Перейти к содержанию
инструкция 14 января 2028 По состоянию на 14 января 2028

Переход на КЭДО: пошаговая инструкция для HR

КЭДО — это обработка персональных данных работников в электронном виде. С 01.09.2025 каждое согласие на обработку ПДн оформляется отдельным документом — встроить его в трудовой договор или приказ больше нельзя.
Нарушение требований к согласию по ч. 2 ст. 13.11 КоАП обойдётся компании в 300 000–700 000 ₽ за каждый выявленный факт. При повторном нарушении — 1 000 000–1 500 000 ₽. Роскомнадзор проверяет КЭДО-операторов как приоритетную категорию с 2025 года.
→ Если вы HRD и переходите на КЭДО или уже работаете в нём — проверьте, соответствует ли ваш пакет документов требованиям ФЗ-156 и ст. 86–88 ТК РФ.

Переход на кэдо пошаговая инструкция — это не просто замена бумаги на электронный файл. Оператором персональных данных в КЭДО остаётся работодатель: он обязан соблюсти ст. 86–88 ТК РФ, ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 и требования к уровням защищённости по ПП РФ №1119. Ниже — семь шагов, которые переводят HR-департамент на законный КЭДО без пробелов в документации.

Шаг 1. Определите роль работодателя как оператора ПДн

Работодатель, внедряющий КЭДО, автоматически становится оператором персональных данных по ст. 3 ФЗ-152. Это означает обязанность уведомить Роскомнадзор о намерении обрабатывать ПДн по ст. 22 ФЗ-152 — до начала обработки. Если компания уже в реестре, проверьте, что КЭДО как система обработки отражена в сведениях: цель, категории ПДн, перечень действий, сроки хранения.

Если в КЭДО используется внешний провайдер (например, платформа СБИС, 1С:Кабинет сотрудника, Контур.КЭДО), работодатель передаёт обработку по поручению согласно п. 3 ст. 6 ФЗ-152. Поручение оформляется отдельным договором или допсоглашением с провайдером — без него провайдер является самостоятельным оператором, что создаёт риск нарушения ч. 1 ст. 13.11 КоАП.

«Ст. 22 ФЗ-152 — оператор обязан уведомить РКН о намерении обрабатывать ПДн до начала обработки. Срок включения в реестр — 30 дней с момента подачи уведомления.»

Шаг 2. Приведите согласия работников в соответствие с ФЗ-156

С 01.09.2025 согласие на обработку персональных данных не может быть частью трудового договора, правил внутреннего трудового распорядка, положения об оплате труда или любого другого документа. Это требование ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025. Ранее полученные согласия, оформленные до 01.09.2025, обратной силы не имеют — переподписывать их не требуется, если они содержат обязательные реквизиты.

Обязательные реквизиты согласия по ст. 9 ФЗ-152: ФИО субъекта, контактные данные, наименование и адрес оператора, цель обработки, перечень персональных данных, перечень действий с ПДн, срок действия согласия или условие его прекращения, способ отзыва. Все новые работники с 01.09.2025 подписывают только отдельный документ-согласие — до подписания трудового договора или одновременно с ним, но в виде самостоятельного листа.

«Ст. 9 ФЗ-152 (ред. ФЗ-156 от 24.06.2025) — согласие на обработку ПДн оформляется отдельным документом. Объединение с договором или иным документом не допускается.»

Согласия работников уже в КЭДО, но форма старая?

Если HRD внедрил КЭДО до 01.09.2025 и использует шаблон согласия, встроенный в трудовой договор или анкету — каждый такой документ создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП (300 000–700 000 ₽). Проверка РКН может охватить весь архив. Юристы DATUM проведут аудит форм согласий и приведут пакет в соответствие с ФЗ-156 — до того, как РКН направит запрос.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Определите категории ПДн и уровень защищённости ИСПДн

КЭДО обрабатывает как минимум общие категории ПДн: ФИО, дата рождения, паспортные данные, ИНН, СНИЛС, банковские реквизиты, сведения о трудовой деятельности. Если система хранит медицинские справки (например, 086/у для допуска), данные об инвалидности или беременности — это специальные категории по ст. 10 ФЗ-152. Их обработка допускается только в случаях, прямо предусмотренных п. 2 ст. 10.

Уровень защищённости информационной системы персональных данных (ИСПДн) определяется по ПП РФ №1119 от 01.11.2012 на пересечении трёх параметров: категория ПДн (общие / специальные / биометрические), тип актуальных угроз (1, 2 или 3), число субъектов (порог — 100 000). Большинство КЭДО среднего бизнеса попадает в УЗ-3 или УЗ-4. Для УЗ-3 обязательна сертифицированная защита от НСД; для УЗ-4 — минимальный базовый набор мер по Приказу ФСТЭК №21.

«ПП РФ №1119 — 4 уровня защищённости ИСПДн. УЗ-1 — максимальный, УЗ-4 — базовый. Категория и объём ПДн определяют минимальный обязательный уровень.»

Как правильно оформить передачу ПДн в КЭДО-провайдеру?

Кэдо и пдн неразрывно связаны: любая передача данных работников на платформу провайдера — это обработка по поручению оператора. Договор поручения должен содержать цель обработки, перечень действий, которые провайдер вправе совершать, обязанность соблюдать конфиденциальность, требования к технической защите, условия возврата или уничтожения ПДн по окончании договора.

Ключевая ошибка — подписать лицензионное соглашение с КЭДО-платформой без отдельного раздела о поручении на обработку ПДн. В таком случае провайдер юридически не связан требованиями ст. 19 ФЗ-152, а ответственность за утечку через его инфраструктуру полностью лежит на работодателе. По общему принципу судебной практики, оператор отвечает за действия обработчика как за свои собственные.

Шаг 4. Подготовьте организационно-распорядительную документацию

Без ОРД КЭДО остаётся нелегитимным с точки зрения РКН. Минимальный пакет для HR-направления включает: политику обработки персональных данных с разделом о КЭДО, положение об обработке ПДн работников, регламент доступа к ИСПДн, приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152, инструкцию по работе с ПДн для сотрудников HR.

Отдельно оформляется согласие на обработку ПДн в КЭДО — оно отличается от общего согласия при трудоустройстве: указывается конкретная платформа как получатель данных, перечень передаваемых атрибутов, технические меры защиты. Если КЭДО-платформа расположена на серверах в РФ, требование локализации по ч. 5 ст. 18 ФЗ-152 считается выполненным — уточните это у провайдера документально.

Что подготовить для запуска КЭДО

  • Уведомление РКН (или актуализация сведений в реестре) с указанием КЭДО как цели обработки
  • Договор поручения на обработку ПДн с КЭДО-провайдером по п. 3 ст. 6 ФЗ-152
  • Отдельные формы согласий работников по ст. 9 ФЗ-152 в редакции ФЗ-156
  • Политика обработки ПДн с разделом о КЭДО (обязательна к публикации по ч. 2 ст. 18.1 ФЗ-152)
  • Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152

Шаг 5. Урегулируйте биометрию в СКУД и видеонаблюдение

Биометрия в системах контроля управления доступом (СКУД) — отдельная категория по ст. 11 ФЗ-152. Отпечатки пальцев, изображение лица, геометрия руки при использовании для идентификации личности — биометрические ПДн. Обработка допустима только с письменного согласия работника (исключения из п. 2 ст. 11 на СКУД не распространяются). Работник вправе отказаться — предоставить альтернативный способ прохода обязан работодатель.

Видеонаблюдение в офисе регулируется ст. 86 ТК РФ: работники должны быть уведомлены о факте съёмки. Видеозапись, позволяющая идентифицировать лицо, — персональные данные. Хранение записей требует определённой цели, срока и соответствующего уровня защиты ИСПДн. Использование видеозаписи для дисциплинарного производства допустимо только если работник уведомлён о наблюдении и его цели.

«Ст. 11 ФЗ-152 — обработка биометрических ПДн (в том числе изображений лица для СКУД) допускается только с письменного согласия субъекта. Альтернативный способ идентификации обязателен при отказе.»

Шаг 6. Настройте порядок работы с запросами субъектов

Работник как субъект ПДн вправе запросить информацию об обработке своих данных, потребовать уточнения, блокирования или уничтожения. Срок ответа — 10 рабочих дней с даты обращения по ст. 20 ФЗ-152, с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта. Невыполнение требования влечёт штраф по ч. 5 ст. 13.11 КоАП — 50 000–90 000 ₽; при повторном — 300 000–500 000 ₽.

В контексте КЭДО особую сложность представляет запрос об уничтожении ПДн уволенного работника. Личное дело хранится 75 лет по типовым срокам архивного законодательства. Срок хранения по трудовому законодательству перевешивает право на уничтожение: работодатель вправе отказать в уничтожении, пока не истёк обязательный срок хранения, уведомив об этом субъекта письменно.

Если HRD получил запрос работника об уничтожении ПДн или жалобу в РКН на нарушение при работе с КЭДО — у вас 10 рабочих дней на ответ субъекту и ограниченное время до проверки. Юристы DATUM подготовят позицию и ответ на запрос.

Заказать аудит 152-ФЗ

Шаг 7. Установите регламент реагирования на инциденты

Утечка ПДн работников через КЭДО — инцидент, требующий уведомления РКН в течение 24 часов с момента обнаружения по ч. 3.1 ст. 21 ФЗ-152. Через 72 часа — отчёт о результатах внутреннего расследования по Приказу РКН №187 от 14.11.2022. Срок не восстанавливается. Неуведомление или несвоевременное уведомление — штраф 1 000 000–3 000 000 ₽ по ч. 11 ст. 13.11 КоАП.

HR-директор должен знать: кто в компании принимает решение о квалификации инцидента, кто направляет уведомление в РКН, кто ведёт расследование. Регламент реагирования закрепляется в ОРД — отдельным локальным актом или разделом политики обработки ПДн. Без регламента при инциденте компания теряет 24 часа на согласование внутри структуры, а не на сам ответ РКН.

«Ч. 3.1 ст. 21 ФЗ-152, Приказ РКН №187 от 14.11.2022 — 24 часа на первичное уведомление об инциденте с ПДн, 72 часа на отчёт о расследовании. Порядок действует с 01.03.2023.»

Практические сценарии для HR-директора

Сценарий 1. КЭДО запущен, но согласия в трудовом договоре. Компания (Сибирский ФО, 2025 год) переходила на КЭДО в 2023 году и включила согласие на обработку ПДн в текст трудового договора. После 01.09.2025 при плановой проверке РКН инспектор квалифицировал это как нарушение ч. 1 ст. 9 ФЗ-152. Составлен протокол по ч. 2 ст. 13.11 КоАП. Штраф назначен в диапазоне сотен тысяч рублей. Стратегия: переоформить согласия отдельными листами для всех работников, трудоустроенных после 01.09.2025; для ранее принятых — проверить наличие обязательных реквизитов и при их отсутствии переподписать добровольно. ⚠️ Номер дела — менеджер уточняет при публикации.

Сценарий 2. СКУД с биометрией без письменного согласия. Производственная компания (Приволжский ФО, начало 2026 года) установила систему распознавания лиц на входе. Письменные согласия работников не оформлялись — HR-директор полагал, что достаточно уведомить об этом в трудовом договоре. При проверке РКН выявлено нарушение ст. 11 ФЗ-152: согласия на обработку биометрических ПДн отсутствуют. Составлен протокол по ч. 16 ст. 13.11 КоАП. Исход: компания подготовила письменные согласия ретроспективно, заявила об устранении нарушения. Стратегия: при внедрении любой биометрии в СКУД — письменное согласие до начала обработки, альтернативный способ прохода для отказавшихся. ⚠️ Номер дела — менеджер уточняет при публикации.

Сценарий 3. Запрос уволенного об уничтожении ПДн. Работник уволен, через 3 месяца направил требование об уничтожении всех его персональных данных, включая личное дело в КЭДО. HR-директор не ответил в установленный срок. РКН получил жалобу субъекта и направил запрос оператору. Нарушение ч. 5 ст. 13.11 КоАП — неисполнение требования субъекта в срок (штраф 50 000–90 000 ₽). Стратегия: в течение 10 рабочих дней направить субъекту мотивированный отказ со ссылкой на обязательный срок хранения документов — уничтожение невозможно до истечения 75 лет архивного хранения личного дела.

Услуги DATUM по теме

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025, обратной силы не имеют — ФЗ-156 не распространяется на ранее оформленные документы. Переподписывать их не требуется, если они содержат все обязательные реквизиты по ст. 9 ФЗ-152: цель, перечень ПДн, перечень действий, срок, способ отзыва. Если реквизиты отсутствуют — согласие дефектно вне зависимости от даты; тогда его следует переоформить. Для всех новых работников с 01.09.2025 согласие — только отдельный документ.

2. Какие данные нельзя запрашивать в анкете при трудоустройстве?

Ст. 86 ТК РФ запрещает запрашивать данные о политических, религиозных и иных убеждениях, членстве в общественных объединениях, в том числе профсоюзах. Нельзя собирать сведения о состоянии здоровья, кроме случаев, когда это напрямую связано с трудовой функцией (ст. 10 ФЗ-152, специальные категории). Вопросы о беременности, семейном положении, национальности — недопустимы, если не обусловлены объективной производственной необходимостью. Нарушение — основание для штрафа по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽).

3. Можно ли вести видеонаблюдение в офисе без согласия работников?

Видеонаблюдение допустимо без отдельного согласия, если работники уведомлены о его наличии и целях — это требование ст. 86 ТК РФ и принцип прозрачности ст. 5 ФЗ-152. Уведомление закрепляется в трудовом договоре, ПВТР или отдельном локальном акте. Однако использование видеозаписи для идентификации личности в целях, выходящих за рамки безопасности (например, контроль продуктивности с ИИ-анализом), требует отдельного согласия — такая обработка может квалифицироваться как биометрическая по ст. 11 ФЗ-152.

4. Сколько хранить согласия после увольнения работника?

Согласие на обработку ПДн — часть личного дела работника. Типовой срок хранения личного дела по номенклатуре дел — 75 лет. Уничтожение согласия досрочно недопустимо: оно служит доказательством правомерности обработки в случае проверки РКН или судебного разбирательства. После истечения срока хранения согласие уничтожается вместе с личным делом по акту с фиксацией в журнале учёта.

5. Кто является оператором при использовании КЭДО-платформы сторонней компании?

Оператором остаётся работодатель: он определяет цели и состав обрабатываемых ПДн, несёт ответственность перед субъектами и РКН. КЭДО-платформа — обработчик, действующий по поручению оператора на основании п. 3 ст. 6 ФЗ-152. Договор поручения обязателен: без него платформа является самостоятельным оператором, что противоречит ст. 22 ФЗ-152 (платформа не подавала уведомления в РКН с вашими целями обработки). За утечку через платформу-обработчика ответственность несёт оператор-работодатель.

6. Что делать, если работник отказывается подписывать согласие на КЭДО?

Перевод на КЭДО для действующих работников требует их согласия по ст. 22.2 ТК РФ — отказ от КЭДО не является основанием для увольнения или дисциплинарного взыскания. Работодатель обязан сохранить бумажный документооборот для отказавшихся. Согласие на обработку ПДн в КЭДО-системе — отдельный вопрос: без него обработка в конкретной платформе неправомерна, но работник по-прежнему вправе получать кадровые документы в бумажном виде.

Итог

Переход на КЭДО — это последовательное выполнение требований трёх уровней: трудового законодательства (ст. 86–88, 22.2 ТК РФ), законодательства о персональных данных (ст. 9, 11, 18.1, 19, 21, 22 ФЗ-152) и технических регламентов (ПП РФ №1119, Приказ ФСТЭК №21). Пробел на любом уровне превращается в основание для протокола по ст. 13.11 КоАП с санкцией от 150 000 до 700 000 ₽ за один факт нарушения.

Юристы DATUM сопровождают переход на КЭДО в части персональных данных: аудит форм согласий, подготовка договоров поручения с провайдерами, формирование пакета ОРД под актуальные требования ФЗ-156, консультации по биометрии в СКУД и видеонаблюдению.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM. Специализация — согласия работников по ст. 9 152-ФЗ (ред. ФЗ-156), КЭДО, биометрия в СКУД, передача ПДн в зарплатных проектах. Сопровождение проверок РКН в HR-департаментах.

14 января 2028 года