Подписание трудового договора через КЭДО
С момента введения ст. 22.2 ТК РФ работодатели массово переходят на КЭДО. Параллельно ФЗ-152 «О персональных данных» последовательно ужесточает требования к тому, как именно обрабатываются данные работников при этом переходе. В 2025 году вступили в силу два ключевых изменения: требование об отдельном согласии по ФЗ-156 от 24.06.2025 и уточнённый порядок локализации данных по ФЗ-233. В этой инструкции — пошаговый порядок подписания трудового договора через КЭДО с учётом актуальных требований к персональным данным, типовые ошибки и чек-лист готовности HR-департамента.
Шаг 1. Определите правовую базу и категории ПДн работника
До создания любого документа в КЭДО необходимо зафиксировать, какие персональные данные работника будут обрабатываться и на каком основании. Трудовой договор сам по себе является основанием обработки данных, необходимых для исполнения договора, — по п. 5 ч. 1 ст. 6 ФЗ-152. Согласие здесь не требуется. Однако КЭДО-платформа, анкета соискателя, СКУД с биометрией и программы лояльности работодателя — это уже отдельные цели, для каждой из которых основание формируется самостоятельно.
Разграничьте три блока данных. Первый — данные, необходимые для исполнения трудового договора (ФИО, дата рождения, ИНН, СНИЛС, паспортные данные, место жительства, должность, условия труда): обрабатываются без отдельного согласия по ст. 86 ТК РФ. Второй — специальные категории данных по ст. 10 ФЗ-152 (состояние здоровья, группа инвалидности, национальность): обрабатываются только в случаях, прямо указанных в законе, — медосмотры, обеспечение льгот по ТК. Третий — все остальные цели сверх трудового договора (рассылки, фото для корпоративного портала, биометрия СКУД): только с отдельного письменного согласия по ст. 9 ФЗ-152 в редакции, действующей с 01.09.2025.
Ошибка, которую совершают чаще всего: в анкете соискателя запрашивают сведения о семейном положении, религии, политических взглядах или предыдущих работодателях в объёме, превышающем необходимый. По ст. 87 ТК РФ работодатель не вправе получать данные работника от третьих лиц без его письменного согласия.
Согласия работников ещё вшиты в трудовой договор?
С 01.09.2025 такие согласия недействительны по ФЗ-156. Каждый новый работник, которого вы принимаете через КЭДО без отдельного согласия, — это основание для штрафа по ч. 2 ст. 13.11 КоАП (до 700 000 ₽). Срок не восстанавливается: нарушение фиксируется с момента подписания договора.
Собрать ОРД под ключОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru
Шаг 2. Проверьте соответствие КЭДО-платформы требованиям локализации
Информационная система, через которую подписывается трудовой договор, является информационной системой персональных данных (ИСПДн). По ч. 5 ст. 18 ФЗ-152, запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных граждан РФ должны осуществляться с использованием баз данных, расположенных в России. Требование действует с 01.09.2015 и было ужесточено с 01.07.2025 по ФЗ-233.
Для HR-директора это означает: если КЭДО-платформа работает на облачной инфраструктуре зарубежного провайдера или синхронизирует данные с серверами за пределами РФ — такая схема нарушает требование локализации. Штраф по ч. 8 ст. 13.11 КоАП составляет 1–6 млн ₽ для юридического лица, при повторном нарушении — 6–18 млн ₽ по ч. 9. Проверьте у вендора: где физически расположены серверы, есть ли подтверждающие документы (договор, SLA, сертификаты ЦОД).
Дополнительно необходимо убедиться, что платформа обеспечивает уровень защищённости не ниже УЗ-3 или УЗ-4 согласно ПП РФ №1119 от 01.11.2012. Уровень определяется по категории данных и числу субъектов. Для общих категорий данных работников при числе субъектов до 100 000 — как правило УЗ-3; при числе свыше 100 000 — УЗ-2. Технические меры защиты фиксируются по Приказу ФСТЭК №21.
Шаг 3. Подготовьте пакет согласий по требованиям ст. 9 ФЗ-152 в редакции ФЗ-156
С 01.09.2025 согласие работника на обработку персональных данных — это отдельный документ. Его нельзя совмещать с трудовым договором, анкетой, политикой конфиденциальности или офертой на подключение к КЭДО. Это прямое требование ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025.
Обязательные реквизиты каждого согласия: фамилия, имя, отчество субъекта; его контактные данные; наименование и адрес оператора (работодателя); конкретная цель обработки; перечень персональных данных, на обработку которых даётся согласие; перечень действий с данными; срок действия согласия; способ его отзыва. Если целей несколько — например, обработка данных для СКУД и отдельно для корпоративной рассылки — каждая цель оформляется отдельным согласием.
Ранее полученные согласия, встроенные в трудовые договоры до 01.09.2025, обратной силы не имеют: их переоформлять не обязательно для уже работающих сотрудников. Однако при любом изменении объёма обработки или при переходе на КЭДО-платформу с новыми функциями — согласие переоформляется.
Отдельного документа требует и обработка биометрических данных через СКУД (изображение лица, отпечатки пальцев). По ст. 11 ФЗ-152 обработка биометрии допускается только с письменного согласия субъекта. Исключений для работодателя закон не предусматривает.
Что подготовить для перехода на КЭДО
- Отдельное согласие работника на обработку ПДн в КЭДО-системе — с указанием наименования платформы, перечня данных и срока обработки.
- Отдельное согласие на обработку биометрических данных СКУД — если в офисе установлены системы распознавания лица или отпечатков.
- Политика обработки персональных данных работников, размещённая в открытом доступе согласно ст. 18.1 ФЗ-152.
- Приказ о назначении лица, ответственного за организацию обработки ПДн, по ст. 22.1 ФЗ-152.
- Инструкция работника по работе с ПДн в КЭДО-системе с отметкой об ознакомлении.
Шаг 4. Настройте процесс подписания и уведомьте РКН
Перед началом обработки персональных данных в КЭДО-системе работодатель обязан подать уведомление о намерении обрабатывать персональные данные в Роскомнадзор по ст. 22 ФЗ-152. Форма уведомления установлена Приказом РКН №180 от 28.10.2022, подача — через портал pd.rkn.gov.ru с использованием ЕСИА или УКЭП. Срок включения в реестр операторов — 30 дней. Если компания уже в реестре, но расширяет цели обработки или меняет платформу КЭДО — подаётся уведомление об изменении сведений.
Неуведомление или несвоевременное уведомление РКН о намерении обрабатывать ПДн влечёт штраф по ч. 10 ст. 13.11 КоАП в размере 100 000–300 000 ₽. Это самостоятельный состав, не связанный с фактом утечки или нарушением согласия.
При настройке процесса подписания проверьте: применяется ли надлежащий вид электронной подписи (УКЭП — для трудового договора при дистанционной работе; УНЭП — в рамках корпоративной КЭДО-системы при наличии соглашения сторон); фиксируется ли дата и время подписания в системе; хранятся ли данные о подписании на российских серверах; предусмотрен ли порядок отзыва согласия и уничтожения данных при увольнении.
Шаг 5. Определите порядок хранения и уничтожения ПДн при увольнении
После увольнения работника данные обрабатываются только в той мере, в которой это необходимо для исполнения требований законодательства. Личное дело хранится 75 лет — типовой срок по правилам архивного хранения кадровой документации. Срок определяется датой создания дела, а не датой увольнения.
Данные, которые обрабатывались на основании согласия и не связаны с трудовым договором (например, фото для корпоративного портала, биометрия СКУД), подлежат уничтожению не позднее 30 дней с момента прекращения трудового договора, если работник отозвал согласие или если согласие было выдано на срок действия трудовых отношений. По ст. 21 ФЗ-152 работодатель обязан уничтожить данные и подтвердить факт уничтожения в 7-дневный срок после получения требования субъекта, если основание для обработки отпало.
По ст. 20 ФЗ-152 на запрос работника о составе обрабатываемых данных или об уничтожении данных работодатель обязан ответить в течение 10 рабочих дней с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта. Журнал обращений субъектов с входящими запросами — обязательный документ ОРД, его отсутствие фиксируется при проверке РКН.
Если HRD перевёл компанию на КЭДО, но документы ОРД не обновлялись с 2022 года — при плановой проверке РКН каждый устаревший документ становится отдельным нарушением. Специалисты DATUM проведут аудит HR-пакета ОРД и выдадут приоритизированный план устранения.
Заказать аудит 152-ФЗКак это применяется на практике
Кейс 1. Производственная компания (Уральский ФО, весна 2026) перешла на КЭДО-платформу в 2024 году. Согласие на обработку данных было включено в трудовой договор единым блоком. После 01.09.2025 новые сотрудники подписывали договоры по той же форме. При плановой проверке РКН инспектор установил 14 трудовых договоров с встроенными согласиями, заключённых после 01.09.2025. По ч. 2 ст. 13.11 КоАП был составлен протокол с расчётом по числу субъектов. HR-директор обратился к юристам до вынесения постановления; удалось переквалифицировать нарушение и применить ст. 4.1 КоАП с учётом устранения нарушения до рассмотрения дела. Штраф оказался в диапазоне нескольких сотен тысяч рублей вместо потенциальных 700 000 ₽ за каждый эпизод.
Кейс 2. IT-компания с удалённым штатом (Центральный ФО, осень 2025) использовала КЭДО-платформу на инфраструктуре европейского облачного провайдера. Уведомление в РКН подавалось, но в нём не была указана трансграничная передача данных. При внеплановой проверке по жалобе уволенного сотрудника РКН установил нарушение ч. 5 ст. 18 ФЗ-152 (локализация). Компания получила предписание и штраф по ч. 8 ст. 13.11 КоАП. Платформу перевели на российскую инфраструктуру в течение 60 дней; повторного нарушения не допустили, что позволило избежать штрафа по ч. 9 (6–18 млн ₽).
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка HR-пакета по чек-листу из 38 пунктов, отчёт с приоритетами
- Комплект ОРД под ключ — согласия, политика, приказы, регламенты для HR по новым требованиям
- DPO-аутсорсинг — ответственный по ст. 22.1 ФЗ-152 на абонентском обслуживании
Частые вопросы
1. Нужно ли переподписывать согласия работников после 01.09.2025?
Согласия, полученные до 01.09.2025, обратной силы не имеют: переоформлять их для уже работающих сотрудников не требуется, если цели и объём обработки не изменились. Однако с 01.09.2025 все новые согласия — в том числе при переводе, изменении условий труда или подключении к новой КЭДО-платформе — должны оформляться отдельным документом по требованиям ст. 9 ФЗ-152 в редакции ФЗ-156.
2. Какие данные нельзя спрашивать в анкете соискателя?
По ст. 86 и 87 ТК РФ работодатель вправе запрашивать только данные, необходимые для исполнения будущего трудового договора. Запрещено без отдельного согласия собирать сведения о политических взглядах, религиозных убеждениях, состоянии здоровья (кроме случаев обязательного медосмотра), национальности, семейном положении и сведения о третьих лицах (родственниках). Нарушение квалифицируется по ч. 1 ст. 13.11 КоАП — штраф для юрлица 150 000–300 000 ₽.
3. Можно ли вести видеонаблюдение в офисе?
Видеозапись изображения работников относится к биометрическим персональным данным по ст. 11 ФЗ-152. Для ведения видеонаблюдения в трудовых целях (охрана, контроль рабочего времени) требуется отдельное письменное согласие каждого работника либо наличие специальной нормы в локальном нормативном акте с письменным ознакомлением работника. Простое вывешивание таблички «ведётся видеонаблюдение» требования закона не выполняет.
4. Сколько хранить согласия после увольнения?
Согласие работника — часть личного дела и хранится вместе с ним: типовой срок 75 лет. Это требование архивного законодательства, оно не зависит от срока обработки данных по самому согласию. После истечения срока хранения документы уничтожаются в установленном порядке с составлением акта.
5. Кто является оператором персональных данных при использовании КЭДО?
Оператором является работодатель — юридическое лицо, которое определяет цели обработки данных работников и организует их обработку. КЭДО-вендор в большинстве случаев выступает лицом, осуществляющим обработку по поручению оператора по п. 3 ч. 1 ст. 6 ФЗ-152. Работодатель обязан заключить с вендором договор поручения обработки с перечнем действий, которые вправе совершать вендор, и требованиями к защите данных по ст. 19 ФЗ-152.
6. Что делать, если работник отказывается подписывать согласие на КЭДО?
Отказ работника от подписания согласия на обработку ПДн в КЭДО-системе не является основанием для отказа в приёме на работу или применения дисциплинарных мер. По ст. 9 ФЗ-152 субъект вправе отозвать или не дать согласие без каких-либо последствий для себя. В таком случае работодатель обязан оформить документы на бумажном носителе или использовать альтернативный способ подписания, не требующий дополнительного согласия.
Итог
Подписание трудового договора через КЭДО — это не только процессуальный переход на электронный документооборот, но и полноценный пересмотр всей системы обработки персональных данных HR-департамента. После 01.09.2025 требования к согласиям работников изменились принципиально: встроенное в договор согласие юридически ничтожно. Одновременно требования к локализации данных и уровням защищённости КЭДО-платформы стали жёстче.
Юристы DATUM сопровождают переход на КЭДО с точки зрения 152-ФЗ: разрабатывают пакет согласий по ФЗ-156, проверяют КЭДО-платформы на соответствие требованиям локализации и ПП РФ №1119, формируют полный пакет ОРД для HR-департамента.