инструкция 14 января 2028 По состоянию на 14 января 2028

Согласие на КЭДО: отдельный документ

С 01.09.2025 согласие на обработку персональных данных в рамках КЭДО оформляется только как отдельный документ — встроить его в трудовой договор или положение о КЭДО больше нельзя.

ФЗ-156 от 24.06.2025 изменил ч. 1 ст. 9 ФЗ-152: любое согласие субъекта не объединяется с другими документами. За нарушение требований к форме и составу согласия — штраф по ч. 2 ст. 13.11 КоАП до 700 000 ₽ за каждого работника, а при повторности — до 1 500 000 ₽.

→ Если вы HRD и согласия сотрудников до сих пор находятся в тексте трудового договора или оферты КЭДО — читайте пошаговую инструкцию по переходу.

КЭДО упрощает кадровый документооборот, но создаёт новый контур рисков по 152-ФЗ. Работодатель как оператор ПДн обязан собрать согласия работников строго по требованиям ст. 9 ФЗ-152 в редакции ФЗ-156. Ниже — пять шагов, которые позволяют привести согласие на КЭДО в соответствие с законом и пройти проверку Роскомнадзора без штрафа.

Что изменилось с 01.09.2025 в требованиях к согласию работника?

До принятия ФЗ-156 практика допускала включение согласия на обработку ПДн в текст трудового договора, положения о КЭДО или согласия на ЭДО. Роскомнадзор неоднократно признавал такие конструкции ненадлежащими, но прямого запрета в законе не было. С 01.09.2025 запрет закреплён нормативно: ч. 1 ст. 9 ФЗ-152 прямо указывает, что согласие не объединяется с иными документами.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025: согласие субъекта персональных данных оформляется в виде отдельного документа. Объединение его с другим документом не допускается.»

Одновременно сохраняются обязательные реквизиты согласия по той же ст. 9: фамилия, имя, отчество и контактные данные субъекта; наименование и адрес оператора; цель обработки; перечень персональных данных; перечень действий с ними; срок действия или условие прекращения; способ отзыва. Отсутствие любого реквизита делает согласие дефектным. При проверке РКН дефектное согласие приравнивается к его отсутствию.

Важно учитывать: ФЗ-156 не имеет обратной силы. Согласия, оформленные до 01.09.2025, не требуют обязательного переоформления только в силу смены нормы — если они соответствовали прежним требованиям. Однако на практике большинство «встроенных» согласий не содержали полного перечня реквизитов, поэтому аудит и переоформление оправданы в любом случае.

Кто является оператором при использовании КЭДО?

При переходе на КЭДО работодатель выступает оператором ПДн по ст. 3 ФЗ-152. Если для ведения КЭДО привлекается внешняя платформа (облачный сервис, агрегатор кадровых документов), возникает конструкция поручения обработки по п. 3 ст. 6 ФЗ-152. Работодатель обязан заключить с платформой договор поручения, в котором закреплены: цель обработки, перечень действий, требования к защите, запрет передачи третьим лицам и обязанность уничтожить данные по окончании поручения.

«Ст. 6 ч. 3 ФЗ-152: оператор вправе поручить обработку персональных данных другому лицу на основании заключённого договора. Ответственность перед субъектом при этом сохраняется за оператором.»

Это означает, что если платформа КЭДО допустит утечку данных работников, отвечать перед РКН и субъектами будет работодатель. Штраф по ч. 12–14 ст. 13.11 КоАП при утечке от 1 000 до 10 000 работников составляет 3–5 млн ₽, при утечке свыше 100 000 субъектов — 10–15 млн ₽.

Согласия работников в трудовых договорах или положении о КЭДО?

Если HRD выявил, что согласия сотрудников встроены в другие документы, — это основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽. Юристы DATUM проводят аудит документации по 152-ФЗ и собирают пакет ОРД, включая отдельные согласия работников по требованиям ФЗ-156.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 1. Проведите инвентаризацию согласий в кадровой документации

Составьте реестр всех документов, в которых упоминается обработка ПДн работника: трудовой договор, дополнительные соглашения, положение о КЭДО, анкета соискателя, согласие на использование СКУД, согласие на рассылку. Для каждого документа проверьте три параметра: является ли согласие отдельным документом; содержит ли оно все реквизиты по ст. 9 ФЗ-152; соответствует ли перечень ПДн и целей фактической обработке в КЭДО.

Результат инвентаризации — таблица с четырьмя статусами: «соответствует», «требует дополнения реквизитов», «требует выделения в отдельный документ», «отсутствует». По каждому статусу — план действий с датой исполнения.

Шаг 2. Определите цели и состав персональных данных для КЭДО

Согласие должно содержать конкретный перечень персональных данных и конкретные действия с ними. Расплывчатые формулировки («иные данные», «необходимые для трудовых отношений») РКН квалифицирует как нарушение ст. 5 ФЗ-152 — принципа соответствия объёма целям. Для КЭДО типичный перечень включает: фамилию, имя, отчество; дату рождения; сведения о трудовой деятельности; реквизиты паспорта для идентификации при подписании; контактные данные для направления уведомлений; информацию об электронной подписи.

Если КЭДО-платформа дополнительно обрабатывает биометрические данные (например, подтверждение личности через лицо или отпечаток для входа в систему), требуется отдельное письменное согласие по ст. 11 ФЗ-152. Биометрия в СКУД также оформляется отдельным согласием — объединять его с согласием на КЭДО нельзя, поскольку цели и основания различаются.

Шаг 3. Разработайте форму согласия с полным составом реквизитов

Форма согласия на обработку ПДн в рамках КЭДО должна содержать восемь обязательных элементов по ст. 9 ФЗ-152. Отсутствие или неточность любого из них — основание для штрафа по ч. 2 ст. 13.11 КоАП. Дополнительно включите сведения о платформе КЭДО как лице, осуществляющем обработку по поручению (наименование, адрес), и сроке хранения данных.

Обязательные реквизиты согласия по ст. 9 ФЗ-152

Фамилия, имя, отчество и контактные данные субъекта (работника)
Наименование, адрес и ИНН оператора (работодателя)
Цель обработки персональных данных (конкретно: «ведение кадрового электронного документооборота»)
Перечень персональных данных (исчерпывающий, без отсылок к «иным данным»)
Перечень действий с данными (сбор, хранение, передача платформе КЭДО и т. д.)
Срок действия согласия или условие его прекращения
Способ отзыва согласия (форма, адрес, срок обработки отзыва)

Согласие оформляется в двух экземплярах: один остаётся у работника, второй — в личном деле. При использовании электронного согласия в рамках КЭДО убедитесь, что платформа обеспечивает фиксацию факта подписания с временной меткой и позволяет сформировать распечатку по запросу РКН.

Шаг 4. Организуйте процедуру получения и хранения согласий

Согласие получают до начала обработки ПДн в системе КЭДО — то есть до предоставления работнику доступа к платформе. Нарушение этой последовательности означает обработку ПДн без надлежащего согласия по ч. 2 ст. 13.11 КоАП. Введите в HR-процесс контрольную точку: учётная запись в КЭДО создаётся только при наличии подписанного согласия в личном деле.

Для новых сотрудников согласие подписывают в день оформления, отдельно от трудового договора. Для действующих сотрудников — до 01.09.2025 переходный период истёк, поэтому если согласия не были переоформлены, их получают в рабочем порядке без установленного срока, но с приоритетом до следующей плановой проверки РКН.

По ст. 87 ТК РФ порядок хранения и использования ПДн работников устанавливается работодателем в локальном нормативном акте. Согласие хранится в личном деле работника, а после увольнения — в течение срока хранения личного дела (как правило, 75 лет для документов по личному составу по Приказу Росархива). Отдельное уничтожение согласия после увольнения по требованию работника допустимо только если истёк срок, указанный в самом согласии, и отсутствуют иные правовые основания хранения.

Если HRD переходит на КЭДО или меняет платформу — форма согласия и договор поручения с провайдером требуют проверки до старта. Ошибка в поручении означает, что при утечке на стороне платформы штраф получает работодатель.

Собрать ОРД под ключ

Шаг 5. Настройте процедуру отзыва согласия и реагирование на запросы работников

Работник вправе отозвать согласие в любое время по ч. 2 ст. 9 ФЗ-152. После отзыва оператор обязан прекратить обработку и уничтожить ПДн в срок, указанный в согласии или законе, — если нет иных правовых оснований для хранения. Для КЭДО иное правовое основание обычно существует: ст. 22.2 ТК РФ обязывает хранить кадровые документы, и сам факт трудовых отношений — самостоятельное основание обработки по п. 5 ч. 1 ст. 6 ФЗ-152. Это означает, что отзыв согласия не обязывает работодателя немедленно уничтожить все кадровые данные, но требует прекратить обработку в части, которая велась исключительно на основании согласия.

Регламент реагирования на запросы субъектов по ст. 20 ФЗ-152 должен быть закреплён в локальном акте. Срок ответа — 10 рабочих дней с возможностью продления ещё на 5 рабочих дней при уведомлении работника. Назначьте ответственного за получение и обработку таких запросов по ст. 22.1 ФЗ-152.

Типичные ситуации из практики HRD

Ситуация 1. Компания из Сибирского федерального округа (весна 2026) перешла на КЭДО и включила согласие на обработку ПДн в текст дополнительного соглашения к трудовому договору. При плановой проверке РКН инспектор зафиксировал нарушение ч. 1 ст. 9 ФЗ-152 — согласие не выделено в отдельный документ. Составлен протокол по ч. 2 ст. 13.11 КоАП. Штраф исчислялся пропорционально числу работников, у которых согласие было оформлено ненадлежащим образом. Компания заблаговременно не провела аудит и не располагала подготовленным пакетом ОРД, что лишило её аргументов при обжаловании.

Кейс 2. HR-директор производственного предприятия (Уральский федеральный округ, лето 2025) своевременно разделил согласие на КЭДО, согласие на биометрию СКУД и согласие на распространение сведений о работнике в корпоративных базах на три отдельных документа. При внеплановой проверке по жалобе уволенного сотрудника нарушений по форме согласий выявлено не было. Дело закрыто без штрафа. Ключевым фактором стало наличие журнала учёта согласий с датами подписания и экземплярами в личных делах.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка согласий, ОРД и процедур по чек-листу из 38 пунктов
Комплект ОРД под ключ — отдельные согласия работников, политика, приказы, регламент КЭДО
DPO-аутсорсинг — ответы на запросы работников по ст. 20 ФЗ-152 в абонентском режиме

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025, не аннулируются автоматически — ФЗ-156 обратной силы не имеет. Однако если прежнее согласие было встроено в трудовой договор или иной документ, оно не соответствует новым требованиям ч. 1 ст. 9 ФЗ-152. В таких случаях получение нового отдельного согласия необходимо: при проверке РКН инспектор применяет нормы, действующие на момент проверки, а не на момент оформления документа. Оперативное переоформление снижает риск штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽.

2. Какие данные нельзя спрашивать в анкете соискателя?

Ст. 86 ТК РФ ограничивает обработку ПДн работников целями трудовых отношений. Запрещено получать и обрабатывать сведения о политических, религиозных убеждениях и частной жизни (ст. 10 ФЗ-152 — специальные категории). Нельзя запрашивать данные о членстве в общественных организациях, национальности, состоянии здоровья — за исключением случаев, прямо предусмотренных законом (обязательные медосмотры для отдельных категорий должностей). Включение таких вопросов в анкету само по себе является нарушением ч. 1 ст. 13.11 КоАП.

3. Можно ли вести видеонаблюдение в офисе?

Видеонаблюдение в рабочих помещениях допустимо при соблюдении трёх условий: работники уведомлены о ведении съёмки (ст. 22.2 ТК РФ, ст. 18.1 ФЗ-152); цели обозначены в локальном акте (контроль трудовой дисциплины, безопасность); обработка видеозаписей как биометрических ПДн (если используется идентификация личности) требует отдельного письменного согласия по ст. 11 ФЗ-152. Если камера фиксирует изображение для архива без идентификации — согласие не нужно, достаточно уведомления. Если система распознаёт личность — согласие обязательно отдельным документом.

4. Сколько хранить согласия после увольнения?

Согласие на обработку ПДн является частью личного дела работника. По Приказу Росархива № 236 от 20.12.2019 документы по личному составу, оформленные с 2003 года, хранятся 50 лет; до 2003 года — 75 лет. Требование работника уничтожить согласие после увольнения исполняется только в части обработки, которая велась исключительно на основании согласия и не подкреплена иными основаниями (ст. 6 ФЗ-152). Сами кадровые документы (приказы, трудовой договор) хранятся по архивным срокам независимо от отзыва согласия.

5. Кто является оператором при использовании КЭДО?

Оператором по ст. 3 ФЗ-152 является работодатель — он определяет цели и состав обрабатываемых ПДн. Платформа КЭДО выступает лицом, осуществляющим обработку по поручению (п. 3 ст. 6 ФЗ-152). Обязательное условие: договор поручения с платформой с указанием перечня действий, требований к защите и запрета передачи данных третьим лицам. Отсутствие договора поручения при фактической передаче данных на платформу — нарушение ч. 1 ст. 13.11 КоАП, штраф 150 000–300 000 ₽.

6. Что проверяет РКН при плановой проверке HR-документации?

При проверке HR-блока инспекторы РКН запрашивают: уведомление об обработке ПДн из реестра операторов (ст. 22 ФЗ-152); политику обработки ПДн по ст. 18.1; отдельные согласия работников по ст. 9 в редакции ФЗ-156; приказ о назначении ответственного по ст. 22.1; договоры поручения с КЭДО-платформой, зарплатным банком, медицинским страховщиком; журнал учёта запросов субъектов. Отсутствие любого из этих документов влечёт протокол по соответствующей части ст. 13.11 КоАП.

Итог

С 01.09.2025 согласие на обработку ПДн в рамках КЭДО — это отдельный документ с семью обязательными реквизитами по ст. 9 ФЗ-152. Встроенные согласия в трудовых договорах и положениях о КЭДО не соответствуют закону и создают основание для штрафа до 700 000 ₽ по ч. 2 ст. 13.11 КоАП. Биометрия СКУД и согласие на КЭДО требуют отдельных документов даже при одновременном оформлении.

Практика DATUM охватывает полный цикл HR-документации по 152-ФЗ: аудит согласий, разработку форм, договоры поручения с КЭДО-платформами и сопровождение при проверках РКН в кадровых подразделениях.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM. Специализация — согласия работников по ст. 9 152-ФЗ в редакции ФЗ-156, КЭДО, биометрия СКУД, передача в зарплатных проектах. Проверки РКН в HR.