инструкция 7 апреля 2027 По состоянию на 7 апреля 2027

Согласие на использование в маркетинговых материалах

Q: Что указать в согласии как «перечень действий»?

Ст. 9 ФЗ-152 требует исчерпывающего перечня действий. Для маркетинговых материалов типовой перечень включает: сбор и запись, хранение, публикацию (распространение неограниченному кругу лиц), передачу подрядчикам (дизайн-агентство, типография, SMM-агентство), редактирование (кадрирование, цветокоррекция). Каждый класс получателей должен быть упомянут. Неуказанное действие считается незаконным.

Согласие работника на использование его изображения, имени и биографии в маркетинговых материалах — это отдельный документ по ст. 9 ФЗ-152 в редакции с 01.09.2025.

Без такого согласия публикация фотографий, кейсов и видеороликов с сотрудниками создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽, а размещение биометрии (изображение лица) — дополнительно по ч. 16 той же статьи.

Если вы HRD и согласия работников на маркетинговое использование включены в трудовой договор или политику конфиденциальности — с 01.09.2025 это нарушение закона. Разберём, как оформить правильно.

С 01.09.2025 вступили в силу изменения в ч. 1 ст. 9 ФЗ-152, внесённые ФЗ-156 от 24.06.2025: согласие на обработку персональных данных должно быть оформлено отдельным документом и не может объединяться с трудовым договором, офертой или корпоративной политикой. Для HR-департамента это означает пересмотр всей документации, связанной с использованием данных работников во внешних коммуникациях. Ниже — пошаговый порядок получения и оформления согласия на использование в маркетинговых материалах.

Шаг 1. Определите, что именно вы публикуете и какие нормы применяются

Прежде чем составлять документ, зафиксируйте объект: что именно будет использоваться в маркетинговых материалах. От этого зависит правовой режим обработки.

Фотография сотрудника — это персональные данные в форме изображения. Если изображение позволяет идентифицировать человека, оно подпадает под ФЗ-152. Если изображение лица используется для его верификации или идентификации (например, в системах контроля доступа или распознавания), оно дополнительно классифицируется как биометрические ПДн по ст. 11 ФЗ-152, и для его обработки требуется письменное согласие.

Имя, должность, цитаты, биография — общие персональные данные по ст. 3 ФЗ-152. Обработка допустима при наличии одного из оснований ст. 6 ФЗ-152. Для маркетинговых материалов единственным реалистичным основанием является согласие.

«Ст. 10.1 ФЗ-152 — распространение персональных данных допустимо только при наличии отдельного согласия субъекта. Молчание или бездействие субъекта не считается согласием на распространение.»

Публикация фотографии сотрудника на корпоративном сайте, в пресс-релизах, рекламных буклетах или видеороликах представляет собой распространение ПДн по ст. 10.1 ФЗ-152. Это требует отдельного согласия, которое не может быть частью трудового договора или должностной инструкции.

Ст. 86–88 Трудового кодекса РФ ограничивают перечень данных о работнике, которые работодатель вправе запрашивать и обрабатывать: только те, что необходимы для исполнения трудового договора. Маркетинговое использование изображений выходит за этот перечень и требует отдельного правового основания.

Согласия на маркетинговое использование ещё не выделены в отдельный документ?

С 01.09.2025 каждое согласие, встроенное в трудовой договор или политику, недействительно. Штраф по ч. 2 ст. 13.11 КоАП за обработку без надлежащего согласия — до 700 000 ₽. Юристы DATUM проведут аудит HR-документации и подготовят пакет согласий в соответствии с ФЗ-156 и актуальными требованиями РКН.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 2. Составьте согласие с обязательными реквизитами по ст. 9 ФЗ-152

После 01.09.2025 согласие на обработку ПДн должно быть отдельным документом с исчерпывающим перечнем реквизитов. Отсутствие любого из них означает, что согласие считается ненадлежащим по ч. 2 ст. 13.11 КоАП.

Обязательные реквизиты согласия на маркетинговое использование

Фамилия, имя, отчество и контактные данные субъекта (работника)
Наименование и адрес оператора (работодателя), обрабатывающего ПДн
Конкретная цель обработки: «использование фотографического изображения, имени и должности в маркетинговых материалах компании»
Исчерпывающий перечень данных: фотография, ФИО, должность, цитаты — каждый элемент отдельно
Исчерпывающий перечень действий: публикация на сайте, в социальных сетях, в печатных материалах, в видеороликах — каждый канал отдельно
Срок действия согласия или указание на бессрочность
Способ отзыва согласия (форма, адресат, срок обработки отзыва)

Особое внимание — перечню каналов размещения. Если согласие выдано на публикацию на корпоративном сайте, размещение той же фотографии в рекламном объявлении в социальной сети требует отдельного согласия или прямо указывается в изначальном документе. Расширительное толкование недопустимо: РКН при проверке смотрит на соответствие реальных действий оператора тому, что указано в согласии.

Для маркетинговых материалов, направленных на распространение данных неограниченному кругу лиц, применяется ст. 10.1 ФЗ-152. Согласие по этой статье должно явно указывать, что субъект даёт разрешение именно на распространение, а не только на хранение или использование внутри компании.

Шаг 3. Разграничьте маркетинговое согласие и согласие на биометрию при СКУД

Одна из типичных ошибок HR-департаментов — объединение согласия на использование фотографии в маркетинговых материалах с согласием на обработку изображения лица в системе контроля и управления доступом (СКУД).

Это два различных правовых режима. Фотография в СКУД, если она используется для идентификации сотрудника при входе, является биометрическими ПДн по ст. 11 ФЗ-152 и требует отдельного письменного согласия с иными реквизитами. Фотография в маркетинговом буклете — общие ПДн, обрабатываемые для распространения по ст. 10.1 ФЗ-152.

«Ст. 11 ФЗ-152 — биометрические персональные данные обрабатываются только с письменного согласия субъекта, за исключением прямо указанных в законе случаев (судопроизводство, оборона, безопасность). Объединение согласий на биометрию и иные цели в одном документе не запрещено, но каждая цель должна быть прямо указана.»

На практике безопаснее оформлять два отдельных документа: один — на СКУД с указанием биометрической цели, второй — на маркетинговое использование изображения. Это упрощает управление отзывами: работник вправе отозвать маркетинговое согласие, не затрагивая режим доступа в офис, и наоборот.

При использовании КЭДО для подписания согласий важно учесть, что работодатель в этой схеме является одновременно оператором ПДн в рамках трудовых отношений и оператором системы электронного документооборота. Поручение обработки ПДн провайдеру КЭДО оформляется отдельным соглашением по п. 3 ст. 6 ФЗ-152.

Шаг 4. Организуйте получение и хранение согласий

Согласие должно быть получено до начала обработки — до первой публикации материалов с данными работника. Обратная сила не применяется: если фотография уже размещена без надлежащего согласия, факт нарушения зафиксирован независимо от того, будет ли согласие получено позже.

Форма получения — письменная или электронная с квалифицированной электронной подписью. Если КЭДО подключён, согласие может быть подписано через него при условии, что система обеспечивает идентификацию подписанта и сохранение файла подписания. Простая электронная подпись (СМС-код или логин/пароль) для согласий на биометрию не применяется — требуется УКЭП или собственноручная подпись.

Хранение: согласие хранится весь период обработки плюс срок исковой давности. Для маркетинговых материалов, публикуемых бессрочно, рекомендуется хранить согласие не менее 3 лет после прекращения использования конкретного материала. Личное дело работника хранится 75 лет — но согласие на маркетинговое использование к личному делу не относится и хранится отдельно в реестре согласий оператора.

Если HRD собирается внедрить КЭДО или уже работает с ним — до 01.09.2025 была точка обнуления для согласий. Новые требования ФЗ-156 означают, что каждый документ КЭДО, содержавший согласие на ПДн, требует проверки. Юристы DATUM соберут пакет ОРД под ключ для HR с учётом КЭДО и маркетинговых задач.

Собрать ОРД под ключ

Шаг 5. Предусмотрите порядок отзыва и последствия для маркетинговых материалов

Работник вправе отозвать согласие в любой момент без объяснения причин — это прямо предусмотрено ст. 9 ФЗ-152. После получения отзыва оператор обязан прекратить обработку. Для маркетинговых материалов это означает снятие публикаций с сайта, удаление постов в социальных сетях, отзыв печатных тиражей из оборота — насколько это технически возможно.

Срок прекращения обработки после отзыва — по общему правилу 30 дней, если иное не установлено договором или законом. Для публикаций в интернете этот срок реалистичен: индексацию кэша поисковых систем оператор не контролирует, но удалить материал с собственного ресурса обязан в течение 30 дней.

При увольнении работника согласие на маркетинговое использование автоматически не прекращается, если документ не содержит соответствующего условия. Включать в согласие формулировку «действует до момента прекращения трудовых отношений» — распространённая практика, снижающая риск конфликтов после увольнения. Однако при такой формулировке необходимо немедленно обновлять маркетинговые материалы после каждого увольнения сотрудника, чьи данные в них присутствуют.

«Ч. 5 ст. 21 ФЗ-152 — при отзыве согласия оператор прекращает обработку персональных данных в течение 30 дней. Если обработка не может быть прекращена без уничтожения данных — данные уничтожаются в тот же срок.»

Типовые ситуации: как это работает на практике

Ситуация 1. Работодатель разместил фото сотрудника в рекламе до получения согласия. Маркетинговая команда сформировала рекламный модуль для наружной рекламы с фотографиями конкретных сотрудников. Согласия оформлены не были — HR-специалист посчитал, что работники «не возразили». После жалобы одного из сотрудников в РКН работодателю направлено предписание о прекращении обработки. Дополнительно возбуждено административное дело по ч. 2 ст. 13.11 КоАП. Штраф для юридического лица — в диапазоне от 300 000 до 700 000 ₽. Стратегия: до запуска любой рекламной кампании с идентифицируемыми сотрудниками — письменные согласия с указанием конкретного канала (наружная реклама) и срока кампании.

Ситуация 2. Работник уволен, его фото осталось на сайте. IT-компания (Уральский ФО, конец 2025) разместила на корпоративном сайте страницу «Команда» с фотографиями и биографиями специалистов. Один из сотрудников уволился и потребовал удалить его данные, ссылаясь на ст. 21 ФЗ-152. Согласие содержало формулировку «действует до прекращения трудового договора». Оператор обязан был прекратить обработку в течение 30 дней. Фотография не была удалена вовремя — мировой суд района назначил штраф по ч. 5 ст. 13.11 КоАП в размере в пределах 90 000 ₽. Стратегия: включить в регламент HR-процедуры при увольнении обязательный шаг — уведомление маркетинговой команды для удаления материалов.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка HR-документации, согласий и ОРД по чек-листу из 38 пунктов
Комплект ОРД под ключ — полный пакет документов для HR, включая согласия по ФЗ-156
DPO-аутсорсинг — функция ответственного по ст. 22.1 ФЗ-152 на абонентском обслуживании

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025, не имеют обратной силы отмены по ФЗ-156 — ранее полученные документы переоформлять не требуется, если они соответствовали действовавшим на момент подписания требованиям ст. 9 ФЗ-152. Проблема возникает, если согласие было встроено в трудовой договор или политику: такое согласие могло не содержать обязательных реквизитов. Рекомендуется провести аудит всех действующих согласий и при выявлении несоответствий — получить новые отдельные документы.

2. Какие данные нельзя спрашивать в анкете при найме?

Ст. 86 Трудового кодекса РФ ограничивает сбор ПДн работника: запрашивать и обрабатывать допустимо только данные, необходимые для трудового договора. Под запретом — сведения о политических, религиозных убеждениях, членстве в профсоюзах (ст. 86 ТК) и иных чувствительных категориях по ст. 10 ФЗ-152, если работодатель не относится к организациям, для которых закон делает исключение (религиозные организации, политические партии). Дополнительные данные (хобби, социальные сети, семейное положение) — только с согласия кандидата и только для конкретной заявленной цели.

3. Можно ли вести видеонаблюдение в офисе?

Видеонаблюдение в офисе допустимо при выполнении трёх условий: работники уведомлены о факте наблюдения под роспись (ст. 22.2 ТК РФ), цель обработки указана в локальном акте (например, обеспечение безопасности имущества), ПДн из видеозаписей не используются для иных целей без дополнительного согласия. Если видеозаписи используются для идентификации лиц (биометрия), требуется письменное согласие по ст. 11 ФЗ-152. Хранение записей — только в объёме, необходимом для заявленной цели.

4. Сколько хранить согласия после увольнения?

Согласие на обработку ПДн хранится весь период обработки и не менее 3 лет после прекращения обработки — этот срок обеспечивает доказательную базу на случай претензий субъекта в пределах общего срока исковой давности. Если обработка велась для маркетинговых материалов, конкретный маркетинговый материал уже не используется, — отсчёт 3 лет начинается с момента прекращения его использования. Личное дело работника хранится 75 лет, но согласие на маркетинговое использование к нему не относится.

5. Кто оператор при использовании КЭДО?

Оператором ПДн при использовании КЭДО остаётся работодатель — он определяет цели и состав обрабатываемых данных. Провайдер КЭДО выступает лицом, осуществляющим обработку по поручению оператора по п. 3 ст. 6 ФЗ-152. Это означает, что работодатель обязан заключить с провайдером соглашение о поручении обработки с указанием перечня допустимых действий, мер защиты и запрета передачи данных третьим лицам. Ответственность перед субъектами ПДн несёт работодатель, а не провайдер платформы.

6. Что указать в согласии как «перечень действий»?

Ст. 9 ФЗ-152 требует исчерпывающего перечня действий, которые оператор вправе совершать с ПДн. Для маркетинговых материалов типовой перечень включает: сбор и запись (первичная обработка фотографии), хранение, публикацию (распространение неограниченному кругу лиц), передачу подрядчикам (дизайн-агентство, типография, SMM-агентство), редактирование (кадрирование, цветокоррекция). Каждый подрядчик, которому планируется передача, должен быть упомянут либо как класс получателей («агентства по производству рекламных материалов»), либо поимённо. Неуказанное действие — незаконное действие.

Итог

Согласие работника на использование в маркетинговых материалах — это отдельный документ с исчерпывающим перечнем данных, действий, каналов и сроков. После 01.09.2025 объединение такого согласия с трудовым договором или политикой конфиденциальности недопустимо по ст. 9 ФЗ-152 в редакции ФЗ-156. Нарушение — штраф до 700 000 ₽ по ч. 2 ст. 13.11 КоАП за первичное, до 1 500 000 ₽ за повторное.

Практика DATUM по HR-комплаенсу охватывает аудит согласий, подготовку пакетов ОРД для HR-департаментов, сопровождение при проверках РКН в части кадровых данных и разграничение согласий при КЭДО и СКУД.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах.

7 апреля 2027 года