Перейти к содержанию
инструкция 21 февраля 2027 По состоянию на 21 февраля 2027

Соглашение о неразглашении ПДн с работником

Соглашение о неразглашении персональных данных с работником — это локальный акт оператора ПДн, обязывающий сотрудника не передавать третьим лицам сведения, ставшие ему известными в ходе трудовой деятельности. Основание — ст. 88 ТК РФ в совокупности со ст. 18.1 и ст. 6 ФЗ-152.
Без такого соглашения оператор лишается ключевого доказательства принятия организационных мер защиты: при проверке Роскомнадзора инспектор первым делом запрашивает перечень лиц, допущенных к ПДн, и документ, подтверждающий их осведомлённость об ответственности. Штраф по ч. 1 ст. 13.11 КоАП для юридического лица — от 150 000 до 300 000 рублей.
Если вы юрист и сейчас формируете комплект ОРД для оператора — эта инструкция покажет, как составить соглашение о неразглашении ПДн, что в нём обязательно, и в каком порядке его включить в кадровый пакет с учётом требований ФЗ-156 от 24.06.2025. → Перейти к шагам

С 01.09.2025 требования к согласиям и внутренним документам оператора ПДн ужесточились: ФЗ-156 от 24.06.2025 переписал ч. 1 ст. 9 ФЗ-152, сделав согласие отдельным документом. Одновременно выросли штрафы по ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024. В этом контексте соглашение о неразглашении ПДн перестало быть «необязательным приложением» и превратилось в обязательный элемент системы обеспечения безопасности по ст. 18.1 ФЗ-152. Инструкция ниже рассчитана на юриста, который ведёт комплаенс оператора ПДн и формирует или обновляет пакет ОРД.

Что такое соглашение о неразглашении ПДн и зачем оно нужно оператору?

Оператор ПДн обязан принять организационные меры, обеспечивающие защиту персональных данных от неправомерного доступа, распространения и уничтожения. Это требование закреплено в ст. 19 ФЗ-152. Одна из таких мер — ознакомление работников, допущенных к обработке ПДн, с нормами законодательства и внутренними актами оператора, а также установление для них запрета на разглашение (ст. 18.1 ФЗ-152, ст. 88 ТК РФ).

Соглашение о неразглашении фиксирует: какие сведения считаются конфиденциальными, какие действия с ними разрешены, кто несёт ответственность и на какой срок распространяется запрет. Без этого документа оператор не может доказать, что выполнил требование ст. 18.1 ФЗ-152 об ознакомлении работников с нормами обработки ПДн.

«Ст. 18.1 ФЗ-152 обязывает оператора принять меры по обеспечению исполнения обязанностей, предусмотренных законом, в том числе — ознакомить работников, обрабатывающих ПДн, с положениями законодательства и локальными актами. Перечень мер оператор определяет самостоятельно с учётом требований закона.»

Важно разграничить два документа, которые юристы нередко путают. Согласие на обработку ПДн — это документ субъекта (работника как физического лица), дающего разрешение оператору. Соглашение о неразглашении — это документ работника как сотрудника, принимающего на себя обязательство не передавать ПДн третьим лицам. Первый — в плоскости ст. 9 ФЗ-152, второй — в плоскости ст. 18.1 ФЗ-152 и ст. 88 ТК РФ. Оба документа нужны одновременно, но выполняют разные функции.

Нужен комплект ОРД для оператора ПДн под актуальные требования?

Если вы юрист компании и сейчас собираете пакет документов для прохождения проверки Роскомнадзора — соглашение о неразглашении входит в базовый набор из 38 документов. С 01.09.2025 часть форм изменилась в связи с ФЗ-156. Задержка с обновлением создаёт риск штрафа по ч. 2 ст. 13.11 КоАП до 700 000 рублей за нарушение требований к составу согласия.

Собрать ОРД под ключ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 1. Определите, кто из работников подлежит охвату

Соглашение заключается не со всеми сотрудниками, а только с теми, кто в силу должностных обязанностей получает доступ к персональным данным других лиц. Это следует из системного толкования ст. 88 ТК РФ и ст. 18.1 ФЗ-152.

Составьте перечень должностей с доступом к ПДн. Как правило, в него входят: сотрудники кадровой службы, бухгалтеры, специалисты по расчёту заработной платы, системные администраторы, операторы колл-центра, менеджеры по продажам, работающие с клиентской базой, и руководители подразделений. Перечень закрепляется в Приказе о перечне лиц, допущенных к обработке ПДн — отдельном документе, который также входит в ОРД оператора.

Работники, не включённые в перечень, не должны иметь технического и организационного доступа к ПДн. Если доступ предоставлен без включения в перечень — это самостоятельный риск при проверке.

Шаг 2. Включите в соглашение обязательные реквизиты

ФЗ-152 не устанавливает исчерпывающий перечень реквизитов соглашения о неразглашении ПДн, однако практика проверок Роскомнадзора и требования ст. 18.1 позволяют сформулировать минимально необходимый состав.

В соглашении должны быть следующие элементы:

  • Наименование и реквизиты оператора ПДн (наименование, ИНН, адрес).
  • ФИО работника, его должность и структурное подразделение.
  • Определение конфиденциальной информации — перечень категорий ПДн, к которым работник получает доступ (например: ФИО, дата рождения, паспортные данные, СНИЛС, сведения о заработной плате, состоянии здоровья при наличии).
  • Перечень допустимых действий с ПДн в рамках должностных обязанностей.
  • Запрет на передачу ПДн третьим лицам без письменного поручения оператора.
  • Ссылка на внутренние регламенты и политику обработки ПДн, с которыми работник ознакомлен (ст. 18.1 ФЗ-152 обязывает оператора обеспечить такое ознакомление).
  • Ответственность работника — дисциплинарная, материальная, административная, уголовная (ст. 272.1 УК РФ, действует с 11.12.2024).
  • Срок действия запрета — рекомендуется указывать: «в период действия трудового договора и в течение [N] лет после его прекращения».
  • Дата подписания и подписи сторон.
«Ст. 88 ТК РФ запрещает работодателю раскрывать третьим лицам ПДн работника без его письменного согласия. Аналогичная обязанность возникает у работника, получающего доступ к ПДн коллег или клиентов в рамках своих обязанностей.»

Шаг 3. Учтите требования к согласию работника на обработку его собственных ПДн

Соглашение о неразглашении — не то же самое, что согласие работника на обработку его собственных ПДн. Тем не менее при формировании кадрового пакета оба документа оформляются одновременно, и юрист обязан понимать разницу.

С 01.09.2025, по ФЗ-156 от 24.06.2025, согласие на обработку ПДн оформляется только как отдельный документ. Его нельзя включать в трудовой договор, должностную инструкцию или политику конфиденциальности. Ранее полученные согласия, включённые в трудовой договор, не становятся автоматически недействительными, если они были оформлены до 01.09.2025. Однако при внесении изменений в трудовой договор после этой даты или при оформлении новых работников — требуется отдельный документ.

Обязательные реквизиты согласия по ст. 9 ФЗ-152 в редакции ФЗ-156: ФИО субъекта, контактные данные, наименование оператора, цель обработки, перечень ПДн, перечень действий, срок согласия, способ отзыва. Отсутствие любого из реквизитов — нарушение ч. 2 ст. 13.11 КоАП (штраф для юридического лица 300 000–700 000 рублей).

Если вы юрист и проверяете кадровые документы после 01.09.2025 — согласия, включённые в трудовые договоры, требуют отдельного анализа. Каждое нарушение ч. 2 ст. 13.11 КоАП — штраф до 700 000 рублей. Юристы DATUM проведут аудит ОРД и определят, какие документы необходимо переоформить.

Заказать аудит 152-ФЗ

Шаг 4. Назначьте ответственного за обработку ПДн по ст. 22.1 ФЗ-152

Соглашение о неразглашении ПДн — часть системы, а не изолированный документ. Эта система требует ответственного лица. По ст. 22.1 ФЗ-152 оператор-юридическое лицо обязан назначить сотрудника, ответственного за организацию обработки персональных данных. Назначение оформляется приказом руководителя.

Ответственный организует разработку и актуализацию ОРД, контролирует соблюдение режима конфиденциальности, принимает обращения субъектов ПДн, взаимодействует с Роскомнадзором, в том числе при подаче уведомления по ст. 22 ФЗ-152 через форму Приказа РКН №180. Именно этот сотрудник подписывает или контролирует подписание соглашений о неразглашении.

Ч. 4 ст. 22.1 устанавливает квалификационные требования к ответственному. Если в компании нет сотрудника с необходимыми компетенциями — функцию допустимо передать внешнему специалисту (DPO-аутсорсинг). Это не освобождает оператора от ответственности, но позволяет выполнить требование закона.

Шаг 5. Порядок подписания и хранения соглашения

Соглашение о неразглашении ПДн подписывается при приёме работника на должность, предполагающую доступ к ПДн, или при переводе на такую должность. При оформлении через КЭДО (кадровый электронный документооборот) применяются требования ТК РФ о квалифицированной электронной подписи — для документов, изменяющих трудовые отношения.

Один экземпляр хранится в личном деле работника (срок хранения — 75 лет по типовым перечням архивных документов). Второй экземпляр выдаётся работнику под роспись. При использовании КЭДО хранение — в информационной системе с подтверждёнными сроками и правилами доступа.

При увольнении работника соглашение продолжает действовать в части послетрудового запрета — если соответствующий срок был указан в документе. Рекомендуемый период — не менее трёх лет после прекращения трудового договора, если работник имел доступ к специальным категориям ПДн (ст. 10 ФЗ-152: состояние здоровья, биометрия и др.).

Шаг 6. Встройте соглашение в систему ОРД оператора

Соглашение о неразглашении существует не само по себе. Оно должно быть связано с другими обязательными документами оператора ПДн. Основной акт — политика обработки персональных данных по ст. 18.1 ФЗ-152. В соглашении делается прямая ссылка на эту политику как на документ, с которым работник ознакомлен.

Связанные документы, без которых соглашение теряет юридическую ценность:

  • Политика обработки ПДн — опубликована на сайте и доступна работникам (ч. 2 ст. 18.1 ФЗ-152). Отсутствие публикации — штраф по ч. 3 ст. 13.11 КоАП (30 000–60 000 рублей).
  • Приказ о назначении ответственного за обработку ПДн (ст. 22.1 ФЗ-152).
  • Приказ об утверждении перечня лиц, допущенных к обработке ПДн.
  • Уведомление о намерении осуществлять обработку ПДн, поданное в РКН по форме Приказа РКН №180. Неподача — штраф по ч. 10 ст. 13.11 КоАП (100 000–300 000 рублей).
  • Согласие работника на обработку его ПДн — отдельный документ с 01.09.2025 по ФЗ-156 (ст. 9 ФЗ-152).
  • Инструкция пользователя информационной системы ПДн (при наличии ИСПДн).
  • Журнал учёта обращений субъектов ПДн.
«Ст. 22 ФЗ-152 обязывает оператора уведомить Роскомнадзор о намерении обрабатывать ПДн до начала обработки. Уведомление подаётся через pd.rkn.gov.ru по форме, установленной Приказом РКН №180. Включение в реестр происходит в течение 30 дней.»

Что подготовить: минимальный комплект к соглашению о неразглашении

  • Политика обработки ПДн по ст. 18.1 ФЗ-152 — опубликована на сайте оператора и в доступном месте для работников.
  • Приказ о перечне лиц, допущенных к обработке ПДн, — с указанием должностей и категорий ПДн, к которым они получают доступ.
  • Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152.
  • Отдельное согласие работника на обработку его ПДн с реквизитами по ст. 9 ФЗ-152 в редакции ФЗ-156 (обязательно с 01.09.2025).
  • Уведомление в РКН по ст. 22 ФЗ-152 (форма Приказа РКН №180) — если оператор ещё не включён в реестр.

Типовые ситуации при проверке Роскомнадзора

Ситуация 1. Компания из Приволжского ФО (сфера розничной торговли, осень 2025) прошла плановую проверку РКН. Инспектор запросил перечень лиц, допущенных к ПДн, и соглашения с ними. Перечень существовал, но соглашения были подписаны только с частью сотрудников. По итогам проверки составлен протокол по ч. 1 ст. 13.11 КоАП за неполноту организационных мер по ст. 19 ФЗ-152. Штраф — в диапазоне нижней трети санкции части 1 (150 000–300 000 рублей). Стратегия: при обжаловании компания представила доказательства частичного внедрения мер и срочного устранения нарушения, что позволило применить смягчающие обстоятельства по ст. 4.2 КоАП.

Ситуация 2. Медицинская клиника (Центральный ФО, начало 2026) столкнулась с жалобой уволенного работника — он сослался на то, что его ПДн были переданы третьему лицу (коллекторскому агентству) сотрудником бухгалтерии. По факту жалобы РКН провёл внеплановую проверку и установил, что соглашение о неразглашении с сотрудником бухгалтерии не было заключено. Протокол составлен по ч. 1 ст. 13.11 КоАП; дополнительно рассматривался вопрос о возбуждении дела по ст. 272.1 УК РФ (незаконная передача компьютерной информации с ПДн, действует с 11.12.2024) в отношении конкретного работника. Стратегия для оператора: немедленно устранить нарушение, оформить соглашения со всеми сотрудниками с доступом к ПДн, представить в РКН план устранения нарушений.

Ситуация 3. IT-компания (Северо-Западный ФО, лето 2025) обнаружила при внутреннем аудите, что соглашения о неразглашении включены в текст трудовых договоров как отдельный раздел, но не оформлены самостоятельными документами. Риск: при проверке РКН такая форма может быть квалифицирована как ненадлежащее оформление меры по ст. 18.1 ФЗ-152 — в связке с тем, что согласия на обработку ПДн по требованиям ФЗ-156 также должны быть отдельными документами. Стратегия: юрист инициировал переоформление — выделил соглашения в самостоятельные документы, актуализировал согласия, приказы и политику. Это заняло около трёх рабочих недель при системной работе.

Услуги DATUM по теме

  • Комплект ОРД под ключ — разработка 38 документов оператора ПДн с учётом актуальных требований ФЗ-152 и ФЗ-156.
  • Аудит соответствия 152-ФЗ — проверка текущего состояния ОРД, выявление рисков, приоритизированный план устранения.
  • DPO-аутсорсинг — исполнение функции ответственного по ст. 22.1 ФЗ-152 на абонентской основе.

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный обязательный комплект ОРД включает: политику обработки ПДн (ст. 18.1 ФЗ-152), приказ о назначении ответственного (ст. 22.1 ФЗ-152), перечень лиц с доступом к ПДн, соглашения о неразглашении с этими лицами, согласия субъектов ПДн в отдельном документе (ст. 9 ФЗ-152 в ред. ФЗ-156 с 01.09.2025), уведомление в РКН (ст. 22 ФЗ-152, форма Приказа РКН №180), журнал учёта обращений субъектов. Для операторов с ИСПДн — дополнительно документы по уровню защищённости (ПП РФ №1119) и технические меры по Приказу ФСТЭК №21.

2. Как составить политику обработки ПДн?

Политика обработки ПДн разрабатывается с учётом требований ч. 2 ст. 18.1 ФЗ-152. Она должна содержать: цели обработки, правовые основания (ст. 6 ФЗ-152), перечень категорий ПДн и субъектов, перечень действий, порядок реализации прав субъектов, меры защиты, сведения об ответственном лице. Политика публикуется на сайте оператора и доступна в доступном месте для работников. Отсутствие публикации — штраф по ч. 3 ст. 13.11 КоАП (30 000–60 000 рублей). Использование шаблона без адаптации под реальные процессы оператора — риск несоответствия при проверке.

3. Кого назначить ответственным по ст. 22.1 ФЗ-152?

Ответственным за организацию обработки ПДн назначается штатный сотрудник, соответствующий квалификационным требованиям ч. 4 ст. 22.1 ФЗ-152. Как правило, это юрист компании, специалист по информационной безопасности или DPO. Назначение оформляется приказом руководителя юридического лица. Если подходящего сотрудника нет — функцию допустимо передать внешней организации (DPO-аутсорсинг). Отсутствие назначенного ответственного фиксируется при проверке как нарушение организационных мер по ст. 19 ФЗ-152.

4. Можно ли использовать шаблон политики из интернета?

Нет — не в качестве готового документа. Шаблон может служить только отправной точкой. Политика обработки ПДн должна отражать реальные процессы конкретного оператора: фактические цели обработки, конкретные категории субъектов и ПДн, реальных третьих лиц, которым ПДн передаются, и действующие правовые основания. Инспектор РКН при проверке сопоставляет содержание политики с уведомлением в реестре и фактической деятельностью. Расхождения фиксируются как нарушение ч. 1 ст. 13.11 КоАП (обработка с нарушением условий — штраф 150 000–300 000 рублей для юрлица).

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 по ФЗ-156 от 24.06.2025 согласие на обработку ПДн оформляется только как отдельный документ. Его нельзя включать в трудовой договор, приказ, политику или любой другой документ. Обязательные реквизиты согласия по ст. 9 ФЗ-152: ФИО субъекта, контактные данные, наименование оператора, цель обработки, перечень ПДн, перечень действий, срок, способ отзыва. Для работников — это согласие на обработку их ПДн в части, выходящей за рамки целей исполнения трудового договора (например, публикация фотографий, передача в программы лояльности). Ранее полученные согласия, которые были встроены в трудовые договоры, автоматически недействительными не становятся, если оформлены до 01.09.2025, однако при оформлении новых работников требуется отдельная форма.

Итог

Соглашение о неразглашении ПДн с работником — это не формальность, а один из ключевых элементов доказательной базы при проверке Роскомнадзора. Документ подтверждает, что оператор выполнил требования ст. 18.1 ФЗ-152 в части ознакомления сотрудников и установления запрета на разглашение. Его отсутствие в связке с нарушением другого требования (несоответствие согласий, отсутствие политики, незарегистрированный ответственный) даёт РКН основание для составления протокола по ч. 1 ст. 13.11 КоАП.

Практика DATUM по сопровождению операторов ПДн показывает: большинство нарушений, выявляемых при проверках, — это не умысел, а отсутствие актуализированного комплекта ОРД. Особенно критично это для компаний, которые не пересматривали документы после 01.09.2025 в связи с ФЗ-156 и после вступления в силу новой редакции ст. 13.11 КоАП с 30.05.2025.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах. Сопровождение проверок РКН в HR-департаментах.

21 февраля 2027 года