инструкция 22 июня 2028 По состоянию на 22 июня 2028

Согласие на ознакомление с ЛНА через КЭДО

Согласие работника на ознакомление с локальными нормативными актами через КЭДО — это одновременно документ трудового права (ст. 22.2 ТК РФ) и согласие на обработку персональных данных (ст. 9 ФЗ-152). С 01.09.2025 согласие на обработку ПДн оформляется отдельным документом и не может быть встроено в договор, заявление или форму подключения к КЭДО.

За нарушение требований к составу согласия или его отсутствие — штраф до 700 000 ₽ по ч. 2 ст. 13.11 КоАП. При повторном нарушении — до 1 500 000 ₽ по ч. 2.1. Роскомнадзор вправе возбудить дело по каждому работнику отдельно.

→ Если HR-директор подключает сотрудников к КЭДО и использует старые формы согласий — эта инструкция покажет, что переделать и в каком порядке.

С 01.09.2025 вступила в силу редакция ч. 1 ст. 9 ФЗ-152 по ФЗ-156 от 24.06.2025: согласие на обработку персональных данных — отдельный документ, отделённый от любых других юридических форм. Для HR-департамента это означает пересмотр пакета документов при подключении работников к КЭДО: форма подключения, положение о КЭДО и согласие на ПДн должны существовать раздельно. Инструкция описывает пять шагов: от аудита текущих форм до хранения пакета документов после увольнения.

Почему старые формы согласий больше не работают после 01.09.2025?

До ФЗ-156 практика допускала включение согласия на обработку ПДн в текст трудового договора, заявления о приёме на работу или формы подключения к КЭДО. Работник подписывал один документ, закрывавший сразу несколько правовых оснований. С 01.09.2025 такой подход нарушает ст. 9 ФЗ-152: согласие должно быть оформлено отдельным документом с исчерпывающим перечнем обязательных реквизитов.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — согласие субъекта персональных данных должно быть оформлено в виде отдельного документа, не включённого в состав другого документа. Обязательные реквизиты: ФИО субъекта, контактные данные, наименование и адрес оператора, цель обработки, перечень ПДн, перечень действий, срок согласия, способ его отзыва.»

Применительно к КЭДО это означает следующее. У оператора возникают два самостоятельных документа. Первый — заявление (согласие) на подключение к КЭДО по ст. 22.2 ТК РФ: работник выражает волю использовать электронный документооборот. Второй — согласие на обработку персональных данных по ст. 9 ФЗ-152: работник разрешает конкретному оператору выполнять конкретные действия с его ПДн в конкретных целях. Объединить эти два документа в один после 01.09.2025 нельзя.

Кроме того, работодатель при использовании КЭДО, как правило, передаёт ПДн работников оператору платформы (поставщику системы). Это поручение обработки по п. 3 ст. 6 ФЗ-152, которое требует отдельного договора (соглашения о поручении) с перечнем разрешённых действий. В согласии работника должно быть указано, что ПДн могут передаваться поставщику КЭДО, с наименованием организации или категорией лиц.

Согласия работников ещё в форме подключения к КЭДО?

Если HRD не разделил документы до 01.09.2025 — каждое нераздельное согласие создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽. Проверка РКН может охватить весь действующий штат. Юристы DATUM проведут аудит HR-пакета документов по чек-листу из 38 пунктов и подготовят отдельные согласия по требованиям ФЗ-156.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 1. Определите состав персональных данных, которые обрабатывает КЭДО

Прежде чем переписывать формы, зафиксируйте, какие именно ПДн проходят через систему КЭДО. Стандартный состав: ФИО, должность, табельный номер, подразделение, адрес электронной почты (корпоративный и личный при необходимости доставки документов), данные об ЭЦП или УНЭП/УКЭП, история подписания документов с временными метками. Если в КЭДО интегрированы модули HR-аналитики — добавляются данные о выходах на работу, отклонениях и т. д.

Важен вопрос о биометрических данных. Если для входа в КЭДО или для подтверждения личности при подписании используется распознавание лица или голоса — это биометрические ПДн по ст. 11 ФЗ-152. Для их обработки требуется письменное согласие, оформленное отдельно от согласия на обработку обычных ПДн. Если в СКУД (система контроля и управления доступом) применяются отпечатки пальцев или распознавание лица — аналогичное требование распространяется на согласие для СКУД.

По итогам шага составьте перечень категорий ПДн с указанием, какие из них являются специальными (ст. 10 ФЗ-152), биометрическими (ст. 11) или обычными. Этот перечень войдёт в согласие и в уведомление РКН.

Шаг 2. Проверьте уведомление в реестре операторов РКН

Оператор обязан уведомить Роскомнадзор о намерении обрабатывать ПДн до начала обработки (ст. 22 ФЗ-152). Если компания внедрила КЭДО или расширила состав обрабатываемых данных после первоначального уведомления — необходимо подать уведомление об изменении сведений через личный кабинет на pd.rkn.gov.ru.

«Ст. 22 ФЗ-152 — оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов ПДн. Неуведомление или несвоевременное уведомление — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП.»

Проверьте, что в уведомлении указаны: цели обработки ПДн в системе КЭДО (ведение кадрового документооборота, ознакомление с ЛНА), категории субъектов (работники, соискатели при необходимости), перечень ПДн, наименование поставщика КЭДО как лица, осуществляющего обработку по поручению, срок обработки, описание мер защиты. Если уведомление устарело — подайте форму об изменении через ЕСИА или по УКЭП.

Шаг 3. Составьте отдельное согласие на обработку ПДн в КЭДО

Согласие по ст. 9 ФЗ-152 в редакции с 01.09.2025 оформляется отдельным документом. В нём должны быть указаны все обязательные реквизиты: ФИО работника, его контактные данные, полное наименование и адрес работодателя как оператора, наименование поставщика КЭДО как лица, осуществляющего обработку по поручению, цель обработки (ведение КЭДО, ознакомление с ЛНА, хранение документов), полный перечень персональных данных, перечень действий с ПДн (сбор, запись, хранение, передача поставщику, уточнение, уничтожение по истечении срока), срок согласия, порядок отзыва.

Отдельно от основного согласия оформляется согласие на обработку биометрических ПДн, если КЭДО или СКУД их используют. Оно подписывается письменно (ст. 11 ФЗ-152) и хранится отдельно от кадрового дела.

Если организация планирует передавать данные работников третьим лицам (например, интегратору аналитики), это должно быть отражено в согласии с указанием наименования получателя или категории получателей. Молчание в этом пункте — нарушение принципа прозрачности по ст. 5 ФЗ-152 и основание для штрафа по ч. 1 ст. 13.11.

«Ст. 86–87 ТК РФ — обработка персональных данных работника допускается исключительно в целях обеспечения соблюдения законов, содействия работникам в трудоустройстве и получении образования. Работодатель не вправе получать данные о работнике от третьих лиц без его письменного согласия.»

Что включить в согласие на обработку ПДн в КЭДО

ФИО работника и его контактные данные (email, телефон)
Полное наименование работодателя-оператора и его адрес
Наименование поставщика КЭДО как обработчика по поручению (п. 3 ст. 6 ФЗ-152)
Цель: ведение кадрового электронного документооборота, ознакомление с ЛНА
Перечень ПДн, действий, срок согласия и способ его отзыва

Шаг 4. Разграничьте согласие по ст. 22.2 ТК РФ и согласие по ст. 9 ФЗ-152

Ст. 22.2 ТК РФ регулирует переход на электронный документооборот: работник даёт согласие или отказывается использовать КЭДО для подписания трудовых документов. Это трудоправовое волеизъявление, и оно не содержит реквизитов, обязательных для согласия по ст. 9 ФЗ-152. Смешивать их в одном документе после 01.09.2025 нельзя.

Практически это означает две отдельные формы, которые подписываются одновременно или последовательно при приёме на работу либо при переводе действующего работника на КЭДО. Порядок подписания фиксируется в регламенте КЭДО или в положении о кадровом электронном документообороте. Если компания уже применяет КЭДО и старые форма подключения содержала согласие на ПДн — необходимо переподписание отдельного согласия. Это не требуется ретроспективно для документов, подписанных до 01.09.2025, но для продолжающейся обработки актуально.

При использовании УНЭП (усиленной неквалифицированной электронной подписи) в КЭДО работодатель обязан обеспечить соглашение о признании УНЭП (ст. 22.3 ТК РФ). Это третий самостоятельный документ — его тоже нельзя объединять с согласием на ПДн.

Если HRD переводит сотрудников на КЭДО и не уверен, что все три документа (ст. 22.2 ТК, соглашение УНЭП, согласие по ст. 9 ФЗ-152) оформлены раздельно — это прямой риск штрафа до 700 000 ₽ по ч. 2 ст. 13.11 КоАП за каждый случай. Юристы DATUM соберут пакет ОРД для HR-блока под ключ.

Собрать ОРД под ключ

Шаг 5. Организуйте хранение и уничтожение пакета документов

Согласие на обработку ПДн хранится весь период обработки плюс срок, необходимый для подтверждения законности обработки в случае проверки. Личные дела работников хранятся 75 лет (типовой срок). Согласие на ПДн — часть этого дела, если оно связано с трудовыми отношениями.

После увольнения работника обработка ПДн должна быть прекращена в части тех данных, которые больше не нужны для достижения целей (ст. 5 ФЗ-152). Данные, необходимые для исполнения обязанностей перед государственными органами (налоговые, пенсионные), продолжают обрабатываться на самостоятельных правовых основаниях без согласия. Данные, которые обрабатывались исключительно на основании согласия (например, фото в СКУД с биометрией), подлежат уничтожению в течение 30 дней после прекращения трудовых отношений, если работник не дал отдельного согласия на продолжение обработки.

Факт уничтожения фиксируется актом уничтожения ПДн. Это документ ОРД, отсутствие которого при проверке РКН является самостоятельным основанием для штрафа по ч. 1 ст. 13.11 КоАП.

Типовые ситуации при ознакомлении с ЛНА через КЭДО

Ситуация 1. HR-директор розничной сети (Центральный ФО, осень 2025) при плановой проверке РКН обнаружил, что форма подключения к КЭДО, утверждённая в 2023 году, содержала согласие на обработку ПДн в одном документе с заявлением по ст. 22.2 ТК. До 01.09.2025 это считалось допустимым. После вступления в силу ФЗ-156 инспектор квалифицировал каждую такую форму как нарушение требований к составу согласия по ч. 2 ст. 13.11 КоАП. Компания оперативно переподписала согласия с действующими работниками до вынесения постановления, что послужило основанием для снижения штрафа. Урок: переподписание до проверки — аргумент в пользу смягчения, но не освобождение от ответственности за период нарушения.

Ситуация 2. IT-компания (Северо-Западный ФО, зима 2025–2026) использовала биометрическое распознавание лица для входа в КЭДО через мобильное приложение. Согласие на биометрические ПДн было включено в текст пользовательского соглашения с приложением. По итогам жалобы работника РКН возбудил дело по ч. 2 ст. 13.11 (отсутствие отдельного письменного согласия на биометрию по ст. 11 ФЗ-152). Компания получила штраф в сотни тысяч рублей. Стратегия: биометрия в КЭДО или СКУД требует отдельного письменного согласия с полными реквизитами ст. 9 и ст. 11 ФЗ-152 — его нельзя размещать ни в приложении, ни в трудовом договоре.

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025, обратной силы не имеют — ФЗ-156 не обязывает переоформлять их автоматически. Однако если согласие было встроено в другой документ (трудовой договор, форму КЭДО), то с 01.09.2025 оно не соответствует требованиям ст. 9 ФЗ-152 для целей, начавшихся или продолжающихся после этой даты. Для работников, принятых до 01.09.2025 и продолжающих работать, рекомендуется переподписать согласия в части обработки, которая осуществляется на основании согласия. Новых работников принимать только с отдельным согласием по новым требованиям.

2. Какие данные нельзя запрашивать в анкете при приёме на работу?

Ст. 86 ТК РФ запрещает получать данные о политических, религиозных убеждениях, членстве в профсоюзах, состоянии здоровья (за исключением сведений для определения трудоспособности по должности), сексуальной жизни работника без его согласия и вне случаев, прямо предусмотренных законом. Дополнительно ст. 10 ФЗ-152 относит эти сведения к специальным категориям ПДн, обработка которых по общему правилу запрещена. Запрашивать в анкете реквизиты банковских карт, СНИЛС в целях, не связанных с трудоустройством, или сведения о родственниках без правового основания — также нарушение принципа соответствия объёма ПДн целям (ст. 5 ФЗ-152).

3. Можно ли вести видеонаблюдение в офисе без согласия работников?

Видеонаблюдение в рабочих зонах возможно без согласия работника, если оно ведётся в целях охраны труда, обеспечения безопасности имущества и не направлено на мониторинг выполнения трудовых обязанностей. Работодатель обязан уведомить работника о факте видеонаблюдения (ст. 86 ТК РФ). Если видеозапись используется для оценки производительности, дисциплины или передаётся третьим лицам — необходимо отдельное согласие. Изображение лица, позволяющее идентифицировать человека, является биометрическими ПДн по ст. 11 ФЗ-152, и его обработка требует письменного согласия, если цель выходит за рамки физической безопасности.

4. Сколько хранить согласия после увольнения работника?

Согласие на обработку ПДн, связанное с трудовыми отношениями, хранится в составе личного дела. Личные дела работников по типовым перечням хранятся 75 лет. Согласие на биометрические ПДн для СКУД или КЭДО, обработка которых прекращается при увольнении, хранится до истечения срока исковой давности по возможным требованиям — как правило, 3 года с даты увольнения. Акт уничтожения биометрических данных составляется в течение 30 дней после прекращения обработки и хранится бессрочно как подтверждение исполнения обязанности по ст. 21 ФЗ-152.

5. Кто является оператором при использовании КЭДО — компания или поставщик системы?

Оператором персональных данных работников является работодатель — он определяет цели и состав обработки (ст. 3 ФЗ-152). Поставщик КЭДО действует как лицо, осуществляющее обработку по поручению оператора (п. 3 ст. 6 ФЗ-152), и несёт ответственность только в пределах данного поручения. Договор с поставщиком КЭДО должен содержать перечень действий с ПДн, обязанность поставщика соблюдать конфиденциальность и требования ФЗ-152. Ответственность перед работниками и РКН за нарушения несёт оператор — работодатель, даже если утечка произошла на стороне поставщика.

6. Что делать, если работник отзывает согласие на обработку ПДн в КЭДО?

Работник вправе отозвать согласие в любой момент (ст. 9 ФЗ-152). Оператор обязан прекратить обработку, осуществлявшуюся исключительно на основании согласия, в течение 30 дней. Однако часть обработки в КЭДО ведётся на иных правовых основаниях — исполнение трудового договора (п. 5 ст. 6 ФЗ-152), выполнение обязанностей работодателя (п. 2 ст. 6) — и не прекращается при отзыве согласия. В согласии и регламенте КЭДО рекомендуется чётко разграничить, какие действия с ПДн осуществляются на основании согласия, а какие — на иных основаниях.

Итог

Согласие на ознакомление с ЛНА через КЭДО состоит из двух самостоятельных правовых документов: волеизъявления о переходе на электронный документооборот по ст. 22.2 ТК РФ и согласия на обработку ПДн по ст. 9 ФЗ-152 с полным набором реквизитов. После 01.09.2025 их объединение в одном документе является нарушением и основанием для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽. Биометрия в СКУД и КЭДО требует третьего отдельного документа.

Юристы DATUM сопровождают HR-департаменты при переходе на КЭДО: аудит существующих форм, подготовка пакета раздельных согласий по требованиям ФЗ-156, проверка договора с поставщиком КЭДО на предмет поручения обработки, формирование регламента уничтожения ПДн после увольнения.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка HR-пакета документов по чек-листу из 38 пунктов
Комплект ОРД под ключ — политика, согласия, приказы, регламенты для HR-блока
DPO-аутсорсинг — функция ответственного по ст. 22.1 ФЗ-152 на абонентском обслуживании

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах.