Перейти к содержанию
инструкция 21 февраля 2028 По состоянию на 21 февраля 2028

Согласие на размещение на сайте компании

Согласие на размещение персональных данных работника на сайте — отдельный документ по ст. 10.1 ФЗ-152, а не часть трудового договора.
С 01.09.2025 (ФЗ-156) все согласия на обработку ПДн оформляются самостоятельным документом. Объединять с трудовым договором или политикой конфиденциальности запрещено. Нарушение — штраф по ч. 2 ст. 13.11 КоАП до 700 000 ₽ за каждый случай.
Если HRD ещё не разделил согласия на размещение от общего пакета HR-документов — пора исправить до проверки РКН. →

Компания публикует на сайте фотографии сотрудников, их имена и должности, контактные данные или страницы команды. Каждый из этих случаев требует отдельного согласия по ст. 10.1 ФЗ-152: распространение ПДн (то есть раскрытие неограниченному кругу лиц) допустимо только при явном волеизъявлении субъекта. Требования к форме и составу такого согласия ужесточились с 01.09.2025. Ниже — пошаговый порядок оформления, обязательные реквизиты и типичные ошибки HR-департаментов.

Шаг 1. Разберитесь, какие данные попадают под ст. 10.1 ФЗ-152

Ст. 10.1 ФЗ-152 регулирует обработку ПДн в целях их распространения — то есть предоставления доступа неограниченному кругу лиц. Размещение имени, фото, должности, телефона или email работника на публичном сайте компании — это именно такой случай. Согласие требуется в том числе для профессиональных биографий, блога «Наша команда», новостей с упоминанием сотрудников и материалов о корпоративной жизни.

«Ст. 10.1 ФЗ-152: обработка ПДн в целях распространения допускается только с отдельного согласия субъекта; молчание или бездействие согласием не считается; дефолт — обработка ограниченным кругом лиц.»

Под норму не попадают: внутренние системы (корпоративный портал с ограниченным доступом), передача данных контрагенту для исполнения договора и размещение обезличенных материалов (фото группы без указания ФИО). Если сайт закрыт авторизацией и доступен только партнёрам по договору — это не распространение, и ст. 10.1 не применяется.

Шаг 2. Проверьте форму согласия под требования ФЗ-156 (с 01.09.2025)

До 01.09.2025 согласие на обработку ПДн можно было встраивать в трудовой договор или анкету. ФЗ-156 от 24.06.2025 закрыл эту практику: согласие теперь — отдельный документ, не объединяемый с иными. Ранее выданные согласия, которые оформлены в составе договора, формально не аннулируются с обратной силой, однако при проверке РКН инспектор вправе квалифицировать смешанный документ как нарушение ч. 2 ст. 13.11 КоАП.

Обязательные реквизиты согласия на размещение (ст. 9 ФЗ-152 в действующей редакции):

  • ФИО работника и его контактные данные (телефон или email);
  • наименование и адрес оператора (юридическое лицо-работодатель);
  • цель обработки — конкретная: «размещение на корпоративном сайте в разделе "Команда"»;
  • перечень ПДн: фотография, ФИО, должность, служебный телефон — каждый вид перечислить отдельно;
  • перечень действий: запись, хранение, публикация, обновление, удаление;
  • срок действия или указание на бессрочность;
  • способ отзыва согласия (форма, канал, срок исполнения);
  • подпись работника и дата.
«Ст. 9 ФЗ-152 (ред. ФЗ-156): согласие — самостоятельный документ; не может быть составной частью трудового договора, политики обработки ПДн или иного документа.»

Согласия на размещение ещё в трудовых договорах?

Если HRD не переоформил пакет согласий после 01.09.2025 — каждый смешанный документ создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП (300 000–700 000 ₽). Срок на исправление до очередной проверки РКН не фиксирован, но индикаторы риска уже действуют. Юристы DATUM соберут отдельные согласия по требованиям ФЗ-156 и проведут аудит ОРД HR-департамента.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Составьте отдельное согласие для каждой цели публикации

Один документ — одна цель. Размещение фото в разделе «Команда» и участие в пресс-релизе — разные цели. Ст. 5 ФЗ-152 запрещает объединять обработку с несовместимыми целями. На практике это означает: если компания хочет использовать фото сотрудника и на сайте, и в соцсетях компании, и в рекламных материалах — нужны три согласия или одно с явно разграниченными целями, каждая из которых описана конкретно.

Типичные цели, требующие отдельного согласия в HR-практике:

  • страница «Команда» на корпоративном сайте;
  • раздел «Эксперты» или «Спикеры» на отраслевом ресурсе;
  • публикация интервью, кейсов, экспертных статей с указанием ФИО и фото;
  • официальные страницы компании в социальных сетях;
  • рекламные и маркетинговые материалы.

Для каждой из перечисленных целей — отдельный документ с конкретным перечнем ПДн и действий. Использование общей формулировки «размещение в информационных ресурсах компании» без конкретизации не соответствует принципу целевой обработки по ст. 5 ФЗ-152 и при проверке расценивается как нарушение.

Шаг 4. Установите порядок отзыва и сроки исполнения

Работник вправе отозвать согласие в любое время (ст. 9 ФЗ-152). После отзыва оператор обязан прекратить обработку и уничтожить ПДн — если нет иного законного основания хранить их. Для сайта это означает удаление фото, имени и прочих данных из публичного доступа.

В тексте согласия зафиксируйте:

  • форму отзыва: письменное заявление на имя ответственного за обработку ПДн (ст. 22.1 ФЗ-152) или через корпоративную систему КЭДО;
  • срок исполнения: законодательно — не установлен специально для отзыва согласия, но практика ориентируется на 7 рабочих дней как разумный срок; укажите его в документе явно;
  • последствия отзыва: работник уведомляется, что отзыв не влечёт прекращения трудовых отношений и не освобождает работодателя от обязанности хранить ПДн, установленной ТК РФ (ст. 86–88 ТК РФ) и архивным законодательством.
«Ст. 9 ФЗ-152: субъект вправе отозвать согласие; оператор после получения отзыва обязан прекратить обработку и уничтожить ПДн, если иное основание обработки отсутствует, — в срок, не превышающий 30 дней.»

Шаг 5. Организуйте хранение согласий и журнал учёта

Согласие на размещение хранится в личном деле работника (или в КЭДО) в течение всего срока трудовых отношений плюс не менее 3 лет после увольнения. При использовании КЭДО оператором является работодатель — он несёт полную ответственность за сохранность и корректность обработки ПДн в системе независимо от того, кто разработал платформу (принцип ответственности оператора из ст. 6 ФЗ-152 и case_generic_subpodryad).

Журнал учёта согласий должен содержать: дату подписания, вид согласия (цель), ФИО работника, статус (действует / отозвано), дату отзыва при наличии. Журнал предъявляется инспектору РКН при плановой или внеплановой проверке как доказательство надлежащей организации обработки ПДн по ст. 18.1 ФЗ-152.

Что подготовить HR-департаменту

  • Отдельные согласия на размещение ПДн на сайте — по каждой цели публикации, оформленные как самостоятельный документ (ФЗ-156, ст. 9 ФЗ-152).
  • Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152.
  • Журнал учёта согласий: дата, цель, статус, дата отзыва.
  • Регламент удаления ПДн с сайта при отзыве согласия (срок и ответственное лицо).
  • Актуальная политика обработки ПДн с разделом о распространении (ст. 18.1 ч. 2 ФЗ-152), опубликованная на сайте.

Как применяется на практике: типовые сценарии для HRD

Сценарий 1. Фото сотрудника на сайте без отдельного согласия. HRD крупного ритейлера (Сибирский ФО, осень 2025) использовал фото 40 менеджеров в разделе «Команда», согласие на размещение было включено в трудовой договор единым блоком. После жалобы одного из сотрудников РКН инициировал внеплановую проверку. Инспектор квалифицировал документ как не соответствующий требованиям ст. 10.1 ФЗ-152 и ст. 9 в редакции ФЗ-156. Компании выписан протокол по ч. 2 ст. 13.11 КоАП; штраф составил несколько сотен тысяч рублей. Фото пришлось снять до рассмотрения дела. Стратегия: переоформить согласия до публикации, не ждать жалобы.

Сценарий 2. Работник отозвал согласие — данные не удалены вовремя. Сотрудник IT-компании (Центральный ФО, начало 2026) направил отзыв согласия через КЭДО. HR-служба не довела информацию до веб-редактора, фото и контакты оставались на сайте 45 дней. Субъект обратился в РКН с жалобой. Компании направлено предписание об устранении нарушения (ст. 21 ФЗ-152); при неисполнении грозил штраф по ч. 5 ст. 13.11 КоАП (50 000–90 000 ₽). Стратегия: прописать во внутреннем регламенте цепочку уведомлений от HR к веб-службе с конкретным сроком — не более 7 рабочих дней.

Если HRD получил жалобу работника на размещение его данных или предписание РКН — у компании 10 рабочих дней на ответ субъекту (ст. 20 ФЗ-152) и фиксированные сроки на исполнение предписания. Промедление переводит нарушение в повторное. Юристы DATUM оценят ситуацию и помогут подготовить документы под требования ФЗ-156.

Собрать ОРД под ключ

Что меняется при использовании КЭДО и биометрии СКУД

При переходе на кадровый электронный документооборот (КЭДО) согласие на размещение ПДн на сайте подписывается усиленной квалифицированной или неквалифицированной электронной подписью работника в зависимости от условий соглашения о КЭДО (ст. 22.2 ТК РФ). Оператором ПДн в системе КЭДО остаётся работодатель. Провайдер КЭДО-платформы — обработчик по поручению (ст. 6 ч. 3 ФЗ-152); договор с ним обязан включать перечень разрешённых действий и требования к защите данных.

Биометрия для СКУД — фотография лица и отпечатки пальцев — относится к биометрическим ПДн по ст. 11 ФЗ-152. Согласие на их обработку — письменное, отдельное, независимо от согласия на размещение на сайте. Смешивать два документа нельзя даже при использовании единой КЭДО-системы. Нарушение требований ст. 11 ФЗ-152 при работе с биометрией СКУД квалифицируется по ч. 16 ст. 13.11 КоАП.

Услуги DATUM по теме

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, выданные до 01.09.2025, юридически не аннулируются автоматически: ФЗ-156 не имеет обратной силы. Однако если согласие было частью трудового договора или иного документа, при проверке РКН инспектор вправе расценить его как не соответствующее ст. 9 ФЗ-152 в действующей редакции. Безопаснее переоформить согласия как отдельные документы — особенно для целей, связанных с распространением ПДн (ст. 10.1 ФЗ-152).

2. Какие данные нельзя запрашивать в анкете при трудоустройстве?

Ст. 86 ТК РФ запрещает получать и обрабатывать ПДн, не связанные с трудовой деятельностью. Нельзя спрашивать сведения о политических и религиозных убеждениях, членстве в профсоюзах, состоянии здоровья (за исключением противопоказаний к работе), судимости (кроме случаев, когда это законодательно требуется для должности), национальности и семейном положении без явной производственной необходимости. Данные о родственниках — только для оформления льгот или пособий при наличии согласия самого работника.

3. Можно ли вести видеонаблюдение в офисе?

Видеонаблюдение на рабочих местах допустимо при соблюдении трёх условий: работники письменно уведомлены об этом (ст. 86 ТК РФ), камеры не установлены в местах, где не ведётся трудовая деятельность (комнаты отдыха, санузлы), цель обработки — контроль безопасности труда или охрана имущества, а не слежка за работником. Согласия по ст. 9 ФЗ-152 в этом случае не требуется — основание обработки — исполнение обязанностей работодателя. Запись видео с лицами относится к биометрическим ПДн по ст. 11 ФЗ-152, если используется для идентификации конкретного человека.

4. Сколько хранить согласия после увольнения работника?

Согласие на размещение ПДн на сайте хранится в личном деле в течение срока, установленного для личных дел работников, — как правило, 50 лет для дел, законченных делопроизводством после 01.01.2003 (по Перечню типовых архивных документов). Согласия, связанные с обработкой ПДн в целях распространения, — не менее 3 лет с момента отзыва или прекращения обработки, чтобы подтвердить правомерность исторических публикаций в случае претензий субъекта.

5. Кто является оператором при использовании КЭДО?

Оператором ПДн при использовании КЭДО является работодатель — он определяет цели и способы обработки. Провайдер КЭДО-платформы — обработчик по поручению в соответствии со ст. 6 ч. 3 ФЗ-152. Договор с провайдером обязан содержать: перечень разрешённых действий, цели обработки, обязанность конфиденциальности и требования к защите данных. Ответственность перед субъектом ПДн и РКН несёт работодатель, даже если инцидент произошёл по вине провайдера.

Итог

Согласие на размещение ПДн на сайте — это отдельный документ с конкретной целью, перечнем данных, порядком отзыва и подписью работника. С 01.09.2025 любая иная форма (согласие в трудовом договоре, в анкете или политике) не соответствует ст. 9 ФЗ-152 в редакции ФЗ-156. Штраф за нарушение — до 700 000 ₽ по ч. 2 ст. 13.11 КоАП за каждый выявленный случай.

DATUM сопровождает HR-департаменты в приведении пакета согласий и ОРД в соответствие с требованиями ФЗ-152 — включая переход на КЭДО, оформление биометрии СКУД и подготовку к проверкам РКН.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах. Сопровождение проверок РКН в HR-департаментах.

21 февраля 2028 года