инструкция 18 февраля 2027 По состоянию на 18 февраля 2027

ПДн руководителей высшего звена

Персональные данные директоров, вице-президентов и членов совета директоров — это такие же ПДн по ст. 3 ФЗ-152, как данные рядовых сотрудников.

С 01.09.2025 согласие любого работника, включая CEO, оформляется отдельным документом по ФЗ-156 от 24.06.2025. Нарушение — штраф до 700 000 ₽ по ч. 2 ст. 13.11 КоАП за каждого субъекта.

→ Если HRD ещё не переоформил согласия топ-менеджмента после 01.09.2025 — каждый старый документ создаёт отдельное основание для протокола.

Руководители высшего звена нередко воспринимаются как «особая категория» внутри компании — с расширенным объёмом данных в личном деле, биометрией в СКУД, доступом к КЭДО. При этом требования ФЗ-152 к обработке их персональных данных не снижаются, а в ряде случаев ужесточаются: публичность должности не отменяет необходимости получить согласие, а биометрические данные требуют письменного согласия независимо от уровня иерархии.

Шаг 1. Определите, какие данные вы обрабатываете

Для директора или члена правления HR-департамент, как правило, собирает больше данных, чем для линейного сотрудника. Стандартный объём для топ-менеджера включает паспортные данные, ИНН, СНИЛС, банковские реквизиты для зарплатного проекта, сведения об образовании и учёных степенях, данные об участии в других юрлицах (для раскрытия аффилированности), контактные данные личные и семейные — для экстренной связи, а также биометрические данные для СКУД.

«Ст. 5 ФЗ-152 требует соответствия объёма обрабатываемых данных заявленным целям. Сбор сведений об аффилированности допустим только при наличии конкретной цели — например, соблюдения требований корпоративного законодательства или политики конфликта интересов.»

Ключевой вопрос при аудите: для каждого блока данных сформулируйте цель и правовое основание. Данные об аффилированности, дополнительном образовании, семейном положении часто собираются «на всякий случай» без привязки к конкретной цели — это нарушение принципа ст. 5 ФЗ-152.

Отдельно проверьте, не попадают ли запрашиваемые сведения в специальные категории по ст. 10 ФЗ-152: состояние здоровья, политические взгляды, религиозные убеждения. Для руководителей публичных компаний встречается практика сбора медицинских данных для ДМС-полиса — это специальная категория, требующая отдельного основания по ч. 2 ст. 10.

Что проверить на этом шаге

Составлен ли перечень обрабатываемых ПДн по каждой должности топ-менеджмента
Определены ли цели обработки для каждого блока данных
Выявлены ли специальные категории ПДн (здоровье, членство в организациях)
Проверено ли правовое основание по ст. 6 ФЗ-152 для каждой категории
Соответствует ли объём данных задокументированным целям обработки

Шаг 2. Переоформите согласия по требованиям ФЗ-156

С 01.09.2025 согласие на обработку персональных данных работника не может быть частью трудового договора, должностной инструкции, оферты или политики конфиденциальности. ФЗ-156 от 24.06.2025 внёс изменения в ч. 1 ст. 9 ФЗ-152: согласие оформляется отдельным документом. Это требование распространяется на всех работников без исключения — включая генерального директора и членов правления.

«Ст. 9 ФЗ-152 в редакции с 01.09.2025: согласие субъекта должно содержать наименование оператора, цель обработки, перечень ПДн, перечень действий с ними, срок действия и способ отзыва. Размещение согласия внутри трудового договора или иного документа после 01.09.2025 не соответствует требованию об отдельном документе.»

Ранее полученные согласия, включённые в трудовые договоры до 01.09.2025, переоформлять не требуется — ФЗ-156 не имеет обратной силы. Однако при любом изменении условий обработки, расширении перечня данных или изменении цели — новое согласие оформляется только по новым правилам.

Для топ-менеджмента особое внимание уделите двум ситуациям. Первая — обработка данных для публичного раскрытия (годовые отчёты, ЕГРЮЛ, сайт компании): это отдельное основание по ст. 10.1 ФЗ-152, требующее согласия на распространение. Вторая — передача данных в зарубежные материнские структуры или партнёрам: это трансграничная передача по ст. 12 ФЗ-152 с уведомлением РКН.

Согласия топ-менеджмента ещё в трудовых договорах?

Если в компании новые топ-менеджеры назначены после 01.09.2025, а согласие до сих пор включено в трудовой договор — это основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽. Срок не восстанавливается: проверка РКН фиксирует нарушение по дате документа.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Проверьте КЭДО и роль оператора

При ведении кадрового электронного документооборота (КЭДО) возникает вопрос о распределении ролей оператора и лица, осуществляющего обработку по поручению. Если компания использует собственную КЭДО-систему — она оператор в полном объёме. Если привлекает внешний сервис — необходимо поручение на обработку по п. 3 ст. 6 ФЗ-152.

«П. 3 ст. 6 ФЗ-152: оператор вправе поручить обработку ПДн другому лицу только на основании договора или иного документа, в котором прямо указаны перечень ПДн, цели, действия, обязанность соблюдения конфиденциальности и принятия мер защиты. Ответственность перед субъектом остаётся у оператора.»

Для топ-менеджмента через КЭДО, как правило, проходят трудовые договоры с существенными условиями, приказы о назначении, материалы аттестации и служебные проверки, справки и уведомления с персональными данными. Все эти документы содержат ПДн и должны обрабатываться в рамках задокументированных целей.

Отдельно проверьте: если КЭДО интегрирован с внешними системами — бухгалтерией на зарубежном ПО или корпоративным порталом с серверами за рубежом, — это может квалифицироваться как нарушение локализации по ч. 5 ст. 18 ФЗ-152. Первичная запись и хранение ПДн граждан РФ должны происходить в базах данных на территории РФ.

Шаг 4. Урегулируйте биометрию в СКУД

Системы контроля и управления доступом на основе отпечатков пальцев, геометрии лица или радужной оболочки обрабатывают биометрические ПДн по ст. 11 ФЗ-152. Статус руководителя не освобождает работодателя от обязанности получить письменное согласие на обработку биометрии.

«Ст. 11 ФЗ-152: обработка биометрических ПДн допускается только с письменного согласия субъекта — за исключением случаев, прямо перечисленных в ч. 2 ст. 11 (оборона, безопасность, правосудие, государственная служба). Для коммерческих организаций общее исключение не действует.»

Письменное согласие на биометрию должно быть отдельным от других документов, содержать указание на конкретный метод (геометрия лица, отпечаток), цель (контроль доступа), срок и способ отзыва. При отзыве согласия работодатель обязан уничтожить биометрические данные — принудить к СКУД через иной доступ нельзя.

Типичная ошибка в HR-практике: биометрическое согласие включено в общее согласие на обработку ПДн либо является приложением к трудовому договору. После 01.09.2025 оба варианта не соответствуют требованиям ст. 9 ФЗ-152 в редакции ФЗ-156 — согласие на биометрию оформляется отдельным документом.

Если HRD внедряет или уже использует СКУД с биометрией и согласия не обновлены после 01.09.2025 — нарушение фиксируется при первой проверке РКН. Штраф по ч. 2 ст. 13.11 КоАП за обработку биометрии без надлежащего согласия — до 700 000 ₽ за каждого субъекта.

Собрать ОРД под ключ

Шаг 5. Настройте хранение и уничтожение данных личного дела

Личное дело руководителя высшего звена хранится 75 лет по типовым срокам хранения управленческих документов. По истечении этого срока — или при его уходе, если срок истёк досрочно — данные подлежат уничтожению с составлением акта. Однако 75 лет — это срок для документов о трудовой деятельности, а не для согласий или маркетинговых данных.

Согласие на обработку ПДн хранится в течение срока обработки плюс срок исковой давности. После увольнения руководителя согласие, которое давалось для целей, выходящих за рамки трудовых отношений (например, для корпоративного сайта, рассылок), теряет силу — обработка по этому основанию должна прекратиться.

«Ст. 21 ФЗ-152: при достижении целей обработки или при утрате необходимости в достижении этих целей оператор обязан прекратить обработку и уничтожить ПДн в срок, не превышающий 30 дней, если иное не установлено договором, законом или иным нормативным актом.»

Для HR-департамента практически важно вести реестр согласий с привязкой к целям и датам. При увольнении топ-менеджера запускайте чек-лист: какие цели обработки прекратились, по каким данным нужно уничтожение, что остаётся в рамках архивного хранения по ТК.

Типовые ситуации: как это выглядит на практике

Ситуация 1. Назначение нового генерального директора. Компания оформила трудовой договор с новым CEO в октябре 2025 года. Согласие на обработку ПДн включено в договор отдельным разделом. При плановой проверке РКН инспектор фиксирует нарушение ч. 1 ст. 9 ФЗ-152 — согласие не является отдельным документом. Квалификация — ч. 2 ст. 13.11 КоАП, штраф для юрлица 300 000–700 000 ₽. Стратегия защиты: немедленное переоформление отдельным документом до завершения проверки снижает вероятность применения максимума штрафа; при первичном нарушении и статусе малого предприятия — возможна замена на предупреждение по ст. 4.1.1 КоАП.

Ситуация 2. Биометрия СКУД для членов правления без письменного согласия. Компания использует систему распознавания лиц для контроля доступа в переговорные комнаты правления. Согласия получены в форме электронных галочек в корпоративном портале. РКН при проверке квалифицирует это как нарушение ст. 11 ФЗ-152 — биометрия требует письменного (не электронного неквалифицированного) согласия. Штраф по ч. 2 ст. 13.11 КоАП — до 700 000 ₽. Стратегия: заменить электронные подтверждения на письменные согласия с обязательными реквизитами ст. 9 ФЗ-152.

Ситуация 3. Уволенный топ-менеджер требует уничтожения данных. Бывший вице-президент направил требование об уничтожении всех его ПДн через три месяца после увольнения. HR-директор должен разграничить: данные в личном деле (75 лет по ТК и архивному законодательству — уничтожению не подлежат), данные в системе КЭДО как рабочие документы (хранение согласно регламенту), данные в маркетинговых рассылках или на сайте компании (цель прекратилась — уничтожение в течение 30 дней по ст. 21 ФЗ-152). Смешение этих категорий в одном ответе субъекту — типичная ошибка.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка ОРД HR-департамента по чек-листу 38 пунктов
Комплект ОРД под ключ — согласия, приказы, политика, регламенты для всей компании
DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025, остаются действительными — ФЗ-156 не имеет обратной силы. Переоформление требуется в двух случаях: если после 01.09.2025 заключается новый трудовой договор или расширяются цели обработки. При этом любое новое согласие — в том числе у действующих работников при изменении условий — оформляется только отдельным документом по ст. 9 ФЗ-152 в редакции ФЗ-156.

2. Какие данные нельзя спрашивать в анкете при приёме на работу?

Ст. 86 ТК РФ запрещает работодателю получать и обрабатывать данные о политических, религиозных и иных убеждениях работника, членстве в профсоюзах и общественных объединениях. По ст. 87 ТК РФ обработка специальных категорий ПДн (здоровье, судимость) допускается только в случаях, прямо предусмотренных федеральным законом. Анкеты, содержащие вопросы о семейном положении, национальности, вероисповедании или состоянии здоровья без законного основания, создают риск нарушения ч. 1 ст. 13.11 КоАП — штраф 150 000–300 000 ₽.

3. Можно ли вести видеонаблюдение в офисе?

Видеонаблюдение в офисе без биометрической идентификации — это обработка изображения, которое становится биометрическими ПДн только при использовании для идентификации конкретного лица (ст. 11 ФЗ-152). Обычная запись без идентификации регулируется как общие ПДн: необходимо уведомить работников (ст. 22.2 ТК РФ) и включить видеонаблюдение в политику обработки ПДн. Если система анализирует видео для автоматической идентификации лиц — требуется письменное согласие каждого работника на обработку биометрии.

4. Сколько хранить согласия после увольнения?

Согласие на обработку ПДн как документ хранится в течение срока обработки данных и плюс срок общей исковой давности — три года по ст. 196 ГК РФ. Это позволяет подтвердить законность обработки при возможных претензиях субъекта или проверке РКН. Само личное дело руководителя высшего звена хранится 75 лет согласно типовым срокам архивного хранения. Смешивать эти сроки нельзя: данные из согласия на маркетинговую рассылку после увольнения уничтожаются раньше.

5. Кто оператор при использовании КЭДО?

Если компания использует собственную КЭДО-систему — она является единственным оператором. Если КЭДО-сервис предоставляет внешний поставщик, компания остаётся оператором, а поставщик — лицом, осуществляющим обработку по поручению (п. 3 ст. 6 ФЗ-152). Обязательное условие — заключённый договор-поручение с перечнем ПДн, целями, обязанностью конфиденциальности и перечнем мер защиты. Ответственность перед субъектом и РКН при любом варианте остаётся у компании-оператора.

6. Как правильно передать данные топ-менеджера в зарубежную материнскую компанию?

Передача ПДн за рубеж квалифицируется как трансграничная передача по ст. 12 ФЗ-152. Если страна назначения не входит в перечень стран с адекватной защитой, утверждённый РКН, — до передачи необходимо уведомить Роскомнадзор. Уведомление подаётся через pd.rkn.gov.ru. Нарушение требований трансграничной передачи создаёт риск штрафа по ч. 1 ст. 13.11 КоАП — 150 000–300 000 ₽, а при повторности — до 500 000 ₽ по ч. 1.1.

Итог

Обработка ПДн руководителей высшего звена подчиняется тем же нормам ФЗ-152, что и обработка данных рядовых работников: отдельные согласия по ФЗ-156, письменное согласие на биометрию по ст. 11, поручение при использовании КЭДО-сервиса, разграничение сроков хранения личного дела и согласий после увольнения. Должность не является основанием для упрощения или игнорирования этих требований.

Юристы DATUM сопровождают HR-департаменты при аудите обработки ПДн персонала, переоформлении согласий после 01.09.2025 и подготовке к проверкам Роскомнадзора.

Нужна помощь с ПДн HR-департамента?

Если HRD проводит аудит кадровых документов или готовит компанию к проверке РКН — юристы DATUM проверят согласия топ-менеджмента, оценят риски по КЭДО и биометрии СКУД, соберут актуальный пакет ОРД. Аудит соответствия 152-ФЗ — от 100 000 ₽, ОРД под ключ — от 45 000 ₽.