Перейти к содержанию
инструкция 19 января 2028 По состоянию на 19 января 2028

Согласие на использование изображения в корпоративных материалах

Фотография работника в корпоративных материалах — это обработка биометрических персональных данных по ст. 11 ФЗ-152, требующая отдельного письменного согласия.
С 01.09.2025 согласие не объединяется с трудовым договором или иными документами (ФЗ-156). Отсутствие согласия или нарушение его формы — штраф до 700 000 ₽ по ч. 2 ст. 13.11 КоАП, а при повторном нарушении — до 1 500 000 ₽.
→ Если вы HRD и согласия работников до сих пор включены в трудовой договор — читайте инструкцию: шесть шагов, чтобы закрыть риск до проверки РКН.

Корпоративный сайт, брошюры, стенды, интранет, социальные сети компании — везде, где используется изображение конкретного работника, нужно отдельное согласие. Использование фото без согласия или с согласием, не отвечающим требованиям ст. 9 ФЗ-152 в редакции ФЗ-156, создаёт основание для административного штрафа и судебного иска субъекта. В 2025 году РКН зафиксировал 30 инцидентов только за первое полугодие. Ниже — последовательный алгоритм оформления согласия и устранения типовых ошибок.

Шаг 1. Определите, является ли изображение работника биометрическими персональными данными

По ст. 11 ФЗ-152 к биометрическим персональным данным относятся физиологические и биологические особенности человека, позволяющие установить его личность. Фотография лица работника подпадает под это определение, если используется для идентификации: размещение на корпоративном сайте с подписью ФИО и должности позволяет установить личность. Если изображение полностью обезличено — имя не указано, лицо размыто — оно выходит за пределы ПДн.

Важно разграничить два случая. Первый — фото в СКУД (система контроля доступа): здесь биометрия используется для идентификации в режиме реального времени, что требует отдельного согласия по ст. 11 и учёта требований ФСТЭК. Второй — фото в корпоративном буклете: идентификационная функция присутствует, но технической верификации нет; согласие нужно по общим правилам ст. 9 и ст. 10.1 ФЗ-152.

«Ст. 11 ФЗ-152 — обработка биометрических персональных данных допускается только с письменного согласия субъекта, за исключением прямо перечисленных случаев (осуществление правосудия, исполнение договора, государственные функции). Корпоративные материалы в этот перечень не входят.»

Практический тест: задайте вопрос — можно ли по изображению идентифицировать конкретного человека без дополнительных усилий? Если да — требуется согласие по ст. 11 ФЗ-152 как на биометрические ПДн, а не только по общим нормам ст. 9.

Уже используете фото работников на сайте или в материалах без актуальных согласий?

Если согласия оформлены до 01.09.2025 как часть трудового договора или вообще не оформлялись, каждый такой случай — самостоятельное основание для штрафа по ч. 2 ст. 13.11 КоАП (до 700 000 ₽). Срок не ждёт: РКН вправе инициировать проверку по жалобе любого работника в любой рабочий день.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Шаг 2. Проверьте соответствие согласий требованиям ФЗ-156 (действует с 01.09.2025)

С 01.09.2025 вступила в силу норма ФЗ-156 от 24.06.2025, изменившая ч. 1 ст. 9 ФЗ-152: согласие на обработку персональных данных оформляется отдельным документом. Оно не может быть частью трудового договора, оферты, политики конфиденциальности или любого иного документа. Старые согласия, полученные до 01.09.2025 в составе другого документа, сохраняют силу — обратной силы норма не имеет. Но если работник отзовёт такое согласие, заменить его можно только отдельным документом.

Обязательные реквизиты согласия по ст. 9 ФЗ-152 в действующей редакции:

  • фамилия, имя, отчество субъекта и его контактные данные;
  • наименование и адрес оператора;
  • цель обработки — конкретная, например «размещение фотографии на корпоративном сайте компании»;
  • перечень персональных данных — «фотографическое изображение лица, ФИО, должность»;
  • перечень действий с ПДн — «хранение, воспроизведение, публичная демонстрация, распространение»;
  • срок действия согласия или указание на бессрочность;
  • способ отзыва согласия — например, «подача письменного заявления работодателю».

Отсутствие хотя бы одного реквизита делает согласие ненадлежащим. РКН при проверке запросит образцы согласий и проверит каждый реквизит по контрольному листу.

Шаг 3. Разработайте шаблон согласия под конкретные цели использования

Частая ошибка — единое согласие на все возможные виды использования изображения. Это не запрещено, но создаёт риск: если работник отзовёт согласие на публикацию в социальных сетях, он не утрачивает согласие на корпоративный сайт только в том случае, если эти цели указаны раздельно. При объединении целей в одном согласии отзыв по одной цели фактически отзывает всё.

Рекомендуемая структура по целям использования:

  • корпоративный сайт (страница команды, раздел «О нас»);
  • внутренние материалы — интранет, корпоративные издания, презентации;
  • внешние маркетинговые материалы — брошюры, выставочные стенды;
  • публичные социальные сети компании;
  • СМИ и пресс-релизы.

Каждую цель следует либо вынести в отдельный чекбокс с подписью, либо оформить как отдельный документ. Второй подход надёжнее для архивирования и отслеживания отзывов. Срок согласия — на время трудовых отношений плюс разумный период после увольнения (если материалы остаются на сайте). По ст. 21 ФЗ-152 после отзыва согласия оператор обязан прекратить обработку в течение 30 дней.

Если в вашем HR-департаменте согласия ещё не приведены к требованиям ФЗ-156 — пакет шаблонов ОРД включает актуальные формы согласий с разбивкой по целям использования изображения.

Собрать ОРД под ключ

Шаг 4. Настройте процедуру получения и хранения согласий

Согласие получают до начала использования изображения. Для новых работников — при оформлении или в ходе адаптационного периода, до первой корпоративной съёмки. Для действующих работников — не позднее чем за 30 дней до публикации или при очередном обновлении материалов.

Варианты получения согласия в зависимости от инфраструктуры компании:

  • бумажный документ с живой подписью — хранится в личном деле (типовой срок хранения личного дела — 75 лет);
  • электронный документ с квалифицированной электронной подписью (КЭП) через КЭДО — юридически равнозначен бумажному по ст. 22.2 ТК РФ;
  • электронный документ с простой электронной подписью — допустим, если в соглашении о КЭДО стороны установили это.

При использовании КЭДО для передачи согласий оператором ПДн остаётся работодатель. КЭДО-провайдер действует как лицо, осуществляющее обработку по поручению (ч. 3 ст. 6 ФЗ-152), что требует заключения отдельного договора-поручения с перечнем действий и требованиями к защите. Отсутствие такого договора — самостоятельное основание для штрафа по ч. 1 ст. 13.11 КоАП.

Шаг 5. Обеспечьте возможность отзыва и удаления изображений

Работник вправе отозвать согласие в любой момент без объяснения причин (ст. 9 ч. 2 ФЗ-152). Оператор обязан прекратить обработку в течение 30 дней с момента получения заявления, а также уничтожить или обезличить ПДн, если иное не предусмотрено законом или договором.

Для HR-департамента это означает три практических требования. Первое — наличие формы заявления об отзыве согласия в комплекте ОРД. Второе — регламент взаимодействия с маркетингом, IT и PR для оперативного удаления изображений с сайта, из социальных сетей и печатных материалов. Третье — журнал обращений субъектов с фиксацией дат поступления и исполнения, который подтверждает соблюдение 30-дневного срока.

При увольнении работника следует дополнительно уточнить его позицию относительно уже опубликованных материалов. Если работник не отозвал согласие при увольнении, ранее данное согласие сохраняет силу до отзыва или истечения срока. Но ст. 86 ТК РФ требует, чтобы обработка ПДн работников осуществлялась в целях, непосредственно связанных с трудовыми отношениями. После прекращения трудовых отношений маркетинговое использование фото — уже иная цель, требующая отдельного основания.

Шаг 6. Проверьте смежные риски: СКУД, видеонаблюдение, корпоративные мессенджеры

Биометрия в СКУД — отдельный массив рисков. Здесь изображение лица используется для идентификации в режиме реального времени: это высшая степень обработки биометрических ПДн по ст. 11 ФЗ-152. Помимо согласия, требуется определить уровень защищённости информационной системы по ПП РФ №1119 и обеспечить технические меры по Приказу ФСТЭК №21. Нарушение требований к биометрии — штраф по ч. 16 ст. 13.11 КоАП.

Видеонаблюдение в офисе относится к обработке ПДн, если записи позволяют идентифицировать конкретных лиц. Работники должны быть уведомлены об этом в письменной форме, что является самостоятельной обязанностью работодателя по ст. 87 ТК РФ.

Фото в корпоративных мессенджерах и во внутренних справочниках — менее очевидный риск, но он существует. Если данные обрабатываются через зарубежные сервисы (Teams, Slack), возникает вопрос трансграничной передачи по ст. 12 ФЗ-152 и обязанности уведомления РКН. После ужесточения норм локализации с 01.07.2025 (ФЗ-233) этот вопрос требует отдельного анализа.

Что подготовить HRD до проверки РКН

  • Отдельные согласия на обработку изображений — по новой форме с реквизитами ст. 9 ФЗ-152 в редакции ФЗ-156, с разбивкой по целям использования.
  • Договор-поручение с КЭДО-провайдером — с перечнем действий, требованиями к защите и обязанностью уведомления об инцидентах.
  • Регламент отзыва согласий — форма заявления, порядок удаления изображений, ответственный сотрудник, срок исполнения (не более 30 дней).
  • Журнал обращений субъектов — с фиксацией входящих запросов на отзыв, уточнение и уничтожение ПДн за последние 12 месяцев.
  • Анализ СКУД и видеонаблюдения — документы об уровне защищённости, уведомление работников о видеозаписи по ст. 87 ТК РФ.

Как выглядят типичные нарушения на практике

Сценарий 1 — согласие в трудовом договоре до 2025 года. Компания численностью 200 человек использует фото всех сотрудников на корпоративном сайте. Согласия — в виде пункта трудового договора, оформленного до 01.09.2025. Работник обратился в РКН с жалобой на нарушение требований к форме согласия. Формально согласие, полученное до 01.09.2025, сохраняет силу. Однако при повторной съёмке или обновлении страницы команды — нужно новое согласие по актуальным требованиям. Стратегия: ревизия сайта, выявление материалов, требующих актуальных согласий, и плановое переоформление при ближайшем кадровом событии по каждому работнику.

Сценарий 2 — использование фото уволенного работника. В Центральном ФО (конец 2025 года) производственная компания получила требование от бывшего сотрудника удалить его фото с сайта и из корпоративных буклетов. Компания не имела регламента отзыва: ответственный за сайт не реагировал, фото оставались три месяца после обращения. По итогам проверки РКН выдал предписание и возбудил дело по ч. 5 ст. 13.11 КоАП (штраф для юрлиц 50 000–90 000 ₽ — невыполнение требования об уничтожении ПДн). При наличии регламента и журнала обращений компания закрыла бы требование в установленный 30-дневный срок без протокола.

Кейс из реестра. РКН публично подтверждает: в 2025 году за шесть административных штрафов по новым нормам ст. 13.11 компании в совокупности заплатили около 570 000 ₽ — при том что максимальные санкции за утечку от 100 000 субъектов составляют 10–15 млн ₽. Правоприменение по биометрическим нарушениям (ч. 16) только набирает обороты: суды накапливают практику после вступления ФЗ-420 с 30.05.2025.

Услуги DATUM по теме

  • Аудит соответствия 152-ФЗ — проверка согласий, ОРД и порядка обработки изображений по чек-листу из 38 пунктов.
  • Комплект ОРД под ключ — шаблоны согласий на изображение, регламент отзыва, договор-поручение с КЭДО-провайдером.
  • DPO-аутсорсинг — абонентское ведение функции ответственного по ст. 22.1, включая ответы на запросы работников об отзыве согласий.

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025 в составе трудового договора или иного документа, сохраняют юридическую силу — ФЗ-156 не имеет обратного действия. Переподписывать их принудительно не требуется. Однако при любом кадровом событии (новый работник, обновление материалов, повторная съёмка, отзыв и повторное получение согласия) новый документ оформляется только в виде отдельного документа с полным набором реквизитов по ст. 9 ФЗ-152 в действующей редакции.

2. Какие данные нельзя спрашивать в анкете при приёме на работу?

Ст. 86 ТК РФ запрещает запрашивать данные, не связанные непосредственно с трудовой деятельностью. К запрещённым категориям относятся: политические взгляды, религиозные убеждения, национальность, состояние здоровья (кроме случаев обязательного медосмотра), членство в профсоюзе. Фотография в анкете — допустима при наличии отдельного согласия на обработку биометрических ПДн по ст. 11 ФЗ-152, но не является обязательной для заключения трудового договора. Принуждение к предоставлению фото — нарушение ст. 86 ТК РФ и ст. 5 ФЗ-152.

3. Можно ли вести видеонаблюдение в офисе?

Видеонаблюдение в офисе допустимо при соблюдении ряда условий: цель — безопасность или контроль производственного процесса, а не слежка за личной жизнью. Работники должны быть уведомлены в письменной форме о факте наблюдения и целях обработки записей (ст. 87 ТК РФ, ст. 18.1 ФЗ-152). Это уведомление отражается в локальном нормативном акте и трудовом договоре или приложении к нему. Скрытое наблюдение без уведомления — нарушение ТК РФ и ФЗ-152, основание для штрафа по ч. 1 ст. 13.11 КоАП.

4. Сколько хранить согласия после увольнения?

Согласие на обработку ПДн хранится в составе личного дела работника. Для документов по личному составу типовой срок хранения — 75 лет (по ст. 22.1 Основ законодательства об архивном деле, применительно к документам, оформленным после 01.01.2003). Если согласие оформлено отдельно от личного дела — его следует хранить не менее срока исковой давности по требованиям о защите персональных данных (3 года), но надёжнее ориентироваться на срок хранения основного личного дела.

5. Кто является оператором при использовании КЭДО?

Оператором персональных данных при использовании КЭДО остаётся работодатель — он определяет цели и состав обрабатываемых данных. КЭДО-провайдер действует как лицо, осуществляющее обработку по поручению оператора в соответствии с ч. 3 ст. 6 ФЗ-152. Это требует заключения договора-поручения, в котором указаны перечень действий, обязательство не раскрывать ПДн третьим лицам и требования по безопасности. Ответственность за нарушения при обработке через КЭДО-провайдера несёт работодатель как оператор.

6. Что делать, если работник требует удалить его фото немедленно?

При получении заявления об отзыве согласия оператор обязан прекратить обработку (включая публичное размещение изображений) в течение 30 дней с момента получения заявления (ст. 21 ФЗ-152). Немедленного удаления закон не требует, но не ждать 30 дней разумно по репутационным соображениям и во избежание эскалации. Факт получения заявления, дату и действия по исполнению следует зафиксировать в журнале обращений субъектов.

Итог

Изображение работника в корпоративных материалах — биометрические персональные данные, для обработки которых нужно письменное согласие отдельным документом по форме, установленной ст. 9 ФЗ-152 в редакции ФЗ-156. Ошибки в форме согласия или его отсутствие дают РКН основание для штрафа до 700 000 ₽ по ч. 2 ст. 13.11 КоАП. Закрыть риск можно за одну-две недели: ревизия текущих согласий, разработка шаблонов по новым требованиям, настройка регламента отзыва.

DATUM сопровождает HR-департаменты в приведении согласий и ОРД в соответствие с ФЗ-152 в редакции ФЗ-156: от шаблонов документов до представления интересов при проверке РКН.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах.