Перейти к содержанию
инструкция 7 августа 2028 По состоянию на 7 августа 2028

ПДн иностранных работников: особенности

Иностранный работник — субъект ПДн с двойным правовым статусом: его данные защищает и российский ФЗ-152, и законодательство страны гражданства при трансграничной передаче.
С 30.05.2025 за неправомерную обработку ПДн без письменного согласия грозит штраф до 700 тыс. ₽ по ч. 2 ст. 13.11 КоАП, а повторное нарушение — до 1,5 млн ₽. Персональный состав иностранца содержит специальные категории: сведения о гражданстве, статусе пребывания, разрешении на работу.
Если вы HRD и в компании работают иностранные граждане — проверьте согласия, КЭДО и порядок хранения до первой проверки РКН. →

С 01.09.2025 все согласия на обработку ПДн работников оформляются отдельным документом по ФЗ-156 от 24.06.2025. Для иностранных сотрудников это требование критично: их документы содержат сведения о миграционном статусе, биометрические данные (фото в разрешении на работу, отпечатки пальцев в патенте), данные визы — всё это специальные и биометрические категории по ст. 10 и 11 ФЗ-152. Ниже — пошаговый порядок выстраивания обработки ПДн иностранных работников в соответствие с действующими требованиями.

Шаг 1. Определите состав персональных данных иностранного работника

Перечень документов иностранного работника шире, чем у гражданина РФ. В личное дело входят: паспорт иностранного гражданина (содержит национальную принадлежность — специальная категория по ст. 10 ФЗ-152), миграционная карта, уведомление о постановке на учёт, разрешение на работу или патент, полис добровольного медицинского страхования, виза (при необходимости), документы об образовании.

«Ст. 10 ФЗ-152 запрещает обрабатывать данные о расовой и национальной принадлежности, политических и религиозных взглядах, состоянии здоровья без явного правового основания. Гражданство и национальность — сведения этого ряда.»

Именно поэтому работодатель обязан чётко определить цель обработки каждой категории сведений. Сведения о гражданстве нужны для выполнения миграционного законодательства — это основание п. 2 ч. 1 ст. 6 ФЗ-152 (исполнение требований закона). Сведения о здоровье из ДМС-полиса — основание для исполнения условий трудового договора. Смешивать основания и цели нельзя: ст. 5 ФЗ-152 запрещает объединение баз с несовместимыми целями.

Зафиксируйте полный перечень данных и правовые основания обработки в политике обработки ПДн и в матрице соответствия целей и оснований — это первичный документ, который запросит инспектор РКН при проверке.

Шаг 2. Получите отдельное согласие на обработку данных иностранного работника

С 01.09.2025 согласие работника на обработку ПДн, которое раньше включалось в трудовой договор или анкету соискателя, оформляется исключительно отдельным документом (ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156). Для иностранного работника это требование имеет дополнительное измерение: если работник не владеет русским языком, согласие должно быть понятно ему — суды оценивают информированность субъекта.

«Ст. 9 ФЗ-152 устанавливает обязательные реквизиты согласия: наименование оператора, цель обработки, перечень ПДн, перечень действий, срок действия и способ отзыва. Отсутствие хотя бы одного реквизита делает согласие юридически ничтожным.»

Согласие для иностранца дополнительно должно охватывать: обработку сведений о гражданстве и миграционном статусе (если они обрабатываются сверх требований закона), передачу данных в ФМС / МВД в рамках уведомительных обязанностей (это основание закона, согласие не нужно, но лучше прямо исключить из согласия, чтобы не создавать путаницы), обработку биометрии в СКУД — отдельное письменное согласие по ст. 11 ФЗ-152.

Если иностранный работник работает дистанционно по КЭДО — согласие подписывается электронной подписью в системе КЭДО. Оператором обработки ПДн при использовании платформы КЭДО остаётся работодатель, а не провайдер системы: провайдер действует по договору-поручению в соответствии с п. 3 ст. 6 ФЗ-152.

Согласия иностранных работников оформлены до 01.09.2025 в трудовых договорах?

Если HRD не переоформил согласия после 01.09.2025 — каждая старая форма создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 тыс. ₽. Особый риск — согласия, включавшие обработку биометрии СКУД или данных из паспорта иностранного гражданина. Юристы DATUM соберут корректный пакет согласий под требования ФЗ-156 и проведут аудит ОРД HR-департамента.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Настройте трансграничную передачу данных иностранного работника

Трансграничная передача — это передача ПДн на территорию иностранного государства (ст. 12 ФЗ-152). Для иностранных работников она возникает в типовых ситуациях: передача данных головному офису иностранной компании, использование зарубежных HR-систем (SAP SuccessFactors, Workday, Oracle HCM), отправка сведений о работнике в иностранное посольство или консульство, взаимодействие с иностранным пенсионным фондом или социальной службой.

«Ст. 12 ФЗ-152 требует до начала передачи в страну, не входящую в перечень адекватной защиты, уведомить РКН. Перечень стран с адекватной защитой утверждён приказом РКН.»

Если страна назначения входит в перечень адекватной защиты — уведомление РКН о намерении передавать данные подаётся в общем порядке (ст. 22 ФЗ-152). Если страна не входит — требуется отдельное уведомление по ст. 12 с обоснованием оснований передачи и мерами защиты. Штраф за нарушение порядка локализации (ч. 8 ст. 13.11 КоАП) — от 1 до 6 млн ₽. При повторном нарушении — от 6 до 18 млн ₽ (ч. 9 ст. 13.11).

Важное разграничение: ч. 5 ст. 18 ФЗ-152 требует, чтобы первичная запись, систематизация, накопление и хранение ПДн граждан РФ происходили в базах данных на территории России. На ПДн иностранных граждан это требование формально не распространяется, однако если иностранный работник имеет вид на жительство или постоянно проживает в РФ — вопрос требует отдельной правовой оценки.

Шаг 4. Урегулируйте биометрию в СКУД и видеонаблюдение

Системы контроля и управления доступом на основе биометрии (отпечатки пальцев, распознавание лица) обрабатывают биометрические ПДн по ст. 11 ФЗ-152. Для иностранных работников согласие на обработку биометрии в СКУД обязательно — нет исключений, связанных с гражданством. Согласие оформляется письменно и отдельно от иных согласий.

«Ст. 11 ФЗ-152: биометрические ПДн — сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность. Обработка допускается только с письменного согласия субъекта (кроме случаев, прямо установленных законом).»

Видеонаблюдение в офисе само по себе не является обработкой биометрии при условии, что запись ведётся без систем автоматической идентификации личности. В этом случае основание обработки — законный интерес работодателя по обеспечению безопасности (ст. 6 ФЗ-152). Работники должны быть уведомлены о ведении съёмки: в трудовом договоре, правилах внутреннего трудового распорядка или отдельном уведомлении.

Если система видеонаблюдения использует функцию распознавания лиц — это уже биометрия со всеми вытекающими требованиями: письменное согласие, отдельная цель, ограниченный срок хранения. Нарушение требований к обработке биометрии влечёт штраф по ч. 16 ст. 13.11 КоАП.

Если в компании СКУД с биометрией и среди сотрудников — иностранные граждане, проверьте: есть ли отдельные письменные согласия на обработку биометрии для каждого. Срок хранения согласий после увольнения — не менее 3 лет. Юристы DATUM соберут ОРД под ключ за 5 рабочих дней.

Собрать ОРД под ключ

Шаг 5. Организуйте хранение и уничтожение данных после увольнения

Иностранный работник после увольнения остаётся субъектом ПДн, а работодатель сохраняет обязательства оператора. Срок хранения документов из личного дела определяется не ФЗ-152, а требованиями трудового и архивного законодательства: трудовой договор — 75 лет (приказ Росархива); согласия на обработку ПДн — минимум 3 года после прекращения обработки (общий принцип ст. 21 ФЗ-152); миграционные уведомления — не менее 3 лет (требования МВД).

При истечении срока хранения — ПДн подлежат уничтожению или обезличиванию. Уничтожение оформляется актом с указанием перечня уничтоженных документов, даты и способа уничтожения. Если иностранный работник после увольнения направил требование об уничтожении своих ПДн — работодатель обязан рассмотреть его в течение 7 рабочих дней, однако вправе сохранить данные, если это требует закон (хранение трудового договора 75 лет).

Что подготовить до проверки РКН: иностранные работники

  • Отдельные согласия на обработку ПДн по требованиям ст. 9 ФЗ-152 в редакции ФЗ-156 (с 01.09.2025) для каждого иностранного работника, включая дистанционных.
  • Отдельные письменные согласия на биометрию (СКУД) по ст. 11 ФЗ-152 — отдельно от трудового договора и иных согласий.
  • Уведомление РКН о трансграничной передаче данных иностранных работников (если данные передаются за рубеж) по ст. 12 ФЗ-152.
  • Матрица соответствия: цели обработки × правовые основания × категории ПДн иностранных работников с указанием специальных категорий по ст. 10.
  • Акты уничтожения ПДн уволенных иностранных работников с указанием даты и способа уничтожения за последние 3 года.

Как это применяется на практике

Кейс 1. Производственная компания (Уральский ФО, осень 2025) нанимала работников из стран СНГ. HR-директор включил согласие на обработку ПДн в типовой трудовой договор и передавал данные в головной офис в ОАЭ без уведомления РКН. Роскомнадзор выявил нарушение при внеплановой проверке по жалобе уволенного сотрудника. Компании были предъявлены нарушения по ч. 2 ст. 13.11 (согласие не отдельным документом) и ч. 8 ст. 13.11 КоАП (нарушение порядка трансграничной передачи). Совокупный штраф составил несколько миллионов рублей. После подключения юристов компания оспорила часть штрафа по ст. 4.1 КоАП и снизила общую сумму, подтвердив инвестиции в ИБ.

Кейс 2. IT-компания (Центральный ФО, начало 2026) использовала СКУД с распознаванием лиц в московском офисе. Среди сотрудников — граждане Беларуси и Казахстана. Согласия на биометрию были включены в общее согласие на обработку ПДн вместе с иными целями. РКН при плановой проверке квалифицировал это как нарушение требований к составу согласия на биометрию по ст. 11 ФЗ-152. Протокол был составлен по ч. 16 ст. 13.11 КоАП. Компания устранила нарушение до вынесения постановления, что учёл суд при назначении наказания.

Типовые ситуации: что идёт не так

Ситуация 1. КЭДО без договора-поручения с провайдером. Компания перевела иностранных дистанционных работников на КЭДО, но не заключила договор-поручение с оператором КЭДО-платформы. По п. 3 ст. 6 ФЗ-152 поручение обработки третьему лицу требует письменного договора с обязательными условиями о перечне действий, целях и конфиденциальности. Без договора ответственность оператора за действия платформы не снимается. Стратегия: заключить договор-поручение, указать перечень действий с ПДн иностранных работников и требования к защите.

Ситуация 2. Анкета соискателя с избыточными данными. HR-служба включила в анкету соискателя вопросы о вероисповедании, семейном положении и наличии судимостей иностранного гражданина без правового основания. По ст. 86 ТК РФ работодатель вправе обрабатывать только те ПДн, которые необходимы для исполнения трудового договора. Вопросы о вероисповедании — специальная категория без законного основания для сбора в этом контексте. Риск — штраф по ч. 1 ст. 13.11 КоАП до 300 тыс. ₽ и предписание РКН. Стратегия: пересмотреть анкету и исключить все данные, не требующиеся для трудоустройства.

Ситуация 3. Передача данных в иностранное посольство без основания. Работодатель передал сведения об иностранном работнике в посольство его страны по устному запросу. Ст. 6 ФЗ-152 требует наличия правового основания для каждой передачи данных третьим лицам. Передача посольству — трансграничная передача по ст. 12. Без уведомления РКН и без основания в законе — нарушение ч. 8 ст. 13.11 КоАП. Стратегия: передавать данные только на основании требования компетентного органа по российскому законодательству или с отдельного согласия работника.

Услуги DATUM по теме

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025, — не теряют силу автоматически, если они соответствовали требованиям ст. 9 ФЗ-152 на момент подписания. Однако если согласие было включено в трудовой договор, анкету или иной документ — оно не отвечает новому требованию об отдельном документе по ФЗ-156. Для иностранных работников рекомендуется получить новые согласия при первом удобном контакте (очередное уведомление об изменении условий, продление разрешения на работу и т. д.).

2. Какие данные нельзя спрашивать в анкете иностранного соискателя?

По ст. 86 ТК РФ работодатель не вправе запрашивать данные, не необходимые для трудовых отношений. Запрещено требовать сведения о вероисповедании, политических взглядах, национальной принадлежности (если она не определяется документами для миграционного учёта), состоянии здоровья (кроме обязательного медосмотра), судимости (если должность не предполагает ограничения по ст. 351.1 ТК РФ). Нарушение — штраф до 300 тыс. ₽ по ч. 1 ст. 13.11 КоАП.

3. Можно ли вести видеонаблюдение в офисе без согласия иностранных работников?

Видеонаблюдение без функции автоматической идентификации личности — не биометрия. Работодатель вправе его вести на основании законного интереса по обеспечению безопасности, уведомив работников в правилах внутреннего трудового распорядка или трудовом договоре (ст. 22.2 ТК РФ, ст. 86 ТК РФ). Если система распознаёт лица и идентифицирует личность — это биометрия, требующая отдельного письменного согласия по ст. 11 ФЗ-152 независимо от гражданства работника.

4. Сколько хранить согласия после увольнения иностранного работника?

Минимальный срок хранения согласий на обработку ПДн — 3 года после прекращения обработки, что следует из общего принципа ст. 21 ФЗ-152 и сроков давности по ст. 13.11 КоАП. Документы личного дела (трудовой договор, приказы) хранятся 75 лет согласно требованиям архивного законодательства. Миграционные уведомления — не менее 3 лет по требованиям МВД.

5. Кто является оператором при использовании КЭДО с иностранными работниками?

Оператором всегда остаётся работодатель — именно он определяет цели и состав обработки ПДн работников. Провайдер КЭДО-платформы действует как лицо, осуществляющее обработку по поручению, в соответствии с п. 3 ст. 6 ФЗ-152. Это означает обязательное наличие письменного договора-поручения с перечнем допустимых действий с ПДн. Ответственность перед РКН за нарушения при обработке через КЭДО несёт работодатель.

6. Нужно ли уведомлять РКН о передаче данных иностранного работника за рубеж?

Да. Любая передача ПДн в иностранное государство — трансграничная передача по ст. 12 ФЗ-152. Если страна назначения не входит в перечень стран с адекватной защитой, до передачи необходимо уведомить РКН и получить подтверждение. Нарушение порядка трансграничной передачи и локализации влечёт штраф по ч. 8 ст. 13.11 КоАП от 1 до 6 млн ₽.

Итог

Обработка ПДн иностранных работников требует от HR-директора понимания трёх дополнительных уровней регулирования: специальных категорий данных (гражданство, здоровье, биометрия), правил трансграничной передачи и обновлённых требований к согласию после 01.09.2025. Каждый из этих уровней имеет самостоятельный состав нарушения в ст. 13.11 КоАП с штрафами от 300 тыс. до нескольких миллионов рублей.

Практика DATUM по защите персональных данных в HR-отношениях охватывает аудит обработки ПДн иностранных работников, формирование корректного пакета согласий и ОРД, сопровождение взаимодействия с РКН при проверках и инцидентах.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах.

7 августа 2028 года