Перейти к содержанию
инструкция 27 января 2028 По состоянию на 27 января 2028

ПДн исполнителей по ГПХ

Исполнитель по договору ГПХ — не работник, но его персональные данные оператор обязан обрабатывать по правилам ФЗ-152 в полном объёме.
С 01.09.2025 согласие на обработку ПДн оформляется отдельным документом (ФЗ-156 от 24.06.2025). Нарушение — штраф до 700 000 ₽ по ч. 2 ст. 13.11 КоАП. При повторности — до 1 500 000 ₽.
Если вы HRD и ваша компания привлекает подрядчиков по ГПХ без актуальных согласий — инструкция ниже описывает порядок действий шаг за шагом.

ГПХ-исполнители составляют значительную часть внештатного персонала в средних и крупных компаниях. Трудовые нормы ст. 86–88 ТК РФ к ним не применяются напрямую, но ФЗ-152 распространяется на любую обработку персональных данных физических лиц — независимо от правовой формы отношений. После вступления в силу ФЗ-156 от 24.06.2025 и обновлённой ст. 9 ФЗ-152 HR-департаменту необходимо пересмотреть не только форму согласий для работников, но и весь пакет документов по ГПХ: от анкеты соискателя до порядка уничтожения данных после исполнения договора.

Шаг 1. Определите состав персональных данных, которые вы собираете у исполнителя

Перед тем как собирать данные, зафиксируйте: какие именно ПДн нужны для заключения и исполнения договора ГПХ, а какие — избыточны. Принцип минимизации по ст. 5 ФЗ-152 требует, чтобы объём данных соответствовал цели.

Типовой состав ПДн для ГПХ-исполнителя: ФИО, дата рождения, паспортные данные, ИНН, СНИЛС, банковские реквизиты для выплаты вознаграждения, контактные данные. Если исполнитель является самозанятым — дополнительно требуется ИНН для проверки статуса через сервис ФНС.

Данные, которые нельзя собирать без отдельного основания: сведения о состоянии здоровья, национальности, религиозных убеждениях, судимости. Это специальные категории по ст. 10 ФЗ-152. Исключение — если характер работы объективно требует медицинских допусков (работа с вредными факторами, обслуживание детей).

«Ст. 5 ФЗ-152: обрабатываемые ПДн должны соответствовать заявленным целям по объёму и составу. Избыточные данные не могут быть обработаны под видом "стандартного пакета".»

Зафиксируйте состав данных в матрице обработки — таблице соответствия: категория ПДн — цель — правовое основание — срок хранения. Этот документ понадобится при проверке РКН.

Шаг 2. Оформите согласие исполнителя по требованиям ФЗ-156 с 01.09.2025

С 01.09.2025 согласие на обработку ПДн не может быть встроено в договор ГПХ, оферту или иной документ. Согласие — это отдельный самостоятельный документ с обязательными реквизитами (ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025).

Обязательные реквизиты согласия исполнителя по ГПХ:

  • ФИО исполнителя и его контактные данные;
  • наименование и адрес оператора;
  • цель обработки (заключение и исполнение договора ГПХ, налоговая отчётность, выплата вознаграждения);
  • перечень конкретных ПДн, на обработку которых даётся согласие;
  • перечень действий с ПДн (сбор, запись, хранение, передача в налоговый орган, в банк);
  • срок действия согласия или условие его прекращения;
  • способ отзыва согласия.
«Ст. 9 ФЗ-152 в редакции ФЗ-156: согласие оформляется в виде отдельного документа. Смешение с условиями договора недопустимо. Обратной силы у требования нет: ранее полученные согласия переоформлять не обязательно — если они соответствуют прежней редакции ст. 9.»

Если договор ГПХ заключается через КЭДО — согласие также подписывается в системе электронного документооборота. Оператором ПДн при использовании КЭДО остаётся заказчик (работодатель), а не платформа. Это важно для распределения ответственности.

Если исполнитель отказывается подписывать согласие — заключение договора на тех же условиях возможно только в части, где обработка ПДн обоснована исполнением самого договора по п. 5 ч. 1 ст. 6 ФЗ-152. Для остального (например, рассылки, внутренние коммуникации) обработка без согласия неправомерна.

Согласия исполнителей по ГПХ уже подписаны, но до 2025 года?

Если ваши типовые формы для ГПХ не обновлялись после 01.09.2025, каждый новый договор создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП — до 700 000 ₽. При повторном нарушении — до 1 500 000 ₽. Юристы DATUM проверят ваши формы и приведут их в соответствие с ФЗ-156 в рамках комплекта ОРД.

Собрать ОРД под ключ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Настройте передачу ПДн третьим лицам и поручение обработки

При работе с ГПХ-исполнителями данные неизбежно передаются третьим лицам: в банк для выплаты вознаграждения, в налоговый орган (НДФЛ, страховые взносы при определённом статусе), в пенсионный фонд. Каждая такая передача должна быть отражена в согласии или обоснована отдельным правовым основанием.

Если обработку ПДн ведёт сторонняя платформа (КЭДО, CRM, зарплатная система) — необходимо поручение обработки по п. 3 ч. 1 ст. 6 ФЗ-152. Поручение оформляется отдельным договором или дополнительным соглашением с перечнем действий и требований по защите данных. Ответственность перед субъектом ПДн остаётся у оператора.

«П. 3 ч. 1 ст. 6 ФЗ-152: поручение обработки ПДн третьему лицу допустимо только при наличии письменного договора, в котором определены перечень действий, цели, обязанность по конфиденциальности и требования к защите.»

Типовые ошибки: передача ПДн кадровому агентству без поручения, использование облачной КЭДО-платформы без договора с поставщиком, отправка сканов паспортов по незащищённой электронной почте. Каждый из этих фактов — самостоятельное основание для штрафа по ч. 1 ст. 13.11 КоАП.

Как обрабатывать биометрию и данные СКУД в отношении ГПХ-исполнителей?

Системы контроля и управления доступом (СКУД) с распознаванием лица или сканированием отпечатка пальца обрабатывают биометрические ПДн по ст. 11 ФЗ-152. Это касается всех лиц, получающих доступ в здание, — в том числе подрядчиков по ГПХ.

Для обработки биометрии через СКУД необходимо письменное согласие исполнителя — отдельное от основного согласия на обработку ПДн. В согласии указывается: тип биометрии (изображение лица / отпечаток), конкретная цель (контроль доступа), срок хранения шаблона, порядок удаления данных после прекращения договора.

Если исполнитель отказывается предоставить биометрию — отказать ему в доступе можно только при наличии альтернативы (обычный пропуск, сопровождение). Принуждение к биометрии без альтернативы нарушает ст. 11 ФЗ-152 и ч. 8 ст. 14.8 КоАП.

«Ст. 11 ФЗ-152: биометрические ПДн обрабатываются только с письменного согласия субъекта. Исключения перечислены в ч. 2 ст. 11 и распространяются преимущественно на государственные органы и вопросы безопасности.»

Шаг 4. Определите сроки хранения ПДн исполнителей и порядок их уничтожения

После исполнения договора ГПХ обработка ПДн должна прекратиться — либо данные обезличиваются, либо уничтожаются. Исключение: данные, которые требуется хранить по иному законодательству (налоговое, бухгалтерское).

Минимальные сроки хранения, которые влияют на решение по ГПХ-исполнителям:

  • договор ГПХ и первичные документы к нему — 5 лет по налоговому законодательству;
  • расчётные документы, сведения для начисления НДФЛ — 5 лет (НК РФ ст. 23);
  • согласие на обработку ПДн — рекомендуется хранить в течение срока обработки и не менее 3 лет после её прекращения (срок исковой давности);
  • биометрические шаблоны СКУД — уничтожаются в течение 30 дней после прекращения договора или по требованию субъекта.

Порядок уничтожения закрепляется в регламенте или политике обработки ПДн. Факт уничтожения фиксируется в акте с подписью ответственного сотрудника. Без акта доказать уничтожение при проверке РКН невозможно.

«Ст. 5 ФЗ-152, принцип «не дольше необходимого»: хранение ПДн за пределами установленных сроков — самостоятельное нарушение ст. 13.11 КоАП, отдельное от нарушения при сборе.»

Если HRD уже получил запрос от исполнителя об уничтожении его данных — по ст. 20 ФЗ-152 у вас 10 рабочих дней на ответ. Срок не продлевается без уведомления субъекта. Юристы DATUM оценят ваш пакет документов и подготовят ответ в соответствии с требованиями.

Заказать аудит 152-ФЗ

Шаг 5. Подготовьте ОРД для работы с ГПХ-исполнителями

Роскомнадзор при проверке запрашивает организационно-распорядительную документацию в первую очередь. Для блока ГПХ требуются следующие документы.

Что подготовить HR-директору по ГПХ-исполнителям

  • Форма согласия на обработку ПДн исполнителя (отдельный документ, реквизиты по ст. 9 ФЗ-152 в редакции ФЗ-156);
  • форма согласия на биометрию для СКУД — если применяется;
  • матрица обработки ПДн: категория — цель — основание — срок — получатели;
  • договор-поручение с КЭДО-платформой или иным обработчиком, если ПДн передаются;
  • регламент уничтожения ПДн и форма акта об уничтожении с указанием сроков по категориям.

Эти документы — часть общего пакета ОРД по ст. 18.1 ФЗ-152. Отсутствие политики обработки ПДн в открытом доступе — штраф по ч. 3 ст. 13.11 КоАП (30 000–60 000 ₽). Отсутствие самих документов повышает риск при любой внеплановой проверке.

Если в компании есть штатный ответственный за обработку ПДн по ст. 22.1 ФЗ-152 — он должен быть ознакомлен с актуальными формами. Приказ о назначении и должностная инструкция ответственного — также часть обязательного пакета.

Практика: типовые ситуации HRD при проверке по ГПХ-исполнителям

Ситуация 1. Согласие встроено в договор ГПХ (до 01.09.2025). Компания из Уральского ФО (осень 2025) при плановой проверке РКН предъявила договоры подряда с пунктом о согласии на обработку ПДн внутри основного текста. Инспектор квалифицировал это как нарушение ч. 2 ст. 13.11 КоАП — согласие оформлено не в виде отдельного документа. Штраф составил несколько сотен тысяч рублей; в арбитраже компании удалось снизить санкцию с учётом добровольного устранения нарушения и первичности. Стратегия: переработать шаблоны договоров ГПХ до первого нового соглашения.

Ситуация 2. Биометрия СКУД без письменного согласия. IT-компания (Центральный ФО, весна 2026) допускала в офис ГПХ-исполнителей через турникет с распознаванием лица. Отдельное письменное согласие на биометрию не оформлялось — ссылались на пункт в договоре. При внеплановой проверке по жалобе одного из исполнителей зафиксировано нарушение ст. 11 ФЗ-152. Составлен протокол по соответствующей части ст. 13.11. Стратегия: для всех лиц, чья биометрия обрабатывается через СКУД, — отдельное письменное согласие с указанием типа данных и срока хранения шаблона.

Ситуация 3. Нет поручения с КЭДО-платформой. Логистическая компания (Северо-Западный ФО, лето 2026) использовала облачную КЭДО-систему для подписания договоров с ГПХ-исполнителями, но договор с поставщиком платформы не содержал раздела об обработке ПДн и не соответствовал требованиям п. 3 ч. 1 ст. 6 ФЗ-152. РКН выдал предписание об устранении нарушения в срок 30 дней. Стратегия: до подключения любой внешней платформы к обработке ПДн исполнителей — проверить договор с поставщиком на наличие корректного поручения.

Услуги DATUM по теме

  • Комплект ОРД под ключ — согласия, политика, регламенты, матрица обработки для ГПХ и штата
  • Аудит соответствия 152-ФЗ — проверка форм согласий, поручений, сроков хранения по чек-листу из 38 пунктов
  • DPO-аутсорсинг — ответственный по ст. 22.1 ФЗ-152 на абонентском обслуживании, ответы на запросы субъектов

Частые вопросы

1. Нужно ли переподписывать согласия работников и исполнителей по ГПХ после 01.09.2025?

Ранее полученные согласия, оформленные по правилам, действовавшим до ФЗ-156, юридической силы не утрачивают — закон не имеет обратной силы. Переоформление требуется только для новых согласий, подписываемых после 01.09.2025, а также при перезаключении ранее оформленных документов по иным причинам. При этом, если прежнее согласие было встроено в договор ГПХ, его действительность может быть оспорена — рекомендуется перевести такие согласия на отдельный документ при первой возможности.

2. Какие данные нельзя запрашивать в анкете исполнителя по ГПХ?

Без специального правового основания нельзя запрашивать специальные категории ПДн по ст. 10 ФЗ-152: сведения о состоянии здоровья, расовой или национальной принадлежности, религиозных и политических убеждениях, судимости, интимной жизни. Даже если исполнитель готов их предоставить — обработка без основания нарушает ч. 1 ст. 13.11 КоАП. Исключение: медицинские данные при работах с допускным режимом (вредные условия труда, контакт с несовершеннолетними и т. п.).

3. Можно ли вести видеонаблюдение в офисе, если там работают ГПХ-исполнители?

Видеонаблюдение в помещениях обрабатывает биометрические ПДн (изображение лица) по ст. 11 ФЗ-152 — если запись позволяет идентифицировать конкретного человека. Для исполнителей по ГПХ необходимо письменное согласие или иное правовое основание, допускаемое ч. 2 ст. 11. Кроме того, исполнители должны быть уведомлены о ведении съёмки. Отсутствие уведомления и согласия при идентификации лиц — нарушение ст. 11 ФЗ-152.

4. Сколько хранить согласие на обработку ПДн после завершения договора с исполнителем?

Прямого законодательного срока хранения согласия ФЗ-152 не устанавливает. Практика исходит из общего срока исковой давности — 3 года после прекращения обработки (ст. 196 ГК РФ). Поскольку согласие является доказательством правомерности обработки, его уничтожение до истечения 3 лет с момента прекращения договора создаёт риск при последующей проверке или судебном споре. Рекомендуемый срок хранения — 3 года после уничтожения или обезличивания ПДн исполнителя.

5. Кто является оператором ПДн при использовании КЭДО для подписания договоров с исполнителями?

Оператором остаётся заказчик (работодатель), заключивший договор ГПХ. КЭДО-платформа в этом случае выступает лицом, осуществляющим обработку по поручению (п. 3 ч. 1 ст. 6 ФЗ-152). Без оформленного договора-поручения платформа фактически обрабатывает ПДн без надлежащего правового основания — ответственность при этом несёт оператор. Наличие пользовательского соглашения с платформой не заменяет поручение на обработку ПДн.

6. Что делать, если исполнитель требует удалить все свои данные после окончания договора?

По ст. 20 ФЗ-152 оператор обязан ответить на запрос субъекта в течение 10 рабочих дней. Если данные хранятся по иному закону (НК РФ, бухгалтерское законодательство) — обработку прекратить нельзя до истечения установленного срока, но об этом необходимо уведомить исполнителя в письменной форме с указанием основания. Данные, хранение которых не обязательно, — уничтожить в течение 7 рабочих дней с составлением акта.

Итог

Обработка ПДн исполнителей по ГПХ требует тех же инструментов, что и работа с трудовым персоналом: отдельного согласия по новым требованиям ст. 9 ФЗ-152, корректного поручения при передаче данных в КЭДО или иные платформы, отдельного письменного согласия для биометрии СКУД и регламентированного порядка уничтожения по окончании договора. Нарушение любого из этих элементов образует самостоятельный состав по ст. 13.11 КоАП.

Практика DATUM по сопровождению HR-комплаенса включает разработку форм согласий, матриц обработки и регламентов уничтожения для компаний с активным привлечением подрядчиков по ГПХ — в том числе через КЭДО-платформы.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах. Сопровождение проверок РКН в HR-департаментах.

27 января 2028 года