Перейти к содержанию
инструкция 21 апреля 2028 По состоянию на 21 апреля 2028

Положение о защите ПДн работников под ст. 87 ТК РФ

Положение о защите персональных данных работников — локальный нормативный акт, который работодатель обязан принять по ст. 87 ТК РФ и ст. 18.1 ФЗ-152.
Отсутствие документа или нарушение его содержания влечёт штраф до 700 000 ₽ по ч. 2 ст. 13.11 КоАП в редакции с 30.05.2025; повторное нарушение — до 1 500 000 ₽. Отдельное согласие работника как самостоятельный документ обязательно с 01.09.2025 по ФЗ-156 от 24.06.2025.
Если вы HRD и пакет ОРД не обновлялся после 01.09.2025 — каждое несоответствующее согласие создаёт самостоятельное основание для протокола РКН. → Ниже — пошаговый порядок разработки Положения с разбором требований ТК РФ и ФЗ-152.

Ст. 87 ТК РФ обязывает работодателя установить порядок хранения и использования персональных данных работников в локальном нормативном акте. На практике этим актом является Положение о защите персональных данных. Документ пересекается с требованиями ФЗ-152, ст. 86 ТК РФ (принципы обработки кадровых ПДн), ст. 22.2 ТК РФ (КЭДО) и новыми требованиями к согласию по ст. 9 ФЗ-152 в редакции ФЗ-156. Правильно составленное Положение закрывает ключевые основания для претензий РКН при проверке HR-документации.

Что должно входить в Положение по ст. 87 ТК РФ и ч. 2 ст. 18.1 ФЗ-152?

Ст. 87 ТК РФ требует установить порядок хранения, обработки и передачи персональных данных работников. Параллельно ч. 2 ст. 18.1 ФЗ-152 определяет содержание политики обработки персональных данных оператора. Работодатель как оператор ПДн обязан выполнить оба требования. На практике компании принимают единый документ — Положение, которое одновременно закрывает требования ТК РФ и ФЗ-152.

Обязательные разделы Положения:

  • Цели обработки персональных данных работников — найм, исполнение трудового договора, ведение кадрового учёта, архивное хранение, воинский учёт.
  • Категории субъектов и перечень обрабатываемых данных — работники, соискатели, бывшие сотрудники; состав ПДн по каждой категории.
  • Правовые основания обработки со ссылкой на ст. 6, 9, 10 ФЗ-152 и ст. 86 ТК РФ.
  • Порядок сбора, хранения, уточнения, передачи и уничтожения ПДн.
  • Сроки обработки и хранения по каждой категории (трудовой договор — 75 лет, согласия — 3 года после отзыва или прекращения обработки).
  • Права работников-субъектов: доступ к своим данным, исправление, уничтожение, порядок подачи запроса и срок ответа — 10 рабочих дней по ст. 20 ФЗ-152.
  • Меры защиты ПДн — организационные и технические по ст. 19 ФЗ-152.
  • Порядок передачи третьим лицам: другим работодателям при переводе, в ФСС/ПФР/ФНС, банкам-зарплатным партнёрам, кадровым агентствам.
  • Ответственный за обработку ПДн по ст. 22.1 ФЗ-152 — с указанием должности и контактных данных.
«Ст. 86 ТК РФ — работодатель вправе обрабатывать персональные данные работника только в целях обеспечения соблюдения законов и нормативных правовых актов, содействия в трудоустройстве, получения образования и продвижения по службе, обеспечения личной безопасности, контроля качества работы и сохранности имущества.»

Положение утверждается приказом руководителя организации. Работники знакомятся с документом под роспись до подписания трудового договора по ст. 68 ТК РФ. При КЭДО по ст. 22.2 ТК РФ ознакомление возможно в электронной форме, но потребует отдельного порядка фиксации факта ознакомления.

Как составить Положение: пошаговый порядок

Шаг 1. Определите состав обрабатываемых персональных данных

Составьте перечень ПДн по каждой группе субъектов: соискатели, работники, бывшие сотрудники. Для каждой группы зафиксируйте: ФИО, дату рождения, контактные данные, сведения об образовании, трудовой стаж, реквизиты документов, ИНН, СНИЛС, банковские реквизиты. Отдельно выделите специальные категории — состояние здоровья (медосмотры, больничные), судимость (для должностей с ограничениями по ТК). Специальные категории по ст. 10 ФЗ-152 обрабатываются по специальным основаниям — как правило, письменное согласие или прямое указание закона. Биометрические данные — изображение лица для СКУД — выделяются отдельно по ст. 11 ФЗ-152 и требуют письменного согласия.

Шаг 2. Определите цели обработки и правовые основания

Для каждой цели укажите правовое основание по ст. 6 ФЗ-152. Исполнение трудового договора — п. 5 ст. 6. Ведение воинского учёта — п. 2 ст. 6 (исполнение обязанности работодателя по закону). Рассылка корпоративных новостей, использование фотографии в корпоративных коммуникациях — согласие по п. 1 ст. 6. Смешение оснований («и для исполнения договора, и по согласию») в одном пункте создаёт риск при проверке: РКН проверяет наличие самостоятельного основания по каждой цели.

Пакет ОРД HR-департамента устарел после 01.09.2025?

Если Положение о защите ПДн принималось до вступления в силу ФЗ-156 от 24.06.2025, документ не отражает требований к отдельному согласию. Каждое несоответствующее согласие работника — самостоятельное основание для штрафа по ч. 2 ст. 13.11 КоАП: до 700 000 ₽ за одно нарушение. Юристы DATUM проведут аудит ОРД HR-департамента по чек-листу из 38 пунктов и выдадут приоритизированный план устранения нарушений.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Шаг 3. Пропишите порядок получения согласий с учётом ФЗ-156

С 01.09.2025 согласие на обработку персональных данных оформляется отдельным документом — его нельзя включать в трудовой договор, должностную инструкцию или политику конфиденциальности. Обязательные реквизиты согласия по ст. 9 ФЗ-152: ФИО и контактные данные субъекта, наименование и адрес оператора, цель обработки, перечень ПДн, перечень действий с ПДн, срок согласия, способ отзыва. Согласие требуется для тех целей, которые не обеспечены иным законным основанием. Типичные ситуации, где согласие необходимо: размещение фотографии работника на сайте, передача ПДн кадровому агентству для подбора персонала, участие в корпоративных программах лояльности. Согласие работника, полученное в момент зависимости от работодателя, считается полученным под принуждением по общей позиции РКН — это нужно учитывать при разработке формы и регламента получения.

Шаг 4. Урегулируйте вопросы КЭДО и биометрии СКУД

При использовании КЭДО по ст. 22.2 ТК РФ Положение должно описывать, каким образом осуществляется обработка ПДн в информационной системе КЭДО, кто имеет доступ к документам, как обеспечивается защита. Если КЭДО ведёт сторонний оператор-платформа, необходимо заключить договор на поручение обработки по п. 3 ст. 6 ФЗ-152 с фиксацией перечня поручаемых действий.

Биометрия СКУД — изображение лица или отпечаток пальца для прохода — относится к биометрическим персональным данным по ст. 11 ФЗ-152. Обработка допустима только при наличии письменного согласия работника. Согласие на биометрию оформляется отдельно от иных согласий. Положение должно содержать раздел о биометрии СКУД: цель (контроль доступа), перечень биометрических данных, срок хранения, порядок уничтожения при увольнении.

Шаг 5. Установите сроки хранения и порядок уничтожения

Сроки хранения определяются в соответствии с Перечнем типовых управленческих документов (Приказ Росархива). Трудовой договор и документы личного дела — 75 лет по ст. 22.1 Федерального закона об архивном деле (для документов, созданных после 2003 года). Согласия на обработку ПДн — рекомендуется хранить в течение 3 лет после прекращения обработки или отзыва согласия: этот срок перекрывает срок давности по ст. 13.11 КоАП. После истечения срока хранения ПДн подлежат уничтожению или обезличиванию по ст. 5 ФЗ-152. Факт уничтожения фиксируется актом комиссии.

Шаг 6. Назначьте ответственного и закрепите меры защиты

По ст. 22.1 ФЗ-152 работодатель-юрлицо обязан назначить лицо, ответственное за организацию обработки ПДн, приказом. Положение должно называть должность такого лица (а не конкретное ФИО, чтобы не переиздавать документ при ротации кадров). Организационные меры защиты: разграничение доступа к кадровым ИС, инструктаж работников, журнал учёта обращений субъектов. Технические меры — по уровню защищённости ИСПДн (УЗ-3 или УЗ-4 для большинства HR-систем по ПП РФ №1119).

Что подготовить для Положения о защите ПДн работников

  • Актуализированное Положение о защите персональных данных работников с разделами по ТК РФ и ФЗ-152 — утверждённое приказом и внесённое в реестр локальных актов.
  • Отдельные формы согласий для каждой цели обработки (биометрия СКУД, фото на сайте, передача данных зарплатному банку) — оформленные в соответствии с требованиями ст. 9 ФЗ-152 в редакции с 01.09.2025.
  • Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 с контактными данными для субъектов.
  • Договоры поручения обработки ПДн с кадровыми агентствами, платформами КЭДО, зарплатными банками — с перечнем поручаемых действий.
  • Журнал учёта обращений субъектов и актов уничтожения ПДн за последние 3 года.

Какие ошибки в Положении чаще всего фиксирует РКН?

По результатам проверок РКН в HR-департаментах наиболее распространены четыре категории ошибок.

Первая. Согласие включено в трудовой договор или является его приложением. С 01.09.2025 это нарушение ст. 9 ФЗ-152 в редакции ФЗ-156 — согласие должно быть отдельным документом. Штраф — до 700 000 ₽ по ч. 2 ст. 13.11 КоАП.

Вторая. Перечень обрабатываемых ПДн в Положении не соответствует фактической обработке. Типичная ситуация: в Положении указаны только ФИО и паспортные данные, а фактически обрабатываются медицинские документы, результаты тестирований, данные о семейном положении. РКН квалифицирует это как обработку ПДн в объёме, превышающем необходимый, по ч. 1 ст. 13.11.

Третья. Биометрия СКУД не выделена в отдельный раздел, отсутствует отдельное письменное согласие. При проверке инспектор запрашивает согласия на биометрию по списку сотрудников. Если хотя бы у части работников согласия нет — составляется протокол по ч. 2 ст. 13.11 КоАП.

Четвёртая. Отсутствует регламент ответа на запросы субъектов. Ст. 20 ФЗ-152 устанавливает срок предоставления информации — 10 рабочих дней с даты обращения, с возможностью продления ещё на 5 рабочих дней. Если регламента нет — при поступлении жалобы субъекта РКН фиксирует нарушение по ч. 4 ст. 13.11 КоАП.

Как применяется Положение в конкретных ситуациях

Ситуация 1. Уволенный работник требует уничтожения персональных данных. Бывший сотрудник направляет письменное требование об уничтожении всех его персональных данных, ссылаясь на ст. 21 ФЗ-152. Работодатель сталкивается с коллизией: значительная часть документов (трудовой договор, приказы, личное дело) подлежит хранению 75 лет по архивному законодательству. Правильная позиция: уничтожаются данные, цель обработки которых достигнута и правовое основание исчерпано (контакты для связи, временные согласия). Данные, обязательные к хранению по закону, не уничтожаются — ст. 21 ч. 3 ФЗ-152 предусматривает такое исключение. Работнику направляется мотивированный ответ в течение 10 рабочих дней. Если Положение не содержит этого регламента — ответственный растерян, и срок нарушается.

Ситуация 2. Плановая проверка РКН в компании со СКУД-биометрией. Инспектор запрашивает перечень работников, пользующихся биометрическим СКУД, и согласия на обработку биометрических данных для каждого из них. Положение не содержит раздел о биометрии, согласия собирались устно или в формате росписи в журнале (не отдельный письменный документ). Вероятный исход — протокол по ч. 2 ст. 13.11 КоАП по числу работников, для которых нет письменных согласий. При 50 работниках и минимальном штрафе по ч. 2 — потенциальная сумма существенна. Стратегия: до начала проверки оценить наличие биометрических согласий, при выявлении пробелов — получить согласия и зафиксировать в Положении порядок их хранения.

Если HRD получил уведомление о проверке РКН — у вас, как правило, 2–3 рабочих дня до начала. Юристы DATUM подготовят HR-документацию к проверке и будут сопровождать взаимодействие с инспектором.

Подготовиться к проверке РКН

Ситуация 3. Передача ПДн работников кадровому агентству для закрытия вакансии. Работодатель передаёт резюме и контакты 30 кандидатов кадровому агентству для оценки и первичного интервью. Правовое основание такой передачи — поручение обработки по п. 3 ст. 6 ФЗ-152. Для поручения необходимо заключить договор, в котором зафиксирован перечень поручаемых действий и требование об обеспечении конфиденциальности. Если договора нет — передача квалифицируется как незаконная обработка ПДн третьими лицами. Положение должно описывать порядок заключения таких договоров и перечень разрешённых категорий получателей ПДн работников.

Как выглядит практика: кейсы

Кейс 1. Производственная компания Сибирского ФО (осень 2025). HRD обнаружила при внутреннем аудите, что согласия 120 работников на обработку ПДн включены в трудовые договоры, подписанные до 01.09.2025. РКН в ходе документарной проверки зафиксировал нарушение требований к форме согласия по ч. 2 ст. 13.11 КоАП. Компания переоформила согласия как отдельные документы и скорректировала Положение; при рассмотрении дела суд учёл принятые меры. ⚠️ Конкретный номер дела и точная сумма штрафа — менеджер уточняет при публикации.

Кейс 2. IT-компания Центрального ФО (начало 2026). После смены подрядчика по КЭДО выяснилось, что договор поручения обработки ПДн с предыдущим провайдером не расторгнут и данные работников формально продолжали обрабатываться третьей стороной без актуального основания. При проверке РКН это квалифицировано как нарушение ч. 1 ст. 13.11 КоАП. Положение компании не содержало раздела о КЭДО и порядке смены операторов-платформ. Итог: предписание об устранении нарушений, штраф в диапазоне, предусмотренном ч. 1 ст. 13.11 (до 300 000 ₽). ⚠️ Конкретный номер дела — менеджер уточняет при публикации.

Услуги DATUM по теме

  • Аудит соответствия 152-ФЗ — аудит ОРД HR-департамента по 38 пунктам, отчёт с планом устранения нарушений.
  • Комплект ОРД под ключ — разработка Положения о защите ПДн работников, форм согласий, приказов, регламентов.
  • DPO-аутсорсинг — абонентское ведение функции ответственного по ст. 22.1 ФЗ-152, ответы на запросы субъектов.

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025, обратной силы не имеют — ФЗ-156 не содержит требования об обязательном переоформлении ранее полученных согласий. Однако если старое согласие включено в текст трудового договора или иного документа, оно перестаёт соответствовать требованиям ст. 9 ФЗ-152 в новой редакции. При проверке РКН именно такое согласие будет квалифицировано как ненадлежащее. Практическая рекомендация: для работающих сотрудников провести переподписание при очередном кадровом мероприятии (аттестация, переподписание трудового договора, получение нового согласия на иную цель).

2. Какие данные нельзя спрашивать в анкете соискателя?

Ст. 86 ТК РФ запрещает обрабатывать персональные данные, не связанные с трудовой функцией. Нельзя запрашивать: сведения о политических, религиозных и иных убеждениях, членстве в общественных организациях, в том числе профсоюзах, семейное положение и состав семьи (кроме сведений для льгот по ТК РФ), состояние здоровья (кроме случаев, когда медицинские требования установлены для конкретной должности по закону). Включение таких вопросов в анкету — нарушение ч. 1 ст. 13.11 КоАП, поскольку создаёт обработку, несовместимую с законными целями работодателя.

3. Можно ли вести видеонаблюдение в офисе?

Видеонаблюдение в рабочих помещениях допустимо при соблюдении ряда условий. Работники должны быть письменно уведомлены о ведении видеозаписи — как правило, через Положение о защите ПДн или отдельный локальный акт, с которым работник знакомится под роспись. Видеозапись в местах общего пользования (переговорные, коридоры, проходные) требует размещения информационных табличек. Видеозапись в туалетах, комнатах отдыха и раздевалках запрещена. Если видеоданные обрабатываются для идентификации личности (распознавание лиц), это биометрические ПДн по ст. 11 ФЗ-152 — нужно письменное согласие каждого работника.

4. Сколько хранить согласия после увольнения?

Согласие на обработку ПДн — самостоятельный документ. После увольнения работника согласие, как правило, продолжает обеспечивать основание для хранения обусловленных им данных до истечения срока действия, указанного в самом согласии. После прекращения обработки рекомендуется хранить согласие не менее 3 лет — это перекрывает срок исковой давности и срок давности привлечения к ответственности по ст. 13.11 КоАП. Документы личного дела (трудовой договор, приказы, личная карточка) хранятся 75 лет независимо от согласия.

5. Кто является оператором ПДн при использовании КЭДО?

При использовании КЭДО оператором персональных данных работников остаётся работодатель — он определяет цели и состав обрабатываемых данных. Провайдер платформы КЭДО действует как лицо, осуществляющее обработку по поручению оператора в рамках п. 3 ст. 6 ФЗ-152. Это означает, что работодатель обязан заключить договор поручения обработки с провайдером, в котором будет указан перечень разрешённых действий, требования к защите и обязанность уничтожить данные после расторжения договора. Отсутствие такого договора не снимает ответственности с работодателя-оператора.

6. Что будет, если Положение есть, но в нём не перечислены все категории ПДн?

РКН при проверке сравнивает содержание Положения с фактической обработкой — путём анализа информационных систем, анкет, договоров. Расхождение между задекларированным и фактическим составом ПДн квалифицируется как нарушение принципа соответствия объёма обработки целям по ст. 5 ФЗ-152 и как обработка ПДн в случаях, не предусмотренных локальными актами, — ч. 1 ст. 13.11 КоАП. Штраф для юрлица — от 150 000 до 300 000 ₽. При повторном нарушении по ч. 1.1 — от 300 000 до 500 000 ₽.

Итог

Положение о защите персональных данных работников — это не формальный документ для галочки, а рабочий инструмент, который определяет порядок обработки ПДн в каждой HR-процедуре: найм, КЭДО, биометрия СКУД, передача зарплатному банку, архивирование. Недостатки в Положении выявляются при плановой или внеплановой проверке РКН и фиксируются как самостоятельные нарушения по ст. 13.11 КоАП.

Юристы DATUM сопровождают разработку и актуализацию ОРД HR-департаментов с учётом изменений ФЗ-156 от 24.06.2025, практики проверок РКН и требований ст. 87 ТК РФ. Практика «Ветров и партнёры» по 152-ФЗ начата в 2014 году.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах.

21 апреля 2028 года