инструкция 11 января 2028 По состоянию на 11 января 2028

Передача ПДн при смене оператора КЭДО

Смена оператора КЭДО — это передача персональных данных работников третьему лицу. По ст. 9 ФЗ-152 в редакции ФЗ-156 (с 01.09.2025) на каждую такую передачу нужно отдельное согласие работника.

Если HRD не переоформил пакет согласий до перехода на новую платформу, каждый факт передачи без надлежащего основания — нарушение ч. 1 ст. 13.11 КоАП (штраф 150 000–300 000 ₽) или ч. 2 (300 000–700 000 ₽ при отсутствии согласия в письменной форме). За повторное нарушение по ч. 2 — 1 000 000–1 500 000 ₽.

→ Если вы HRD и планируете миграцию КЭДО — ниже пошаговый алгоритм передачи ПДн в соответствии с 152-ФЗ и ст. 87 ТК РФ.

С 01.09.2025 согласие на обработку персональных данных оформляется отдельным документом — его нельзя встраивать в трудовой договор, пользовательское соглашение или оферту (ФЗ-156 от 24.06.2025, изменения в ч. 1 ст. 9 ФЗ-152). Для HR-департамента это означает: при смене оператора КЭДО старые согласия, полученные до 01.09.2025 в составе других документов, не покрывают передачу данных новому подрядчику. Ниже — шесть шагов, которые позволяют провести миграцию без нарушений.

Шаг 1. Инвентаризация: что и на каком основании обрабатывает текущий оператор КЭДО?

Перед миграцией нужно точно знать состав персональных данных, которые сейчас хранит действующий оператор КЭДО. Типичный объём для электронного документооборота: ФИО, дата рождения, СНИЛС, ИНН, паспортные данные, банковские реквизиты, данные трудовых договоров и дополнительных соглашений, квалифицированные электронные подписи, журналы действий. Если система интегрирована со СКУД — добавляются биометрические данные (изображение лица, отпечатки) и данные о перемещениях.

Зафиксируйте: какое правовое основание по ст. 6 ФЗ-152 использовалось для передачи данных текущему оператору. Чаще всего это договор поручения обработки (п. 3 ст. 6, ст. 6 ч. 3 ФЗ-152) плюс согласие работника на обработку данных, выходящих за рамки трудовых отношений. Проверьте, содержит ли действующее соглашение с оператором КЭДО перечень операций, цели, категории данных и обязательство об уничтожении данных после расторжения договора.

Что включить в инвентаризационную карту

Перечень категорий ПДн с указанием правового основания по ст. 6 ФЗ-152
Реквизиты договора поручения обработки с текущим оператором КЭДО
Перечень согласий работников: дата, форма, состав разрешённых действий
Наличие биометрических данных и оснований их обработки по ст. 11 ФЗ-152
Срок хранения данных у текущего оператора и условия уничтожения

Шаг 2. Проверьте, соответствуют ли согласия работников требованиям ФЗ-156?

С 01.09.2025 согласие работника на обработку ПДн — отдельный документ. Он не может быть частью трудового договора, анкеты при приёме на работу, пользовательского соглашения с КЭДО-платформой или электронного кадрового журнала. Это требование закреплено в ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156.

Обязательные реквизиты согласия по ст. 9 ФЗ-152: ФИО субъекта и его контактные данные, наименование и адрес оператора, цель обработки, перечень персональных данных, перечень конкретных действий, срок действия согласия и способ его отзыва. Если в согласии не поименован новый оператор КЭДО как лицо, осуществляющее обработку по поручению, — передача данных ему нарушает ст. 9 ФЗ-152.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 (с 01.09.2025): согласие субъекта персональных данных оформляется отдельным документом. Объединение с иными документами не допускается. Обязанность доказать законность обработки — на операторе.»

Ранее полученные согласия, встроенные в трудовой договор или анкету, не подлежат принудительному переоформлению в части уже совершённых действий — обратной силы ФЗ-156 не имеет. Но для новой цели (передача данных другому оператору КЭДО) требуется новое согласие по актуальным требованиям.

Согласия работников оформлены до 01.09.2025 и встроены в договор?

Если HRD планирует смену КЭДО-платформы, а согласия работников содержатся в трудовом договоре или анкете — каждый факт передачи данных новому оператору нарушает ч. 1 ст. 9 ФЗ-152. Штраф по ч. 2 ст. 13.11 КоАП составляет 300 000–700 000 ₽. Юристы DATUM проверят состав и форму согласий, подготовят новый пакет ОРД под требования ФЗ-156.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Шаг 3. Оформите договор поручения обработки с новым оператором КЭДО

Новый оператор КЭДО — лицо, осуществляющее обработку по поручению (п. 3 ст. 6 ФЗ-152). Для законного поручения требуется письменный договор, в котором обязательно указаны: цели обработки, перечень операций (запись, систематизация, хранение, передача, уничтожение), категории данных, обязанность обеспечить конфиденциальность, перечень технических мер защиты, условия уничтожения данных после прекращения договора.

Ответственность перед субъектом ПДн и перед РКН несёт работодатель-оператор, а не оператор КЭДО как обработчик. Это подтверждается принципом, зафиксированным в практике ВС РФ: оператор отвечает за утечку через подрядчика наравне с ним. Включайте в договор поручения право аудита и обязанность уведомить об инциденте в течение 24 часов — для синхронизации со сроком по ч. 3.1 ст. 21 ФЗ-152.

Если новый оператор КЭДО находится за рубежом или обрабатывает данные на серверах вне РФ, проверьте требования локализации: первичный сбор, систематизация и хранение ПДн граждан РФ должны осуществляться в базах данных на территории России (ч. 5 ст. 18 ФЗ-152). Нарушение влечёт штраф 1 000 000–6 000 000 ₽ по ч. 8 ст. 13.11 КоАП.

Шаг 4. Получите новые согласия работников под конкретного оператора КЭДО

Согласие должно прямо указывать на нового оператора КЭДО как лицо, которому передаются данные, на конкретные категории данных (включая биометрию, если СКУД интегрирован с новой системой), на цели и срок обработки, на способ отзыва. Согласие оформляется на бумажном носителе или в электронной форме с квалифицированной электронной подписью работника.

По ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований ТК РФ и иных федеральных законов. Ст. 86 ТК РФ запрещает обрабатывать данные о работнике в целях, не связанных с трудовыми отношениями, без его согласия. Передача данных в КЭДО для ведения кадрового документооборота — цель, связанная с трудовыми отношениями, но конкретный оператор КЭДО должен быть поимённо назван.

«Ст. 86 ТК РФ: обработка персональных данных работника допускается исключительно в целях обеспечения соблюдения законов и трудовых договоров. Согласие работника на передачу его данных третьим лицам обязательно, если это не предусмотрено федеральным законом.»

Если работник отказывается подписывать согласие на передачу данных новому КЭДО-оператору — работодатель не вправе принуждать. В этом случае рассмотрите возможность обработки данных такого работника через собственную инфраструктуру без передачи оператору КЭДО — либо оцените, возможно ли поручение обработки без отдельного согласия на ином основании ст. 6 ФЗ-152 (например, исполнение трудового договора).

Если HRD готовит миграцию КЭДО и не уверен в правовом покрытии передачи данных — проверьте договор поручения и форму согласий до подписания акта о переходе. Ошибки в согласиях устраняются до передачи данных, а не после протокола РКН.

Собрать ОРД под ключ

Шаг 5. Организуйте передачу и уничтожение данных у прежнего оператора

После заключения договора с новым оператором КЭДО и получения согласий работников оформляется акт передачи данных. В акте фиксируются: дата передачи, состав переданных категорий ПДн, формат и способ передачи, подтверждение получателя. Передача должна осуществляться по защищённому каналу — требования к техническим мерам определяются уровнем защищённости ИСПДн по ПП РФ №1119.

После завершения передачи прежний оператор КЭДО обязан уничтожить персональные данные в сроки, предусмотренные договором поручения. Уничтожение подтверждается актом. Обязанность убедиться в уничтожении — на работодателе-операторе. Если договор поручения не содержал обязательства об уничтожении, дополните его соглашением о расторжении с фиксацией этого условия.

Если прежний оператор хранит данные на резервных серверах дольше согласованного срока — это нарушение принципа хранения «не дольше необходимого» по ст. 5 ФЗ-152. Работодатель-оператор несёт риск привлечения к ответственности, поскольку именно он определял цели и сроки обработки.

Шаг 6. Обновите уведомление в реестре РКН и внутренние документы

Смена оператора КЭДО — это изменение сведений об обработке персональных данных. По ст. 22 ФЗ-152 оператор обязан уведомить РКН об изменении ранее поданных сведений. Форма изменений подаётся через pd.rkn.gov.ru с использованием ЕСИА или УКЭП в соответствии с Приказом РКН №180 от 28.10.2022. Срок включения изменений в реестр — 30 дней.

Одновременно обновите внутренние документы: политику обработки персональных данных (ч. 2 ст. 18.1 ФЗ-152) с указанием нового оператора КЭДО, регламент поручения обработки, журнал учёта согласий. Если назначен ответственный за обработку ПДн по ст. 22.1 ФЗ-152 — ознакомьте его с изменёнными документами под подпись.

«Ст. 22 ФЗ-152: при изменении сведений, ранее поданных в РКН, оператор обязан уведомить регулятора в установленном порядке. Необновление реестра при смене обработчика — основание для протокола по ч. 10 ст. 13.11 КоАП (штраф 100 000–300 000 ₽).»

Типовые ситуации при смене оператора КЭДО

Ситуация 1. Согласия работников включены в трудовой договор до 01.09.2025. HR-директор производственного предприятия (Уральский ФО, осень 2025) начал миграцию КЭДО: передал данные 850 работников новому оператору без переоформления согласий. РКН по обращению одного из работников возбудил дело по ч. 2 ст. 13.11 КоАП — обработка без надлежащего письменного согласия. Штраф в диапазоне сотен тысяч рублей. Компания оспорила постановление, указав на переходный период. Арбитражный суд региона оставил штраф, поскольку ФЗ-156 прямо предписывает отдельный документ для новых операций обработки, а передача новому оператору — новая операция. Стратегия: переоформлять согласия заблаговременно, не полагаясь на переходный аргумент.

Ситуация 2. Прежний оператор КЭДО не уничтожил данные. После расторжения договора с КЭДО-платформой компания (Центральный ФО, начало 2026) выяснила, что данные 1 200 работников остаются на серверах прежнего оператора спустя четыре месяца. Работник обратился в РКН с требованием об уничтожении данных (ст. 21 ФЗ-152). Регулятор направил предписание работодателю-оператору. Стратегия: в договоре поручения фиксировать срок уничтожения и форму подтверждения; при расторжении получать акт уничтожения в течение 30 дней.

Ситуация 3. Новый оператор КЭДО хранит данные на серверах в Германии. Компания (Северо-Западный ФО, лето 2026) перешла на европейскую КЭДО-платформу без анализа серверной инфраструктуры. Первичное накопление данных происходило вне РФ. Это нарушение ч. 5 ст. 18 ФЗ-152 (локализация). Штраф по ч. 8 ст. 13.11 КоАП — 1 000 000–6 000 000 ₽ для юрлица. Стратегия: до заключения договора с иностранным оператором КЭДО — проверить наличие российского дата-центра и подтверждение первичного хранения в РФ.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка согласий, договоров поручения, реестра РКН
Комплект ОРД под ключ — политика, согласия, регламент КЭДО, журналы учёта
DPO-аутсорсинг — ответственный по ст. 22.1 ФЗ-152 на абонентском обслуживании

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Ранее полученные согласия, встроенные в трудовой договор или иной документ, остаются действительными для тех операций, которые на них основаны. Однако для новых операций — в том числе передачи данных другому оператору КЭДО — требуется отдельное согласие по актуальным требованиям ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156. Если вы меняете КЭДО-оператора после 01.09.2025 — новые согласия обязательны.

2. Какие данные нельзя запрашивать у работника при оформлении согласия на КЭДО?

Работодатель не вправе запрашивать данные, не связанные с трудовой функцией: сведения о религиозных, политических взглядах, членстве в профсоюзах (ст. 86 ТК РФ), а также о состоянии здоровья, за исключением случаев, предусмотренных законом (медосмотры, допуск к работам). Перечень данных в согласии на обработку должен ограничиваться тем, что реально нужно для функционирования КЭДО.

3. Можно ли подключить биометрию СКУД к новому оператору КЭДО без отдельного согласия?

Нет. Биометрические персональные данные (изображение лица, отпечатки) обрабатываются только на основании письменного согласия субъекта (ст. 11 ФЗ-152). Если новый КЭДО-оператор интегрируется со СКУД и получает доступ к биометрии, требуется отдельное письменное согласие работника именно на такую обработку и именно этим оператором. Нарушение — основание для штрафа по ч. 16 ст. 13.11 КоАП.

4. Сколько хранить согласия работников после увольнения?

Согласия работников как часть личного дела хранятся в течение 75 лет (типовой срок по Приказу Росархива). При этом по ч. 7 ст. 21 ФЗ-152 оператор обязан уничтожить персональные данные, обработка которых более не требуется для достижения заявленных целей. Для данных, связанных с трудовыми отношениями, срок определяется трудовым законодательством — 75 лет и перекрывает общий принцип минимизации.

5. Кто является оператором персональных данных при использовании КЭДО?

Работодатель — оператор персональных данных по ст. 3 ФЗ-152: он определяет цели и состав обработки. Оператор КЭДО — лицо, осуществляющее обработку по поручению (ст. 6 ч. 3 ФЗ-152). Именно работодатель несёт ответственность перед РКН и субъектами ПДн за действия КЭДО-платформы, включая утечки и нарушения сроков уничтожения данных.

6. Что делать, если новый оператор КЭДО отказывается подписывать договор поручения обработки?

Без договора поручения обработки, соответствующего требованиям п. 3 ст. 6 ФЗ-152, передача данных незаконна. Если оператор КЭДО отказывается от такого договора или предлагает заменить его стандартными условиями пользования — это сигнал к смене поставщика. Передача данных работников платформе без надлежащего договора создаёт риск штрафа по ч. 1 ст. 13.11 КоАП и солидарной ответственности в случае утечки.

Итог

Смена оператора КЭДО затрагивает три правовых требования одновременно: форму согласий работников (ст. 9 ФЗ-152 в ред. ФЗ-156), договор поручения обработки (ст. 6 ФЗ-152), уведомление РКН об изменении сведений (ст. 22 ФЗ-152). Несоблюдение любого из них даёт регулятору основание для протокола по ст. 13.11 КоАП. При наличии биометрии в СКУД добавляется четвёртый риск — ч. 16 ст. 13.11 (биометрия без письменного согласия).

Юристы DATUM сопровождают HR-департаменты при смене КЭДО-операторов: проверяют форму действующих согласий, готовят договор поручения, обновляют пакет ОРД и подают изменения в реестр РКН.

АС

Анна Соколова

Партнёр · ПДн в HR

Специализация — согласия работников по ст. 9 152-ФЗ в ред. ФЗ-156, обработка через КЭДО, биометрия в СКУД, сопровождение проверок РКН в HR-департаментах.