справочник 14 мая 2027 По состоянию на 14 мая 2027

ПДн работников vs ПДн клиентов: разные режимы

Персональные данные работников и персональные данные клиентов — это две самостоятельные категории субъектов с разными правовыми основаниями обработки, разным объёмом допустимых категорий ПДн и разными последствиями нарушений.

Ст. 86–88 Трудового кодекса накладывают специальные ограничения на обработку ПДн работника; клиентские ПДн обрабатываются преимущественно по ст. 6 и ст. 9 ФЗ-152. С 01.09.2025 согласие в обоих случаях — отдельный документ по ФЗ-156. Смешение режимов — типовое основание для штрафа по ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽).

→ Если вы юрист и разграничиваете режимы в ОРД компании — в этом справочнике ключевые нормы, признаки и критические точки для обеих категорий.

Ошибка большинства операторов — единая политика обработки ПДн, которая не разграничивает режимы для работников и клиентов. В результате нарушается сразу несколько принципов ст. 5 ФЗ-152: обработка выходит за рамки заявленных целей, объём ПДн превышает необходимый, основания смешаны. Разберём ключевые понятия и практические различия по каждому режиму.

Что такое субъект, оператор и обработка ПДн по ст. 3 ФЗ-152?

Персональные данные — любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту). Оператор — организация или физическое лицо, самостоятельно или совместно с другими определяющие цели и содержание обработки. Обработка ПДн по ст. 3 ФЗ-152 — любое действие с данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.

Ключевое следствие для практики: работодатель является оператором ПДн своих работников и обязан соблюдать ФЗ-152 наравне с требованиями ТК. Компания, продающая товары или услуги, — оператор ПДн своих клиентов. Одно юридическое лицо ведёт две отдельные базы с разными целями, основаниями и допустимыми категориями данных.

«Ст. 5 ФЗ-152 — 7 принципов обработки: законность целей, соответствие объёма целям, недопустимость объединения баз с несовместимыми целями, точность данных, хранение не дольше необходимого, уничтожение при достижении цели. Объединение клиентской и кадровой баз — прямое нарушение принципа несовместимости целей.»

Чем режим обработки ПДн работников отличается от режима клиентских ПДн?

Различия затрагивают три ключевых измерения: правовое основание обработки, допустимые категории данных и объём обязательных документов.

Правовое основание. Для работников основным основанием служит исполнение трудового договора (п. 5 ч. 1 ст. 6 ФЗ-152) в совокупности со специальными нормами ст. 86–88 ТК. Согласие работника требуется только в случаях, прямо предусмотренных законом: передача третьим лицам, обработка сведений о состоянии здоровья (кроме случаев, установленных ТК), биометрия для СКУД. Для клиентов основным основанием чаще всего выступает либо согласие по ст. 9 ФЗ-152, либо исполнение договора (п. 5 ч. 1 ст. 6 ФЗ-152), либо законный интерес — в зависимости от конкретной цели обработки.

Категории ПДн. Работодатель по характеру трудовых отношений вынужден обрабатывать сведения о состоянии здоровья (медосмотры, больничные), иногда — о судимостях (допуск к отдельным работам). Это специальные категории ПДн по ст. 10 ФЗ-152, обработка которых допустима строго в пределах исключений п. 2 ст. 10. Клиентские базы, как правило, содержат общие ПДн: ФИО, контакты, история покупок. Специальные категории в клиентских данных — редкость, исключение: медицинские сервисы, страхование.

Документальная база. Для кадрового контура требуется отдельная политика обработки ПДн работников, приказ о назначении ответственного, формы согласий под каждое специальное основание, инструкции по работе с кадровыми ИСПДн. Для клиентского контура — политика конфиденциальности (публичная, на сайте по ч. 2 ст. 18.1 ФЗ-152), формы согласий на рассылки и маркетинг, поручения обработчикам (CRM, колл-центры).

Нужно разграничить режимы в ОРД и снизить риск штрафа?

Если вы юрист и выстраиваете комплаенс по 152-ФЗ, типичная ошибка — единый пакет ОРД на все категории субъектов. Разграничение режимов для работников и клиентов требует отдельных оснований, отдельных политик и отдельных форм согласий. Неправильное смешение — штраф по ч. 1 ст. 13.11 КоАП от 150 000 ₽ при первой проверке РКН.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Как изменились требования к согласию с 01.09.2025 для обоих режимов?

С 01.09.2025 вступили в силу изменения в ч. 1 ст. 9 ФЗ-152 (ФЗ-156 от 24.06.2025): согласие на обработку ПДн оформляется отдельным документом и не может быть включено в трудовой договор, оферту, политику или иной документ иного назначения. Требование распространяется на оба режима — и на работников, и на клиентов.

Для кадрового контура это означает: согласие на передачу ПДн работника третьим лицам (банк для зарплатного проекта, страховая компания) — отдельный документ с реквизитами по ст. 9 ФЗ-152. Включать его в текст трудового договора или дополнительного соглашения с 01.09.2025 нельзя. Ранее выданные согласия, которые были частью трудового договора, юридически продолжают действовать — обратной силы ФЗ-156 не имеет, переоформления не требует. Но новые согласия с 01.09.2025 — только отдельным документом.

Для клиентского контура: галочка в форме регистрации, объединённая с принятием оферты, — нарушение. Согласие на маркетинговые рассылки, на передачу данных партнёрам, на обработку для профилирования — каждое в отдельном поле или документе.

«Ст. 9 ФЗ-152 (в ред. ФЗ-156 от 24.06.2025) — обязательные реквизиты согласия: ФИО субъекта, контактные данные, наименование и адрес оператора, цель обработки, перечень ПДн, перечень действий, срок действия согласия, порядок его отзыва. Без любого из реквизитов согласие ничтожно.»

Какие категории ПДн допустимы в каждом режиме?

Классификация по ст. 3, ст. 10, ст. 11 ФЗ-152 применима к обоим режимам, но состав данных в типовых базах принципиально различается.

Общие ПДн работника: ФИО, дата рождения, адрес, паспортные данные, СНИЛС, ИНН, сведения об образовании и квалификации, трудовой стаж. Основание — ТК и п. 5 ч. 1 ст. 6 ФЗ-152. Согласие, как правило, не требуется.
Специальные категории ПДн работника: Состояние здоровья (медосмотры, больничные), сведения о судимостях (для допуска к работе с детьми, оружием и т. д.). Обработка — строго в рамках исключений п. 2 ст. 10 ФЗ-152. Для передачи третьим лицам вне этих исключений — письменное согласие.
Биометрические ПДн работника: Используются в СКУД (отпечаток пальца, изображение лица). По ст. 11 ФЗ-152 — только с письменного согласия, за исключением случаев, предусмотренных законом (уголовный процесс, оперативно-розыскная деятельность и т. д.).
Общие ПДн клиента: ФИО, email, телефон, адрес доставки, история заказов, cookie-идентификаторы. Основание — согласие (ст. 9 ФЗ-152) или договор (п. 5 ч. 1 ст. 6 ФЗ-152). Для cookie — отдельный баннер согласия по позиции РКН.
Специальные категории ПДн клиента: В стандартной торговле и сервисе — отсутствуют. В медицине, страховании, финтехе — состояние здоровья, страховые события. Требуют отдельного письменного согласия по ч. 1 ст. 10 ФЗ-152.

Если в вашей компании единая политика ОРД без разграничения кадровых и клиентских баз — это готовое основание для штрафа по ч. 1 ст. 13.11 КоАП. Юристы DATUM соберут раздельные пакеты документов под каждый режим в срок до 30 дней.

Собрать ОРД под ключ

Типовые ситуации: когда смешение режимов создаёт риск

Ситуация 1. Единая CRM для работников и клиентов. Компания ведёт в одной системе базу сотрудников (кадровый учёт) и базу клиентов (заказы, контакты). Цели несовместимы по ст. 5 ФЗ-152 — принцип недопустимости объединения нарушен. При проверке РКН фиксирует нарушение ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽). Стратегия: разделить базы технически и организационно, прописать разные цели в уведомлении по ст. 22 ФЗ-152.

Ситуация 2. Согласие на ПДн — в трудовом договоре после 01.09.2025. Работодатель после 01.09.2025 продолжает включать согласие на передачу ПДн в зарплатный банк в текст трудового договора. Согласие недействительно по ч. 1 ст. 9 ФЗ-152 в ред. ФЗ-156. Риск — штраф по ч. 2 ст. 13.11 КоАП (300–700 тыс. ₽): обработка без надлежащего согласия. Стратегия: подготовить отдельную форму согласия с реквизитами ст. 9; до передачи данных в банк — подписать у работника.

Ситуация 3. Политика конфиденциальности не различает работников и клиентов. Публичная политика на сайте охватывает «всех субъектов». При проверке РКН выясняет, что кадровые ПДн обрабатываются на основаниях, не указанных в политике. Нарушение ч. 2 ст. 18.1 ФЗ-152 — штраф по ч. 3 ст. 13.11 КоАП (30–60 тыс. ₽) дополнительно к нарушению оснований. Стратегия: разработать отдельную политику обработки ПДн работников (внутренний документ) и политику конфиденциальности для клиентов (публичная).

Что проверить юристу при аудите двух режимов

Кадровые и клиентские ПДн хранятся в технически разделённых базах с несовместимыми целями по ст. 5 ФЗ-152
Согласия после 01.09.2025 оформлены отдельными документами с обязательными реквизитами ст. 9 ФЗ-152
Специальные категории ПДн работников (здоровье, судимость) обрабатываются строго по исключениям п. 2 ст. 10 ФЗ-152
В уведомлении РКН по ст. 22 ФЗ-152 указаны раздельные цели для кадровых и клиентских баз
Публичная политика и внутренняя политика для работников — два разных документа

Кейс 1. Юридическая служба производственной компании (Уральский ФО, весна 2026) провела внутренний аудит перед плановой проверкой РКН. Выявлено: согласия работников на передачу ПДн в страховую компанию включены в текст трудового договора (нарушение ФЗ-156). До проверки все согласия переоформлены отдельными документами, уведомление в РКН актуализировано. Проверка завершилась без штрафов — нарушение устранено до её начала.

Кейс 2. Розничная сеть (Центральный ФО, лето 2025) объединила кадровую и клиентскую базы в единой CRM. РКН при внеплановой проверке зафиксировал нарушение принципа несовместимости целей (ст. 5 ФЗ-152) и отсутствие раздельных оснований обработки. Назначен штраф по ч. 1 ст. 13.11 КоАП в диапазоне до 300 тыс. ₽. Разделение баз и обновление ОРД заняло три недели.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка двух режимов обработки по чек-листу из 38 пунктов
Комплект ОРД под ключ — раздельные пакеты для кадровых и клиентских ПДн
DPO-аутсорсинг — ведение функции ответственного по ст. 22.1 ФЗ-152

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

Обработка ПДн — любое действие с данными субъекта: сбор, запись, систематизация, накопление, хранение, уточнение, использование, передача, обезличивание, блокирование, удаление, уничтожение (ст. 3 ФЗ-152). Даже просмотр анкеты кандидата без её сохранения формально является действием с ПДн. Хранение бумажных личных дел тоже обработка — только неавтоматизированная.

2. На основании чего можно обрабатывать ПДн?

Ст. 6 ФЗ-152 содержит 11 оснований. Для работников ключевые — исполнение трудового договора (п. 5) и обязанности работодателя по законодательству (п. 2). Для клиентов — согласие (п. 1) или исполнение договора купли-продажи, оказания услуг (п. 5). Согласие — не единственное основание; выбор зависит от конкретной цели обработки.

3. Что грозит за нарушение 152-ФЗ?

Административная ответственность по ст. 13.11 КоАП (в редакции с 30.05.2025) — от 30 тыс. ₽ (отсутствие политики по ч. 3) до 500 млн ₽ оборотного штрафа при повторной утечке (ч. 15). За незаконное использование ПДн с применением компьютерных систем — уголовная ответственность по ст. 272.1 УК РФ (действует с 11.12.2024), до 10 лет лишения свободы по ч. 5.

4. Нужно ли уведомлять РКН малому бизнесу?

Да, с исключениями. Ст. 22 ФЗ-152 обязывает уведомить РКН до начала обработки ПДн. Исключения — обработка ПДн работников в целях трудового договора, разовые договоры с физлицами без передачи третьим лицам и ещё несколько случаев по ч. 2 ст. 22. Малый бизнес, ведущий клиентскую CRM или e-mail рассылки, под исключение обычно не подпадает.

5. С какого возраста нужно согласие на ПДн?

По общему правилу — с 18 лет (полная дееспособность по ГК). Для несовершеннолетних до 18 лет согласие дают родители или законные представители. Специального возрастного порога в ФЗ-152 нет, но при обработке ПДн детей до 14 лет согласие исключительно от законного представителя; от 14 до 18 лет — с согласия представителя в силу ограниченной дееспособности.

Итог

ПДн работников и ПДн клиентов — два отдельных правовых режима с разными основаниями по ст. 6 ФЗ-152, разным составом допустимых категорий (ст. 10, ст. 11 ФЗ-152) и разной документальной базой. Смешение режимов нарушает принцип несовместимости целей (ст. 5 ФЗ-152) и создаёт риск штрафа по ч. 1 ст. 13.11 КоАП от 150 тыс. ₽.

DATUM сопровождает аудиты обработки ПДн с разграничением кадрового и клиентского контуров, формирует раздельные пакеты ОРД и готовит согласия в соответствии с требованиями ФЗ-156 от 24.06.2025.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите ПДн в HR. Специализация — согласия работников по ст. 9 152-ФЗ (ред. ФЗ-156), КЭДО, биометрия в СКУД, передача в зарплатных проектах, проверки РКН в HR-департаментах.

14 мая 2027 года