инструкция 4 июня 2028 По состоянию на 4 июня 2028

Прописка/регистрация в анкете

Сбор адреса регистрации в кандидатской анкете — обработка персональных данных по ст. 3 ФЗ-152. Без правового основания и отдельного согласия это нарушение ч. 1 ст. 13.11 КоАП: штраф до 300 000 ₽, а при повторности — до 500 000 ₽.

С 01.09.2025 согласие на обработку ПДн оформляется отдельным документом (ФЗ-156 от 24.06.2025): его нельзя встраивать в бланк анкеты, трудовой договор или оферту. Если анкета содержит поля «прописка», «регистрация», «фактический адрес» без самостоятельного согласия — каждый заполненный бланк создаёт основание для штрафа.

Если вы HRD и анкеты кандидатов всё ещё собирают адрес регистрации в общем бланке — инструкция ниже объясняет, что исправить и в какой последовательности. → Проверить документы HR-блока

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420: 18 частей, оборотный штраф за повторную утечку до 500 млн ₽. Одновременно с 01.09.2025 вступило в силу требование об отдельном согласии (ФЗ-156). Два изменения вместе создали новый контур риска именно для HR: адрес регистрации запрашивают в анкете почти все, но правильное основание для этого есть далеко не у каждого. В инструкции — пять шагов, которые приводят анкету и сопутствующие документы в соответствие с актуальными требованиями.

Шаг 1. Определите, зачем вам нужен адрес регистрации

Прежде чем менять форму анкеты, ответьте на вопрос: для какой конкретной цели организация собирает адрес регистрации кандидата или нового сотрудника. Принцип целеполагания закреплён в ст. 5 ФЗ-152: обработка допустима только для заранее определённых, явных и законных целей.

Типичные цели при сборе адреса регистрации в HR-процессах:

оформление трудового договора — в договоре фиксируются паспортные данные, включая адрес регистрации (ст. 57 ТК РФ не требует адрес регистрации, но практика его включения распространена);
воинский учёт — работодатель обязан вести учёт военнообязанных и призывников (Федеральный закон «О воинской обязанности и военной службе»), адрес регистрации — элемент учётных данных;
уведомления органов государственной власти — например, МВД при приёме иностранных граждан;
доставка корреспонденции и расчётных листов, если работник согласился получать их почтой.

Если ни одна из этих целей не применима на стадии анкетирования кандидата — сбор адреса регистрации в анкете не обоснован. Откажитесь от поля или перенесите запрос на стадию оформления трудового договора, когда возникает договорное основание по п. 5 ч. 1 ст. 6 ФЗ-152.

«Ст. 5 ФЗ-152 запрещает обработку ПДн для целей, несовместимых с теми, ради которых данные собирались. Объём обрабатываемых ПДн должен соответствовать заявленным целям и не превышать их.»

Шаг 2. Выберите правовое основание для обработки

Адрес регистрации — стандартная категория ПДн (не специальная и не биометрическая). Для её обработки достаточно одного из оснований ст. 6 ФЗ-152. На практике в HR-процессе применяются два:

Договорное основание (п. 5 ч. 1 ст. 6 ФЗ-152) — если адрес нужен для исполнения трудового договора или по прямому требованию законодательства (воинский учёт, уведомление МВД). В этом случае согласия не требуется — достаточно закрепить цель в локальном акте и указать основание в уведомлении РКН.
Согласие (п. 1 ч. 1 ст. 6 ФЗ-152) — если адрес запрашивается в анкете на стадии отбора кандидата, до заключения договора. Согласие обязательно: нет договора — нет договорного основания.

Смешивать основания в одном документе с 01.09.2025 нельзя. ФЗ-156 требует, чтобы согласие на обработку ПДн было оформлено отдельным документом. Встроить согласие в бланк анкеты — значит нарушить ч. 1 ст. 9 ФЗ-152 в новой редакции.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 (с 01.09.2025): согласие субъекта оформляется отдельным документом. Обязательные реквизиты: наименование оператора, ФИО и контакты субъекта, цель обработки, перечень ПДн, перечень действий, срок, порядок отзыва.»

Практическое правило: если кандидат заполняет анкету до подписания трудового договора — готовьте отдельный лист согласия на обработку ПДн соискателя. Этот лист прикладывается к анкете, но не является её частью.

Согласия кандидатов ещё в бланке анкеты?

Если HRD не разделил анкету и согласие после 01.09.2025 — каждый заполненный бланк создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП: от 300 000 до 700 000 ₽. Срок для исправления не установлен, но проверка РКН может начаться в любой момент.

Юристы DATUM соберут пакет согласий соискателей и работников по требованиям ФЗ-156 и проведут аудит форм HR-документации.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Приведите форму анкеты в соответствие с ч. 1 ст. 86 ТК РФ

Статья 86 ТК РФ устанавливает условия обработки персональных данных работника: цели должны быть связаны с трудовыми отношениями, данные — собираться у самого работника, а не у третьих лиц. Это накладывает ограничения на содержание анкеты.

Поля, которые запрашивать нельзя или можно только при наличии специального основания:

сведения о религиозных, политических взглядах — специальная категория ст. 10 ФЗ-152, обработка запрещена без исключительного основания;
сведения о членстве в профсоюзах — ст. 86 ТК РФ прямо запрещает без согласия работника;
сведения о состоянии здоровья — только в части, связанной с профессиональной пригодностью (ч. 4 ст. 86 ТК РФ);
сведения об имущественном положении, кредитах, займах — нет трудово-правового основания;
сведения о родственниках сверх учётной карточки по форме Т-2 — требуют отдельного обоснования.

Адрес регистрации сам по себе в этот запрещённый перечень не входит, но на стадии анкетирования требует отдельного согласия. После заключения трудового договора адрес вносится в личное дело на основании документа, предъявленного работником (паспорт), и договорного основания.

Что проверить в анкете кандидата

Нет ли полей со специальными категориями ПДн без обоснования (здоровье, национальность, взгляды).
Разделены ли форма анкеты и форма согласия на обработку ПДн.
Указано ли в согласии, что адрес регистрации обрабатывается для конкретной цели (воинский учёт, оформление договора и т. д.).
Предусмотрен ли порядок отзыва согласия кандидата, которому отказали в приёме.
Установлен ли срок хранения анкет отказанных кандидатов и порядок их уничтожения.

Шаг 4. Настройте обработку ПДн в КЭДО и личном деле

Если организация использует кадровый электронный документооборот (КЭДО), адрес регистрации работника обрабатывается в информационной системе. Это порождает дополнительные обязательства по ст. 19 ФЗ-152 и требованиям к уровню защищённости ИСПДн по ПП РФ №1119.

Ключевые параметры для HR-систем с адресными данными работников:

Уровень защищённости. Общие ПДн (адрес регистрации, паспортные данные) при числе субъектов до 100 000 и угрозах 3-го типа соответствуют УЗ-4. Если в системе хранятся данные о здоровье — уровень повышается до УЗ-3.
Оператор КЭДО. Если КЭДО ведёт внешний провайдер, необходимо поручение обработки ПДн по п. 3 ст. 6 ФЗ-152: договор с перечнем передаваемых данных, целей, мер защиты. Без поручения провайдер обрабатывает ПДн незаконно, но ответственность несёт ваша организация как оператор.
Локализация. ПДн работников — граждан РФ — должны записываться, систематизироваться, накапливаться и храниться в базах данных на территории РФ (ч. 5 ст. 18 ФЗ-152). Облачный КЭДО на зарубежных серверах нарушает это требование: штраф по ч. 8 ст. 13.11 КоАП — от 1 000 000 до 6 000 000 ₽.
Биометрия в СКУД. Если система контроля доступа использует изображение лица или отпечатки пальцев — это биометрические ПДн по ст. 11 ФЗ-152. Обработка требует письменного согласия, отдельного от трудового договора. Штраф за нарушение по ч. 16 ст. 13.11 КоАП.

«Ч. 5 ст. 18 ФЗ-152: запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан РФ осуществляются только с использованием баз данных на территории РФ.»

Если HR-система или КЭДО работает на облачной платформе с серверами за рубежом — это нарушение локализации. Штраф по ч. 8 ст. 13.11 КоАП: от 1 до 6 млн ₽. При повторности — от 6 до 18 млн ₽. Юристы DATUM проверят договор с провайдером и помогут выстроить поручение обработки.

Заказать аудит 152-ФЗ

Шаг 5. Установите сроки хранения и порядок уничтожения ПДн

Адрес регистрации, собранный в анкете, хранится ровно столько, сколько необходима цель его сбора. После — ПДн уничтожаются или обезличиваются (ст. 21 ФЗ-152).

Ориентиры по срокам для разных категорий:

Анкеты отказанных кандидатов. Срок хранения по архивному законодательству — 3 года (для организаций с постоянным штатом). По истечении — уничтожение с составлением акта.
Личное дело работника. Хранится в течение всего периода работы, после увольнения — 75 лет (типовой срок по перечню архивных документов). Адрес регистрации как часть личного дела хранится весь этот срок.
Согласие на обработку ПДн. Хранить не менее срока обработки данных плюс 3 года — для подтверждения правомерности при возможной претензии субъекта или РКН.
Данные СКУД (биометрия). Хранятся только в период действия согласия. После увольнения работника и отзыва согласия — биометрические данные уничтожаются в течение 30 дней.

Порядок уничтожения фиксируется в локальном акте — регламенте обработки ПДн или отдельном приказе. Факт уничтожения подтверждается актом с подписью ответственного лица. Это не бюрократия: отсутствие акта при проверке РКН означает, что ПДн продолжают обрабатываться без основания.

Как выглядят типовые нарушения на практике

Три сценария, с которыми HR-директора сталкиваются чаще всего при проверках и спорах с субъектами ПДн.

Сценарий 1. Торговая компания (Сибирский ФО, осень 2025) использовала единый бланк: анкета кандидата с полями «прописка» и «фактический адрес» и текст согласия на обработку ПДн в конце того же листа. После 01.09.2025 такой формат нарушает ФЗ-156. При внеплановой проверке РКН зафиксировал нарушение ч. 1 ст. 9 ФЗ-152 — согласие не оформлено отдельным документом. Компания получила предписание об устранении и штраф по ч. 2 ст. 13.11 КоАП. Устранение потребовало переработки всех форм и повторного сбора согласий у действующих сотрудников, принятых после 01.09.2025.

Сценарий 2. IT-компания (Центральный ФО, начало 2026) внедрила СКУД с распознаванием лица без оформления письменных согласий работников на обработку биометрических ПДн. Один из сотрудников подал жалобу в РКН. РКН возбудил дело по ч. 16 ст. 13.11 КоАП. Компания вынуждена была единовременно собрать согласия от всего штата, а работники, отказавшиеся подписывать, получили право на вход по RFID-карте — без биометрии. Параллельно потребовалась переработка регламента обработки биометрических ПДн и уведомление РКН об изменении сведений.

Сценарий 3. Производственное предприятие (Уральский ФО, лето 2025) хранило анкеты отказанных кандидатов в архиве без ограничения срока — «на всякий случай». При плановой проверке РКН установил, что анкеты пятилетней давности с адресами регистрации и копиями паспортов не уничтожены, хотя цель обработки — отбор на вакансию — давно достигнута. Нарушение ст. 5 и ст. 21 ФЗ-152. Предписание об уничтожении и штраф по ч. 1 ст. 13.11 КоАП.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка форм анкет, согласий, личных дел и КЭДО по чек-листу из 38 пунктов.
Комплект ОРД под ключ — разработка согласий, политики обработки ПДн, регламентов для HR-блока.
DPO-аутсорсинг — ответственный за обработку ПДн по ст. 22.1 ФЗ-152 на абонентском обслуживании.

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025, обратной силы не имеют — ФЗ-156 не требует их переоформления. Но если форма не соответствовала требованиям ст. 9 ФЗ-152 ещё до изменений (нет обязательных реквизитов, смешана с другим документом), такое согласие было недействительным и до 01.09.2025. Всех работников, принятых после 01.09.2025, нужно обеспечить отдельными согласиями по новой форме. Для ранее принятых — оценить, соответствовало ли старое согласие прежним требованиям ст. 9.

2. Какие данные нельзя спрашивать в анкете?

Ст. 86 ТК РФ и ст. 10 ФЗ-152 запрещают запрашивать без специального основания: религиозные и политические взгляды, членство в профсоюзах, сведения о состоянии здоровья сверх профессиональной пригодности, национальность, данные об интимной жизни, сведения о судимости (кроме случаев, когда наличие/отсутствие судимости — условие допуска к должности). Имущественное положение, кредитная история, сведения о родственниках — только при наличии явного правового основания. Адрес регистрации на стадии анкеты — допустим, но требует отдельного согласия.

3. Можно ли вести видеонаблюдение в офисе?

Да, при соблюдении ряда условий. Видеозапись, позволяющая идентифицировать лицо, — персональные данные. Работники должны быть уведомлены о факте видеонаблюдения под роспись (ст. 22 ТК РФ, ст. 18.1 ФЗ-152). Если система распознаёт лица — это биометрия по ст. 11 ФЗ-152, и требуется письменное согласие каждого работника. Простая запись без распознавания работает на основании уведомления и законного интереса работодателя в обеспечении безопасности — согласия не требует, но акт о внедрении и локальный регламент обязательны.

4. Сколько хранить согласия после увольнения?

Согласие работника на обработку ПДн хранится в течение всего периода трудовых отношений и не менее 3 лет после их прекращения — как доказательство правомерности обработки при возможных претензиях субъекта или проверке РКН. Само личное дело работника хранится 75 лет. Согласие на обработку биометрии в СКУД — до момента уничтожения биометрических данных (не позднее 30 дней после увольнения) плюс 3 года после уничтожения.

5. Кто оператор при использовании КЭДО?

Оператором ПДн всегда остаётся работодатель — он определяет цели и способы обработки. Провайдер КЭДО действует как лицо, осуществляющее обработку по поручению оператора (п. 3 ст. 6 ФЗ-152). Обязательно заключить с провайдером соглашение об обработке ПДн с перечнем передаваемых данных, перечнем разрешённых действий и требованиями к мерам защиты. Без такого соглашения ответственность за нарушения со стороны провайдера несёт работодатель.

6. Нужно ли уведомлять РКН при изменении перечня обрабатываемых ПДн?

Да. Если организация расширяет перечень обрабатываемых ПДн, меняет цели или категории субъектов — необходимо направить в РКН уведомление об изменении сведений по форме Приказа РКН №180. Срок — до начала новых видов обработки. Неуведомление — нарушение ст. 22 ФЗ-152, штраф по ч. 10 ст. 13.11 КоАП от 100 000 до 300 000 ₽.

Итог

Сбор адреса регистрации в кандидатской анкете — законная практика при одном условии: правовое основание установлено до сбора данных, а согласие (если оно нужно) оформлено отдельным документом. После 01.09.2025 нарушение этого правила стоит от 300 000 до 700 000 ₽ по ч. 2 ст. 13.11 КоАП при первом нарушении.

Юристы DATUM сопровождают HR-блок по 152-ФЗ с момента разработки форм анкет до аудита КЭДО и биометрических систем. Пять шагов из инструкции можно реализовать самостоятельно; для проверки результата или разработки документации под ключ — обратитесь в DATUM.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах. Сопровождение проверок РКН в HR-департаментах.

4 июня 2028 года