инструкция 4 декабря 2027 По состоянию на 4 декабря 2027

Согласие на интеграцию HR-системы с 1С:ЗУП

Интеграция HR-системы с 1С:ЗУП — это передача персональных данных работников между двумя информационными системами одного оператора или двух разных операторов. По ст. 9 ФЗ-152 в редакции ФЗ-156 с 01.09.2025 согласие работника оформляется отдельным документом.

Отсутствие отдельного согласия при интеграции HR-системы с 1С:ЗУП даёт основание для штрафа по ч. 2 ст. 13.11 КоАП в диапазоне 300 000 — 700 000 ₽. Повторное нарушение — уже 1 000 000 — 1 500 000 ₽ по ч. 2.1.

→ Если вы HRD и согласия работников до сих пор вшиты в трудовой договор или оферту КЭДО — каждый из них создаёт отдельное основание для штрафа с 01.09.2025.

С 1 сентября 2025 года требования к согласию работника существенно изменились: ФЗ-156 от 24.06.2025 запретил объединять согласие на обработку персональных данных с трудовым договором, анкетой, политикой конфиденциальности или любым другим документом. При интеграции HR-системы с 1С:ЗУП это означает, что каждое новое основание обработки — передача данных в 1С, выгрузка в зарплатный проект, синхронизация кадровых документов через КЭДО — требует отдельного согласия с обязательными реквизитами по ст. 9 ФЗ-152. В этой инструкции — пошаговый порядок оформления таких согласий, перечень данных, которые охватывает интеграция, и типовые ошибки, которые выявляет РКН при проверке HR-департаментов.

Шаг 1. Определите роли операторов в связке HR-система + 1С:ЗУП

Прежде чем составлять согласие, нужно понять, кто является оператором персональных данных в каждой системе. Возможны три конфигурации.

Первая: HR-система и 1С:ЗУП эксплуатируются одной организацией на собственных серверах. В этом случае оператор один — работодатель. Интеграция — это внутренняя передача данных между двумя ИС одного оператора. Согласие требуется в части новых целей обработки, если 1С:ЗУП используется для расчёта заработной платы и эти цели не были указаны в исходном согласии.

Вторая: HR-система предоставляется SaaS-вендором. Тогда вендор обрабатывает данные по поручению работодателя на основании договора поручения по п. 3 ст. 6 ФЗ-152. Оператором остаётся работодатель, вендор — обработчик. Согласие работника на передачу данных вендору нужно в объёме, предусмотренном договором поручения.

Третья: 1С:ЗУП эксплуатируется на стороне внешнего провайдера 1С-хостинга. Схема та же: провайдер — обработчик по поручению. Данные работников хранятся у третьего лица, и это должно быть отражено в согласии.

«Ст. 6 ч. 3 ФЗ-152: обработка персональных данных по поручению оператора осуществляется на основании договора. Обработчик обязан соблюдать конфиденциальность и принимать меры защиты по ст. 19 ФЗ-152. Ответственность перед субъектом — на операторе.»

Практическое значение: если вы не определили роли, вы не можете корректно заполнить обязательный реквизит согласия — «наименование оператора» и «перечень лиц, которым передаются данные». Роскомнадзор проверяет это при плановой проверке по индикатору риска «несоответствие фактической обработки заявленной в уведомлении».

Согласия работников ещё не разделены по целям?

Если HRD не переоформил согласия после 01.09.2025 — старые формы, вшитые в трудовой договор или оферту КЭДО, не соответствуют ст. 9 ФЗ-152 в редакции ФЗ-156. Каждый такой документ — это потенциальный штраф по ч. 2 ст. 13.11 КоАП: от 300 000 до 700 000 ₽. При интеграции с 1С:ЗУП через SaaS или облачный хостинг согласие также должно называть обработчика. Юристы DATUM соберут пакет согласий под конкретную архитектуру HR-системы и проведут аудит ОРД HR-департамента.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 2. Составьте перечень персональных данных, которые передаёт интеграция

Согласие по ст. 9 ФЗ-152 должно содержать конкретный перечень обрабатываемых данных. При интеграции HR-системы с 1С:ЗУП типовой состав выглядит следующим образом.

Идентификационные и кадровые данные: ФИО, дата рождения, пол, гражданство, место рождения, ИНН, СНИЛС, серия и номер паспорта, дата и место выдачи. Трудовые данные: должность, структурное подразделение, дата приёма, табельный номер, категория должности, оклад и тарифная ставка. Банковские реквизиты для зарплатного проекта: номер счёта, БИК, наименование банка. Данные для КЭДО: адрес электронной почты, номер мобильного телефона (для подписания через СМЭВ или усиленную квалифицированную ЭП). Если в HR-системе ведётся СКУД — биометрические данные (изображение лица, отпечатки пальцев) требуют отдельного письменного согласия по ст. 11 ФЗ-152.

«Ст. 86 ТК РФ: работодатель вправе обрабатывать только те персональные данные работника, которые необходимы для исполнения трудового договора. Ст. 87 ТК РФ: порядок хранения и использования данных устанавливается работодателем в локальном нормативном акте.»

Типовая ошибка при настройке интеграции: поле маппинга включает данные, не нужные для 1С:ЗУП, — например, результаты психологического тестирования, религиозные предпочтения или данные о родственниках. Специальные категории данных по ст. 10 ФЗ-152 вообще не могут передаваться через интеграцию с расчётной системой — это нарушение принципа соответствия объёма целям по ст. 5 ФЗ-152. Пройдитесь по схеме маппинга и исключите всё лишнее до оформления согласия.

Что подготовить до подписания согласий

Схема маппинга полей HR-системы и 1С:ЗУП — с указанием каждого передаваемого атрибута и его назначения
Договор поручения с SaaS-вендором HR-системы и/или провайдером 1С-хостинга (ст. 6 ч. 3 ФЗ-152)
Актуальное уведомление в реестре РКН с перечнем целей, соответствующих интеграции (ст. 22 ФЗ-152)
Шаблон согласия с обязательными реквизитами по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025
Приказ о назначении ответственного за организацию обработки персональных данных (ст. 22.1 ФЗ-152)

Шаг 3. Оформите согласие с обязательными реквизитами по ст. 9 ФЗ-152

С 01.09.2025 согласие на обработку персональных данных — самостоятельный документ. Его нельзя включать в трудовой договор, соглашение о КЭДО, должностную инструкцию или корпоративный регламент. Это требование ФЗ-156 от 24.06.2025, и оно не имеет обратной силы: ранее подписанные документы, где согласие было частью договора, не требуется переоформлять задним числом, но новые согласия — только отдельным листом.

Обязательные реквизиты согласия по ст. 9 ФЗ-152 применительно к интеграции HR + 1С:ЗУП:

ФИО работника и его контактные данные (адрес или email)
Наименование и адрес оператора — работодателя
Наименование и адрес обработчика, если данные передаются вендору HR-системы или провайдеру 1С-хостинга
Цель обработки: расчёт заработной платы и ведение кадрового учёта в информационной системе 1С:ЗУП
Перечень персональных данных (см. Шаг 2 — только те атрибуты, которые реально передаёт интеграция)
Перечень действий с данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, передача обработчику
Срок действия согласия — как правило, на период трудовых отношений плюс срок хранения данных после увольнения
Способ отзыва согласия — письменное заявление работника на имя работодателя

Если в схеме интеграции задействован зарплатный проект банка — это отдельная передача данных третьему лицу, которая требует отдельного согласия с указанием конкретного банка. Объединять его с согласием на интеграцию нельзя: цели разные, операторы разные.

Шаг 4. Организуйте подписание согласий в КЭДО

Большинство HR-систем интегрированы с сервисами КЭДО — Контур.Диадок, ЭДО СБИС, 1С-ЭДО и аналогами. Согласие по ст. 9 ФЗ-152 может быть подписано в электронном виде, если соблюдаются условия ст. 22.2 ТК РФ: работник присоединился к КЭДО, и у него есть усиленная квалифицированная или усиленная неквалифицированная электронная подпись, признанная сторонами.

Важное ограничение: само согласие на присоединение к КЭДО не может быть подписано через КЭДО — это логический круг. Первичное согласие на использование КЭДО и обработку данных в системе КЭДО подписывается на бумаге или через государственные сервисы (ЕСИА, Госключ). Только после этого работник может подписывать через КЭДО согласие на интеграцию HR-системы с 1С:ЗУП.

«Ст. 22.2 ТК РФ: электронный документооборот в сфере трудовых отношений ведётся с использованием усиленной квалифицированной ЭП работодателя и электронной подписи работника (вид — в зависимости от типа документа). Работодатель вправе использовать информационную систему работодателя или платформу «Работа в России».»

При использовании КЭДО данные о факте подписания (дата, тип подписи, идентификатор документа) должны фиксироваться в журнале учёта. Этот журнал — доказательство при проверке РКН: инспектор вправе запросить подтверждение, что согласие подписано лично работником и до начала обработки его данных в интеграции.

Если HR-департамент переходит на КЭДО и параллельно настраивает интеграцию с 1С:ЗУП — это два отдельных основания для оформления согласий. Без правильной последовательности подписания хотя бы одно из них окажется юридически ничтожным. Юристы DATUM собирают пакет ОРД под конкретную схему КЭДО + 1С:ЗУП с учётом ФЗ-156 и ст. 22.2 ТК РФ.

Собрать ОРД под ключ

Шаг 5. Обновите уведомление в реестре РКН и внутренние регламенты

Интеграция HR-системы с 1С:ЗУП, как правило, меняет состав обрабатываемых данных или цели обработки. Если в уведомлении оператора в реестре РКН (ст. 22 ФЗ-152) не указаны цель «расчёт заработной платы» или обработчик — провайдер 1С-хостинга — нужно подать уведомление об изменении сведений по форме Приказа РКН №180 от 28.10.2022. Несоответствие фактической обработки данным в реестре — один из ключевых индикаторов риска при проверке РКН.

Параллельно нужно обновить политику обработки персональных данных (ст. 18.1 ФЗ-152): добавить описание интеграции, состав передаваемых данных, наименование обработчика, цель и правовое основание передачи. Политика должна быть опубликована на сайте работодателя или в ином общедоступном месте — и соответствовать тому, что реально происходит с данными.

Наконец, проверьте локальный нормативный акт об обработке персональных данных работников по ст. 87 ТК РФ: в нём должен быть описан порядок передачи данных в информационные системы третьих лиц. Если такого раздела нет — его нужно добавить до ввода интеграции в эксплуатацию.

Как это выглядит на практике: два сценария

Сценарий 1. Торговая компания (Уральский ФО, осень 2025) переходила на облачную HR-систему с интеграцией в 1С:ЗУП у внешнего 1С-хостера. При проверке РКН инспектор обнаружил, что в уведомлении не указан хостер как обработчик, а согласия работников содержат ссылку на политику конфиденциальности вместо самостоятельного документа. Результат: предписание об устранении нарушений и протокол по ч. 3 ст. 13.11 КоАП (ненадлежащая публикация политики). Компания переоформила согласия, обновила уведомление и подписала договор поручения — штраф был минимальным в диапазоне нормы ввиду оперативного устранения.

Сценарий 2. Производственное предприятие (Центральный ФО, начало 2026) использовало HR-систему собственной разработки с синхронизацией в 1С:ЗУП. В схеме маппинга передавались результаты медицинских осмотров — специальная категория данных по ст. 10 ФЗ-152. Согласия работников не предусматривали обработку спецкатегорий. Внутренний аудит, проведённый до плановой проверки РКН, выявил проблему: поле было исключено из маппинга, согласия переоформлены. Штраф удалось предотвратить до проверки.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка согласий, ОРД и схем интеграции по чек-листу из 38 пунктов
Комплект ОРД под ключ — пакет документов для HR-департамента с учётом ФЗ-156 и КЭДО
DPO-аутсорсинг — ответственный за обработку ПДн на абонентском обслуживании по ст. 22.1 ФЗ-152

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, подписанные до 01.09.2025 в составе трудового договора или иного документа, не утрачивают силу автоматически — ФЗ-156 не имеет обратной силы. Однако если вы оформляете новое согласие после 01.09.2025 или вносите изменения в условия обработки (например, добавляете нового обработчика при интеграции с 1С:ЗУП) — документ обязательно должен быть отдельным. Рекомендуется также провести аудит действующих форм и поэтапно перевести всю базу на новые шаблоны, чтобы исключить риск при проверке РКН.

2. Какие данные нельзя запрашивать в анкете при приёме на работу?

По ст. 86 ТК РФ работодатель вправе запрашивать только данные, необходимые для трудовых отношений. Запрещено спрашивать о религиозных и политических взглядах, членстве в профсоюзах, состоянии здоровья (кроме случаев обязательного медосмотра по ст. 213 ТК РФ), о родственниках, если это не требуется для конкретной должности. Данные, собранные сверх меры, — нарушение принципа минимизации по ст. 5 ФЗ-152. При интеграции с 1С:ЗУП эти избыточные поля могут попасть в расчётную систему, что усугубляет нарушение.

3. Можно ли вести видеонаблюдение в офисе без дополнительного согласия?

Видеонаблюдение в рабочих помещениях допускается без согласия работников при условии, что цель — обеспечение безопасности и контроль рабочего процесса, работники уведомлены об этом в локальном нормативном акте (ст. 86 ТК РФ), а запись лица не используется как биометрический идентификатор. Если изображение применяется для СКУД с распознаванием лиц — это биометрия по ст. 11 ФЗ-152, и письменное согласие обязательно. Передача видеозаписей в HR-систему или 1С:ЗУП должна быть отражена в согласии и договоре поручения.

4. Сколько хранить согласия после увольнения работника?

Согласие работника — кадровый документ. По типовым перечням Росархива срок хранения документов о персональных данных — 75 лет. Это минимальный ориентир для кадровых служб. Если согласие было основанием для передачи данных в 1С:ЗУП или зарплатный проект, оно должно храниться не менее срока хранения финансовых документов (как правило, 5 лет по НК РФ), но практика РКН рекомендует ориентироваться на 75-летний срок для документов, связанных с трудовыми отношениями.

5. Кто является оператором при использовании КЭДО через внешнюю платформу?

При использовании КЭДО через внешнюю платформу (Контур, СБИС, 1С-ЭДО и аналоги) оператором персональных данных остаётся работодатель. Платформа КЭДО — обработчик по договору поручения согласно п. 3 ст. 6 ФЗ-152. Работодатель обязан убедиться, что договор с платформой содержит условия о конфиденциальности и технической защите данных по ст. 19 ФЗ-152. Ответственность перед работником и РКН за нарушения платформы — на работодателе-операторе.

6. Что изменилось в требованиях к согласию по ФЗ-156 от 24.06.2025?

ФЗ-156 внёс изменения в ч. 1 ст. 9 ФЗ-152: с 01.09.2025 согласие на обработку персональных данных не может объединяться с другими документами — договором, политикой конфиденциальности, офертой, соглашением о КЭДО. Это требование распространяется на все новые согласия, в том числе при интеграции HR-системы с 1С:ЗУП. Нарушение этого требования квалифицируется по ч. 2 ст. 13.11 КоАП как обработка данных без надлежащего согласия: штраф для юридического лица — от 300 000 до 700 000 ₽.

Итог

Интеграция HR-системы с 1С:ЗУП — это не технический проект, а юридически значимое изменение в обработке персональных данных работников. Оно требует отдельного согласия по ст. 9 ФЗ-152, договора поручения с каждым внешним обработчиком, актуального уведомления в реестре РКН и обновлённой политики обработки данных. С 01.09.2025 каждое из этих требований стало строже: ФЗ-156 запретил объединять согласие с другими документами, а ФЗ-420 с 30.05.2025 поднял штрафы по ст. 13.11 КоАП до уровня, при котором одна проверка РКН может стоить больше, чем годовой бюджет на юридическое сопровождение.

Практика DATUM по защите персональных данных в HR-департаментах включает аудит схем интеграции, составление согласий по ФЗ-156 и сопровождение проверок РКН в кадровых подразделениях. Команда работает с компаниями от 50 работников — с момента настройки интеграции до устранения предписаний.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах.

4 декабря 2027 года