Перейти к содержанию
инструкция 14 января 2028 По состоянию на 14 января 2028

Согласие на email-переписку с архивом

Email-переписка работодателя с сотрудником содержит персональные данные и подпадает под требования ст. 9 ФЗ-152 — оформление согласия на обработку обязательно.
С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие на обработку ПДн не может быть включено в трудовой договор или иной документ — только отдельный документ. Нарушение — штраф до 700 000 ₽ по ч. 2 ст. 13.11 КоАП.
Если HRD использует корпоративную почту без оформленного согласия на хранение архива переписки — каждое письмо является необеспеченной обработкой ПДн. → Проверьте документы за 15 минут по шагам ниже.

Email-архив компании — это база персональных данных. Переписка содержит имена, контактные реквизиты, сведения о трудовой деятельности и нередко данные специальных категорий. Роскомнадзор трактует хранение такой переписки как самостоятельный вид обработки ПДн, требующий отдельного правового основания. HR-директора, которые не оформили согласия работников до начала архивирования, создают основание для штрафа по нескольким частям ст. 13.11 КоАП одновременно — за отсутствие согласия и за несоответствие его формы требованиям после 01.09.2025.

Что считается обработкой ПДн при ведении email-переписки?

Email-переписка с работником охватывает несколько видов обработки по смыслу ст. 3 ФЗ-152: сбор (получение письма), хранение (размещение в почтовом сервере), систематизацию (сортировка по папкам, тегам, периодам), извлечение (поиск по имени или адресу) и передачу (пересылка третьим лицам, в том числе подрядчикам на техподдержку). Каждый из этих видов требует самостоятельного правового основания.

Правовым основанием для обработки ПДн работника служат ст. 86–88 ТК РФ и п. 2 ч. 1 ст. 6 ФЗ-152 (исполнение обязанностей по трудовому договору). Однако это основание распространяется только на данные, необходимые для исполнения трудовых функций. Архив переписки за период после увольнения, пересылка писем внешним контрагентам, использование содержания переписки в целях, не связанных с трудовыми отношениями, — всё это выходит за рамки трудового основания. Для таких операций нужно согласие по ст. 9 ФЗ-152.

«Ст. 5 ФЗ-152 запрещает обработку персональных данных в объёме, превышающем цели. Хранение архива переписки свыше срока, необходимого для исполнения трудового договора, — самостоятельная цель обработки, требующая отдельного основания.»

Особую осторожность нужно проявлять при подключении внешних сервисов: корпоративная почта на Google Workspace, Microsoft 365 или отечественных платформах с зарубежными дата-центрами формирует трансграничную передачу по ст. 12 ФЗ-152. С 01.07.2025 (ФЗ-233) требования к локализации ужесточены: первичный сбор и хранение ПДн граждан РФ должны происходить только на серверах в России.

Корпоративная почта работает, а согласия ещё не оформлены?

Если HRD не оформил согласия на архивирование email-переписки до 01.09.2025 — действующие форматы могут не соответствовать требованиям ФЗ-156. До первой проверки РКН или жалобы работника времени меньше, чем кажется. Каждое несоответствующее согласие — основание для штрафа до 700 000 ₽ по ч. 2 ст. 13.11 КоАП.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 1. Определите, какие данные обрабатываются в переписке

Перед составлением согласия необходимо провести инвентаризацию данных. Email-переписка в HR-контексте обычно содержит несколько категорий ПДн:

  • Общие данные: ФИО, должность, рабочий и личный email, телефон.
  • Данные о трудовой деятельности: оценка работы, информация о нарушениях, сведения о зарплате.
  • Специальные категории (ст. 10 ФЗ-152): данные о состоянии здоровья (больничные, медицинские справки), сведения о профсоюзной деятельности.
  • Биометрические данные: фотографии, прикреплённые к письмам, если используются для идентификации личности.

Специальные категории ПДн по ст. 10 ФЗ-152 требуют письменного согласия с явным перечнем целей и видов обработки. Если переписка содержит сведения о здоровье сотрудника, стандартное согласие на архив переписки необходимо дополнить отдельным разделом или самостоятельным согласием на обработку специальных категорий.

Шаг 2. Проверьте правовое основание для каждого этапа обработки

Разграничьте операции по правовым основаниям. Это упрощает составление согласия и позволяет избежать избыточного охвата.

  • Текущая переписка в период трудовых отношений — основание по ст. 86 ТК РФ и п. 5 ч. 1 ст. 6 ФЗ-152 (исполнение договора). Согласие не требуется.
  • Архивирование переписки на период действия договора — если архив используется для разрешения трудовых споров, может также охватываться трудовым основанием. Рекомендуется тем не менее получить согласие, поскольку граница применения нормы неоднозначна.
  • Хранение архива после увольнения — трудовое основание прекращается. Требуется согласие по ст. 9 ФЗ-152 с указанием конкретного срока хранения.
  • Передача переписки третьим лицам (адвокаты, аудиторы, ИТ-подрядчики) — требует отдельного согласия или договора поручения по п. 3 ст. 6 ФЗ-152.
  • Мониторинг корпоративной почты (проверка содержания писем работника) — регулируется ст. 22.2 ТК РФ и требует уведомления работника в письменной форме.
«Ст. 87 ТК РФ обязывает работодателя установить порядок хранения и использования ПДн работников во внутренних документах. Отсутствие такого порядка — самостоятельное нарушение трудового законодательства, фиксируемое при проверке ГИТ совместно с проверкой РКН.»

Шаг 3. Составьте согласие по требованиям ФЗ-156 с 01.09.2025

С 01.09.2025 ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 требует, чтобы согласие было оформлено отдельным документом. Его нельзя включать в трудовой договор, должностную инструкцию, политику конфиденциальности или любой иной документ.

Обязательные реквизиты согласия по ст. 9 ФЗ-152:

  • ФИО субъекта и его контактные данные.
  • Полное наименование и адрес оператора (работодателя).
  • Цель обработки: архивирование email-переписки в целях документирования трудовых отношений и разрешения споров.
  • Перечень обрабатываемых ПДн: ФИО, должность, корпоративный email, содержание переписки, вложенные файлы.
  • Перечень действий с ПДн: сбор, хранение, систематизация, извлечение, уничтожение.
  • Срок действия согласия или условие его прекращения (например, «в течение 5 лет после увольнения»).
  • Способ отзыва согласия: письменное заявление в адрес работодателя.

Если архив переписки хранится на серверах за рубежом, в согласие необходимо включить раздел о трансграничной передаче с указанием страны получателя и оснований передачи по ст. 12 ФЗ-152.

Если HRD получил запрос от работника на отзыв согласия или уточнение данных — ответить необходимо в течение 10 рабочих дней по ст. 20 ФЗ-152. Просрочка — штраф 40 000–80 000 ₽ по ч. 4 ст. 13.11 КоАП. Юристы DATUM подготовят шаблоны ответов и регламент обработки запросов субъектов.

Собрать ОРД под ключ

Шаг 4. Интегрируйте согласие в кадровый документооборот

Согласие на архив email-переписки подписывается при приёме на работу одновременно с трудовым договором — но как самостоятельный документ. При переходе на КЭДО порядок подписания сохраняется: согласие подписывается усиленной квалифицированной или усиленной неквалифицированной электронной подписью (по ч. 3 ст. 6 ФЗ-152 допустимы форматы, обеспечивающие фиксацию волеизъявления).

При использовании КЭДО учитывайте: платформа КЭДО сама является оператором или обработчиком ПДн. Если HR-система передаёт данные в КЭДО-провайдера — необходим договор поручения по п. 3 ст. 6 ФЗ-152. Отсутствие договора поручения создаёт риск квалификации передачи как неправомерной по ч. 1 ст. 13.11 КоАП (штраф 150 000–300 000 ₽).

Хранение подписанных согласий: рекомендуется хранить в личном деле работника с отдельной описью. После увольнения — в архиве не менее срока действия согласия плюс 3 года для возможного судебного разбирательства.

Шаг 5. Выстройте процедуру отзыва и уничтожения архива

Работник вправе отозвать согласие в любой момент по ч. 2 ст. 9 ФЗ-152. При отзыве работодатель обязан прекратить обработку и уничтожить архив переписки в части данных, для которых согласие было единственным основанием. Срок — 30 дней, если иное не предусмотрено законом или договором.

Исключение: если архив необходим для защиты прав работодателя в суде или административном производстве, обработка продолжается на ином правовом основании (п. 3 ч. 1 ст. 6 ФЗ-152 — судопроизводство). Это основание необходимо зафиксировать документально — приказом или служебной запиской.

Факт уничтожения архива фиксируется актом уничтожения носителей ПДн по форме, утверждённой внутренними документами. Акт хранится отдельно от личного дела.

Что подготовить HR-директору

  • Отдельное согласие на архивирование email-переписки по ст. 9 ФЗ-152 в редакции ФЗ-156 (отдельный документ, не включённый в трудовой договор).
  • Положение о порядке хранения и использования ПДн работников по ст. 87 ТК РФ с разделом об email-архиве.
  • Договор поручения с КЭДО-провайдером и иными ИТ-подрядчиками, имеющими доступ к почтовому серверу.
  • Регламент обработки запросов работников на отзыв согласия и уничтожение ПДн с форматом акта уничтожения.
  • Журнал учёта выданных и отозванных согласий с датами и подписями работников.

Типичные ситуации, с которыми сталкиваются HR-директора

Ситуация 1. Компания использует Microsoft 365 с почтовыми ящиками на серверах в Нидерландах. Работники подписали общее согласие, включённое в трудовой договор. После 01.09.2025 это согласие не соответствует требованиям ФЗ-156 — оно не является отдельным документом. Одновременно хранение ПДн граждан РФ за рубежом с 01.07.2025 нарушает ч. 5 ст. 18 ФЗ-152. Потенциальный штраф: по ч. 2 ст. 13.11 (300 000–700 000 ₽) плюс по ч. 8 ст. 13.11 (1 000 000–6 000 000 ₽). Стратегия: переподписать согласия как отдельные документы, перенести почтовый сервер на российскую площадку или использовать отечественный сервис.

Ситуация 2. Уволенный работник требует уничтожить архив его email-переписки, ссылаясь на отзыв согласия. HR-директор удерживает архив, так как в переписке содержатся доказательства нарушения работником трудовой дисциплины, которые могут понадобиться в суде. Правомерное решение: продолжить хранение на основании п. 3 ч. 1 ст. 6 ФЗ-152 (судопроизводство), зафиксировав это приказом. Субъекту направить письменный отказ в уничтожении с указанием основания в течение 30 дней.

Ситуация 3. IT-подрядчик, обслуживающий почтовый сервер, имеет доступ к архиву переписки для технических нужд. Договор с подрядчиком заключён, но в нём нет раздела о поручении обработки ПДн по п. 3 ст. 6 ФЗ-152. РКН при проверке квалифицирует это как несанкционированную передачу третьему лицу — нарушение ч. 1 ст. 13.11 (150 000–300 000 ₽). Решение: дополнить договор приложением о поручении обработки с обязанностями подрядчика-обработчика по ст. 6 ФЗ-152.

Как это применяется на практике

Кейс 1. HR-директор производственной компании (Уральский ФО, осень 2025) при плановой проверке ГИТ обнаружил, что согласия работников на обработку ПДн включены в трудовые договоры — типовая форма, использовавшаяся с 2019 года. РКН, подключённый к проверке, составил протокол по ч. 2 ст. 13.11 КоАП на штраф в сотни тысяч рублей. Компания обратилась за защитой: юристы подготовили новые формы согласий в соответствии с ФЗ-156, провели массовое переподписание с 680 работниками через КЭДО и подали ходатайство о применении ст. 4.1.1 КоАП. Суд снизил санкцию до предупреждения как для первичного нарушителя. ⚠️ Конкретный номер дела — менеджер уточняет при публикации.

Кейс 2. IT-компания (Северо-Западный ФО, начало 2026) хранила архив email-переписки уволенных сотрудников за 7 лет на корпоративном сервере без правового основания — трудовые отношения прекратились, отдельного согласия не было. Бывший работник подал жалобу в РКН с требованием уничтожить данные. РКН выдал предписание; компания нарушила срок его исполнения. Итоговый штраф по ч. 5 ст. 13.11 — в диапазоне 50 000–90 000 ₽ плюс предписание об уничтожении архива за конкретный период. ⚠️ Конкретный номер дела — менеджер уточняет при публикации.

Услуги DATUM по теме

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025 в составе трудового договора или иного документа, не соответствуют требованию ФЗ-156 об отдельном документе. Формально ранее полученные согласия не становятся ничтожными автоматически — ФЗ-156 не имеет обратной силы. Однако РКН при проверке может квалифицировать несоответствие как действующее нарушение по ч. 2 ст. 13.11 КоАП (штраф до 700 000 ₽). Практически безопаснее переоформить согласия при первом удобном случае: при плановом ознакомлении, через КЭДО или при изменении условий труда.

2. Какие данные нельзя спрашивать в анкете при приёме на работу?

Ст. 86 ТК РФ и ст. 10 ФЗ-152 запрещают запрашивать данные о политических взглядах, религиозных убеждениях, членстве в профсоюзах, за исключением случаев, когда это прямо предусмотрено федеральным законом. Нельзя также требовать сведения о состоянии здоровья, не связанные с трудовыми функциями, данные о судимости (если должность не входит в перечень ст. 65 ТК РФ), информацию об имущественном положении или семейном доходе без явного основания. Включение таких вопросов в анкету — нарушение принципа минимальности ст. 5 ФЗ-152.

3. Можно ли вести видеонаблюдение в офисе?

Видеонаблюдение в офисе допустимо при соблюдении нескольких условий. Работников необходимо письменно уведомить о факте наблюдения — через трудовой договор, правила внутреннего трудового распорядка или отдельное уведомление (ст. 22.2 ТК РФ). Если видеозапись используется для идентификации личности, это биометрическая обработка по ст. 11 ФЗ-152, требующая письменного согласия. Хранение записей в облачном сервисе за рубежом с 01.07.2025 требует соблюдения требований о локализации. Съёмка в туалетах, раздевалках и иных личных пространствах запрещена.

4. Сколько хранить согласия после увольнения?

Минимальный срок хранения согласий на обработку ПДн работника — 3 года после прекращения трудовых отношений (по аналогии со сроком исковой давности по трудовым спорам). Если согласие регулировало обработку, относящуюся к личному делу работника, оно хранится вместе с делом — типовой срок 75 лет для кадровых документов по Перечню Росархива. Уничтожение согласия раньше срока хранения создаёт риск: при проверке РКН работодатель не сможет доказать законность обработки ПДн.

5. Кто является оператором при использовании КЭДО?

При использовании КЭДО оператором персональных данных работников остаётся работодатель — он определяет цели и состав обрабатываемых ПДн. КЭДО-провайдер выступает лицом, осуществляющим обработку по поручению оператора, по п. 3 ст. 6 ФЗ-152. Работодатель обязан заключить с провайдером договор поручения с перечнем разрешённых действий с ПДн, требованиями конфиденциальности и условиями об ответственности. Ответственность перед субъектом ПДн и РКН несёт оператор, а не провайдер.

Итог

Согласие на email-переписку с архивом — это не формальность, а рабочий документ, закрывающий сразу несколько рисков: хранение данных уволенных, передача третьим лицам, мониторинг корпоративной почты. С 01.09.2025 форма документа строго определена ФЗ-156: отдельный документ с семью обязательными реквизитами. Нарушение — штраф до 700 000 ₽ за каждый случай по ч. 2 ст. 13.11 КоАП.

Практика DATUM по сопровождению HR-операторов ПДн охватывает более 300 компаний. Юристы специализируются на кадровых согласиях по ст. 9 ФЗ-152 в редакции ФЗ-156, документации КЭДО, передаче ПДн в зарплатных проектах и сопровождении проверок РКН в HR-департаментах.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах.

14 января 2028 года