Перейти к содержанию
инструкция 3 июня 2028 По состоянию на 3 июня 2028

ПДн работников с допуском к гостайне

Работник с допуском к государственной тайне — субъект двух режимов одновременно: ФЗ-152 «О персональных данных» и Закона РФ № 5485-1 «О государственной тайне». Работодатель обрабатывает специальные категории ПДн, сведения о судимостях и биометрические данные — всё это требует отдельных правовых оснований.
С 01.09.2025 согласие на обработку ПДн оформляется отдельным документом (ФЗ-156 от 24.06.2025). Нарушение порядка согласия — штраф до 700 000 ₽ по ч. 2 ст. 13.11 КоАП; утечка кадровых ПДн — до 15 000 000 ₽ по ч. 14.
→ Если вы HRD и ведёте оформление допуска к гостайне — проверьте, соответствует ли каждый шаг актуальным требованиям ФЗ-152.

Оформление допуска к государственной тайне — один из самых объёмных HR-процессов по составу персональных данных. Анкета по форме № 4 содержит сведения о родственниках, поездках за рубеж, судимостях и состоянии здоровья. Всё это либо специальные категории ПДн по ст. 10 ФЗ-152, либо биометрические данные по ст. 11, либо данные третьих лиц. Инструкция описывает шесть последовательных шагов: от правовых оснований до реагирования на запрос субъекта.

Шаг 1. Определите правовые основания обработки ПДн при допуске

Обработка ПДн работника при оформлении допуска к гостайне опирается на несколько правовых оснований одновременно. Основное — исполнение обязанностей работодателя, предусмотренных трудовым законодательством (п. 2 ч. 1 ст. 6 ФЗ-152 в связке со ст. 22.2 ТК РФ и ст. 86 ТК РФ). Оно покрывает обычные кадровые данные: ФИО, паспортные данные, адрес, образование, трудовой стаж.

Специальные категории ПДн — сведения о состоянии здоровья, судимостях, членстве в общественных организациях — по общему правилу запрещены к обработке (ч. 1 ст. 10 ФЗ-152). Исключение для работодателя: письменное согласие работника либо обработка в рамках исполнения международного договора или федерального закона (п. 2 ч. 2 ст. 10). Закон РФ № 5485-1 является таким федеральным законом — он прямо обязывает работодателя собирать сведения, составляющие содержание анкеты.

Данные родственников — третьих лиц — составляют отдельную проблему: работник не вправе давать согласие за третье лицо. Основание для их обработки — тот же Закон о гостайне, поэтому в согласии работника на обработку ПДн третьих лиц указывается ссылка на законодательное основание, а не воля субъекта.

«Ст. 86 ТК РФ запрещает работодателю получать и обрабатывать ПДн работника о его политических, религиозных и иных убеждениях и частной жизни без письменного согласия работника — кроме случаев, прямо предусмотренных федеральным законом.»

Шаг 2. Оформите согласия по требованиям ФЗ-156 (с 01.09.2025)

С 01.09.2025 согласие на обработку персональных данных не может быть включено в текст трудового договора, должностной инструкции, анкеты или любого иного документа. Это требование введено ФЗ-156 от 24.06.2025 и распространяется на все новые согласия, получаемые после этой даты.

Обязательные реквизиты согласия по ст. 9 ФЗ-152: наименование оператора, ФИО и контактные данные субъекта, цель обработки, перечень ПДн, перечень действий с ними, срок действия или условие прекращения, способ отзыва. При оформлении допуска к гостайне согласие потребуется минимум в трёх случаях: обработка специальных категорий ПДн (здоровье, судимости), передача ПДн в ФСБ России и ФСО России в рамках проверочных мероприятий, использование СКУД с биометрическими функциями (если применяется).

Каждое согласие — отдельный документ с собственным перечнем данных и целей. Объединять три основания в один документ допустимо, только если все реквизиты каждого раздела явно разграничены, однако безопаснее разделить на три отдельных листа — это снимает споры при проверке Роскомнадзора.

«Ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025: согласие субъекта оформляется отдельным документом и не объединяется с другими документами, включая договор, политику обработки или форму заявления.»

Согласия работников ещё в трудовых договорах?

Если HRD не переоформил согласия работников после 01.09.2025 — каждый старый документ создаёт основание для штрафа до 700 000 ₽ по ч. 2 ст. 13.11 КоАП. При повторном нарушении — до 1 500 000 ₽ по ч. 2.1. Юристы DATUM соберут пакет согласий по требованиям ФЗ-156 и проведут аудит ОРД HR-департамента с учётом специфики оформления допусков.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Проверьте состав данных в анкете — какие вопросы запрещены

Анкета по форме № 4 (приложение к Инструкции, утверждённой постановлением Правительства РФ № 63 от 06.02.2010) содержит закрытый перечень сведений, обязательных для заполнения. Работодатель не вправе расширять этот перечень в части специальных категорий ПДн без прямого законодательного основания.

Ст. 86 ТК РФ прямо запрещает запрашивать данные о политических, религиозных и иных убеждениях, а также о частной жизни — если это не предусмотрено федеральным законом. Закон о гостайне не обязывает работодателя выяснять религиозные взгляды работника. Если HR включает в анкету или интервью вопросы, выходящие за рамки формы № 4, — это нарушение ст. 87 ТК РФ и ч. 1 ст. 6 ФЗ-152 (избыточность обработки). Штраф по ч. 1 ст. 13.11 КоАП — 150 000–300 000 ₽.

Данные о родственниках обрабатываются строго в составе, предусмотренном формой № 4: степень родства, ФИО, дата и место рождения, место работы. Любые дополнительные сведения о родственниках (паспортные данные, номера телефонов) требуют отдельного правового обоснования или согласия самих родственников как субъектов.

Что подготовить для проверки РКН по HR-направлению

  • Отдельные согласия работников на обработку ПДн в соответствии с ФЗ-156 (не включённые в трудовой договор)
  • Политика обработки ПДн с разделом о кадровом делопроизводстве и основаниях обработки по ст. 86–88 ТК РФ
  • Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152
  • Журнал учёта обращений субъектов с входящими запросами за последние 12 месяцев
  • Договор с оператором КЭДО с поручением на обработку ПДн по п. 3 ч. 1 ст. 6 ФЗ-152

Шаг 4. Урегулируйте КЭДО и биометрию СКУД

Если кадровое электронное документооборот (КЭДО) ведётся через внешнего оператора — работодатель обязан заключить договор поручения на обработку ПДн по п. 3 ч. 1 ст. 6 ФЗ-152. Оператор КЭДО обрабатывает ПДн исключительно по инструкциям работодателя; работодатель отвечает перед субъектом за действия оператора. Типичная ошибка: КЭДО-платформа обрабатывает данные по своей политике — без явного поручения от клиента. Роскомнадзор квалифицирует это как самостоятельную обработку без основания.

Биометрические данные в СКУД — изображение лица или отпечаток пальца для идентификации при проходе — относятся к биометрическим ПДн по ст. 11 ФЗ-152 и требуют письменного согласия работника. Это отдельный документ, а не часть трудового договора или общего согласия на обработку кадровых данных. Работодатель не вправе обусловить трудоустройство предоставлением биометрии — отказ от согласия не является основанием для отказа в приёме на работу.

Дополнительно: если СКУД хранит биометрические шаблоны на сервере стороннего вендора, необходимо проверить локализацию данных по ч. 5 ст. 18 ФЗ-152. Базы данных с биометрией российских граждан должны находиться в инфраструктуре на территории РФ.

Если HRD использует КЭДО-платформу без договора поручения или СКУД с биометрией без отдельного согласия — это два отдельных нарушения. Обе позиции проверяет РКН при плановой и внеплановой проверке. Юристы DATUM проведут аудит и соберут ОРД под ключ с учётом кадровой специфики.

Собрать ОРД под ключ

Шаг 5. Организуйте хранение и уничтожение ПДн после увольнения

Личное дело работника хранится 75 лет согласно перечню типовых управленческих архивных документов. Согласия на обработку ПДн хранятся не менее трёх лет после прекращения обработки — это минимальный срок исковой давности. Анкеты по форме № 4 хранятся в режиме государственной тайны согласно требованиям Закона о гостайне и не подлежат уничтожению по истечении общего срока хранения без санкции органа, выдавшего допуск.

После увольнения работник вправе потребовать уничтожения его ПДн по ч. 2 ст. 21 ФЗ-152. Работодатель обязан уничтожить те данные, для которых отпало законное основание обработки, — и вправе сохранить те, которые обрабатываются по иному основанию (закон, архивное законодательство, исполнение договора). Требование уничтожить данные из формы № 4 не подлежит удовлетворению в части, охраняемой Законом о гостайне.

На ответ субъекту по запросу об обработке его ПДн — 10 рабочих дней с даты обращения (ст. 20 ФЗ-152), с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта. Систематическое игнорирование запросов — штраф по ч. 4 ст. 13.11 КоАП в размере 40 000–80 000 ₽.

Шаг 6. Разграничьте ответственность при утечке кадровых ПДн

Если ПДн работников с допуском к гостайне утекли — оператор обязан уведомить Роскомнадзор в течение 24 часов с момента обнаружения (ч. 3.1 ст. 21 ФЗ-152, Приказ РКН № 187 от 14.11.2022). Через 72 часа — отчёт о результатах внутреннего расследования. Срок не восстанавливается. Неуведомление — штраф 1 000 000–3 000 000 ₽ по ч. 11 ст. 13.11 КоАП.

Размер штрафа за саму утечку зависит от числа пострадавших субъектов: от 1 000 до 10 000 человек — 3 000 000–5 000 000 ₽ (ч. 12 ст. 13.11); от 10 000 до 100 000 — 5 000 000–10 000 000 ₽ (ч. 13); свыше 100 000 — 10 000 000–15 000 000 ₽ (ч. 14). При повторной утечке применяется оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, но не менее 20 000 000 ₽ и не более 500 000 000 ₽.

Уголовная ответственность по ст. 272.1 УК РФ (введена ФЗ-421 от 30.11.2024, действует с 11.12.2024) грозит за незаконное использование, передачу, сбор или хранение компьютерной информации, содержащей ПДн. Для должностных лиц HR-департамента и специалистов по безопасности это прямой уголовный риск при умышленных действиях с кадровыми базами.

Как это работает на практике: два сценария для HR-директора

Сценарий 1. Согласия в трудовых договорах — проверка застала врасплох. Производственное предприятие Уральского ФО (осень 2025) прошло внеплановую проверку РКН после жалобы уволенного работника с допуском третьей формы. Инспекция выявила, что согласие на обработку специальных категорий ПДн (здоровье) включено в типовой трудовой договор, а не оформлено отдельным документом. Помимо этого, договор с оператором КЭДО не содержал поручения на обработку ПДн в надлежащей форме. По итогам проверки составлены два протокола — по ч. 2 и ч. 1 ст. 13.11 КоАП. Штрафы суммарно составили несколько сотен тысяч рублей. HR-директор получил предписание переработать документы в течение 30 дней. Переход на отдельные согласия и дооформление договора поручения были реализованы в установленный срок, что позволило избежать повторного протокола.

Сценарий 2. Утечка кадровой базы через подрядчика. Региональный ОПК-предприятие Центрального ФО (начало 2026) выявило, что база данных сотрудников с отметками о форме допуска и контактными данными оказалась доступна через уязвимость в системе подрядчика, осуществлявшего сопровождение HR-системы. Договор поручения с подрядчиком не содержал требований к техническим мерам защиты. Оператор уведомил РКН в течение 19 часов с момента обнаружения. Суд региона при рассмотрении дела по ч. 12 ст. 13.11 КоАП учёл оперативность уведомления и наличие действующей политики обработки ПДн как смягчающие обстоятельства — штраф составил сумму ниже среднего диапазона. ⚠️ Конкретный номер дела и точная сумма — менеджер уточняет при публикации.

Услуги DATUM по теме

  • Аудит соответствия 152-ФЗ — проверка HR-процессов, согласий и ОРД по чек-листу из 38 пунктов
  • Комплект ОРД под ключ — пакет документов для HR-департамента с учётом ФЗ-156 и специфики допусков
  • DPO-аутсорсинг — ответственный по ст. 22.1 ФЗ-152 на абонентском обслуживании, включая ответы на запросы работников

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025, обратной силы не утрачивают — ФЗ-156 от 24.06.2025 не предусматривает обязательного переоформления ранее выданных согласий. Однако если старое согласие включено в текст трудового договора или иного документа, его юридическая сила под вопросом при проверке: инспектор РКН вправе квалифицировать его как несоответствующее требованиям об отдельном документе применительно к текущей редакции ст. 9 ФЗ-152. Безопаснее переоформить согласия при ближайшем плановом взаимодействии с работником — например, при продлении контракта или изменении условий труда.

2. Какие данные нельзя спрашивать в анкете при допуске?

Ст. 86 ТК РФ запрещает запрашивать данные о политических и религиозных убеждениях, членстве в партиях и общественных организациях — если это не предусмотрено федеральным законом. Закон о гостайне предусматривает закрытый перечень сведений в форме № 4: он не включает вопросы о религии и политических взглядах. Расширение анкеты за пределы формы № 4 в части специальных категорий ПДн квалифицируется как обработка, несовместимая с целью, — нарушение ст. 5 ФЗ-152 и основание для штрафа по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽).

3. Можно ли вести видеонаблюдение в офисе?

Видеонаблюдение в офисе допустимо, если работодатель уведомил работников о факте наблюдения, обозначил цели (контроль трудовой дисциплины, безопасность), разместил соответствующее уведомление на рабочих местах и отразил обработку видеозаписей в политике обработки ПДн. Запись лица в целях биометрической идентификации (не просто наблюдение, а распознавание) требует отдельного письменного согласия по ст. 11 ФЗ-152. Использование видеоданных для целей, не заявленных работнику, нарушает принцип целевого ограничения по ст. 5 ФЗ-152.

4. Сколько хранить согласия после увольнения?

Согласие на обработку ПДн хранится не менее трёх лет после прекращения обработки — этот срок обусловлен общим сроком исковой давности по ГК РФ. Личное дело работника — 75 лет по типовому перечню архивных документов. Анкета по форме № 4, содержащая сведения о допуске к гостайне, хранится в режиме, установленном Законом РФ № 5485-1, и сроки её хранения определяются отдельно. Уничтожать согласие раньше трёхлетнего срока не рекомендуется: при споре с бывшим работником оператор обязан доказать наличие правомерного основания обработки.

5. Кто является оператором при использовании КЭДО?

Оператором ПДн при использовании КЭДО остаётся работодатель — он определяет цели и состав обрабатываемых данных. КЭДО-платформа выступает лицом, осуществляющим обработку по поручению (п. 3 ч. 1 ст. 6 ФЗ-152). Работодатель обязан заключить с платформой договор поручения с исчерпывающим перечнем разрешённых действий, требованиями к защите данных и запретом передачи третьим лицам. Отсутствие такого договора означает, что КЭДО-платформа обрабатывает ПДн без законного основания — и работодатель несёт солидарную ответственность перед субъектом.

6. Что делать, если работник отказывается подписывать согласие на биометрию СКУД?

Отказ работника от согласия на биометрическую идентификацию в СКУД не является нарушением трудовой дисциплины и не может служить основанием для дисциплинарного взыскания или увольнения. Работодатель обязан обеспечить альтернативный способ прохода — магнитная карта, PIN-код, пропуск. Это прямо следует из принципа добровольности согласия по ст. 9 ФЗ-152: обусловливать трудовые отношения предоставлением биометрии запрещено.

Итог

Обработка ПДн работников с допуском к гостайне пересекает три режима: трудовое законодательство (ст. 86–88 ТК РФ), режим государственной тайны (Закон № 5485-1) и общий режим ФЗ-152. Каждый из них определяет свои основания, сроки и порядок обработки. Несоответствие хотя бы одному создаёт самостоятельный состав нарушения по ст. 13.11 КоАП.

Юристы DATUM сопровождают HR-департаменты предприятий с режимными требованиями: проводят аудит кадровых процессов по ФЗ-152, формируют пакет ОРД с учётом специфики допусков, берут на себя функцию ответственного по ст. 22.1 в рамках DPO-аутсорсинга.

Смотрите также

Есть вопрос по ПДн работников с допусками?

Если ваш HR-департамент оформляет допуски к гостайне и вы не уверены в актуальности пакета согласий и ОРД — обратитесь до проверки, а не во время. Юристы DATUM проведут аудит, соберут документы и возьмут на себя функцию DPO по ст. 22.1 ФЗ-152. Практика «Ветров и партнёры» по 152-ФЗ с 2014 года — более 300 операторов сопровождено.

Оценить риски по 152-ФЗ

+7 (383) 310-38-76 · +7 (983) 510-38-76 · Telegram · info@vitveteam.ru

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах.

3 июня 2028 года