инструкция 22 апреля 2028 По состоянию на 22 апреля 2028

Религиозные взгляды в анкете: запрет

Религиозные убеждения — специальная категория персональных данных по ст. 10 ФЗ-152. Запрашивать их в анкете при приёме на работу запрещено без письменного согласия и специального правового основания.

С 30.05.2025 штраф за обработку специальных категорий ПДн без согласия — до 700 000 ₽ по ч. 2 ст. 13.11 КоАП; повторное нарушение — до 1 500 000 ₽. С 01.09.2025 согласие оформляется отдельным документом по ФЗ-156.

Если HRD использует анкету с вопросами о религии, национальности или состоянии здоровья — каждый такой документ создаёт основание для штрафа. Ниже — пошаговый порядок приведения анкет в соответствие.

Роскомнадзор при плановых и внеплановых проверках HR-департаментов проверяет анкеты кандидатов и работников в первую очередь. Анкета с полем «вероисповедание» или «национальность» — это обработка специальных категорий ПДн без надлежащего основания. С 30.05.2025 ст. 13.11 КоАП расширена до 18 частей, и санкции за нарушения в этой сфере существенно выросли. Инструкция ниже описывает шесть шагов: от аудита существующих анкет до хранения согласий после увольнения.

Шаг 1. Определите, какие данные в анкете относятся к специальным категориям

Специальные категории ПДн по ст. 10 ФЗ-152 — это расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, интимная жизнь, судимость. Обработка таких данных по общему правилу запрещена. Исключения исчерпывающе перечислены в ч. 2 ст. 10 ФЗ-152 и в трудовом контексте применимы крайне редко.

«Ст. 10 ФЗ-152 — обработка специальных категорий ПДн (расовая/национальная принадлежность, политические, религиозные, философские взгляды, состояние здоровья, интимная жизнь, судимость) допустима только в случаях, прямо предусмотренных ч. 2 ст. 10 ФЗ-152. В трудовых отношениях общее основание — согласие субъекта (п. 1 ч. 2 ст. 10) либо необходимость для выполнения обязательств в сфере занятости (п. 3 ч. 2 ст. 10, но только в пределах, предусмотренных законом).»

Проверьте каждое поле анкеты. Типичные нарушения: «вероисповедание», «национальность», «гражданство родителей», «хронические заболевания», «судимость» (вне перечня допустимых должностей), «политические взгляды». Все эти поля — под запретом без специального основания.

Ст. 86 ТК РФ устанавливает прямой запрет: работодатель не вправе запрашивать и обрабатывать данные о работнике, не относящиеся к трудовым функциям. Ст. 87 ТК РФ обязывает определить порядок хранения и использования ПДн. Нарушение этих норм квалифицируется одновременно по ТК РФ и ФЗ-152.

Шаг 2. Удалите запрещённые поля и пересоберите анкету под допустимые цели

После аудита полей — удалите все, которые не связаны с исполнением трудовой функции. Анкета кандидата должна содержать только те данные, которые нужны для заключения трудового договора и проверки квалификации. Это принцип соответствия объёма целям из ст. 5 ФЗ-152.

Допустимые поля в анкете кандидата: ФИО, дата рождения, контактные данные, образование, опыт работы, навыки, рекомендации. Не допустимы: вероисповедание, национальность, политические взгляды, состояние здоровья (за исключением обязательного медосмотра по должности — но это отдельный документ, не анкета), семейное положение (если не требуется по закону), судимость (только для должностей, где закон прямо устанавливает ограничение).

«Ст. 5 ФЗ-152 (принцип соответствия объёма целям) — обрабатываемые ПДн должны соответствовать целям обработки и не быть избыточными по отношению к ним. Ст. 86 ТК РФ — запрет запрашивать данные о работнике, не связанные с трудовыми функциями.»

Если должность предполагает допуск к сведениям, составляющим государственную тайну, — запрос отдельных категорий данных допустим на основании специального законодательства. Для большинства коммерческих компаний это основание неприменимо.

Анкеты уже используются — как быстро оценить риск?

Если HRD не уверен, соответствуют ли анкеты кандидатов требованиям ст. 10 ФЗ-152 и ст. 86 ТК РФ — каждая анкета с запрещённым полем создаёт основание для штрафа до 700 000 ₽ по ч. 2 ст. 13.11 КоАП. Проверка занимает один рабочий день.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Оформите согласие работника на обработку ПДн отдельным документом

С 01.09.2025 согласие на обработку ПДн оформляется отдельным документом — его нельзя включать в трудовой договор, приказ о приёме или политику конфиденциальности. Это требование ФЗ-156 от 24.06.2025, внёсшего изменения в ч. 1 ст. 9 ФЗ-152. Согласия, полученные до 01.09.2025 и включённые в другие документы, обратной силы закон не лишает — но новые согласия с 01.09.2025 должны быть отдельными.

Обязательные реквизиты согласия по ст. 9 ФЗ-152: ФИО и контактные данные субъекта; наименование и адрес оператора; цель обработки; перечень ПДн; перечень действий с ПДн; срок согласия или условия его прекращения; способ отзыва. Если обрабатываются специальные категории (ст. 10) — нужно отдельное согласие именно на них с указанием специальных категорий.

«Ст. 9 ч. 1 ФЗ-152 (в редакции ФЗ-156 от 24.06.2025, действует с 01.09.2025) — согласие субъекта на обработку ПДн должно быть оформлено отдельным документом, не объединённым с иными документами. Ст. 9 ч. 4 — в случае обработки специальных категорий ПДн по п. 1 ч. 2 ст. 10 требуется письменное согласие.»

Если религиозные взгляды нужны по объективной причине (например, для организации питания в соответствии с вероисповеданием по заявлению самого работника) — требуется отдельное письменное согласие с указанием конкретной цели. Без такого согласия — обработка невозможна даже при наличии заявления работника.

Как применяются нормы ст. 22.2 ТК РФ при ведении КЭДО?

Ст. 22.2 ТК РФ регулирует электронный документооборот в трудовых отношениях. При ведении КЭДО оператором ПДн выступает работодатель — он несёт ответственность за соответствие электронных кадровых документов требованиям ФЗ-152. Переход на КЭДО не освобождает от обязанности получить согласие работника на обработку его ПДн в электронной системе.

При использовании КЭДО через агрегатор (платформу) — работодатель остаётся оператором, платформа выступает лицом, осуществляющим обработку по поручению (п. 3 ст. 6 ФЗ-152). Договор с платформой должен содержать условия о конфиденциальности и техническом обеспечении защиты ПДн. Это требование ст. 6 ч. 3 ФЗ-152.

При КЭДО особую роль играет вопрос о биометрии: если для входа в систему используется распознавание лица или отпечаток пальца — это биометрические ПДн по ст. 11 ФЗ-152, требующие отдельного письменного согласия. СКУД с биометрией — то же самое: согласие обязательно, хранение биометрии в коммерческих базах вне ЕБС с 01.06.2023 запрещено по ФЗ-572.

«Ст. 11 ФЗ-152 — биометрические ПДн (изображение лица, голос, отпечатки пальцев, радужка глаза) обрабатываются только с письменного согласия субъекта. ФЗ-572 от 29.12.2022 — хранение исходной биометрии вне ЕБС запрещено с 01.06.2023 для организаций, использующих ГИС ЕБС.»

Что подготовить HR-департаменту

Актуальная анкета кандидата без полей о религии, национальности, состоянии здоровья, политических взглядах и судимости (вне допустимых должностей)
Отдельный документ согласия на обработку ПДн по ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156) — с перечнем данных, целей и способом отзыва
Договор с платформой КЭДО с разделом о поручении обработки ПДн (ст. 6 ч. 3 ФЗ-152) и условиями конфиденциальности
Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152
Журнал учёта обращений субъектов ПДн за последние 12 месяцев

Шаг 4. Настройте порядок хранения согласий и личных дел

Личное дело работника хранится 75 лет — это требование законодательства об архивном деле. Согласие на обработку ПДн как часть личного дела хранится аналогичный срок. После увольнения работника ПДн не уничтожаются сразу: основание для хранения сохраняется в части, необходимой для выполнения требований трудового, налогового и архивного законодательства.

Требование субъекта об уничтожении ПДн после увольнения не является безусловным. Если закон обязывает хранить документ (трудовую книжку, расчётный листок, приказ об увольнении), оператор вправе отказать в уничтожении, сославшись на конкурирующее правовое основание. Это следует из ст. 21 ФЗ-152: уничтожение обязательно, если цель обработки достигнута и закон не устанавливает иного.

Ст. 87 ТК РФ обязывает работодателя установить локальный нормативный акт о порядке хранения и использования ПДн работников. Такой акт должен содержать перечень ПДн, цели обработки, сроки хранения по каждой категории документов, ответственных лиц.

Шаг 5. Проверьте уведомление в реестре операторов РКН

Работодатель, обрабатывающий ПДн работников, обязан уведомить Роскомнадзор о намерении осуществлять обработку по ст. 22 ФЗ-152. Исключение — обработка исключительно в рамках трудовых отношений без передачи третьим лицам и автоматизированной обработки для принятия решений. На практике это исключение применяется редко: большинство компаний используют 1С, КЭДО-платформы, зарплатные проекты — что уже выходит за рамки исключения.

«Ст. 22 ФЗ-152 — оператор обязан уведомить РКН до начала обработки. Форма уведомления — Приказ РКН №180 от 28.10.2022. Неуведомление — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП.»

Если уведомление подано, но в реестре не отражён новый вид обработки (например, добавили КЭДО или биометрию СКУД) — необходимо подать уведомление об изменении сведений через pd.rkn.gov.ru. Несоответствие реестра фактической обработке РКН квалифицирует как неисполнение требований ст. 22 ФЗ-152.

Если HRD обнаружил, что уведомление в реестре РКН не обновлялось после внедрения КЭДО или биометрии СКУД — несоответствие создаёт риск штрафа 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП. Исправить за 1 рабочий день.

Собрать ОРД под ключ

Шаг 6. Подготовьте ОРД: политику, приказы и регламент реагирования

Полный комплект организационно-распорядительной документации для HR включает: политику обработки ПДн (ст. 18.1 ФЗ-152), положение о защите ПДн работников (ст. 87 ТК РФ), приказ о назначении ответственного (ст. 22.1 ФЗ-152), согласия работников по ст. 9 ФЗ-152 в редакции с 01.09.2025, регламент реагирования на инциденты (ст. 21 ФЗ-152, Приказ РКН №187), журнал учёта обращений субъектов.

Политика обработки ПДн по ч. 2 ст. 18.1 ФЗ-152 должна содержать: категории операторов и субъектов, цели обработки, правовые основания, перечень действий с ПДн, описание мер защиты, права субъектов. Политику размещают в открытом доступе — на сайте или на информационном стенде.

Ст. 22.1 ФЗ-152 обязывает назначить лицо, ответственное за организацию обработки ПДн. В HR-контексте это чаще HRD или HRIS-менеджер. Требования к квалификации ответственного — в ч. 4 ст. 22.1 ФЗ-152: необходимо понимание требований закона и наличие полномочий по изданию локальных актов.

Типовые ситуации в HR-практике

Ситуация 1. Анкета с полем «вероисповедание» в производственной компании. HRD использует анкету кандидата, разработанную в 2019 году. Поле «вероисповедание» включено для организации питания в корпоративной столовой. РКН при плановой проверке квалифицирует обработку как нарушение ст. 10 ФЗ-152 — обработка специальных категорий без письменного согласия на специальные категории (ч. 1 ст. 10). Протокол по ч. 2 ст. 13.11 КоАП — штраф до 700 000 ₽. Стратегия: немедленно убрать поле из анкеты; для организации питания запросить добровольное заявление от работника (не ПДн-согласие, а заявление о предпочтениях) либо оформить согласие по ст. 10 с конкретной целью.

Ситуация 2. Согласие в трудовом договоре до 01.09.2025 и новый работник. HR-директор производственного предприятия (Сибирский ФО, весна 2026) принял на работу специалиста и включил согласие на обработку ПДн в текст трудового договора. РКН при внеплановой проверке указал на нарушение ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156: с 01.09.2025 согласие — отдельный документ. Протокол по ч. 2 ст. 13.11. Смягчающее обстоятельство — первичность; в арбитражном суде региона штраф снижен до минимального порога. Стратегия: типовой шаблон отдельного согласия исключает этот риск.

Ситуация 3. СКУД с биометрией без согласий. Компания внедрила систему контроля доступа с распознаванием лица. Согласия работников на обработку биометрических ПДн не оформлены. Это нарушение ст. 11 ФЗ-152 — штраф по ч. 16 ст. 13.11 КоАП. При утечке биометрической базы — штраф 15–20 млн ₽ по ч. 17 ст. 13.11. Стратегия: до включения СКУД — получить письменное согласие на обработку биометрических ПДн от каждого работника, определить оператора и лицо по поручению, проверить хранение биометрии.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка анкет, согласий и ОРД по чек-листу из 38 пунктов
Комплект ОРД под ключ — политика, согласия, приказы, регламент реагирования для HR-департамента
DPO-аутсорсинг — функция ответственного по ст. 22.1 ФЗ-152 на абонентском обслуживании

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025 и включённые в трудовые договоры или иные документы, обратной силы ФЗ-156 не лишает — они сохраняют силу в части, соответствующей ФЗ-152. Однако все новые согласия с 01.09.2025 должны оформляться отдельным документом по ч. 1 ст. 9 ФЗ-152. На практике рекомендуется провести аудит действующих согласий и заменить те, которые содержат пробелы в обязательных реквизитах или не отвечают требованиям к специальным категориям ПДн.

2. Какие данные нельзя спрашивать в анкете кандидата?

По ст. 10 ФЗ-152 и ст. 86 ТК РФ нельзя запрашивать без специального основания: расовую и национальную принадлежность, религиозные и философские взгляды, политические убеждения, состояние здоровья (вне обязательного медосмотра), интимную жизнь, судимость (кроме должностей, для которых закон прямо устанавливает ограничение). Запрос этих данных без письменного согласия на специальные категории — нарушение ч. 1 ст. 10 ФЗ-152 с санкцией по ч. 2 ст. 13.11 КоАП до 700 000 ₽.

3. Можно ли вести видеонаблюдение в офисе без согласия работников?

Видеонаблюдение на рабочем месте допустимо без согласия работника, если работодатель преследует законную цель (охрана труда, безопасность имущества) и уведомил работников о факте видеонаблюдения под подпись. Уведомление — обязательное условие по ст. 86 ТК РФ. Если запись видео передаётся третьим лицам или используется для автоматизированного принятия решений о работнике — требуется согласие по ст. 9 ФЗ-152. Если система видеонаблюдения включает идентификацию лиц — это биометрия по ст. 11 ФЗ-152, и письменное согласие обязательно.

4. Сколько хранить согласия после увольнения работника?

Согласие на обработку ПДн как часть личного дела хранится 75 лет — в соответствии со сроками хранения кадровых документов по архивному законодательству. После увольнения уничтожить ПДн по требованию работника нельзя в части, где основание для хранения установлено законом (трудовое, налоговое, архивное право). Уничтожение допустимо только для тех данных, цель обработки которых достигнута и закон не устанавливает обязанность хранения — это следует из ст. 21 ФЗ-152.

5. Кто является оператором ПДн при использовании КЭДО?

Оператором при КЭДО является работодатель — он определяет цели и состав обрабатываемых ПДн работников. Платформа КЭДО выступает лицом, осуществляющим обработку по поручению оператора (п. 3 ст. 6 ФЗ-152). Договор с платформой должен содержать условия о конфиденциальности, перечень действий с ПДн и обязанность обеспечить их защиту. При отсутствии надлежащего договора ответственность за нарушения несёт работодатель-оператор.

6. Что делать, если работник требует уничтожить свои ПДн после увольнения?

Обработать обращение субъекта необходимо в течение 10 рабочих дней по ст. 20 ФЗ-152 — с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта. В ответе следует указать, какие ПДн уничтожены (цель достигнута), а какие сохраняются — с указанием правового основания (трудовое, налоговое, архивное законодательство). Молчание или игнорирование запроса — нарушение ч. 4 ст. 13.11 КоАП, штраф 40 000–80 000 ₽.

Итог

Религиозные взгляды, национальность и иные специальные категории ПДн в анкете кандидата — нарушение ст. 10 ФЗ-152 и ст. 86 ТК РФ. С 30.05.2025 санкция по ч. 2 ст. 13.11 КоАП достигает 700 000 ₽ за каждый факт, повторное нарушение — 1 500 000 ₽. Шесть шагов, описанных выше, закрывают основные риски HR-департамента: аудит анкет, пересборка под допустимые цели, отдельные согласия по ФЗ-156, порядок хранения, актуальность реестра РКН и полный комплект ОРД.

Практика DATUM сопровождает HR-департаменты среднего и крупного бизнеса по 152-ФЗ — от аудита анкет и согласий до защиты при проверках РКН и обжалования протоколов по ст. 13.11 КоАП.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), КЭДО и ПДн, биометрия в СКУД, проверки РКН в HR-департаментах.