инструкция 1 октября 2027 По состоянию на 1 октября 2027

Согласие на распространение ПДн работника (ст. 10.1)

Ст. 10.1 ФЗ-152 требует отдельного согласия работника на любое распространение его персональных данных — размещение на сайте, в СМИ, корпоративных справочниках. Без него публикация даже фото и должности сотрудника — нарушение.

С 01.09.2025 согласие оформляется отдельным документом по ФЗ-156. Штраф за обработку без согласия — от 300 000 до 700 000 ₽ по ч. 2 ст. 13.11 КоАП; при повторном нарушении — от 1 000 000 до 1 500 000 ₽.

→ Если HRD не пересмотрел форму согласия после 01.09.2025 — ниже пошаговый порядок, как это сделать правильно.

Согласие на распространение персональных данных работника — отдельное основание обработки, которое нельзя включить ни в трудовой договор, ни в общую политику конфиденциальности. Ст. 10.1 ФЗ-152 действует с 2021 года, а с 01.09.2025 к ней добавилось требование ФЗ-156: само согласие существует только как самостоятельный документ. Для HR-директора это означает ревизию всего комплекта кадровых документов: согласий при трудоустройстве, корпоративных справочников, публикаций в социальных сетях компании и КЭДО.

Что такое распространение ПДн и чем оно отличается от обычной обработки?

Распространение персональных данных — это действия, в результате которых ПДн становятся доступны неограниченному кругу лиц или передаются конкретным третьим лицам, не участвующим в выполнении трудовой функции. По ст. 3 ФЗ-152 к распространению относятся размещение в открытых источниках, публикация в СМИ, передача партнёрам без поручения оператора.

Обычная обработка в рамках трудовых отношений — начисление зарплаты, ведение личного дела, передача данных в ПФР — осуществляется без согласия работника на основании ст. 6 и ст. 86–88 ТК РФ. Распространение — иная правовая конструкция. Даже если сотрудник дал общее согласие при трудоустройстве, оно не охватывает публикацию его данных.

«Ст. 10.1 ФЗ-152 — оператор вправе распространять ПДн только при наличии отдельного согласия субъекта. Молчание и бездействие субъекта не считается согласием на распространение. Работодатель обязан по требованию работника уточнить, какие данные доступны третьим лицам, и ограничить доступ.»

Типичные ситуации, когда работодатель распространяет ПДн: размещение фото и биографии на корпоративном сайте, публикация в корпоративных социальных сетях, включение в открытый справочник сотрудников, передача данных клиентам в качестве контактного лица, участие работника в пресс-мероприятиях от имени компании.

Какие требования предъявляет ст. 10.1 к содержанию согласия?

Согласие на распространение ПДн должно содержать перечень данных, которые работник разрешает распространять, перечень действий с ними, наименование оператора, цель распространения, срок действия и порядок отзыва. Это минимальный стандарт из ст. 9 ФЗ-152 в редакции ФЗ-156, действующий с 01.09.2025.

Кроме того, ст. 10.1 устанавливает специальные требования именно для согласия на распространение. В документе работник вправе установить запреты и условия: например, разрешить публикацию фото, но запретить указывать номер телефона, или ограничить каналы распространения корпоративным сайтом. Работодатель обязан соблюдать эти ограничения.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 (действует с 01.09.2025) — согласие оформляется отдельным документом. Его нельзя включить в трудовой договор, должностную инструкцию, оферту или политику конфиденциальности.»

Обязательные реквизиты согласия по ст. 10.1 в совокупности со ст. 9 ФЗ-152:

Фамилия, имя, отчество работника и его контактные данные.
Наименование и адрес работодателя-оператора.
Цель распространения (например, «информирование клиентов о контактных лицах»).
Исчерпывающий перечень ПДн, разрешённых к распространению.
Перечень действий (размещение на сайте, публикация в корпоративном справочнике и т. д.).
Запреты и условия по выбору работника — если он их устанавливает.
Срок действия согласия или указание на бессрочность.
Порядок отзыва: способ, форма, адресат.

Согласия работников составлены до 01.09.2025?

Если HRD использует форму согласия, включённую в трудовой договор или составленную до вступления в силу ФЗ-156, — каждый такой документ не соответствует требованиям ст. 9 ФЗ-152. При проверке РКН это основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽ за каждый факт. Юристы DATUM соберут пакет согласий по новым требованиям и проведут аудит ОРД HR-департамента.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 1. Определите, какие данные и каналы требуют отдельного согласия

Что проверить на первом шаге

Корпоративный сайт: размещены ли фото, ФИО, должности, контакты работников.
Социальные сети компании: публикуются ли фото сотрудников с мероприятий.
Корпоративный справочник: доступен ли он клиентам или партнёрам вне компании.
КЭДО: передаются ли данные работников провайдеру КЭДО за рамками поручения оператора.
Биометрия СКУД: используется ли система контроля доступа с биометрическими данными — на неё требуется отдельное письменное согласие по ст. 11 ФЗ-152.

Проведите инвентаризацию каналов, в которых персональные данные работников выходят за периметр работодателя. Для каждого канала зафиксируйте: какие данные передаются, кому, на каком основании. Результат инвентаризации — основа для формирования перечня согласий, которые необходимо получить или обновить.

Отдельно проверьте КЭДО. Если провайдер электронного документооборота обрабатывает ПДн работников по поручению работодателя — достаточно договора поручения по ст. 6 ФЗ-152. Если провайдер получает данные самостоятельно в своих целях — это уже распространение, требующее согласия по ст. 10.1.

Шаг 2. Составьте форму согласия под каждый канал распространения

Одна универсальная форма не охватывает все ситуации. Для публикации на сайте и для передачи данных клиентам как контактного лица цели разные — значит, нужны разные формы или документ с чёткими разделами по каждой цели.

При составлении формы соблюдайте принцип минимизации из ст. 5 ФЗ-152: перечень данных в согласии не должен быть шире того, что фактически публикуется. Если на сайте размещается только фото и должность — не включайте в согласие номер личного телефона и дату рождения.

Форма согласия должна содержать поле для запретов и условий работника. Работодатель не вправе отказать работнику в установлении ограничений — это прямое требование ст. 10.1 ФЗ-152. Если работник не устанавливает ограничений — в форме делается отметка «ограничения не установлены».

Шаг 3. Получите согласие до начала распространения и зафиксируйте его

Согласие получается до публикации данных, а не после. Это требование ст. 9 ФЗ-152. Ретроактивное согласие на уже состоявшееся распространение не устраняет нарушение — оно лишь закрывает риск будущих публикаций.

Если работник отказывается давать согласие — работодатель не вправе применять к нему какие-либо санкции. Отказ от согласия на распространение не является дисциплинарным проступком по ст. 192 ТК РФ. В этом случае данные работника просто не публикуются по соответствующему каналу.

Факт получения согласия фиксируйте: личная подпись работника на бумажном экземпляре, электронная подпись в КЭДО, отдельный журнал учёта согласий с датой и способом подписания. Отсутствие доказательства получения согласия при проверке РКН равнозначно его отсутствию.

Если HR-директор не может подтвердить наличие согласий на распространение — это прямой риск штрафа по ч. 2 ст. 13.11 КоАП. При повторном нарушении сумма вырастает до 1 500 000 ₽. Юристы DATUM соберут ОРД под ключ: форма согласия, журнал учёта, регламент отзыва.

Собрать ОРД под ключ

Шаг 4. Настройте процедуру отзыва согласия

Работник вправе в любой момент отозвать согласие на распространение по ст. 9 ФЗ-152. После отзыва работодатель обязан прекратить распространение и принять меры по удалению уже опубликованных данных — если это технически возможно. Срок исполнения требования об уничтожении или блокировании ПДн — 7 рабочих дней по ст. 21 ФЗ-152.

Процедура отзыва должна быть описана в самом согласии: в какой форме подаётся (письменное заявление, электронное обращение через КЭДО), кому адресуется (ответственный за обработку ПДн по ст. 22.1 ФЗ-152 или конкретный HR-специалист), в какой срок работодатель обязан подтвердить прекращение распространения.

После увольнения работника согласие на распространение утрачивает силу автоматически, если иное не предусмотрено самим согласием. Данные уволенного сотрудника должны быть удалены из открытых источников или заблокированы в разумный срок. Рекомендуется включить этот шаг в чек-лист оффбординга.

Шаг 5. Интегрируйте согласие в кадровый документооборот

Согласие на распространение — часть пакета документов при трудоустройстве, но не часть трудового договора. Его нельзя объединять с согласием на обработку ПДн в рамках трудовых отношений, анкетой кандидата или должностной инструкцией. Каждый документ — отдельный файл или бумажный лист с самостоятельной подписью.

В КЭДО согласие оформляется через отдельный маршрут подписания с уникальной идентификацией документа. Провайдер КЭДО должен обеспечивать хранение подписанного экземпляра и возможность экспорта для предъявления при проверке. Проверьте, соответствует ли ваш провайдер требованиям ст. 22.2 ТК РФ по КЭДО.

Установите срок хранения согласий в номенклатуре дел. Согласие хранится вместе с личным делом работника. По общему правилу документы кадрового учёта хранятся 75 лет — руководствуйтесь Перечнем типовых архивных документов, утверждённым Росархивом.

Типовые ситуации: как применяется ст. 10.1 на практике

Ситуация 1. Работодатель разместил на корпоративном сайте фото, ФИО и должности всех сотрудников отдела продаж. Согласие на распространение не получено — данные публиковались на основании общего согласия при трудоустройстве. Один из работников подал жалобу в РКН. При проверке установлено нарушение ст. 10.1 ФЗ-152. Штраф по ч. 2 ст. 13.11 КоАП — в диапазоне до 700 000 ₽. Данные удалены с сайта, разработана форма отдельного согласия, получены подписи сотрудников.

Ситуация 2. Торговая компания (Уральский ФО, начало 2026 года) использовала СКУД с распознаванием лиц без письменного согласия работников на обработку биометрических данных по ст. 11 ФЗ-152. Параллельно данные о присутствии сотрудников передавались подрядчику по охране объекта без договора поручения. Проверка РКН зафиксировала два нарушения: отсутствие биометрического согласия и передачу данных третьим лицам без основания. Совокупный штраф составил несколько сотен тысяч рублей. Компания переработала комплект согласий и заключила договор поручения с охранным предприятием. ⚠️ Точный номер дела и дата — менеджер уточняет при публикации.

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025, обратной силы не утрачивают — ФЗ-156 не предусматривает обязательного переоформления ранее подписанных документов. Однако если старое согласие включено в трудовой договор или иной документ и не существует как самостоятельный документ — оно не соответствует новым требованиям ст. 9 ФЗ-152. Такие согласия необходимо заменить отдельными документами при ближайшем удобном случае, не дожидаясь проверки РКН.

2. Какие данные нельзя спрашивать в анкете при трудоустройстве?

Ст. 86 ТК РФ запрещает работодателю получать и обрабатывать ПДн о политических, религиозных и иных убеждениях, членстве в общественных объединениях и профсоюзах, а также сведения о частной жизни, не связанные с трудовой деятельностью. Данные о состоянии здоровья запрашиваются только в объёме, необходимом для оценки пригодности к работе. Нарушение этого правила — нарушение ст. 10 ФЗ-152 о спецкатегориях ПДн.

3. Можно ли вести видеонаблюдение в офисе?

Видеонаблюдение допустимо при соблюдении нескольких условий: работники уведомлены о факте наблюдения под подпись (ст. 22 ТК РФ), записи используются только в объявленных целях (охрана, дисциплинарный контроль), срок хранения записей ограничен и закреплён во внутреннем акте. Если видеозаписи используются для идентификации личности — это биометрические ПДн по ст. 11 ФЗ-152, требующие письменного согласия. Использование видеозаписей как биометрии без согласия — нарушение ч. 1 ст. 13.11 КоАП.

4. Сколько хранить согласия после увольнения?

Согласие на обработку и распространение ПДн хранится в составе личного дела работника. Срок хранения личных дел — 75 лет (для документов, созданных до 2003 года) или 50 лет (для документов, созданных с 2003 года) по Перечню типовых архивных документов Росархива. Уничтожение согласия раньше окончания срока хранения создаёт риск невозможности доказать правомерность обработки при позднем обращении субъекта или проверке.

5. Кто оператор при использовании КЭДО?

При использовании КЭДО работодатель остаётся оператором персональных данных работников по ст. 22 ФЗ-152. Провайдер КЭДО — лицо, осуществляющее обработку по поручению оператора по ст. 6 ФЗ-152. Отношения с провайдером оформляются договором поручения с обязательным перечнем передаваемых данных, целей обработки и мер защиты. Если провайдер не соответствует требованиям ст. 22.2 ТК РФ по КЭДО — работодатель несёт полную ответственность за нарушения при обработке ПДн через его систему.

6. Что делать, если работник отозвал согласие на публикацию фото на сайте?

После получения отзыва согласия работодатель обязан прекратить распространение и принять меры по удалению данных из открытых источников в течение 7 рабочих дней (ст. 21 ФЗ-152). Это включает удаление фото с корпоративного сайта, из социальных сетей компании, из открытых справочников. Факт исполнения требования фиксируется письменно и хранится не менее срока исковой давности по соответствующим требованиям.

Итог

Согласие на распространение ПДн работника по ст. 10.1 ФЗ-152 — самостоятельный документ с жёстким перечнем реквизитов. С 01.09.2025 его нельзя включать в трудовой договор или любой иной документ. Отсутствие согласия при публикации данных сотрудника — нарушение, влекущее штраф от 300 000 до 700 000 ₽ по ч. 2 ст. 13.11 КоАП; при повторности — до 1 500 000 ₽.

DATUM сопровождает HR-департаменты в части ПДн работников: разрабатываем формы согласий под требования ФЗ-156, проводим аудит кадрового документооборота, выстраиваем процедуры отзыва и хранения согласий при КЭДО и биометрии СКУД.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка всего комплекта кадровых согласий и ОРД.
Комплект ОРД под ключ — формы согласий, журналы, регламент отзыва.
DPO-аутсорсинг — ответственный по ст. 22.1 ФЗ-152 на абонентском обслуживании.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах.

1 октября 2027 года