инструкция 21 января 2027 По состоянию на 21 января 2027

Согласие через КЭДО: УКЭП/УНЭП/ПЭП

Согласие работника на обработку персональных данных через КЭДО — самостоятельный документ с 01.09.2025: его нельзя встраивать в трудовой договор, положение о КЭДО или согласие на ЭДО.

Вид подписи (УКЭП, УНЭП или ПЭП) определяет юридическую силу согласия и риски по ч. 2 ст. 13.11 КоАП — штраф 300 000–700 000 ₽ за нарушение требований к составу согласия.

Если вы юрист и проверяете соответствие КЭДО требованиям ФЗ-152 — инструкция ниже даёт алгоритм выбора подписи, проверки реквизитов и устранения типовых нарушений. →

С 01.09.2025 вступил в силу ФЗ-156 от 24.06.2025, изменивший ч. 1 ст. 9 ФЗ-152: согласие субъекта персональных данных оформляется отдельным документом и не объединяется с иными документами. Для КЭДО это означает конкретное следствие: согласие работника нельзя включить в соглашение об ЭДО, положение о КЭДО или трудовой договор. Одновременно Трудовой кодекс допускает подписание кадровых документов через КЭДО несколькими видами электронной подписи — УКЭП, УНЭП или ПЭП. Выбор вида подписи напрямую влияет на доказательную силу согласия и допустимость его использования как правового основания обработки ПДн. Инструкция описывает шесть шагов — от аудита текущей схемы КЭДО до проверки реквизитов готового согласия.

Шаг 1. Определите, какие ПДн обрабатываются через КЭДО и нужно ли согласие

Прежде чем выбирать вид подписи, юрист обязан установить правовое основание обработки. Согласие — лишь одно из одиннадцати оснований по ст. 6 ФЗ-152. Если обработка необходима для исполнения трудового договора или возложена на оператора законодательством, согласие не требуется и его получение создаёт ложное ощущение комплаенса.

Через КЭДО чаще всего обрабатываются: ФИО, дата рождения, паспортные данные, СНИЛС, ИНН, сведения о занятости и квалификации. Это общие категории ПДн — основание ст. 6 (исполнение договора или законная обязанность) достаточно для большинства операций. Согласие потребуется, если оператор собирает ПДн сверх необходимого минимума: сведения о семье, фото для пропуска, данные о состоянии здоровья для ДМС. Специальные категории по ст. 10 ФЗ-152 требуют отдельного письменного согласия в любом случае.

Что проверить на этом шаге

Перечень ПДн, передаваемых через КЭДО (из формы согласия, приказа о КЭДО, договора с платформой)
Правовое основание по ст. 6 ФЗ-152 для каждой категории
Наличие специальных категорий по ст. 10 ФЗ-152 — они требуют отдельного письменного согласия
Соответствие объёма обрабатываемых ПДн целям обработки (принцип достаточности ст. 5 ФЗ-152)

Шаг 2. Выберите вид электронной подписи под риск-профиль компании

Трудовой кодекс (ст. 22.3 ТК в ред. ФЗ-кэдо) разграничивает документы по виду допустимой подписи. Для кадровых документов об условиях труда обязательна УКЭП или УНЭП с сертифицированным удостоверяющим центром. ПЭП допустима для иных документов при условии, что работодатель установил правила её применения локальным актом.

«Ст. 9 ФЗ-152 — согласие на обработку ПДн должно быть конкретным, информированным и сознательным. Письменная форма требуется для специальных категорий ПДн (ст. 10 ФЗ-152), биометрии (ст. 11 ФЗ-152) и ряда иных случаев. Электронная подпись, равнозначная собственноручной, обеспечивает письменную форму документа.»

С точки зрения ФЗ-152 «письменная форма» согласия означает возможность однозначно идентифицировать лицо, его подписавшее, и подтвердить неизменность содержания. Этому требованию соответствуют УКЭП и квалифицированная УНЭП. ПЭП подходит для согласий на обработку общих категорий ПДн, если оператор может доказать идентификацию работника при выдаче ключа ПЭП.

Практически это выглядит так: если компания собирает медицинские данные для ДМС или биометрию для СКУД — нужна УКЭП или УНЭП с квалифицированным сертификатом. Для согласия на обработку контактных данных в корпоративных сервисах ПЭП допустима при надлежащей идентификации при выдаче.

Согласия в КЭДО вызывают вопросы — лучше проверить сейчас

Если юрист обнаружил, что согласия встроены в положение о КЭДО или подписаны ПЭП там, где требовалась УКЭП — это нарушение ч. 2 ст. 13.11 КоАП. Штраф за нарушение требований к составу согласия составляет 300 000–700 000 ₽. Специалисты DATUM проведут аудит текущей схемы КЭДО, выявят несоответствия и подготовят комплект ОРД под новые требования.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Проверьте обязательные реквизиты согласия по ст. 9 ФЗ-152 в редакции ФЗ-156

С 01.09.2025 согласие обязано содержать установленный перечень реквизитов и существовать как отдельный документ. Ранее полученные согласия, включённые в трудовой договор или иные документы, не нужно переоформлять задним числом — обратной силы ФЗ-156 не имеет. Однако все новые согласия после 01.09.2025 должны соответствовать обновлённым требованиям.

Обязательные реквизиты согласия (ст. 9 ФЗ-152)

ФИО субъекта и контактные данные (адрес, телефон или email)
Наименование и реквизиты оператора ПДн (юридическое лицо или ИП)
Цель обработки персональных данных — конкретная, не «в целях обеспечения деятельности»
Перечень обрабатываемых ПДн — поимённо, не «иные данные»
Перечень действий с ПДн: сбор, хранение, передача третьим лицам и др.
Срок действия согласия или условие его прекращения
Способ отзыва согласия — конкретный и доступный

Типовая ошибка при реализации через КЭДО — расплывчатая цель («кадровый учёт») и открытый перечень ПДн («данные, необходимые для трудовых отношений»). Оба подхода создают риск по ч. 1 ст. 13.11 КоАП (обработка ПДн, несовместимая с заявленными целями) — штраф 150 000–300 000 ₽.

Шаг 4. Настройте платформу КЭДО — маршрутизация, хранение, отзыв

Технические параметры платформы напрямую влияют на соответствие ФЗ-152. Юрист должен согласовать с ИТ-блоком три аспекта: маршрутизацию согласия как отдельного документа, хранение подписанного экземпляра и механизм отзыва.

Маршрутизация. Согласие должно направляться работнику отдельным файлом в рамках КЭДО — не «пакетом» вместе с трудовым договором. Платформа обязана позволять подписывать и хранить его независимо. Если платформа технически не поддерживает раздельное хранение согласия — это риск несоответствия ч. 1 ст. 9 ФЗ-152.

Хранение. Оператор обязан обеспечить возможность предъявить согласие при проверке РКН или запросе субъекта. Срок хранения — не менее срока обработки плюс разумный период для предъявления. Для кадровых документов ориентир — 75 лет (личное дело). Подписанное согласие в КЭДО должно экспортироваться в формате, поддерживающем верификацию подписи.

Отзыв. Способ отзыва, указанный в согласии, должен реально работать через КЭДО: заявка на отзыв — отдельный документ в той же системе, срок прекращения обработки — не более 30 дней после получения отзыва (ст. 21 ФЗ-152). Платформа обязана фиксировать дату и факт отзыва.

Если юрист обнаружил, что платформа КЭДО не поддерживает раздельное хранение согласий или механизм отзыва не работает — у компании есть 30 дней до первой проверки РКН по индикатору риска. Специалисты DATUM подготовят комплект ОРД и технические требования к платформе.

Собрать ОРД под ключ

Шаг 5. Оформите сопутствующий пакет ОРД по ст. 18.1 и ст. 22.1 ФЗ-152

Согласие — один документ из пакета ОРД. Проверка РКН оценивает систему в целом: наличие политики обработки ПДн, приказа о назначении ответственного, регламента реагирования на обращения субъектов и журнала учёта. Для КЭДО добавляется специфика — поручение обработки платформе-оператору КЭДО.

«Ст. 18.1 ФЗ-152 — оператор обязан принять меры, необходимые для исполнения обязанностей по закону: утвердить политику обработки ПДн, назначить ответственного, проводить оценку вреда субъектам, ознакомить работников с требованиями. Ст. 22.1 ФЗ-152 — оператор-юрлицо назначает лицо, ответственное за организацию обработки ПДн. Ст. 22 ФЗ-152 — до начала обработки оператор подаёт уведомление в РКН через pd.rkn.gov.ru (форма по Приказу РКН №180 от 28.10.2022).»

Для КЭДО критичен договор с платформой: он должен содержать поручение обработки ПДн по п. 3 ст. 6 ФЗ-152, перечень допустимых действий и запрет использования ПДн в собственных целях. Если договор с платформой КЭДО не содержит таких положений — оператор несёт ответственность за действия платформы как за собственные (позиция ВС РФ по делам о привлечении подрядчиков).

Ответственный по ст. 22.1 ФЗ-152 должен быть назначен приказом до начала обработки через КЭДО. Квалификационные требования к нему установлены ч. 4 ст. 22.1 ФЗ-152. Функции ответственного можно передать на аутсорсинг — DPO-аутсорсинг освобождает от необходимости содержать штатного специалиста.

Шаг 6. Проверьте готовность по чек-листу перед запуском КЭДО

После настройки платформы и подготовки документов юрист проводит финальную проверку перед запуском. Это снижает риск выявления нарушений при первой плановой или внеплановой проверке РКН.

Финальный чек-лист перед запуском КЭДО

Согласие оформлено отдельным документом (не встроено в договор, положение или соглашение об ЭДО)
Вид подписи соответствует категории ПДн: УКЭП/УНЭП — для специальных категорий и биометрии, ПЭП — для общих категорий при надлежащей идентификации
Реквизиты согласия соответствуют требованиям ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025
Платформа КЭДО обеспечивает раздельное хранение и экспорт согласия с подписью
Договор с платформой содержит поручение обработки по п. 3 ст. 6 ФЗ-152
Политика обработки ПДн опубликована и содержит разделы по ч. 2 ст. 18.1 ФЗ-152
Приказ о назначении ответственного по ст. 22.1 ФЗ-152 подписан
Уведомление о намерении обрабатывать ПДн подано в РКН (ст. 22 ФЗ-152, Приказ РКН №180)

Как это применяется на практике

Кейс 1. Производственная компания (Уральский ФО, осень 2025) внедрила КЭДО на базе одной из российских платформ. Юрист при аудите обнаружил: согласие на обработку ПДн включено в текст соглашения об ЭДО, которое работники подписывают в момент подключения к системе. После 01.09.2025 такая форма не соответствует требованиям ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156. Компания получила предписание РКН с требованием привести документооборот в соответствие и штраф по ч. 3 ст. 13.11 КоАП за нарушение требований к политике обработки. Устранение заняло три недели: разработаны отдельное согласие и регламент его хранения в КЭДО. Новые согласия подписаны УНЭП.

Кейс 2. IT-компания (Северо-Западный ФО, начало 2026) использовала ПЭП для подписания согласий работников на обработку ПДн, включая передачу данных в ДМС-провайдера. ДМС предполагает передачу сведений о состоянии здоровья — специальная категория по ст. 10 ФЗ-152. Согласие на специальные категории требует письменной формы, которой ПЭП без квалифицированного сертификата не обеспечивает. РКН при проверке квалифицировал это как нарушение ч. 2 ст. 13.11 КоАП — штраф в диапазоне сотен тысяч рублей. Юрист компании оспорил постановление в арбитраже, суд применил смягчающие обстоятельства по ст. 4.1 КоАП с учётом первичности нарушения. ⚠️ Конкретный номер дела и точная сумма — менеджер уточняет при публикации.

Услуги DATUM по теме

Комплект ОРД под ключ — 38 документов, включая согласия по ФЗ-156 и регламент КЭДО
Аудит соответствия 152-ФЗ — проверка текущей схемы КЭДО по чек-листу из 38 пунктов
DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании

Частые вопросы

1. Какие документы должны быть у оператора ПДн при использовании КЭДО?

Минимальный пакет ОРД включает: политику обработки ПДн (ст. 18.1 ФЗ-152), приказ о назначении ответственного (ст. 22.1 ФЗ-152), согласия работников как отдельные документы (ст. 9 ФЗ-152 в ред. ФЗ-156), договор с платформой КЭДО с поручением обработки (п. 3 ст. 6 ФЗ-152), уведомление в реестр РКН (ст. 22 ФЗ-152), журнал учёта обращений субъектов и регламент реагирования на инциденты. Для специальных категорий ПДн — отдельные письменные согласия с УКЭП или УНЭП.

2. Как составить политику обработки ПДн для компании с КЭДО?

Политика по ч. 2 ст. 18.1 ФЗ-152 должна содержать цели и правовые основания обработки, категории субъектов и ПДн, перечень третьих лиц (включая платформу КЭДО), меры защиты и порядок реагирования на обращения субъектов. Для КЭДО дополнительно включите описание видов подписи и порядок хранения согласий. Шаблоны из интернета требуют адаптации: типовой текст не учитывает специфику вашей платформы и перечень реально обрабатываемых ПДн.

3. Кого назначить ответственным по ст. 22.1 ФЗ-152?

Ответственным может быть штатный работник или внешний исполнитель (DPO-аутсорсинг). Требования к квалификации установлены ч. 4 ст. 22.1 ФЗ-152. Назначение оформляется приказом до начала обработки ПДн. Для КЭДО ответственный должен понимать технические параметры платформы — порядок хранения согласий, механизм отзыва и экспорта данных при обращении субъекта или РКН.

4. Можно ли использовать шаблон политики конфиденциальности из интернета?

Шаблон — отправная точка, не готовый документ. Типовой шаблон не содержит конкретных целей обработки вашей компании, актуального перечня третьих лиц (платформа КЭДО, ДМС-провайдер, банк для зарплатного проекта), описания мер защиты, соответствующих вашему уровню защищённости по ПП РФ №1119. РКН при проверке оценивает политику на соответствие реальной практике: несоответствие создаёт риск по ч. 3 ст. 13.11 КоАП — штраф 30 000–60 000 ₽ за неопубликование или несоответствие требованиям ст. 18.1 ФЗ-152.

5. Какие согласия нужны после 01.09.2025 и что делать со старыми?

После 01.09.2025 все новые согласия оформляются как отдельный документ с обязательными реквизитами по ст. 9 ФЗ-152 в редакции ФЗ-156. Согласия, полученные до 01.09.2025 и встроенные в трудовой договор или иные документы, переоформлять не нужно — ФЗ-156 обратной силы не имеет. Однако если работник подпишет новый трудовой договор или допсоглашение после 01.09.2025 — согласие для него оформляется уже по новым правилам.

6. Что грозит, если ПЭП использована там, где требовалась УКЭП или УНЭП?

Использование ненадлежащего вида подписи для согласия на специальные категории ПДн (ст. 10 ФЗ-152) или биометрию (ст. 11 ФЗ-152) квалифицируется как нарушение требований к письменной форме согласия по ч. 2 ст. 13.11 КоАП — штраф для юрлица 300 000–700 000 ₽. При повторном нарушении по ч. 2.1 ст. 13.11 — 1 000 000–1 500 000 ₽. Дополнительный риск: обработка без надлежащего согласия может быть признана незаконной, что влечёт требование уничтожения ПДн по ст. 21 ФЗ-152.

Итог

Согласие через КЭДО после 01.09.2025 — это самостоятельный документ с фиксированным перечнем реквизитов, надлежащим видом подписи под категорию ПДн и работающим механизмом отзыва. Нарушение требований к составу согласия или использование ненадлежащей подписи создаёт риск по ч. 2 ст. 13.11 КоАП до 700 000 ₽ за первичное нарушение. Системный подход — аудит схемы КЭДО, адаптация платформы и комплект ОРД — снижает этот риск до минимума.

Практика DATUM сопровождает внедрение КЭДО в соответствии с ФЗ-152 с момента вступления в силу изменений: от аудита текущей схемы до разработки комплекта согласий и регламентов под конкретную платформу.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Согласия работников по ст. 9 ФЗ-152 в ред. ФЗ-156, обработка через КЭДО, биометрия в СКУД, проверки РКН в HR-департаментах.

21 января 2027 года