Согласие на проверку службой безопасности
С 01.09.2025 вступила в силу норма ФЗ-156 от 24.06.2025: согласие субъекта на обработку персональных данных оформляется отдельным документом и не объединяется с договором, анкетой или иным соглашением. Для кадровых служб и юристов, сопровождающих службу безопасности (СБ), это означает полный пересмотр форм, собираемых при трудоустройстве и при проверке действующих работников. Ниже — последовательность шагов от определения правового основания до хранения документов и уведомления РКН.
Шаг 1. Определите правовое основание для проверки СБ
Прежде чем составлять согласие, юристу нужно понять, какое правовое основание применяется в каждом конкретном случае. Ст. 6 ФЗ-152 содержит 11 оснований обработки. Для проверки СБ релевантны три.
Согласие (п. 1 ч. 1 ст. 6 ФЗ-152) — применяется, когда оператор планирует запрашивать сведения у третьих лиц: проверка кредитной истории через БКИ, запросы в частные базы, проверка репутации через контрагентов и социальные сети. Согласие здесь обязательно, поскольку нет иного основания.
Исполнение трудового договора (п. 5 ч. 1 ст. 6) — покрывает только те сведения, которые объективно необходимы для выполнения должностных обязанностей. Передача данных работника в базы силовых структур этим основанием, как правило, не охватывается.
Выполнение требований закона (п. 2 ч. 1 ст. 6) — применяется, если проверка прямо предписана отраслевым регулированием: допуск к гостайне (Закон РФ № 5485-1), работа в финансовом секторе (115-ФЗ), государственная служба. В этих случаях согласие на саму проверку не требуется, но согласие на передачу данных третьим лицам — требуется отдельно.
Вывод по шагу 1: зафиксируйте основание в локальном акте (приказе о порядке проверки СБ) до того, как сотрудник получит форму согласия. Это упрощает защиту позиции при проверке РКН.
Шаг 2. Проверьте состав обязательных реквизитов согласия
С 01.09.2025 перечень обязательных реквизитов согласия установлен ч. 4 ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025. Отсутствие любого из них делает согласие недействительным.
Обязательные реквизиты согласия на проверку СБ
- Фамилия, имя, отчество субъекта и его контактные данные (телефон или email)
- Наименование и адрес оператора — юридического лица или ИП, проводящего проверку
- Цель обработки: указать конкретно — «проверка достоверности представленных сведений при трудоустройстве» или «проверка в рамках режима доступа к сведениям ограниченного распространения»
- Перечень персональных данных, на обработку которых даётся согласие: ФИО, дата рождения, паспортные данные, сведения о судимости, сведения из БКИ — каждая категория отдельной строкой
- Перечень действий с ПДн и общее описание методов обработки (запрос, сбор, хранение, передача третьим лицам — с указанием наименований третьих лиц или их категорий)
- Срок действия согласия или условие прекращения: «до истечения 3 лет с даты подписания» или «до достижения цели обработки»
- Порядок отзыва согласия: указать форму (письменное заявление), адрес направления и срок реакции оператора
Распространённая ошибка: согласие содержит перечень данных «ФИО и иные сведения» — без конкретики. Такая формулировка не соответствует принципу определённости по ст. 5 ФЗ-152 и требованиям ч. 4 ст. 9. РКН при проверке квалифицирует это как нарушение ч. 2 ст. 13.11 КоАП.
Отдельный вопрос — сведения о судимости. Они относятся к специальным категориям ПДн по ст. 10 ФЗ-152. Для их обработки требуется отдельное согласие с явным указанием этой категории, если проверка не проводится в рамках допуска к гостайне или иного законного основания по ч. 2 ст. 10.
Готовите пакет ОРД для службы безопасности впервые?
Форма согласия — один документ из комплекта. Для полного соответствия ст. 18.1 ФЗ-152 нужны политика обработки ПДн, приказ об ответственном по ст. 22.1, регламент проверки СБ и журналы. Без полного пакета штраф по ч. 3 ст. 13.11 КоАП — от 30 000 до 60 000 ₽ только за отсутствие политики. Срок — до первой проверки РКН.
Собрать ОРД под ключ+7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Шаг 3. Разграничьте согласия по категориям проверяемых лиц
Практика СБ охватывает три категории: кандидаты при найме, действующие работники при расширении доступа и контрагенты (физические лица — ИП, бенефициары). Для каждой категории — отдельная форма согласия с разными целями и перечнями данных.
Кандидаты при найме. Согласие подписывается до начала проверки — до запроса данных у третьих лиц. В перечне данных: паспортные данные, адрес регистрации, сведения об образовании и трудовой истории (для верификации), данные БКИ (если запрашивается). Срок действия: до окончания процедуры трудоустройства или отказа в нём.
Действующие работники. Проверка при переводе на должность с расширенным доступом или плановая периодическая проверка СБ. Согласие оформляется отдельно от трудового договора и дополнительного соглашения к нему. Цель формулируется как «проверка в целях обеспечения режима защиты охраняемых сведений». Важно: если работник отказывается подписывать согласие и нет иного законного основания — обработку проводить нельзя.
Контрагенты — физические лица. Это отдельная ситуация: ИП, самозанятые, бенефициарные владельцы юрлиц. Для них согласие оформляется в рамках преддоговорной проверки. Цель: «проверка благонадёжности при заключении договора». Если бенефициар — иностранный гражданин, может потребоваться уведомление о трансграничной передаче по ст. 12 ФЗ-152.
Как оформить согласие в соответствии с ФЗ-156 от 01.09.2025?
ФЗ-156 от 24.06.2025 установил ключевое требование: согласие — отдельный документ. Это означает запрет на три распространённые практики.
Запрещено с 01.09.2025: включать текст согласия в трудовой договор или дополнительное соглашение к нему; размещать согласие как часть анкеты кандидата; объединять несколько согласий (на общую обработку ПДн и на проверку СБ) в один документ.
Допустимо: выдавать комплект из нескольких отдельных документов-согласий одновременно, если цели различаются. Например: (1) согласие на обработку ПДн в кадровых целях, (2) согласие на проверку СБ, (3) согласие на передачу данных в зарплатный банк — три документа, каждый за отдельной подписью.
Согласие может быть подписано собственноручно или с применением усиленной квалифицированной электронной подписи (УКЭП) — для дистанционных кандидатов. Простая электронная подпись допустима только при наличии соглашения о её признании между оператором и субъектом. В кадровой практике рекомендуется собственноручная подпись — меньше вопросов при проверке.
Если вы юрист и уже получили запрос РКН или готовитесь к плановой проверке — проверьте, соответствуют ли формы согласий требованиям ст. 9 в редакции с 01.09.2025. Ошибка в реквизитах согласия = штраф по ч. 2 ст. 13.11 КоАП от 300 000 ₽.
Заказать аудит 152-ФЗШаг 4. Свяжите согласие с политикой обработки ПДн и уведомлением РКН
Согласие — один документ из системы. Без связанной ОРД оно не обеспечивает соответствие ФЗ-152. Три обязательных элемента системы.
Политика обработки ПДн (ст. 18.1 ФЗ-152). Должна быть опубликована в открытом доступе (сайт или стенд при входе) и содержать: цели и правовые основания обработки, категории субъектов и данных, срок хранения, порядок обеспечения прав субъектов, меры защиты. Отсутствие политики — штраф по ч. 3 ст. 13.11 КоАП от 30 000 до 60 000 ₽. Цель «проверка СБ» должна быть отражена в политике как самостоятельная цель.
Уведомление в РКН (ст. 22 ФЗ-152). Если оператор ещё не подавал уведомление или не отразил в нём цель «проверка при трудоустройстве» — необходимо подать уточняющее уведомление через pd.rkn.gov.ru по форме Приказа РКН №180. Неуведомление о новой цели обработки — нарушение, которое РКН фиксирует при проверке. Штраф по ч. 10 ст. 13.11 КоАП — от 100 000 до 300 000 ₽.
Назначение ответственного (ст. 22.1 ФЗ-152). Юридическое лицо обязано назначить лицо, ответственное за организацию обработки ПДн. Оно принимает обращения субъектов, обеспечивает выполнение требований ФЗ-152 и взаимодействует с РКН. Назначение оформляется приказом руководителя. Совмещение должности с функцией СБ допустимо, но создаёт конфликт интересов — рекомендуется назначать независимое лицо или передавать функцию на DPO-аутсорсинг.
Шаг 5. Установите порядок хранения и уничтожения документов
Согласие и результаты проверки СБ хранятся разное время и по разным основаниям.
Согласие кандидата, не принятого на работу. Хранится до истечения срока исковой давности по возможным трудовым спорам — как правило, 3 года с даты отказа в трудоустройстве. После — уничтожение с составлением акта. ПДн кандидата по общему правилу нельзя обрабатывать дольше, чем установлено в согласии.
Согласие принятого работника. Хранится весь период трудовых отношений. После увольнения — вопрос сложнее: ТК РФ устанавливает сроки хранения кадровых документов (75 лет для личного дела при ведении по утверждённым формам). Согласие как документ кадрового учёта может подпадать под этот срок — уточнять у архивиста с учётом состава сведений.
Результаты проверки СБ. Не являются частью личного дела. Хранятся в закрытом регистре СБ. Срок определяется внутренним регламентом — как правило, 3–5 лет. Содержат ПДн из внешних источников: необходимо предусмотреть их уничтожение по истечении срока с актом.
Типовые ситуации: где юристы допускают ошибки
Ситуация 1. Согласие включено в анкету кандидата. Крупная торговая компания (Центральный ФО, осень 2025) использовала единую анкету, последний раздел которой содержал текст согласия на проверку СБ. После 01.09.2025 такая форма не соответствует ст. 9 ФЗ-152 в редакции ФЗ-156. РКН при плановой проверке зафиксировал нарушение и выдал предписание с требованием переоформить документы. Штраф по ч. 2 ст. 13.11 КоАП составил несколько сотен тысяч рублей. Стратегия: разделить анкету и согласие, подписывать как два документа.
Ситуация 2. Согласие есть, но цель не отражена в уведомлении РКН. IT-компания (Северо-Западный ФО, начало 2026) корректно оформила согласие на проверку СБ, однако в реестре операторов была указана только цель «кадровый учёт». Цель «проверка благонадёжности при трудоустройстве» отсутствовала. РКН при внеплановой проверке (по жалобе кандидата) квалифицировал это как обработку, превышающую заявленные цели — нарушение ч. 1 ст. 13.11 КоАП. Стратегия: после формирования согласия синхронизировать уведомление в РКН через Приказ РКН №180.
Ситуация 3. Отказ кандидата от согласия. Кандидат на должность финансового директора отказался подписывать согласие на проверку по БКИ. Служба безопасности запросила данные без согласия. Кандидат подал жалобу в РКН. Оператор не смог обосновать иное правовое основание — обработка была неправомерной. Стратегия: закрепить в локальном регламенте, что проверка БКИ производится только при наличии согласия; при отказе — фиксировать факт отказа и принимать кадровое решение без обработки данных.
Услуги DATUM по теме
- Комплект ОРД под ключ — политика, согласия, приказы, журналы для СБ и HR
- Аудит соответствия 152-ФЗ — проверка всего пакета ОРД по чек-листу из 38 пунктов
- DPO-аутсорсинг — ответственный по ст. 22.1 ФЗ-152 на абонентском обслуживании
Частые вопросы
1. Какие документы должны быть у оператора ПДн, проводящего проверки СБ?
Минимальный пакет включает: уведомление в реестре РКН с актуальными целями обработки (ст. 22 ФЗ-152), политику обработки ПДн в открытом доступе (ст. 18.1), приказ о назначении ответственного по ст. 22.1, отдельные формы согласий по ст. 9 для каждой категории субъектов, регламент проверки СБ с описанием источников данных и сроков, журнал обращений субъектов. Отсутствие любого из документов фиксируется РКН при проверке.
2. Как составить политику обработки ПДн, чтобы она охватывала проверки СБ?
Политика по ч. 2 ст. 18.1 ФЗ-152 должна содержать все цели обработки. Для СБ обязательно указать: цель «проверка достоверности сведений при трудоустройстве», категории обрабатываемых данных (в том числе данные из БКИ, сведения о судимости — если обрабатываются), перечень третьих лиц, которым передаются данные (или их категории). Шаблон из интернета без этих разделов не обеспечивает соответствия.
3. Кого назначить ответственным за обработку ПДн по ст. 22.1 ФЗ-152?
Ст. 22.1 ФЗ-152 требует назначить лицо, ответственное за организацию обработки, — из числа работников оператора или на аутсорсинге. Требования к квалификации установлены ч. 4 ст. 22.1. Совмещать функцию ответственного с руководством СБ не рекомендуется: ответственный принимает обращения субъектов и контролирует законность обработки, тогда как СБ является потребителем данных. Оптимально — юрист компании или DPO-аутсорсер.
4. Можно ли использовать шаблон политики конфиденциальности из интернета для закрытия вопроса со СБ?
Нет. Типовые шаблоны, как правило, не содержат цели «проверка СБ», не указывают третьих лиц (БКИ, базы МВД, частные агрегаторы), не описывают специальные категории ПДн (судимость). Использование такого шаблона создаёт видимость соответствия, но при проверке РКН нарушение будет зафиксировано. Разработка политики под конкретный процесс обработки занимает от 5 рабочих дней.
5. Какие согласия нужно переоформить после 01.09.2025 в связи с ФЗ-156?
Согласия, полученные до 01.09.2025, обратной силы нормы не имеют и остаются действительными до истечения указанного в них срока. Переоформление требуется для: новых кандидатов (согласие должно быть отдельным документом с 01.09.2025), продления проверок действующих работников (новое согласие — по новым требованиям), любых случаев, когда согласие утратило силу или было отозвано субъектом.
6. Что делать, если кандидат отозвал согласие на проверку до её окончания?
Согласно ч. 2 ст. 9 ФЗ-152, субъект вправе отозвать согласие в любой момент. Оператор обязан прекратить обработку в течение 30 дней с даты получения отзыва и уничтожить уже собранные данные (если нет иного правового основания для их хранения). Продолжение проверки после отзыва — нарушение ч. 1 ст. 13.11 КоАП. Фиксируйте дату получения отзыва письменно.
Итог
Согласие на проверку службой безопасности с 01.09.2025 — самостоятельный документ с семью обязательными реквизитами. Его нельзя встраивать в анкету, трудовой договор или общую форму согласия на обработку ПДн. Ошибки в составе реквизитов или объединение с другими документами влекут штраф по ч. 2 ст. 13.11 КоАП от 300 000 до 700 000 ₽ за каждый факт нарушения. Согласие работает только в связке с политикой обработки ПДн, актуальным уведомлением в РКН и назначенным ответственным по ст. 22.1 ФЗ-152.
Юристы DATUM разрабатывают формы согласий и полный пакет ОРД для операторов любого масштаба — от стартапа до холдинга. Опыт сопровождения проверок РКН и защиты от штрафов по ст. 13.11 КоАП с 2014 года.
19 февраля 2027 года