Перейти к содержанию
инструкция 24 февраля 2028 По состоянию на 24 февраля 2028

Реестр согласий: что фиксировать

Реестр согласий на обработку персональных данных — обязательный элемент ОРД оператора по ст. 18.1 ФЗ-152. С 01.09.2025 каждое согласие работника оформляется отдельным документом по требованиям ФЗ-156 от 24.06.2025.
Штраф за обработку ПДн без надлежащего согласия — от 300 000 до 700 000 ₽ по ч. 2 ст. 13.11 КоАП (в редакции с 30.05.2025). При повторном нарушении — от 1 000 000 до 1 500 000 ₽ по ч. 2.1.
→ Если вы HRD и согласия работников до сих пор вшиты в трудовой договор — каждый такой документ создаёт основание для штрафа.

С 01.09.2025 требования к согласиям на обработку персональных данных кардинально изменились. ФЗ-156 от 24.06.2025 ввёл обязанность оформлять согласие отдельным документом — без объединения с трудовым договором, должностной инструкцией или политикой конфиденциальности. HR-директор, у которого не выстроен реестр согласий с фиксацией всех обязательных реквизитов, рискует получить предписание РКН и протокол по ст. 13.11 КоАП уже при первой внеплановой проверке. В этой инструкции — пошаговый порядок построения реестра: от базовой структуры до специфики КЭДО, биометрии СКУД и персональных данных несовершеннолетних.

Шаг 1. Определите, какие согласия требуют фиксации в реестре

Не каждое взаимодействие с персональными данными работника требует отдельного согласия — закон допускает обработку на иных основаниях. Задача первого шага — разграничить основания и выявить те категории ПДн, для которых согласие обязательно.

По ст. 6 ФЗ-152 работодатель вправе обрабатывать общие персональные данные работника без согласия, если это необходимо для исполнения трудового договора или законодательно закреплённых обязанностей. Сюда относится передача сведений в ФНС, СФР, банк по зарплатному проекту. Согласие здесь не нужно и его отсутствие в реестре — не нарушение.

Согласие обязательно и должно быть в реестре в следующих случаях:

  • обработка специальных категорий ПДн по ст. 10 ФЗ-152: сведения о состоянии здоровья, инвалидности, национальности, религиозных убеждениях;
  • биометрические ПДн по ст. 11 ФЗ-152: изображение лица, голос, отпечатки пальцев — в том числе для СКУД;
  • распространение ПДн по ст. 10.1 ФЗ-152: публикация фото на сайте компании, упоминание в пресс-релизе;
  • передача ПДн третьим лицам за пределами законодательно обязательных случаев: кадровые агентства, системы оценки персонала, корпоративные платформы с зарубежным сервером;
  • обработка ПДн членов семьи работника: сведения о супруге и детях для ДМС, корпоративных льгот, профсоюзных выплат.
«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025: согласие субъекта персональных данных должно быть оформлено как самостоятельный документ. Его нельзя включать в текст трудового договора, должностной инструкции, заявления о приёме на работу или иных документов. Обратной силы поправка не имеет: ранее полученные согласия пересматривать не требуется.»

Итог шага 1 — перечень категорий обработки, для которых согласие обязательно. Этот перечень станет основой структуры реестра.

Согласия работников ещё в трудовом договоре?

Если HRD не привёл документы в соответствие с ФЗ-156 до 01.09.2025, каждое согласие, вшитое в трудовой договор или приложение к нему, юридически не отвечает требованиям ст. 9 ФЗ-152. Штраф по ч. 2 ст. 13.11 КоАП — от 300 000 до 700 000 ₽. Срок подготовки нового пакета согласий и проведения аудита — от двух недель.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Шаг 2. Установите обязательные реквизиты каждой записи реестра

Реестр согласий — это журнал, в котором каждая строка соответствует одному согласию одного субъекта. Минимальный состав реквизитов определён ст. 9 ФЗ-152.

Для каждой записи фиксируйте:

  • Идентификатор субъекта — ФИО работника, табельный номер или иной внутренний идентификатор.
  • Дата подписания согласия — день, когда работник подписал документ. Не дата приёма на работу и не дата ввода в систему.
  • Цель обработки — конкретная формулировка из текста согласия. Не «кадровый учёт», а «организация пропускного режима с использованием биометрической идентификации по изображению лица».
  • Перечень персональных данных — категории ПДн, перечисленные в согласии. При обработке специальных категорий — фиксировать категорию явно.
  • Перечень действий с ПДн — сбор, запись, систематизация, хранение, использование, передача третьим лицам и т. д.
  • Срок действия согласия — если установлен. Если срок не указан — согласие действует до отзыва.
  • Способ отзыва — описание механизма из текста согласия: письменное заявление, личный кабинет, обращение к ответственному за обработку ПДн.
  • Статус согласия — действующее, отозванное, истёкшее. Дата и основание изменения статуса.
  • Место хранения оригинала — физическое дело, электронный архив с указанием пути или идентификатора документа в КЭДО.

Дополнительно для согласий на распространение ПДн по ст. 10.1 ФЗ-152 фиксируйте перечень запретов и условий, которые субъект установил в тексте согласия. Молчание субъекта по умолчанию означает запрет на любые действия с ПДн для неограниченного круга лиц.

Как вести реестр согласий при использовании КЭДО?

Электронный документооборот меняет не состав реестра, а технический способ его ведения и порядок подтверждения подписи субъекта.

Если работодатель использует КЭДО на основании ст. 22.2 ТК РФ, согласие работника на обработку персональных данных может быть подписано усиленной квалифицированной электронной подписью (УКЭП) или усиленной неквалифицированной (УНЭП) — при условии, что используемая информационная система аттестована и порядок подписания установлен локальным актом.

В реестре в этом случае дополнительно фиксируются:

  • наименование КЭДО-системы и идентификатор документа в системе;
  • вид электронной подписи (УКЭП / УНЭП);
  • дата и время создания подписи по данным системы;
  • ссылка на сертификат подписи или его хэш для УКЭП.
«Ст. 87 ТК РФ обязывает работодателя хранить персональные данные работника в порядке, обеспечивающем их защиту от неправомерного использования или утраты. Ст. 86 ТК РФ запрещает получать и обрабатывать персональные данные о работнике без его согласия, за исключением случаев, предусмотренных федеральным законом.»

Ключевой риск при КЭДО — оператором ПДн по данным, которые обрабатываются в системе КЭДО, формально является работодатель, даже если система предоставляется по SaaS-модели. Это означает, что ответственность за утечку через платформу КЭДО несёт работодатель, а не вендор — если в договоре с вендором не прописано поручение обработки по ст. 6 ФЗ-152 с описанием перечня действий и обязанности по защите.

Если КЭДО работает, но соглашение о поручении обработки ПДн с вендором не подписано — оператором с полной ответственностью остаётся работодатель. Проверьте договор до проверки РКН.

Заказать аудит 152-ФЗ

Шаг 3. Выстройте порядок фиксации согласий по категориям работников

Реестр охватывает не только действующих работников, но и кандидатов, стажёров, бывших работников в периоде хранения данных.

Что фиксировать в реестре по категориям субъектов

  • Кандидаты: согласие на обработку резюме и данных, полученных в ходе отбора; согласие на проверку службой безопасности (если применяется); дата и способ отзыва при отказе в найме.
  • Действующие работники: согласие на обработку специальных категорий ПДн (здоровье для ДМС, инвалидность), биометрии СКУД, ПДн членов семьи для корпоративных льгот, распространение (фото, публикации).
  • Участники КЭДО: дополнительно — вид ЭП, системный идентификатор документа, дата создания подписи.
  • Уволенные работники: согласие продолжает действовать в части оснований, не связанных с трудовым договором. Статус — «действующее» до истечения срока или отзыва. Срок хранения личного дела — 75 лет.
  • Несовершеннолетние (практиканты, стажёры до 18 лет): согласие дают родители или законные представители; в реестре фиксируется ФИО представителя и документ-основание.

Шаг 4. Настройте учёт биометрии СКУД отдельным разделом реестра

Биометрические персональные данные — отдельная категория по ст. 11 ФЗ-152. Письменное согласие на их обработку обязательно вне зависимости от иных оснований. В реестре для биометрии СКУД ведётся отдельный раздел с расширенными реквизитами.

В дополнение к базовым реквизитам фиксируйте:

  • вид биометрии: изображение лица, отпечаток пальца, рисунок вены — в зависимости от используемой системы;
  • наименование СКУД-системы и производителя оборудования;
  • место хранения шаблона биометрии: локально на устройстве или на сервере; если на сервере — его местонахождение (обязательна локализация в РФ по ч. 5 ст. 18 ФЗ-152);
  • срок хранения биометрического шаблона — обычно совпадает с периодом трудовых отношений плюс срок уничтожения после увольнения;
  • дату и подтверждение уничтожения шаблона после увольнения работника.
«Ст. 11 ФЗ-152: обработка биометрических персональных данных без письменного согласия субъекта допускается только в случаях, прямо установленных законом. Трудовые отношения к таким исключениям не относятся. Штраф за нарушение — по ч. 16 ст. 13.11 КоАП; за утечку биометрии — по ч. 17 ст. 13.11 от 15 000 000 до 20 000 000 ₽.»

Шаг 5. Установите процедуры актуализации и уничтожения записей реестра

Реестр — живой документ. Записи в нём появляются, изменяются и закрываются в течение всего жизненного цикла персональных данных работника.

Определите и закрепите локальным актом три события, при которых запись реестра меняется:

  • Отзыв согласия работником. Работник вправе отозвать согласие в любой момент по ст. 9 ФЗ-152. При получении заявления об отзыве в реестре фиксируются: дата получения заявления, дата фактического прекращения обработки. Продолжение обработки после отзыва — нарушение ч. 1 ст. 13.11 КоАП.
  • Истечение срока согласия. Если согласие выдано на конкретный срок — по его окончании статус меняется на «истёкшее», обработка прекращается или инициируется получение нового согласия.
  • Увольнение работника. После расторжения трудового договора часть оснований обработки ПДн прекращается. По ст. 21 ФЗ-152 оператор обязан уничтожить или обезличить ПДн при достижении целей. Биометрический шаблон СКУД уничтожается с фиксацией факта в реестре. Кадровые документы хранятся по срокам, установленным Приказом Росархива.

Не реже одного раза в год проводите ревизию реестра: проверяйте соответствие фактически обрабатываемых данных зафиксированным целям и составу. Расхождение — индикатор нарушения ст. 5 ФЗ-152 (принцип соответствия объёма целям).

Как выглядят типичные нарушения при ведении реестра: три сценария

Сценарий 1. Согласие вшито в трудовой договор. HR-директор производственной компании (Уральский ФО, осень 2025) при внеплановой проверке предъявил инспектору РКН согласия работников в виде пункта трудового договора. Инспектор квалифицировал это как нарушение ч. 2 ст. 13.11 КоАП: согласие не является отдельным документом, как требует ст. 9 ФЗ-152 в редакции ФЗ-156. По 214 работникам компании составлены отдельные протоколы. Итог — штраф в несколько сотен тысяч рублей; параллельно — предписание об устранении. Компания устранила нарушение за три недели, повторный визит инспектора подтвердил соответствие.

Сценарий 2. Биометрия СКУД без отдельного согласия и без записи в реестре. В деле об использовании биометрии СКУД в торговой сети (Северо-Западный ФО, начало 2026) работодатель ссылался на то, что работники «фактически дали согласие», пройдя процедуру регистрации на входе. РКН не принял этот довод: письменное согласие по ст. 11 ФЗ-152 — обязательный реквизит, устная или конклюдентная форма недопустима. Реестр биометрии не вёлся вовсе. Итог — штраф по ч. 16 ст. 13.11 КоАП, предписание о прекращении обработки биометрии до получения надлежащих согласий.

Сценарий 3. Реестр есть, но неполный: нет записей об отозванных согласиях. Ритейлер (Центральный ФО, лето 2025) вёл реестр согласий, однако не фиксировал отзывы. Уволенный работник подал жалобу в РКН: его данные продолжали обрабатываться в системе CRM для рассылки после увольнения. Проверка выявила 43 аналогичных случая. Штраф по ч. 1 ст. 13.11 КоАП и предписание внедрить процедуру фиксации отзывов в реестре.

Услуги DATUM по теме

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Нет. ФЗ-156 от 24.06.2025 не имеет обратной силы: согласия, полученные до 01.09.2025 в форме, соответствовавшей требованиям на тот момент, остаются действительными. Переоформлять нужно только те, которые получаются после 01.09.2025 — они обязаны быть самостоятельным документом по ст. 9 ФЗ-152. Если старое согласие вшито в трудовой договор и срок его не истёк, при первом поводе — ревизии, изменении условий обработки — рекомендуется заменить его новым отдельным документом.

2. Какие данные нельзя спрашивать в анкете кандидата?

Ст. 86 ТК РФ прямо запрещает работодателю требовать сведения, не связанные с трудовой деятельностью. Нельзя запрашивать: политические, религиозные и философские убеждения; членство в профсоюзах и иных общественных объединениях; сведения о частной жизни. Специальные категории ПДн по ст. 10 ФЗ-152 (состояние здоровья, судимость) допустимы только при наличии явной правовой нормы-основания — например, медицинская книжка для работ с пищевыми продуктами.

3. Можно ли вести видеонаблюдение в офисе?

Видеонаблюдение в рабочих помещениях допустимо при одновременном выполнении трёх условий: работники уведомлены о факте съёмки и её целях (ст. 86 ТК РФ, ст. 9 ФЗ-152); цели ограничены охраной труда, безопасностью или производственными задачами — не личной жизнью; данные видеозаписей обрабатываются в соответствии с ОРД, срок хранения установлен и не превышает необходимого. Если видеозапись используется для биометрической идентификации — требуется отдельное письменное согласие по ст. 11 ФЗ-152.

4. Сколько хранить согласия после увольнения?

Согласие — часть личного дела работника. Общий срок хранения личных дел по Приказу Росархива — 75 лет для документов, созданных до 2003 года, и 50 лет — после 2003 года. Согласие на обработку биометрии хранится до подтверждения уничтожения биометрического шаблона плюс установленный срок хранения кадровых документов. Срок хранения самого согласия не может быть меньше срока, в течение которого работодатель вправе привлечь к ответственности за нарушения в период трудовых отношений.

5. Кто является оператором при использовании КЭДО?

Оператором персональных данных, которые обрабатываются в системе КЭДО, является работодатель — независимо от того, что платформу предоставляет сторонний вендор по SaaS-модели. Вендор выступает лицом, осуществляющим обработку по поручению оператора (ст. 6 ч. 3 ФЗ-152). Это означает, что ответственность за нарушения при обработке ПДн в КЭДО несёт работодатель. Договор с вендором должен содержать условия о поручении обработки: перечень действий, обязательства по защите, запрет передачи третьим лицам.

6. Что делать, если работник требует уничтожить его данные после увольнения?

Требование субъекта об уничтожении ПДн рассматривается в течение 10 рабочих дней по ст. 20 ФЗ-152 (с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта). Уничтожение производится в части данных, обрабатывавшихся на основании согласия, если согласие отозвано. ПДн, которые хранятся по требованию закона (налоговые, бухгалтерские, кадровые документы), уничтожению по требованию субъекта не подлежат — работодатель обязан обоснованно отказать и объяснить основание хранения.

Итог

Реестр согласий — инструмент, который позволяет HR-директору доказать правомерность каждого факта обработки персональных данных при проверке РКН. Без реестра невозможно ни подтвердить наличие согласия, ни зафиксировать его отзыв, ни проконтролировать сроки уничтожения биометрии. С 01.09.2025 каждое согласие должно быть самостоятельным документом — и каждый такой документ должен быть учтён.

Юристы DATUM сопровождают HR-департаменты при построении реестра согласий, формировании пакета ОРД под ключ и подготовке к проверкам РКН. Практика по 152-ФЗ в части трудовых отношений — с 2014 года.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Согласия работников по ст. 9 152-ФЗ в редакции ФЗ-156, КЭДО, биометрия СКУД, проверки РКН в HR-департаментах.

24 февраля 2028 года