Перейти к содержанию
инструкция 14 апреля 2028 По состоянию на 14 апреля 2028

Резервное копирование кадровых данных в КЭДО

Резервное копирование кадровых данных в КЭДО — это не техническая задача IT-отдела, а обязанность оператора по ст. 19 ФЗ-152, нарушение которой влечёт штраф до 300 000 ₽ по ч. 1 ст. 13.11 КоАП.
С 01.09.2025 согласия работников оформляются отдельным документом по ФЗ-156. Потеря резервной копии согласия после этой даты означает, что обработка кадровых ПДн лишается правового основания.
Если вы HRD и КЭДО уже работает, но регламент резервного копирования не согласован с юристом — читайте дальше: в инструкции 6 шагов с нормами и чек-листом.

Переход на кадровый электронный документооборот переместил личные дела, согласия, приказы об отпусках и трудовые договоры в базы данных. Потеря этих данных — не просто технический сбой: это утрата правовых оснований для продолжения обработки ПДн работников. По данным РКН за 2024 год зафиксировано более 135 случаев компрометации баз, и кадровые системы составляют устойчивую долю инцидентов. Инструкция ниже показывает, как выстроить резервное копирование так, чтобы оно соответствовало требованиям ФЗ-152, ст. 86–87 ТК РФ и ПП РФ № 1119.

Что считается кадровыми персональными данными в КЭДО?

Прежде чем настраивать резервное копирование, HR-директор должен понять, что именно подлежит защите. Кадровые ПДн в КЭДО делятся на три категории по режиму обработки.

Общие ПДн — ФИО, дата рождения, адрес, паспортные данные, СНИЛС, ИНН, сведения о трудовой деятельности, зарплате, отпусках. Основание обработки — ст. 86–88 ТК РФ и п. 5 ч. 1 ст. 6 ФЗ-152 (исполнение договора). Согласие на такую обработку не требуется, но документировать правовое основание в регламенте — обязательно.

Специальные категории — сведения о состоянии здоровья (листы нетрудоспособности, медкнижки, справки об инвалидности), данные о судимости. Обработка допустима только по основаниям ч. 2 ст. 10 ФЗ-152. Резервные копии, содержащие эти данные, требуют повышенного уровня защищённости.

Биометрические ПДн в СКУД — изображение лица, отпечатки пальцев, используемые для идентификации при входе. Ст. 11 ФЗ-152 требует письменного согласия. Резервная копия биометрических шаблонов — отдельный объект защиты.

«Ст. 19 ФЗ-152 обязывает оператора принять организационные и технические меры для защиты ПДн от уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий. Состав мер — ПП РФ № 1119 и Приказ ФСТЭК № 21.»

Для целей настройки резервного копирования важно понимать: утрата резервной копии согласия работника означает, что оператор не может доказать законность обработки в случае проверки РКН или судебного спора.

Как определить уровень защищённости резервных копий?

ПП РФ № 1119 устанавливает четыре уровня защищённости (УЗ-1..УЗ-4). Кадровая система КЭДО с данными более 1 000 работников и без специальных категорий — как правило, УЗ-3 или УЗ-4 в зависимости от типа угроз. Если в системе хранятся медицинские данные — минимум УЗ-3. Если биометрия СКУД — УЗ-2 или УЗ-1 при актуальных угрозах 1-го типа.

Уровень защищённости напрямую влияет на требования к резервным копиям: шифрование, хранение на изолированных носителях, контроль доступа. При УЗ-3 и выше Приказ ФСТЭК № 21 требует мер группы ЗНИ (защита носителей информации) — это применимо и к резервным копиям.

Ваш КЭДО уже работает, а уровень защищённости не определён?

Без расчёта уровня защищённости по ПП РФ № 1119 невозможно правильно настроить ни резервное копирование, ни меры по Приказу ФСТЭК № 21. Любая проверка РКН начинается именно с этого документа. Юристы DATUM проведут аудит и определят актуальные угрозы для вашей кадровой системы — в рамках аудита соответствия 152-ФЗ.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 1. Составьте реестр кадровых данных, подлежащих резервному копированию

Первый шаг — инвентаризация. Без понимания того, что хранится в КЭДО, нельзя ни выбрать метод копирования, ни установить сроки хранения резервных копий. Реестр составляется в разрезе категорий данных и правовых оснований обработки.

Включите в реестр: трудовые договоры и допсоглашения, согласия на обработку ПДн (отдельные документы по ФЗ-156 с 01.09.2025), приказы о приёме/переводе/увольнении, личные карточки, листы нетрудоспособности, согласия на биометрию СКУД, документы о зарплате. По каждому типу — категория ПДн, правовое основание, срок хранения оригинала, срок хранения резервной копии.

Срок хранения влияет на политику резервного копирования: если оригинальный документ хранится 75 лет (личное дело), резервная копия должна быть доступна в течение того же срока. Согласие на обработку ПДн по ст. 9 ФЗ-152 хранится не менее срока обработки плюс 3 года — это минимум для резервных копий согласий.

Шаг 2. Определите ответственного и закрепите обязанности в ОРД

Ст. 22.1 ФЗ-152 требует, чтобы оператор-юрлицо назначил лицо, ответственное за организацию обработки ПДн. Именно это лицо должно утверждать регламент резервного копирования и контролировать его исполнение. На практике в HR-блоке ответственным назначают HRD или директора по персоналу.

Закрепите в приказе о назначении ответственного: обязанность утверждать регламент резервного копирования кадровых ПДн, обязанность ежеквартально проверять целостность резервных копий, обязанность уведомлять РКН при обнаружении инцидента в течение 24 часов (ч. 3.1 ст. 21 ФЗ-152). Последнее критично: если инцидент затронул кадровую базу, срок не восстанавливается.

Если КЭДО предоставляет внешний вендор, он является лицом, осуществляющим обработку по поручению оператора (п. 3 ст. 6 ФЗ-152). Поручение обработки должно быть оформлено отдельным договором или соглашением с перечнем допустимых действий, включая резервное копирование.

Шаг 3. Разработайте регламент резервного копирования с учётом требований ФЗ-152

Регламент — это внутренний ОРД, который описывает: периодичность копирования (не реже ежедневно для активно изменяемых данных), метод (полная/инкрементальная/дифференциальная копия), место хранения (изолированная инфраструктура, отдельная от основной), требования к шифрованию, порядок проверки целостности, порядок восстановления и срок восстановления (RTO).

С точки зрения 152-ФЗ регламент должен отражать меры по ст. 19 ФЗ-152 и быть согласован с моделью угроз. Хранение резервных копий за пределами РФ недопустимо: ч. 5 ст. 18 ФЗ-152 требует, чтобы запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан РФ осуществлялись в базах данных на территории РФ. Резервная копия — это хранение.

Отдельно опишите порядок работы с биометрическими шаблонами СКУД: они требуют усиленного контроля доступа к резервным копиям и немедленного уничтожения резервной копии при отзыве согласия работником.

Что подготовить для соответствия требованиям

  • Реестр кадровых ПДн в КЭДО с категориями, основаниями и сроками хранения
  • Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152
  • Регламент резервного копирования кадровых данных с периодичностью и местом хранения
  • Договор-поручение с вендором КЭДО, включающий обязанности по резервному копированию
  • Журнал проверки целостности резервных копий с датами и ответственным

Шаг 4. Пересмотрите согласия работников после 01.09.2025

ФЗ-156 от 24.06.2025 изменил ч. 1 ст. 9 ФЗ-152: с 01.09.2025 согласие на обработку ПДн оформляется отдельным документом и не может быть включено в трудовой договор, оферту или иной документ. Если в вашем КЭДО согласия работников встроены в тело трудового договора или анкеты — это нарушение, которое будет зафиксировано при проверке РКН.

Важно: ФЗ-156 не имеет обратной силы. Согласия, полученные до 01.09.2025 в составе трудового договора, переоформлять не обязательно. Но все новые документы — только отдельным документом. Резервное копирование должно обеспечивать сохранность именно отдельных файлов согласий, а не только трудовых договоров целиком.

Для биометрии СКУД — письменное согласие по ст. 11 ФЗ-152 требовалось всегда. Проверьте, что резервные копии этих согласий хранятся отдельным слоем с повышенным контролем доступа.

Шаг 5. Настройте процедуру уничтожения резервных копий при увольнении

Ст. 21 ФЗ-152 обязывает оператора уничтожить или обезличить ПДн при достижении целей обработки или при отзыве согласия. Увольнение само по себе не прекращает всю обработку: личное дело хранится 75 лет по Приказу Росархива, документы о зарплате — не менее 6 лет. Но биометрические данные СКУД после увольнения должны быть уничтожены незамедлительно — вместе с резервными копиями биометрических шаблонов.

Составьте внутреннюю процедуру: при увольнении HR формирует заявку на удаление биометрии из СКУД и уведомляет IT о необходимости удалить соответствующие данные из всех резервных копий, включая архивные. Срок исполнения — не более 7 рабочих дней с даты увольнения.

Для остальных кадровых ПДн — разграничьте в регламенте: что хранится постоянно (документы с длительным сроком хранения), что удаляется по истечении цели (согласия на разовые рассылки), что обезличивается (аналитика посещаемости рабочего места).

Если HRD не выстроил процедуру уничтожения биометрии из резервных копий — при первой же проверке РКН это даст основание для протокола по ч. 5 ст. 13.11 КоАП (штраф до 90 000 ₽). Юристы DATUM соберут полный пакет ОРД для HR-департамента, включая регламент резервного копирования и процедуру уничтожения.

Собрать ОРД под ключ

Шаг 6. Отработайте сценарий инцидента с резервными копиями

Инцидент с кадровыми данными — это не только взлом. Случайное удаление базы КЭДО, ошибка при обновлении вендором, ransomware — всё это ситуации, требующие немедленных действий. Ч. 3.1 ст. 21 ФЗ-152 и Приказ РКН № 187 устанавливают: первичное уведомление РКН — в течение 24 часов с момента обнаружения, отчёт о результатах расследования — в течение 72 часов.

В регламенте резервного копирования должен быть раздел «Действия при инциденте»: кто принимает решение о восстановлении из резервной копии, кто уведомляет РКН, кто общается с вендором КЭДО. Если резервная копия есть, но процедура восстановления не отработана — при инциденте потеряете время и нарушите 24-часовой срок.

Зафиксируйте в регламенте: RTO (целевое время восстановления) — не более 4 часов для критических кадровых данных. RPO (допустимая потеря данных) — не более суток. Эти параметры влияют на частоту резервного копирования.

Типичные ситуации: как нарушения выявляются на практике

Ситуация 1. Вендор КЭДО хранит резервные копии в зарубежном облаке. HR-директор производственной компании (Уральский ФО, начало 2026) при подготовке к проверке РКН обнаружил, что договор с вендором КЭДО не содержит указания на место хранения резервных копий. Оказалось, что бэкапы автоматически реплицировались на серверы в Нидерландах. Ситуация квалифицировалась как нарушение ч. 5 ст. 18 ФЗ-152 (локализация) и могла повлечь штраф по ч. 8 ст. 13.11 КоАП в диапазоне 1–6 млн ₽. Компания успела переподписать договор с вендором и уведомить РКН об устранении нарушения до составления протокола.

Ситуация 2. Утечка согласий через незащищённую резервную копию. Ретейлер (Центральный ФО, осень 2025) после атаки ransomware на основной сервер КЭДО восстановился из резервной копии. При расследовании выяснилось, что резервная копия хранилась без шифрования на общем файловом сервере с избыточными правами доступа. Данные согласий работников (более 3 000 субъектов) стали доступны злоумышленникам ещё до атаки на основную систему. Протокол составлен по ч. 12 ст. 13.11 КоАП — штраф в диапазоне 3–5 млн ₽. Неуведомление РКН в 24-часовой срок добавило протокол по ч. 11 ст. 13.11 (штраф 1–3 млн ₽).

Услуги DATUM по теме

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Нет, обратной силы ФЗ-156 не имеет. Согласия, полученные до 01.09.2025 в любой форме, остаются действующими. Требование об отдельном документе распространяется только на согласия, оформляемые с 01.09.2025. Если вы принимаете новых работников или изменяете условия обработки — используйте только отдельный документ. Проверьте, что КЭДО поддерживает генерацию согласий как отдельного файла, а не как части трудового договора.

2. Какие данные нельзя запрашивать в анкете соискателя?

Ст. 86 ТК РФ ограничивает обработку ПДн работника целями трудовых отношений. Запрашивать данные о политических, религиозных убеждениях, членстве в профсоюзах без согласия нельзя. Данные о состоянии здоровья — только в части, связанной с трудовой функцией (медосмотры, противопоказания). Национальная принадлежность, сведения о судимости без законного основания — под запретом. Анкета соискателя должна содержать только данные, необходимые для решения о приёме, и ссылку на правовое основание каждого пункта.

3. Можно ли вести видеонаблюдение в офисе?

Да, но при соблюдении ряда условий. Видеозапись в целях контроля безопасности допустима при наличии локального нормативного акта (ЛНА), ознакомлении работников под подпись и размещении предупреждающих табличек. Если изображение лица используется для идентификации — это биометрические ПДн по ст. 11 ФЗ-152, и тогда требуется письменное согласие каждого работника. Простая запись без идентификации по биометрии к биометрическим ПДн не относится. Резервные копии видеозаписей, используемых для идентификации, требуют того же уровня защищённости, что и биометрические шаблоны СКУД.

4. Сколько хранить согласия после увольнения?

Ст. 9 ФЗ-152 не устанавливает отдельного срока для согласий — срок привязан к цели обработки. После увольнения согласие хранится в составе личного дела (75 лет по Приказу Росархива № 236 от 20.12.2019 для документов по личному составу). Согласие на биометрию СКУД хранится до уничтожения биометрических данных — то есть не более срока хранения самих шаблонов. Резервные копии согласий должны покрывать весь установленный срок хранения оригинала.

5. Кто является оператором при использовании КЭДО?

Оператором остаётся работодатель — он определяет цели и состав обрабатываемых ПДн работников. Вендор КЭДО — лицо, осуществляющее обработку по поручению оператора (п. 3 ст. 6 ФЗ-152). Это означает, что работодатель несёт ответственность за действия вендора перед субъектами ПДн и РКН. Поручение обработки, включая резервное копирование, должно быть оформлено договором с перечнем допустимых действий, требованиями к защите и запретом на субпоручение без согласия оператора.

6. Что делать, если вендор КЭДО хранит резервные копии за рубежом?

Хранение резервных копий ПДн граждан РФ за пределами России нарушает ч. 5 ст. 18 ФЗ-152 о локализации — штраф по ч. 8 ст. 13.11 КоАП составляет 1–6 млн ₽. Необходимо изменить договор с вендором: включить требование о хранении всех резервных копий исключительно в инфраструктуре на территории РФ. Если вендор не может выполнить это требование — смена вендора или переход на собственную инфраструктуру резервного копирования. До устранения нарушения рекомендуется уведомить РКН в добровольном порядке — это учитывается при назначении санкций.

Итог

Резервное копирование кадровых данных в КЭДО — это пересечение технической задачи и правового требования. Ст. 19 ФЗ-152 обязывает обеспечить защиту от уничтожения и несанкционированного доступа. Локализация по ч. 5 ст. 18, требования к согласиям по ФЗ-156, уничтожение биометрии при увольнении — всё это должно быть отражено в регламенте, утверждённом ответственным по ст. 22.1 ФЗ-152.

Практика DATUM по сопровождению HR-департаментов показывает: наиболее частые нарушения — отсутствие договора-поручения с вендором КЭДО, хранение резервных копий без шифрования и неотработанная процедура уничтожения биометрии при увольнении. Эти три пробела устраняются в рамках комплекта ОРД без дорогостоящих технических изменений.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах.

14 апреля 2028 года