инструкция 22 декабря 2026 По состоянию на 22 декабря 2026

Политика обработки ПДн работников: ст. 87 ТК + 152-ФЗ

Политика обработки персональных данных работников — обязательный локальный нормативный акт, требования к которому одновременно установлены ст. 87 ТК РФ и ст. 18.1 ФЗ-152.

Отсутствие политики или несоответствие её содержания требованиям закона фиксируется Роскомнадзором как отдельное нарушение по ч. 3 ст. 13.11 КоАП. С 01.09.2025 к политике добавляются требования ФЗ-156 об отдельных согласиях.

Если вы юрист компании и проверяете комплаенс HR-направления — ниже пошаговый порядок составления и проверки политики с привязкой к актуальным нормам. →

Юрист, которому поручили привести обработку персональных данных работников в соответствие с законом, сталкивается с пересечением двух правовых режимов: трудового (гл. 14 ТК РФ, ст. 85–90) и специального (ФЗ-152 с поправками ФЗ-156 от 24.06.2025 и ФЗ-420 от 30.11.2024). Политика обработки ПДн работников — точка пересечения этих режимов. Ниже — шесть шагов, которые закрывают документальный блок для HR-направления.

Шаг 1. Определите правовую базу и состав обязательных документов

Ст. 87 ТК РФ обязывает работодателя установить порядок хранения и использования персональных данных работников в локальном нормативном акте. Ст. 18.1 ФЗ-152 требует, чтобы оператор принял и опубликовал политику обработки персональных данных с конкретным перечнем сведений, предусмотренных ч. 2 той же статьи. Эти два требования закрываются одним документом — политикой обработки ПДн работников.

Помимо политики, полный ОРД-пакет по HR-направлению включает:

Минимальный ОРД-пакет для обработки ПДн работников

Политика обработки персональных данных (ст. 87 ТК + ч. 2 ст. 18.1 ФЗ-152)
Приказ о назначении ответственного за организацию обработки ПДн (ст. 22.1 ФЗ-152)
Согласия работников на обработку ПДн в случаях, когда согласие требуется (ст. 9 ФЗ-152 в ред. ФЗ-156 от 24.06.2025)
Реестр (перечень) информационных систем ПДн с описанием целей и категорий обработки
Журнал учёта обращений субъектов ПДн и ответов оператора

«Ст. 18.1 ФЗ-152 — оператор обязан принять документ, определяющий политику оператора в отношении обработки персональных данных, и обеспечить его неограниченный доступ для ознакомления. Ч. 2 устанавливает обязательные разделы такого документа.»

Шаг 2. Включите обязательные разделы политики по ч. 2 ст. 18.1 ФЗ-152

Ч. 2 ст. 18.1 ФЗ-152 содержит закрытый перечень сведений, которые должны быть в политике. Их отсутствие — самостоятельное основание для протокола по ч. 3 ст. 13.11 КоАП (штраф для юрлица 30 000–60 000 ₽). Проверяйте каждый пункт при составлении и при последующем аудите.

Обязательные разделы политики обработки ПДн работников:

Общие положения. Наименование и реквизиты оператора, ссылка на ст. 87 ТК РФ и ст. 18.1 ФЗ-152 как правовых оснований.
Цели обработки. Конкретные цели в разрезе категорий работников: оформление трудовых отношений, расчёт и выплата заработной платы, воинский учёт, обеспечение безопасности, обработка через КЭДО. Ст. 5 ФЗ-152 запрещает объединять несовместимые цели в одной базе.
Правовые основания обработки. Перечень оснований по ст. 6, ст. 9, ст. 10 ФЗ-152 для каждой цели: исполнение трудового договора, согласие, выполнение требований законодательства (НК РФ, ФЗ-255, ФЗ-326 и др.).
Перечень обрабатываемых ПДн. По категориям работников: соискатели, действующие работники, бывшие работники. Для специальных категорий (состояние здоровья, профзаболевания) — отдельное указание со ссылкой на ст. 10 ФЗ-152.
Порядок и условия обработки. Способы: автоматизированная (1С: ЗУП, кадровая система), неавтоматизированная (бумажные личные дела), смешанная. Трансграничная передача — если есть.
Права субъектов ПДн. Порядок реализации прав по ст. 14–21 ФЗ-152: запрос информации, уточнение, блокирование, уничтожение. Срок ответа — 10 рабочих дней с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта (ст. 20 ФЗ-152).
Сроки обработки и хранения. Личное дело — 75 лет (типовой срок); зарплатные документы — по налоговому и бухгалтерскому законодательству; данные соискателей, не принятых на работу, — не более 3 лет без согласия.
Меры защиты. Организационные и технические меры по ст. 19 ФЗ-152, уровень защищённости по ПП РФ №1119, Приказ ФСТЭК №21.

Политика есть, но написана три года назад?

Если политика обработки ПДн работников не обновлялась с момента принятия ФЗ-420 (30.05.2025) и ФЗ-156 (01.09.2025) — в ней гарантированно отсутствуют актуальные правовые основания и порядок согласий. Это фиксируется при первой проверке РКН. Юристы DATUM проведут аудит ОРД по чек-листу из 38 пунктов и выдадут план устранения нарушений с приоритизацией.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Проверьте согласия работников с учётом ФЗ-156 от 24.06.2025

С 01.09.2025 вступили в силу изменения в ч. 1 ст. 9 ФЗ-152, введённые ФЗ-156 от 24.06.2025: согласие на обработку персональных данных оформляется отдельным документом. Его нельзя включать в трудовой договор, правила внутреннего трудового распорядка, должностную инструкцию или любой другой документ.

Ранее полученные согласия, включённые в трудовые договоры, переоформлять в обязательном порядке не требуется — закон обратной силы не имеет. Но для всех новых приёмов с 01.09.2025, а также при изменении целей или состава обрабатываемых данных согласие оформляется отдельным документом со всеми обязательными реквизитами по ст. 9 ФЗ-152.

Обязательные реквизиты согласия работника:

Фамилия, имя, отчество субъекта ПДн
Контактные данные субъекта
Наименование и адрес оператора
Цель обработки персональных данных
Перечень персональных данных, на обработку которых даётся согласие
Перечень действий с ПДн и описание способов обработки
Срок действия согласия или условие его прекращения
Порядок отзыва согласия

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 (действует с 01.09.2025) — согласие субъекта на обработку его персональных данных оформляется отдельным документом. Объединение с иными документами не допускается.»

Нарушение требований к составу согласия или его объединение с другими документами после 01.09.2025 — состав по ч. 2 ст. 13.11 КоАП. Штраф для юрлица — 300 000–700 000 ₽ за каждый выявленный факт. При повторном нарушении — ч. 2.1, штраф 1 000 000–1 500 000 ₽.

Шаг 4. Назначьте ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152

Ст. 22.1 ФЗ-152 обязывает оператора-юрлицо назначить лицо, ответственное за организацию обработки персональных данных. Это не должность, а функция: её можно возложить на штатного юриста, HR-директора или передать на аутсорсинг.

Назначение оформляется приказом руководителя. В приказе указываются: ФИО и должность ответственного, перечень его функций со ссылкой на ст. 22.1 ФЗ-152, дата вступления в должность. Ответственный обязан знать требования ФЗ-152, подзаконных актов РКН, внутренних документов оператора.

Ч. 4 ст. 22.1 ФЗ-152 содержит требования к квалификации ответственного: он не должен иметь неснятой или непогашенной судимости за преступления против конституционных прав граждан или в сфере компьютерной информации.

«Ст. 22.1 ФЗ-152 — оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных. Требования к данному лицу установлены ч. 4 той же статьи.»

Отсутствие приказа о назначении ответственного — нарушение ст. 18.1 ФЗ-152, которое фиксируется при плановой и внеплановой проверке РКН. При DPO-аутсорсинге функция ответственного передаётся сторонней организации по договору, а в приказе указывается наименование аутсорсера.

Если вы юрист компании и ответственного по ст. 22.1 ещё нет — каждый день без него создаёт риск фиксации нарушения при проверке РКН. Юристы DATUM возьмут функцию DPO на абонентское обслуживание, включая ответы на запросы субъектов и взаимодействие с регулятором.

Подключить DPO-аутсорсинг

Шаг 5. Направьте уведомление в РКН по ст. 22 ФЗ-152

До начала обработки персональных данных работников оператор обязан направить уведомление в Роскомнадзор по ст. 22 ФЗ-152. Исключения из обязанности уведомления перечислены в ч. 2 ст. 22 ФЗ-152 — для большинства работодателей они не применимы, поскольку обработка ПДн работников с использованием автоматизированных систем не подпадает под исключения.

Уведомление подаётся через портал pd.rkn.gov.ru с использованием ЕСИА или УКЭП. Форма уведомления утверждена Приказом РКН №180 от 28.10.2022. После подачи оператор включается в реестр операторов ПДн в течение 30 дней. При изменении сведений — подаётся уведомление об изменении; при прекращении обработки — уведомление о прекращении.

«Ст. 22 ФЗ-152 — до начала обработки персональных данных оператор обязан направить уведомление в уполномоченный орган по защите прав субъектов. Форма и порядок подачи уведомления установлены Приказом РКН №180 от 28.10.2022.»

Неуведомление или несвоевременное уведомление РКН о намерении осуществлять обработку ПДн — состав по ч. 10 ст. 13.11 КоАП. Штраф для юрлица — 100 000–300 000 ₽. При этом уведомление не заменяет собой политику и ОРД-пакет: РКН проверяет оба блока документов независимо.

Шаг 6. Обеспечьте доступ к политике и проверьте её актуальность

Политика обработки ПДн должна быть опубликована так, чтобы любой субъект мог с ней ознакомиться без ограничений. Для работодателя это означает: размещение на сайте компании в разделе, доступном без авторизации; размещение на информационных стендах в офисах; ознакомление каждого работника под роспись при приёме на работу.

Политика должна обновляться при каждом изменении, влекущем изменение фактического порядка обработки: смена информационных систем, новые категории субъектов, новые цели, изменение сроков хранения, появление трансграничной передачи. Рекомендуемая периодичность плановой проверки актуальности — не реже одного раза в год.

Актуальность проверяется по следующим контрольным точкам:

Соответствие перечня информационных систем в политике фактически используемым системам
Актуальность правовых оснований с учётом ФЗ-156 (согласие-отдельный документ с 01.09.2025)
Наличие сведений о ФЗ-420 и новых составах ст. 13.11 КоАП в разделе об ответственности
Корректность указания ответственного по ст. 22.1 ФЗ-152 (актуальные ФИО и должность)
Соответствие сроков хранения действующим срокам по приказам Росархива

Как применяется политика ПДн работников на практике

Ситуация 1. Торговая компания в Сибирском ФО (осень 2025) прошла внеплановую проверку РКН по жалобе бывшего работника. Инспектор установил: политика обработки ПДн опубликована на сайте, но в ней отсутствовал раздел о правах субъектов и не были указаны сроки хранения личных дел. Нарушение квалифицировано по ч. 3 ст. 13.11 КоАП. Штраф составил минимальную сумму в диапазоне нормы. После получения предписания компания обратилась к юристам, политика была доработана и повторно опубликована. Предписание снято.

Ситуация 2. Производственное предприятие (Уральский ФО, начало 2026) получило уведомление о плановой проверке. Юрист компании при подготовке выявил: согласия работников, принятых после 01.09.2025, включены в трудовые договоры — нарушение ФЗ-156 и ч. 2 ст. 13.11 КоАП. До прихода инспектора юристы переоформили согласия для 40 работников отдельными документами с полным набором реквизитов по ст. 9 ФЗ-152. На проверке нарушение не было зафиксировано: документы соответствовали требованиям на дату проверки.

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный пакет включает: политику обработки ПДн (ст. 18.1 ФЗ-152 + ст. 87 ТК), приказ о назначении ответственного (ст. 22.1 ФЗ-152), согласия субъектов в случаях, когда они требуются (ст. 9 ФЗ-152 в ред. ФЗ-156), уведомление в реестре РКН (ст. 22 ФЗ-152), регламент реагирования на обращения субъектов и на инциденты. Для HR-направления обязательны также реестр ИСПДн и журнал учёта запросов работников.

2. Как составить политику обработки ПДн?

Политика должна содержать разделы, предусмотренные ч. 2 ст. 18.1 ФЗ-152: цели обработки, правовые основания, перечень субъектов и категорий ПДн, способы обработки, меры защиты, права субъектов, сроки хранения, порядок уничтожения. Дополнительно включаются сведения об ответственном по ст. 22.1 и порядок обращений. Политика принимается приказом руководителя и размещается в открытом доступе.

3. Кого назначить ответственным по ст. 22.1 ФЗ-152?

Ответственным может быть штатный работник (юрист, HR-директор, специалист по ИБ) или сторонняя организация по договору аутсорсинга. Требование одно: отсутствие неснятой судимости за преступления против конституционных прав или в сфере компьютерной информации (ч. 4 ст. 22.1 ФЗ-152). Назначение оформляется отдельным приказом с перечнем функций.

4. Можно ли использовать шаблон политики из интернета?

Шаблон из открытых источников не учитывает фактические цели и системы конкретного оператора, изменения ФЗ-156 (01.09.2025) и ФЗ-420 (30.05.2025), а также отраслевые требования. РКН при проверке оценивает содержательное соответствие документа реальной обработке. Несоответствие — основание для предписания и штрафа по ч. 3 ст. 13.11 КоАП, даже если документ формально существует.

5. Какие согласия нужны работникам после 01.09.2025?

После 01.09.2025 (ФЗ-156 от 24.06.2025) согласие на обработку ПДн оформляется отдельным документом — вне трудового договора, должностной инструкции и иных актов. Согласие требуется в случаях, не охваченных другими основаниями ст. 6 ФЗ-152: обработка биометрии в СКУД, передача ПДн третьим лицам (страховщики, банки в рамках зарплатных проектов), публикация фото работника. Согласия, полученные до 01.09.2025 способами, действовавшими на тот момент, силу не утрачивают.

Итог

Политика обработки ПДн работников — это не формальный документ для галочки, а основа всего ОРД-пакета по HR-направлению. Её содержание проверяется РКН при любом виде проверки, а несоответствие фактической обработке создаёт самостоятельный состав нарушения по ч. 3 ст. 13.11 КоАП. С 01.09.2025 политика должна быть согласована с новым порядком согласий по ФЗ-156, а назначение ответственного по ст. 22.1 — подтверждено актуальным приказом.

Практика DATUM сопровождает разработку и актуализацию ОРД-пакетов для работодателей, включая составление политик обработки ПДн работников, переоформление согласий по ФЗ-156 и подготовку к проверкам РКН в части HR-документации.

Услуги DATUM по теме

Комплект ОРД под ключ — 38 документов, включая политику и согласия работников
Аудит соответствия 152-ФЗ — проверка ОРД-пакета по чек-листу, план устранения нарушений
DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах.

22 декабря 2026 года