимо для исполнения трудового договора (ст. 86 ТК РФ).

«Ст. 86 ТК РФ устанавливает: работодатель обрабатывает ПДн работника исключительно в целях обеспечения соблюдения законов, содействия в трудоустройстве и исполнения трудового договора. Данные о политических взглядах, религиозных убеждениях и членстве в общественных объединениях без письменного согласия работника не обрабатываются.»

Шаг 2. Какие данные запрашивать при приёме на работу — и каких избегать?

При приёме бывшего госслужащего допустимо собирать стандартный набор: паспортные данные, ИНН, СНИЛС, сведения об образовании и трудовой книжке. Данные, связанные непосредственно со службой, делятся на два потока.

Обрабатывать законно: должность на последнем месте службы, наименование органа, дата увольнения — для выполнения обязанности по антикоррупционному уведомлению. Основание — п. 2 ч. 1 ст. 6 ФЗ-152 (исполнение обязанности, возложенной законом).

Нельзя запрашивать без письменного согласия: сведения о допуске к государственной тайне, персональные данные о родственниках (даже если анкета госслужащего их содержит), медицинские сведения из профессиональных медосмотров на госслужбе, сведения о доходах и имуществе за период службы — они составляют часть личного дела государственного органа и не передаются работодателю автоматически.

Отдельное внимание — анкеты. Многие компании копируют форму анкеты госслужащего (форма утверждена распоряжением Правительства РФ). В ней содержатся вопросы о родственниках, гражданстве, пребывании за рубежом. Если вы используете такую форму без адаптации, вы собираете данные, выходящие за пределы целей обработки по ст. 5 ФЗ-152, — это нарушение ч. 1 ст. 13.11 КоАП, штраф до 300 000 ₽.

«Ст. 87 ТК РФ: порядок хранения и использования ПДн работников устанавливается работодателем в локальном нормативном акте с учётом требований ТК РФ и иных федеральных законов.»

Согласия работников ещё не в отдельном документе?

С 01.09.2025 согласие на обработку ПДн не может быть частью трудового договора, анкеты или политики (ФЗ-156). Если HRD не переоформил пакет документов — каждое согласие создаёт основание для штрафа до 700 000 ₽ по ч. 2 ст. 13.11 КоАП. Срок не восстанавливается: нарушение фиксируется в момент проверки РКН.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Оформите согласие по требованиям ФЗ-156 — отдельным документом

С 01.09.2025 согласие на обработку ПДн работника должно быть оформлено отдельным документом — не вшито в трудовой договор, не объединено с политикой конфиденциальности или анкетой (ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025). Ранее полученные согласия переоформлять не требуется — обратной силы нет, — но все согласия, подписанные после 01.09.2025, должны соответствовать новым требованиям.

Обязательные реквизиты согласия по ст. 9 ФЗ-152: ФИО субъекта, его контактные данные; наименование оператора; цель обработки; перечень ПДн; перечень действий (сбор, запись, хранение, передача и т. д.); срок действия согласия или условие его прекращения; способ отзыва.

Для работника-бывшего госслужащего в согласии отдельно прописывается цель «исполнение обязанности по уведомлению о трудоустройстве по ст. 12 ФЗ-273» — если вы планируете передавать данные в государственный орган. Это отдельная цель, отличная от «исполнения трудового договора»: смешивать их в одном согласии нельзя по ст. 5 ФЗ-152 (принцип совместимости целей).

Если работник отказывается подписывать согласие на передачу данных в орган прежней службы — это не повод для отказа в трудоустройстве. Обязанность направить уведомление лежит на работодателе и основана на законе (п. 2 ч. 1 ст. 6 ФЗ-152), а не на согласии.

Шаг 4. Проверьте КЭДО — кто оператор и как оформлено поручение обработки?

Если компания ведёт кадровый электронный документооборот через внешнюю платформу (1С, HRlink, СБИС и другие), возникает вопрос о разграничении ролей оператора и лица, осуществляющего обработку по поручению (ст. 6 ч. 3, ст. 3 ФЗ-152). Оператором остаётся работодатель; платформа — обработчик по поручению.

Поручение на обработку оформляется в виде договора или его части. Обязательное условие — перечень действий, которые вправе совершать обработчик, и требование соблюдать конфиденциальность (п. 3 ст. 6 ФЗ-152). Если поручения нет или оно не содержит перечня действий, ответственность за все действия платформы с ПДн несёт работодатель.

Для бывшего госслужащего в КЭДО могут попасть документы с упоминанием прежнего места службы: справки, трудовая книжка, уведомления. Платформа-обработчик не вправе использовать эти данные для собственных целей. Проверьте пользовательское соглашение с КЭДО-оператором: если там предусмотрена аналитика или обезличенная передача данных третьим лицам — это нарушает условия поручения и создаёт риск по ч. 1 ст. 13.11 КоАП.

Что подготовить для работы с ПДн госслужащих

  • Отдельное согласие на обработку ПДн по ст. 9 ФЗ-152 в редакции ФЗ-156 (не в трудовом договоре)
  • Локальный акт об обработке ПДн работников с перечнем категорий и целей — на основе ст. 87 ТК РФ и ст. 18.1 ФЗ-152
  • Договор-поручение с КЭДО-платформой с перечнем разрешённых действий и запретом на самостоятельное использование данных
  • Шаблон уведомления по ст. 12 ФЗ-273 для бывших госслужащих с описанием состава передаваемых ПДн
  • Журнал учёта согласий и отзывов с отметками о дате подписания (для подтверждения перехода на новые формы после 01.09.2025)

Шаг 5. Биометрия СКУД и видеонаблюдение: что допустимо?

Системы контроля и управления доступом (СКУД) на основе отпечатков пальцев или распознавания лица обрабатывают биометрические ПДн по ст. 11 ФЗ-152. Для работников, в том числе бывших госслужащих, требуется письменное согласие. Исключений по статусу бывшего чиновника нет.

Если работник отказывается давать биометрию для СКУД — работодатель обязан предоставить альтернативный способ доступа (пропуск, PIN-код). Отказ от согласия на биометрию не может быть основанием для дисциплинарного взыскания или увольнения.

Видеонаблюдение в офисе — обработка изображения, которое по позиции РКН относится к биометрическим ПДн при использовании для идентификации. Работники должны быть уведомлены об установке камер до начала работы: уведомление включается в локальный акт или трудовой договор. Согласие на видеонаблюдение для целей безопасности — отдельный документ с 01.09.2025 при наличии систем распознавания лиц. Без распознавания — достаточно уведомления в локальном акте.

Особого регулирования для бывших госслужащих в части СКУД нет. Но если в СКУД фиксируется должность предыдущего места работы (государственный орган, воинская часть), это порождает дополнительную цель обработки — убедитесь, что она отражена в согласии и локальном акте.

Если в компании биометрический СКУД и нет отдельных согласий на биометрию по ст. 11 ФЗ-152 — штраф по ч. 16 ст. 13.11 КоАП. Переоформить документы до проверки РКН: 10 рабочих дней — срок ответа субъекту по запросу, а вот срока на самоисправление у оператора нет.

Собрать ОРД под ключ

Как применяется инструкция на практике

Кейс 1. Производственная компания Сибирского ФО (осень 2025) приняла на должность директора по безопасности бывшего сотрудника федерального ведомства. HR-директор включил согласие на обработку ПДн в трудовой договор — до 01.09.2025 это было распространённой практикой. При плановой проверке РКН (начало 2026) инспектор зафиксировал нарушение: согласие оформлено не отдельным документом, цели «уведомление по ст. 12 ФЗ-273» и «исполнение трудового договора» объединены. Компания получила предписание и протокол по ч. 2 ст. 13.11 КоАП. Юристы оспорили протокол, представив доказательства, что согласие подписано до 01.09.2025. Штраф не был назначен, однако компания была обязана переоформить документы.

Кейс 2. IT-интегратор Центрального ФО (начало 2026) использовал КЭДО-платформу без оформленного договора-поручения. Работник — бывший муниципальный служащий — потребовал уточнения своих данных по ст. 21 ФЗ-152. Ответ не был дан в 10 рабочих дней. Работник подал жалобу в РКН; возбуждено дело по ч. 4 ст. 13.11 КоАП (невыполнение обязанности предоставить информацию субъекту) — штраф до 80 000 ₽. Дополнительно выявлено отсутствие договора-поручения с КЭДО-платформой — второй протокол по ч. 1 ст. 13.11. HR-директор был признан должностным лицом по обоим нарушениям.

Типовые ситуации для HRD

Ситуация 1 — Работник требует уничтожить данные после увольнения. Бывший госслужащий уволен из компании и направил требование уничтожить все его ПДн. Работодатель не вправе выполнить требование в полном объёме: личное дело хранится 75 лет по архивному законодательству, налоговые документы — 5 лет, документы для ПФР — по установленным срокам. Стратегия: направить письменный ответ в 10 рабочих дней с обоснованием оснований хранения по каждой категории данных; уничтожить только те данные, для которых срок хранения истёк или которые были получены исключительно на основании согласия.

Ситуация 2 — Уведомление по ст. 12 ФЗ-273 не направлено вовремя. Компания забыла направить уведомление о трудоустройстве бывшего госслужащего в течение 10 дней после заключения договора. Это административное правонарушение по ст. 19.29 КоАП (от 20 000 до 500 000 ₽ для юрлица), не по ст. 13.11. ПДн-риск здесь иной: для направления просроченного уведомления всё равно потребуются данные о прежнем месте службы. Если их нет в личном деле — придётся запрашивать у работника дополнительно с новым согласием.

Ситуация 3 — КЭДО и передача данных за рубеж. КЭДО-платформа хранит данные на серверах за рубежом. Данные работников, включая бывших госслужащих, — это ПДн граждан РФ, которые по ч. 5 ст. 18 ФЗ-152 обязаны первично обрабатываться в базах на территории РФ. Нарушение локализации — штраф до 6 000 000 ₽ по ч. 8 ст. 13.11 КоАП. Стратегия: проверить договор с КЭДО-платформой на предмет местонахождения серверов; при обнаружении зарубежного хранения — потребовать перенос или сменить платформу.

Услуги DATUM по теме

  • Аудит соответствия 152-ФЗ — проверка согласий, КЭДО и ОРД HR-департамента по чек-листу из 38 пунктов
  • Комплект ОРД под ключ — разработка пакета документов: политика, согласия, приказы, журналы учёта обращений
  • DPO-аутсорсинг — абонентское ведение функции ответственного за обработку ПДн по ст. 22.1 ФЗ-152

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Нет — если согласие было подписано до 01.09.2025 и соответствовало требованиям ст. 9 ФЗ-152 на тот момент. ФЗ-156 не имеет обратной силы. Переподписание требуется для согласий, которые оформляются с 01.09.2025: они должны быть отдельным документом, не объединённым с трудовым договором, анкетой или политикой конфиденциальности. Если прежние согласия изначально не содержали обязательных реквизитов по ст. 9 — их рекомендуется переоформить вне зависимости от даты.

2. Какие данные нельзя спрашивать в анкете при приёме бывшего госслужащего?

Без письменного согласия нельзя запрашивать данные о родственниках (помимо установленных законом случаев), сведения о допуске к государственной тайне, политических и религиозных взглядах (ст. 10 ФЗ-152, ст. 86 ТК РФ), а также информацию о доходах и имуществе за период службы. Анкеты, скопированные с формы госслужащего, как правило, содержат запросы сверх допустимого объёма — их необходимо адаптировать до использования.

3. Можно ли вести видеонаблюдение в офисе без согласия работников?

Наблюдение без систем распознавания лиц допустимо при уведомлении работников в локальном акте или трудовом договоре — согласие в этом случае не требуется, так как обработка изображения без идентификации не является биометрической по позиции РКН. Если используется система распознавания лиц — обработка квалифицируется как биометрическая по ст. 11 ФЗ-152, и с 01.09.2025 требуется отдельное письменное согласие каждого работника.

4. Сколько хранить согласия после увольнения работника?

Согласие на обработку ПДн как документ является частью личного дела работника и хранится 75 лет по архивным требованиям (для большинства кадровых документов). Само согласие прекращает действие при достижении целей обработки или по истечении срока, указанного в документе. После увольнения ПДн, обработанные исключительно на основании согласия (например, данные о хобби для корпоративной базы), подлежат уничтожению по ст. 21 ФЗ-152. Документ о согласии при этом хранится как подтверждение законности ранее проводившейся обработки.

5. Кто является оператором ПДн при использовании КЭДО?

Оператором остаётся работодатель — он определяет цели и состав обрабатываемых ПДн. КЭДО-платформа действует как обработчик по поручению в соответствии с п. 3 ст. 6 ФЗ-152. Поручение должно быть оформлено договором с явным перечнем разрешённых действий. Если платформа использует данные в собственных целях (аналитика, передача третьим лицам) без указания в договоре — она становится самостоятельным оператором, что порождает риск ответственности для обеих сторон по ч. 1 ст. 13.11 КоАП.

Итог

Обработка ПДн бывших и действующих госслужащих в коммерческой компании требует точного разграничения оснований: часть данных обрабатывается по закону (антикоррупционное уведомление), часть — исключительно с отдельного согласия по новым требованиям ФЗ-156. Ошибки в оформлении согласий, анкетах и договорах с КЭДО-платформами создают реальные риски штрафов по ч. 1, ч. 2, ч. 4 и ч. 8 ст. 13.11 КоАП — от 80 000 до 6 000 000 ₽ за одно нарушение.

Юристы DATUM сопровождают HR-департаменты при переходе на отдельные согласия по ФЗ-156, проверке договоров с КЭДО-платформами и подготовке ОРД для работников с особым статусом.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025, обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах.

7 июня 2027 года