справочник 14 апреля 2027 По состоянию на 14 апреля 2027

Согласие через КЭДО: правовой статус с 01.09.2025

С 01.09.2025 согласие на обработку персональных данных оформляется отдельным документом — его нельзя включать в трудовой договор, приказ или политику конфиденциальности.

ФЗ-156 от 24.06.2025 изменил ч. 1 ст. 9 ФЗ-152: согласие в КЭДО считается надлежащим, только если подписано УКЭП или УНЭП работника и существует как самостоятельный документ без иного содержания.

Если вы юрист и проверяете кадровый комплаенс — разберитесь, какие согласия из КЭДО действительны, а какие создают риск штрафа до 700 000 ₽ по ч. 2 ст. 13.11 КоАП. → Ниже — разбор норм и практика 2025–2026 года.

КЭДО стало массовым инструментом кадрового документооборота раньше, чем законодатель уточнил статус электронного согласия на обработку персональных данных. После вступления в силу ФЗ-156 от 24.06.2025 ситуация изменилась: согласие через КЭДО действительно, но только при соблюдении требований к форме, реквизитам и электронной подписи. Ниже — ключевые понятия, условия действительности и типовые нарушения.

Что такое КЭДО и как в нём возникают персональные данные?

КЭДО (кадровый электронный документооборот) — система обмена кадровыми документами между работодателем и работником в электронном виде без дублирования на бумаге. Правовая основа — ст. 22.1–22.3 ТК РФ. Документы в КЭДО содержат персональные данные работника: ФИО, должность, дата рождения, СНИЛС, адрес, сведения о здоровье (при наличии медицинской книжки или ограничений по состоянию здоровья).

Персональные данные по ст. 3 ФЗ-152 — любая информация, прямо или косвенно относящаяся к определённому физическому лицу. В КЭДО это не только анкетные данные, но и метаданные: IP-адрес устройства, время входа, история изменений документа. Каждое из этих сведений является предметом обработки.

Оператор персональных данных по ст. 3 ФЗ-152 — юридическое или физическое лицо, самостоятельно или совместно с другими организующее обработку ПДн. Работодатель, подключивший КЭДО, является оператором в отношении данных своих работников.

«Ст. 3 ФЗ-152: обработка персональных данных — любое действие с ними, включая сбор, запись, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление и уничтожение.»

Какие требования к согласию установила ст. 9 ФЗ-152 с 01.09.2025?

До 01.09.2025 практика допускала включение согласия на обработку ПДн в текст трудового договора или в форму регистрации в КЭДО. ФЗ-156 от 24.06.2025 закрепил запрет на такое объединение: согласие должно быть оформлено отдельным документом, не совмещённым с иным содержанием.

Обязательные реквизиты согласия по ч. 4 ст. 9 ФЗ-152 в действующей редакции:

фамилия, имя, отчество субъекта и его контактные данные;
наименование и адрес оператора;
цель обработки персональных данных;
перечень персональных данных, на обработку которых даётся согласие;
перечень действий с персональными данными и описание способов обработки;
срок действия согласия или условие его прекращения;
способ отзыва согласия.

Согласие через КЭДО — электронный документ с указанными реквизитами, подписанный работником усиленной квалифицированной электронной подписью (УКЭП) или усиленной неквалифицированной электронной подписью (УНЭП) в рамках соглашения об использовании УНЭП (ст. 22.3 ТК РФ). Простая электронная подпись (ПЭП) — только если это прямо предусмотрено соглашением сторон и применяется к согласиям на обработку ПДн, не относящихся к специальным категориям.

Проверяете согласия работников после 01.09.2025?

Согласие, включённое в текст трудового договора или в форму КЭДО вместе с иным содержанием, недействительно по ФЗ-156. Каждый такой документ — основание для штрафа до 700 000 ₽ по ч. 2 ст. 13.11 КоАП. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с планом устранения нарушений.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Каковы правовые основания обработки ПДн в КЭДО помимо согласия?

Согласие — не единственное основание. Ст. 6 ФЗ-152 устанавливает 11 оснований для обработки. В кадровом контексте КЭДО применяются следующие.

Исполнение обязанностей оператора по законодательству РФ (п. 2 ч. 1 ст. 6 ФЗ-152): ведение трудовой книжки, передача сведений в СФР, налоговый учёт — обработка ПДн для этих целей не требует согласия работника.

Исполнение договора, стороной которого является субъект ПДн (п. 5 ч. 1 ст. 6 ФЗ-152): персональные данные, необходимые для исполнения трудового договора, обрабатываются без отдельного согласия. Это — ФИО, должность, реквизиты для выплаты заработной платы.

Согласие необходимо, когда оператор выходит за рамки этих оснований: передаёт данные работника третьим лицам (банкам в рамках зарплатного проекта, страховым компаниям), обрабатывает специальные категории ПДн (ст. 10 ФЗ-152: состояние здоровья, судимость), публикует данные или использует в маркетинге.

«Ст. 5 ФЗ-152 закрепляет принцип соответствия объёма ПДн целям обработки: нельзя собирать и хранить данные сверх того, что необходимо для конкретной цели.»

Что считается нарушением при использовании согласия через КЭДО?

Типовые нарушения, выявляемые при аудитах кадровых систем в 2025–2026 году:

Согласие объединено с трудовым договором или ПВТР: Нарушение ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156. Согласие, встроенное в текст трудового договора как отдельный раздел или приложение без самостоятельной подписи, не считается отдельным документом.
Подписание ПЭП без соглашения об использовании ПЭП для ПДн: Простая электронная подпись (код из СМС, логин-пароль) равнозначна собственноручной только при наличии явного соглашения сторон. Без него подписанное ПЭП согласие не соответствует письменной форме по ст. 9 ФЗ-152.
Отсутствие реквизитов в согласии: Нарушение ч. 4 ст. 9 ФЗ-152. Чаще всего отсутствует перечень действий, способ отзыва или срок согласия. Каждый отсутствующий реквизит делает согласие ненадлежащим.
Согласие на специальные категории ПДн не выделено отдельно: Ст. 10 ФЗ-152 требует специального правового основания для обработки данных о состоянии здоровья. Общее согласие на обработку ПДн не охватывает специальные категории автоматически.

Что проверить юристу в согласиях через КЭДО

Согласие оформлено отдельным файлом или записью — не разделом договора и не формой входа в КЭДО.
Согласие подписано УКЭП или УНЭП (при наличии соглашения об УНЭП) — либо ПЭП при явном соглашении о её приравнивании к собственноручной подписи для согласий на ПДн.
В согласии присутствуют все 7 обязательных реквизитов ч. 4 ст. 9 ФЗ-152, включая способ отзыва и срок.
Согласия на специальные категории ПДн оформлены отдельно от общих согласий.
Система КЭДО хранит подписанные экземпляры с метаданными подписи и позволяет предъявить их РКН по запросу.

Если юрист обнаружил, что согласия в КЭДО не отвечают требованиям ФЗ-156, — переоформление требуется до следующей проверки РКН. Штраф по ч. 2 ст. 13.11 КоАП за обработку без надлежащего согласия составляет 300 000–700 000 ₽ для юридического лица.

Собрать ОРД под ключ

Типовые ситуации при проверке согласий через КЭДО

Ситуация 1. Компания перешла на КЭДО в 2023 году. Согласие на обработку ПДн включено в экранную форму регистрации в системе: галочка «согласен с политикой и обработкой данных». После 01.09.2025 это согласие не является отдельным документом по смыслу ч. 1 ст. 9 ФЗ-152. При проверке РКН — протокол по ч. 2 ст. 13.11, штраф до 700 000 ₽. Стратегия: разработать отдельную форму согласия с обязательными реквизитами, подписать у всех работников через КЭДО с УНЭП или УКЭП до получения предписания.

Ситуация 2. Работодатель передаёт данные работников в банк по зарплатному проекту. Согласие на передачу включено в трудовой договор как отдельный раздел с собственноручной подписью. Формально — отдельный раздел, но не отдельный документ. РКН квалифицирует как нарушение ч. 1 ст. 9 ФЗ-152 (объединение согласия с иным содержанием). Стратегия: оформить отдельный лист согласия на передачу ПДн третьим лицам, подписать его через КЭДО или на бумаге.

Ситуация 3. В компании внедрена система контроля доступа с распознаванием лица (биометрические ПДн). Работники подписали согласие через КЭДО простой электронной подписью. Ст. 11 ФЗ-152 требует письменного согласия на обработку биометрических ПДн. ПЭП не является письменной формой без специального соглашения. Риск: ч. 16 ст. 13.11 КоАП. Стратегия: переподписать согласия с УКЭП или собственноручно.

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработкой является любое действие с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление и уничтожение — как автоматизированными, так и неавтоматизированными средствами. Хранение данных работника в системе КЭДО без какой-либо иной операции уже является обработкой.

2. На основании чего можно обрабатывать ПДн работников без согласия?

Ст. 6 ФЗ-152 допускает обработку без согласия, если она необходима для исполнения трудового договора (п. 5), выполнения обязанностей работодателя по законодательству РФ (п. 2 — налоговый учёт, СФР, воинский учёт) или защиты жизни и здоровья субъекта при невозможности получить согласие (п. 7). За пределами этих оснований — нужно согласие по ст. 9 ФЗ-152.

3. Что грозит за нарушение требований к согласию после 01.09.2025?

Обработка ПДн без письменного согласия или с нарушением требований к его составу квалифицируется по ч. 2 ст. 13.11 КоАП: штраф для юридического лица — 300 000–700 000 ₽. При повторном нарушении (ч. 2.1 ст. 13.11 КоАП) — 1 000 000–1 500 000 ₽. Нормы действуют в редакции ФЗ-420 от 30.11.2024 с 30.05.2025.

4. Нужно ли уведомлять РКН малому бизнесу?

Да, если компания не подпадает под исключения ч. 2 ст. 22 ФЗ-152 (например, обработка ПДн исключительно в рамках трудовых отношений без передачи третьим лицам и автоматизированной обработки). Большинство работодателей, использующих КЭДО с облачным хранением, передающих данные в банки или страховые компании, обязаны уведомить РКН до начала обработки. Штраф за неуведомление — 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП.

5. С какого возраста нужно согласие на ПДн?

По ст. 9 ФЗ-152 согласие дают дееспособные субъекты самостоятельно. За несовершеннолетних до 18 лет согласие дают родители или законные представители. Исключение: с 14 лет несовершеннолетний вправе самостоятельно давать согласие на обработку ПДн, необходимых для участия в трудовых правоотношениях (ст. 63 ТК РФ).

Итог

С 01.09.2025 согласие через КЭДО действительно только как самостоятельный документ с полным набором реквизитов ч. 4 ст. 9 ФЗ-152, подписанный надлежащей электронной подписью. Объединение согласия с трудовым договором, регистрационной формой или политикой конфиденциальности создаёт риск штрафа 300 000–700 000 ₽ по ч. 2 ст. 13.11 КоАП. Обратная сила у ФЗ-156 отсутствует — ранее подписанные согласия переоформлять не требуется, но при внедрении новых форм КЭДО стандарт обязателен.

Юристы DATUM специализируются на кадровом комплаенсе по 152-ФЗ: аудит согласий работников, разработка форм для КЭДО под требования ФЗ-156, сопровождение проверок РКН в HR-департаментах.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка согласий и ОРД по 38-пунктному чек-листу
Комплект ОРД под ключ — разработка форм согласий для КЭДО и бумажного документооборота
DPO-аутсорсинг — абонентское сопровождение функции ответственного по ст. 22.1 ФЗ-152

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах.

14 апреля 2027 года