Перейти к содержанию
инструкция 9 февраля 2028 По состоянию на 9 февраля 2028

Штрафы по 13.11 при нарушении 152-ФЗ в КЭДО

Нарушение 152-ФЗ при ведении КЭДО — это административный штраф от 30 000 до 700 000 ₽ за один протокол, а при повторной утечке — оборотный штраф до 500 млн ₽.
С 01.09.2025 согласие работника на обработку персональных данных оформляется отдельным документом (ФЗ-156 от 24.06.2025). Старые согласия, встроенные в трудовой договор или анкету, не отвечают требованиям ст. 9 ФЗ-152. Каждое такое согласие — самостоятельное основание для протокола по ч. 2 ст. 13.11 КоАП.
Если вы HRD и КЭДО уже работает, а согласия работников не переоформлены — проверьте документы до плановой проверки РКН. Юристы DATUM проведут аудит HR-документации за 5 рабочих дней. → Заказать аудит 152-ФЗ

Электронный документооборот с работниками создаёт плотный массив персональных данных: ФИО, СНИЛС, ИНН, сведения о здоровье, биометрия СКУД, история трудовых отношений. Роскомнадзор рассматривает КЭДО как информационную систему оператора с повышенным риском. В 2025 году РКН зафиксировал 118 случаев компрометации баз. Эта инструкция разбирает шесть шагов, которые позволяют HRD привести КЭДО-документацию в соответствие с 152-ФЗ и снизить риск штрафов по ст. 13.11 КоАП.

Шаг 1. Определите, какие персональные данные обрабатывает КЭДО

КЭДО обрабатывает несколько категорий ПДн одновременно. Общие данные (ФИО, дата рождения, контакты, трудовой стаж) подпадают под базовое регулирование ст. 6 ФЗ-152. Специальные категории — сведения о состоянии здоровья (листки нетрудоспособности, медкнижки, справки ВВК) — регулируются ст. 10 ФЗ-152 и обрабатываются только при наличии отдельного письменного согласия либо в случаях, прямо предусмотренных законом.

«Ст. 10 ФЗ-152 — специальные категории ПДн, включая сведения о состоянии здоровья, по общему правилу запрещены к обработке. Исключения перечислены в п. 2 ст. 10: исполнение обязанностей по трудовому законодательству, согласие субъекта и ряд других оснований.»

Биометрические данные, используемые в СКУД (изображение лица, отпечатки пальцев), относятся к отдельной категории по ст. 11 ФЗ-152. Для их обработки требуется письменное согласие работника — независимо от наличия иных оснований. Смешивать биометрическое согласие с общим документом КЭДО нельзя.

Личное дело работника в КЭДО, как правило, содержит одновременно общие, специальные и биометрические ПДн. Это означает, что HR-департамент является оператором, обрабатывающим данные трёх категорий в одной системе, — и должен иметь раздельные основания для каждой из них.

Что проверить на шаге 1

  • Перечень категорий ПДн, фактически загруженных в КЭДО (общие, специальные, биометрические)
  • Наличие отдельного письменного согласия на обработку биометрии в СКУД (ст. 11 ФЗ-152)
  • Наличие основания для обработки медицинских сведений (согласие или норма закона, п. 2 ст. 10 ФЗ-152)
  • Соответствие перечня обрабатываемых ПДн уведомлению в реестре РКН (ст. 22 ФЗ-152)

Шаг 2. Проверьте согласия работников на соответствие требованиям с 01.09.2025

С 01.09.2025 согласие на обработку персональных данных работника должно быть оформлено отдельным документом — не встроенным в трудовой договор, анкету при приёме или положение об обработке ПДн (ФЗ-156 от 24.06.2025, ч. 1 ст. 9 ФЗ-152). Ранее принятые согласия переоформлять не обязательно — закон не имеет обратной силы. Но для работников, принятых или переведённых после 01.09.2025, старая форма не подходит.

«Ст. 9 ФЗ-152 (в ред. ФЗ-156 от 24.06.2025) — согласие субъекта персональных данных оформляется в виде отдельного документа. Обязательные реквизиты: ФИО субъекта, его контактные данные, наименование и адрес оператора, цель обработки, перечень ПДн, перечень действий с ПДн, срок действия, способ отзыва.»

Обработка ПДн работника без надлежащего согласия (когда оно обязательно) или с согласием, не содержащим обязательных реквизитов, образует состав по ч. 2 ст. 13.11 КоАП. Штраф для юридического лица — от 300 000 до 700 000 ₽. При повторном нарушении (ч. 2.1) — от 1 000 000 до 1 500 000 ₽.

Согласие по ст. 86 и 87 ТК РФ не заменяет согласие по ст. 9 ФЗ-152: ТК устанавливает принципы обработки ПДн работника, но не определяет форму документа. HR-директору важно разграничивать эти нормы при подготовке пакета документов.

Согласия работников ещё в трудовом договоре?

Если HRD не переоформил согласия для новых сотрудников после 01.09.2025 — каждый такой документ создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП (до 700 000 ₽). Срок устранения нарушения после предписания РКН ограничен. Юристы DATUM проверят форму и состав согласий по требованиям ФЗ-156 и соберут корректный пакет ОРД для HR-департамента.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Проверьте ограничения по ст. 86 и 88 ТК РФ при сборе данных для КЭДО

Статья 86 ТК РФ прямо запрещает запрашивать у работника сведения о политических, религиозных убеждениях и частной жизни. Статья 87 ТК устанавливает, что работодатель определяет порядок хранения и использования ПДн работников. Статья 88 ТК ограничивает передачу ПДн третьим лицам — без письменного согласия работника передача запрещена, кроме случаев предотвращения угрозы жизни.

Типичные нарушения при настройке КЭДО: анкета при приёме содержит поля о семейном положении, детях, вероисповедании, болезнях; КЭДО интегрирована с кадровым порталом внешнего вендора без договора поручения обработки ПДн; журналы СКУД с биометрией передаются службе безопасности — стороннему юрлицу — без согласия работников.

«Ст. 22.2 ТК РФ — при ведении КЭДО работодатель обязан обеспечить защиту персональных данных работников в соответствии с законодательством о персональных данных.»

Передача ПДн работников вендору КЭДО — это поручение обработки по п. 3 ст. 6 ФЗ-152. Договор с вендором должен содержать перечень действий, которые вендор вправе совершать с данными, цели обработки и обязанность соблюдать конфиденциальность. Без такого договора оператор несёт ответственность за действия вендора в полном объёме.

Шаг 4. Настройте уведомление РКН с учётом КЭДО

Если компания начала вести КЭДО после того, как последний раз подавала уведомление о намерении обрабатывать ПДн (ст. 22 ФЗ-152), — сведения в реестре РКН устарели. Реальный перечень обрабатываемых данных шире заявленного: добавились биометрия СКУД, медицинские сведения, данные об электронной подписи работника. Расхождение — это нарушение ч. 7 ст. 22 ФЗ-152 и основание для протокола по ч. 10 ст. 13.11 КоАП (штраф 100 000–300 000 ₽).

Уведомление об изменении сведений подаётся через портал pd.rkn.gov.ru по форме Приказа РКН №180 от 28.10.2022. Срок подачи после изменения — до начала обработки новых категорий ПДн, то есть до запуска СКУД с биометрией или до первой загрузки медицинских документов в КЭДО.

Шаг 5. Выстройте реагирование на инциденты с данными работников

Утечка ПДн работников из КЭДО — это инцидент по ч. 3.1 ст. 21 ФЗ-152. На первичное уведомление РКН отводится 24 часа с момента обнаружения; через 72 часа — отчёт о результатах внутреннего расследования (Приказ РКН №187 от 14.11.2022). Срок не восстанавливается. Неуведомление или несвоевременное уведомление — штраф 1 000 000–3 000 000 ₽ по ч. 11 ст. 13.11 КоАП.

«Ч. 11 ст. 13.11 КоАП — неуведомление или несвоевременное уведомление РКН об инциденте с ПДн. Штраф для юрлица — от 1 000 000 до 3 000 000 ₽.»

Если утекли данные от 1 000 до 10 000 субъектов — штраф по ч. 12 ст. 13.11: от 3 000 000 до 5 000 000 ₽. При утечке более 100 000 субъектов — ч. 14: от 10 000 000 до 15 000 000 ₽. При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 000 000 ₽, не более 500 000 000 ₽.

В КЭДО, как правило, хранятся данные всех действующих и уволенных работников. Крупные организации — ретейл, банки, промышленные предприятия — обрабатывают данные десятков тысяч субъектов. Одна утечка базы кадровых документов автоматически переводит компанию в диапазон ч. 12–14 ст. 13.11 КоАП.

Если в КЭДО произошёл инцидент — у HRD есть 24 часа на первичное уведомление РКН. Срок не восстанавливается. Юристы DATUM возьмут реагирование на себя: первичное уведомление, координация расследования, 72-часовой отчёт.

Реагировать на утечку

Шаг 6. Назначьте ответственного за обработку ПДн в HR-департаменте

Статья 22.1 ФЗ-152 обязывает оператора-юрлицо назначить лицо, ответственное за организацию обработки ПДн. В HR-практике это нередко оформляется приказом на HR-директора — без понимания реального объёма ответственности. Ответственный обязан организовать обучение работников, ведущих КЭДО, проводить внутренние проверки и реагировать на запросы субъектов в течение 10 рабочих дней (ст. 20 ФЗ-152).

Невыполнение обязанности по предоставлению субъекту информации об обработке его ПДн образует состав по ч. 4 ст. 13.11 КоАП: штраф для юрлица от 40 000 до 80 000 ₽. Невыполнение требования об уточнении или уничтожении ПДн в установленные сроки — ч. 5 ст. 13.11: от 50 000 до 90 000 ₽, при повторном нарушении (ч. 5.1) — от 300 000 до 500 000 ₽.

Как это работает на практике: два сценария из КЭДО

Сценарий 1. Биометрия СКУД без письменного согласия. Производственное предприятие Уральского ФО (осень 2025) подключило СКУД на основе сканирования лица без оформления отдельных письменных согласий работников. Согласие на обработку биометрии было включено в общий договор о полной материальной ответственности. При плановой проверке РКН инспектор зафиксировал нарушение ст. 11 ФЗ-152 и составил протокол по ч. 16 ст. 13.11 КоАП. HR-директор инициировал переоформление 340 согласий в течение трёх рабочих дней, что суд учёл как смягчающее обстоятельство при назначении штрафа.

Сценарий 2. Утечка кадровой базы через вендора КЭДО. Торговая сеть Северо-Западного ФО (начало 2026) использовала КЭДО стороннего разработчика без договора поручения обработки ПДн. В результате атаки на инфраструктуру вендора в открытый доступ попали данные более 12 000 действующих и уволенных сотрудников. Поскольку договора поручения не было, РКН квалифицировал передачу данных вендору как самостоятельное нарушение — обработку ПДн без надлежащего основания. Протоколы были составлены как по факту утечки (ч. 13 ст. 13.11 КоАП), так и по факту передачи без договора (ч. 1 ст. 13.11). Штраф — в сотни тысяч рублей по совокупности протоколов.

Услуги DATUM по теме

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Обратной силы ФЗ-156 не имеет: согласия, оформленные до 01.09.2025, сохраняют силу. Переоформление требуется для работников, принятых или переведённых после этой даты, а также если компания планирует обрабатывать новые категории ПДн, которые ранее не были включены в согласие. Рекомендуется провести аудит базы согласий и выявить документы, не отвечающие требованиям ч. 1 ст. 9 ФЗ-152 в новой редакции.

2. Какие данные нельзя запрашивать в анкете при приёме на работу?

Статья 86 ТК РФ запрещает работодателю получать и обрабатывать сведения о политических, религиозных, философских убеждениях работника, его частной жизни, в том числе семейном положении и детях — если только работник сам не предоставил эти сведения. Нарушение ст. 86 ТК одновременно нарушает принцип ст. 5 ФЗ-152 о соответствии объёма ПДн целям обработки и может образовывать состав по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽).

3. Можно ли вести видеонаблюдение в офисе и хранить записи в КЭДО?

Видеонаблюдение в офисе допустимо, если работники уведомлены об этом (ст. 86 ТК РФ), цель зафиксирована в локальном акте (например, обеспечение безопасности), а хранение записей не превышает срока, необходимого для достижения цели (ст. 5 ФЗ-152). Если запись содержит изображение лица и используется для идентификации — это биометрические ПДн по ст. 11 ФЗ-152, и требуется отдельное письменное согласие каждого работника.

4. Сколько хранить согласия после увольнения работника?

Типовой срок хранения личного дела работника — 75 лет (для документов, возникших после 2003 года). Согласие на обработку ПДн как часть личного дела хранится столько же. После уничтожения ПДн по требованию работника (ст. 21 ФЗ-152) само согласие рекомендуется хранить ещё не менее трёх лет для подтверждения правомерности прошлой обработки — срок исковой давности по ст. 196 ГК РФ.

5. Кто является оператором ПДн при использовании КЭДО: работодатель или вендор?

Оператором остаётся работодатель — он определяет цели и состав обрабатываемых ПДн. Вендор КЭДО действует как лицо, осуществляющее обработку по поручению оператора (п. 3 ст. 6 ФЗ-152). Отношения должны быть оформлены договором поручения с перечнем разрешённых действий, целью обработки и обязанностью конфиденциальности. Без договора работодатель несёт ответственность за все действия вендора с данными работников.

6. Что делать, если РКН прислал запрос о предоставлении сведений об обработке ПДн?

Запрос РКН — это, как правило, первый шаг внеплановой проверки или проверки по жалобе. Ответить необходимо в срок, указанный в запросе (как правило, 10–20 рабочих дней). Ответ должен включать: выписку из реестра операторов, актуальную политику обработки ПДн, перечень обрабатываемых категорий ПДн и оснований для обработки, образцы используемых согласий. Привлечение юриста на этом этапе снижает риск протокола по результатам проверки.

Итог

Штрафы по ст. 13.11 КоАП в КЭДО складываются из нескольких независимых составов: ненадлежащее согласие (ч. 2), отсутствие договора с вендором (ч. 1), устаревшее уведомление в РКН (ч. 10), несвоевременное уведомление об утечке (ч. 11), нарушение работы с биометрией СКУД (ч. 16). Каждый из них влечёт отдельный протокол. Совокупный штраф за один выход из строя КЭДО может превысить несколько миллионов рублей.

Юристы DATUM специализируются на приведении HR-документации в соответствие с 152-ФЗ с учётом изменений 2025 года: ФЗ-156 об отдельном согласии, ужесточения по биометрии и новых составов ст. 13.11 КоАП. Практика охватывает аудит, сборку ОРД под ключ и сопровождение проверок РКН.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Специализация — согласия работников по ст. 9 152-ФЗ в ред. ФЗ-156, КЭДО, биометрия в СКУД, передача ПДн в зарплатных проектах. Сопровождение проверок РКН в HR-департаментах.

9 февраля 2028 года