инструкция 21 апреля 2027 По состоянию на 21 апреля 2027

Согласие при переходе на новую систему учёта

Переход на новую систему учёта — КЭДО, СКУД или HRM-платформу — означает новый состав обрабатываемых данных и новые основания для согласий по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025.

С 01.09.2025 согласие работника не может быть частью трудового договора или другого документа — только отдельный документ с обязательными реквизитами. Старые формы, встроенные в оферту или договор, недействительны. Штраф за обработку без надлежащего согласия — до 700 000 ₽ по ч. 2 ст. 13.11 КоАП.

→ Если HRD переводит персонал в новую систему учёта и согласия ещё не переоформлены — ниже пошаговый порядок действий.

Переход на новый программный контур — будь то кадровый электронный документооборот, система контроля доступа с биометрией или облачная HRM-платформа — не просто IT-проект. Каждая новая система означает новый перечень обрабатываемых персональных данных, новые цели и, нередко, нового обработчика по поручению. Без актуальных согласий работников и обновлённой организационно-распорядительной документации такой переход создаёт прямой риск штрафа по ст. 13.11 КоАП. В этой инструкции — шесть практических шагов для HRD, которому предстоит провести переход без нарушений.

Почему при переходе на новую систему нужны новые согласия?

Согласие работника на обработку персональных данных привязано к конкретным целям, перечню данных и перечню действий, которые оператор вправе совершать. Это требование ст. 9 ФЗ-152. Когда компания внедряет новую систему учёта, меняется как минимум одно из трёх: появляются новые категории данных (например, биометрия для СКУД), расширяется круг лиц, имеющих доступ (IT-подрядчик, SaaS-вендор), или возникает трансграничная передача в иностранное облако.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025: согласие на обработку персональных данных оформляется отдельным документом и не может быть объединено с трудовым договором, политикой или офертой. Требование действует с 01.09.2025; ранее оформленные согласия переоформлению не подлежат, если соответствовали действовавшим на момент подписания требованиям.»

Ключевое изменение — именно отдельный документ. До 01.09.2025 практика допускала включение согласия в трудовой договор или анкету соискателя. После — нет. Если компания переходит на новую систему учёта и использует старые согласия из договора, то при проверке РКН каждая такая ситуация — это состав по ч. 2 ст. 13.11 КоАП.

Второй повод для переоформления — смена обработчика. Если данные работников передаются в новую SaaS-платформу или облачный сервис, оператор обязан заключить договор поручения обработки по п. 3 ст. 6 ФЗ-152. Согласие работника при этом должно содержать сведения о том, что данные передаются третьему лицу, — даже если это внутренний IT-партнёр.

Шаг 1. Составьте реестр изменений в обработке ПДн

До написания любых документов зафиксируйте, что именно меняется. Сравните действующую обработку с той, которую подразумевает новая система. Проверьте три параметра по каждому типу данных: цель, перечень действий (сбор, хранение, передача, обезличивание), круг получателей.

Для КЭДО типичные изменения — появление нового оператора электронного документооборота как обработчика по поручению, расширение перечня данных (СНИЛС, данные для ЭП, история подписания). Для СКУД с биометрией — появление биометрических ПДн, которые относятся к отдельной категории по ст. 11 ФЗ-152 и требуют письменного согласия. Для облачной HRM-платформы — возможная трансграничная передача по ст. 12 ФЗ-152, если сервер за рубежом.

Оформите реестр в виде таблицы: «было / стало» по каждому типу данных. Это основа для нового пакета согласий и обновлённого уведомления в РКН.

Шаг 2. Обновите уведомление в реестре РКН

Оператор обязан уведомить Роскомнадзор о намерении обрабатывать персональные данные до начала обработки (ст. 22 ФЗ-152). Если новая система учёта меняет цели, категории данных или получателей — это основание для подачи изменений в реестр операторов через портал pd.rkn.gov.ru.

«Ст. 22 ФЗ-152: оператор подаёт уведомление об изменении сведений об обработке ПДн в течение 10 рабочих дней с момента изменения. Форма уведомления — Приказ РКН №180 от 28.10.2022. Неуведомление о намерении обрабатывать — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП.»

На практике компании часто запускают новую систему, не обновляя реестровую запись. Это первое, что проверяет инспектор РКН при плановой или внеплановой проверке: соответствует ли фактическая обработка заявленной в реестре. Расхождение — формальный повод для составления протокола.

Переходите на новую систему учёта и не уверены в актуальности реестровой записи?

HRD в такой ситуации рискует двумя штрафами одновременно: за несоответствие реестра (ч. 10 ст. 13.11, до 300 000 ₽) и за обработку без надлежащего согласия (ч. 2 ст. 13.11, до 700 000 ₽). Юристы DATUM проверят актуальность уведомления, выявят расхождения и помогут подать изменения до того, как их обнаружит РКН.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Подготовьте новые формы согласий с учётом требований ФЗ-156

Форма согласия работника с 01.09.2025 — это отдельный документ. Минимально необходимый состав реквизитов по ст. 9 ФЗ-152: фамилия, имя, отчество и контактные данные субъекта; наименование и адрес оператора; цель обработки; перечень персональных данных; перечень действий с данными; срок действия согласия или условие его прекращения; способ отзыва согласия.

Для КЭДО укажите в согласии, что данные передаются оператору ЭДО как обработчику по поручению, — с наименованием конкретного сервиса. Для биометрии СКУД — отдельное согласие по ст. 11 ФЗ-152 с указанием, что данные используются исключительно для контроля доступа, и с явным условием уничтожения биометрии при увольнении. Нельзя объединять согласие на биометрию с общим согласием на обработку ПДн.

Обратите внимание на ст. 86–88 ТК РФ: закон ограничивает перечень данных, которые работодатель вправе запрашивать. Персональные данные о политических взглядах, вероисповедании, частной жизни можно получать только с письменного согласия работника и только если это прямо связано с трудовой деятельностью. Расширять анкету новой системы учёта за рамки этого перечня — нарушение ст. 10 ФЗ-152.

Шаг 4. Заключите договор поручения обработки с вендором новой системы

Если новая система учёта — это внешний сервис (SaaS, облачная HRM-платформа, сервис КЭДО), вендор является обработчиком персональных данных по поручению оператора. Это регулируется п. 3 ст. 6 ФЗ-152. Без письменного договора поручения оператор несёт ответственность за все нарушения вендора как за свои собственные.

«П. 3 ст. 6 ФЗ-152: обработка ПДн по поручению оператора осуществляется на основании договора или иного документа. Договор должен содержать: перечень действий с ПДн, цели обработки, обязанность по обеспечению конфиденциальности, требования к защите (ст. 19 ФЗ-152). Ответственность за соответствие обработки требованиям закона несёт оператор.»

Проверьте стандартный договор вендора: содержит ли он все обязательные условия. Большинство SaaS-договоров написаны под западное законодательство (GDPR) и не учитывают требования ФЗ-152, в частности локализацию по ч. 5 ст. 18. Если серверы вендора за рубежом — это трансграничная передача с обязанностью уведомить РКН по ст. 12 ФЗ-152 до начала передачи.

Проверьте также условие ст. 22.2 ТК РФ: при применении работодателем технологий, допускающих контроль за действиями работника (мониторинг активности, видеонаблюдение через новую систему), работодатель обязан уведомить работника об этом. Это самостоятельная норма, не заменяющая согласие по ФЗ-152.

Шаг 5. Организуйте подписание новых согласий до запуска системы

Обработка данных через новую систему может начинаться только после получения актуальных согласий. Порядок действий для HR-департамента: подготовить пакет форм согласий отдельно по каждому основанию (КЭДО, биометрия СКУД, передача вендору), ознакомить работников с обновлённой политикой обработки ПДн по ст. 18.1 ФЗ-152, организовать подписание под роспись или через КЭДО с квалифицированной ЭП.

При подписании через КЭДО само согласие на использование КЭДО должно быть подписано на бумаге заранее — парадокс, с которым сталкиваются многие HR-директора при переходе. Нельзя получить согласие на КЭДО через тот же КЭДО: первое согласие подписывается собственноручно.

Зафиксируйте в журнале учёта дату получения каждого согласия. Это критически важно для расчёта сроков хранения и ответа на будущие запросы субъектов по ст. 20 ФЗ-152 (10 рабочих дней с возможностью продления на 5 рабочих дней).

Шаг 6. Обновите ОРД и назначьте ответственного за обработку в новой системе

Переход на новую систему учёта требует обновления нескольких организационно-распорядительных документов: политики обработки ПДн (обновить перечень систем и цели), регламента работы с персональными данными работников, приказа об ответственном за обработку по ст. 22.1 ФЗ-152, инструкции пользователей новой системы о порядке работы с ПДн. Если обрабатываются специальные категории (здоровье, биометрия) — проверьте наличие приказа об уровне защищённости по ПП РФ №1119.

«Ст. 22.1 ФЗ-152: оператор-юрлицо обязан назначить лицо, ответственное за организацию обработки ПДн. При смене системы учёта — проверьте, охватывает ли действующий приказ новую систему. Если ответственный не назначен — штраф по ч. 3 ст. 13.11 КоАП (30 000–60 000 ₽ за отсутствие политики).»

После обновления документов ознакомьте под роспись всех сотрудников, имеющих доступ к новой системе. Ст. 18.1 ФЗ-152 прямо требует ознакомления работников с локальными актами по защите ПДн. Это одно из первых, что проверяет РКН при инспекции: есть ли подписи об ознакомлении.

Что подготовить до запуска новой системы учёта

Реестр изменений в обработке ПДн по схеме «было / стало» (цели, категории, получатели)
Обновлённое уведомление в реестре операторов РКН через pd.rkn.gov.ru (если изменился состав обработки)
Отдельные формы согласий по каждому основанию (КЭДО, биометрия СКУД, передача вендору) по реквизитам ст. 9 ФЗ-152 в редакции ФЗ-156
Договор поручения обработки с вендором новой системы по п. 3 ст. 6 ФЗ-152 с разделом о локализации
Обновлённый пакет ОРД: политика, регламент, приказ об ответственном, инструкция пользователей

Типовые ситуации при переходе на новую систему учёта

Ситуация 1. КЭДО без отдельного согласия. Компания подключила сервис КЭДО и получила от работников согласия в форме галочки в интерфейсе системы. После 01.09.2025 такое согласие не отвечает требованию отдельного документа по ст. 9 ФЗ-152 в редакции ФЗ-156. Доказательства нарушения при проверке РКН — распечатка интерфейса подписания, где согласие встроено в форму регистрации в системе. Вероятный исход — протокол по ч. 2 ст. 13.11, штраф 300 000–700 000 ₽. Стратегия: переоформить согласия на бумаге до проверки; внести изменения в регламент КЭДО.

Ситуация 2. Биометрия СКУД без надлежащего согласия. HR-директор производственного предприятия (Уральский ФО, конец 2025) внедрил систему контроля доступа с отпечатками пальцев. Согласие на биометрию было включено в общую анкету при приёме на работу. По итогам проверки РКН составлен протокол по ч. 2 ст. 13.11 КоАП: согласие на биометрические данные требует отдельного документа по ст. 11 ФЗ-152, а анкета при приёме — не отдельный документ в смысле ФЗ-156. Размер штрафа составил сотни тысяч рублей. Стратегия: при любом внедрении биометрии — отдельное письменное согласие с явным указанием цели (контроль доступа) и условием уничтожения при увольнении.

Ситуация 3. Облачная HRM-платформа и трансграничная передача. Компания перешла на HRM-сервис с серверами в ЕС. Уведомление о трансграничной передаче в РКН по ст. 12 ФЗ-152 не подавалось. При плановой проверке инспектор выявил несоответствие реестровой записи фактической обработке. Помимо нарушения по ч. 10 ст. 13.11 (неуведомление), выявлено нарушение требования локализации по ч. 5 ст. 18 ФЗ-152 — первичная запись данных граждан РФ велась за рубежом. Стратегия: до перехода на зарубежный SaaS — юридический анализ архитектуры данных, уведомление РКН о трансграничной передаче, проверка наличия резервной базы в РФ.

Если HRD уже запустил новую систему учёта, но согласия и ОРД не обновлял — каждый день работы системы увеличивает масштаб нарушения. Юристы DATUM соберут пакет согласий и ОРД под конкретную систему: КЭДО, СКУД, HRM или облачный сервис.

Собрать ОРД под ключ

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Переподписывать ранее оформленные согласия не требуется, если они соответствовали требованиям ст. 9 ФЗ-152 на дату подписания. ФЗ-156 не имеет обратной силы. Однако если старое согласие было встроено в трудовой договор или иной документ и содержало недостаточный состав реквизитов — такое согласие целесообразно переоформить. При переходе на новую систему учёта всегда требуется новое согласие, поскольку меняются цели, перечень данных или круг получателей.

2. Какие данные нельзя запрашивать в анкете кандидата или работника?

Ст. 86 ТК РФ устанавливает, что работодатель вправе обрабатывать только те данные, которые необходимы для исполнения трудового договора. Персональные данные о политических взглядах, религиозных убеждениях, членстве в профсоюзах, состоянии здоровья (кроме противопоказаний к работе) — запрашивать нельзя без явного письменного согласия и обоснования производственной необходимости. Данные о судимости — только в случаях, предусмотренных законом. Это специальные категории по ст. 10 ФЗ-152, для которых действуют повышенные требования.

3. Можно ли вести видеонаблюдение в офисе без согласия работников?

Видеонаблюдение в офисе допустимо при соблюдении нескольких условий: работодатель обязан уведомить работников о применении системы мониторинга по ст. 22.2 ТК РФ, цель видеонаблюдения должна быть законной (охрана труда, безопасность), информация о видеонаблюдении должна быть включена в политику обработки ПДн. Если видеозапись хранится и обрабатывается автоматически — это обработка биометрических ПДн (изображение лица по ст. 11 ФЗ-152), и для такой обработки требуется письменное согласие. Скрытое видеонаблюдение без уведомления работников создаёт риски по ст. 137 УК РФ.

4. Сколько хранить согласия работников после их увольнения?

Согласие работника на обработку персональных данных входит в состав личного дела. Личное дело хранится 75 лет по типовым перечням документов. Сами персональные данные работника могут обрабатываться только в течение срока, необходимого для достижения целей обработки (ст. 5 ФЗ-152). После увольнения большинство данных подлежит уничтожению, однако отдельные сведения — расчётные, кадровые — хранятся по срокам, установленным трудовым и архивным законодательством. Ключевое правило: срок хранения согласия не может быть меньше срока хранения данных, для обработки которых оно было выдано.

5. Кто является оператором при использовании КЭДО — работодатель или вендор?

Оператором персональных данных остаётся работодатель — он определяет цели и состав обрабатываемых данных по ст. 3 ФЗ-152. Вендор КЭДО — обработчик по поручению оператора в рамках п. 3 ст. 6 ФЗ-152. Это означает, что работодатель несёт полную ответственность за соответствие обработки закону, в том числе за нарушения, допущенные вендором. Для правильного разграничения ответственности необходим договор поручения обработки с чётко прописанным перечнем допустимых действий и требованиями по безопасности по ст. 19 ФЗ-152.

6. Что делать, если работник отказывается подписывать согласие на биометрию СКУД?

Отказ работника от предоставления биометрических данных для СКУД правомерен: согласие на обработку биометрии по ст. 11 ФЗ-152 добровольно. Работодатель не вправе отказать в трудоустройстве или применить дисциплинарное взыскание за отказ подписать согласие на биометрию. В таком случае работодатель обязан обеспечить иной способ контроля доступа для данного работника: карта, PIN-код, журнальная система. Принудительное получение биометрии без согласия — нарушение ст. 11 ФЗ-152 и основание для штрафа по ч. 2 или ч. 16 ст. 13.11 КоАП.

Итог

Переход на новую систему учёта персонала — это точка обязательного обновления всей документации по ФЗ-152: согласий, политики обработки ПДн, договора с вендором и реестровой записи в РКН. С 01.09.2025 каждое согласие работника — отдельный документ; всё, что встроено в договор или анкету, юридической силы не имеет. Цена ошибки — штраф до 700 000 ₽ по ч. 2 ст. 13.11 КоАП за каждого работника, чьё согласие оформлено ненадлежащим образом.

Практика DATUM сопровождает HR-департаменты при переходах на КЭДО, внедрении биометрических СКУД и подключении облачных HRM-платформ: от аудита действующих согласий до полного пакета ОРД под конкретную систему учёта.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка действующих согласий, ОРД и реестровой записи РКН
Комплект ОРД под ключ — пакет согласий, политики, приказов и регламентов для новой системы
DPO-аутсорсинг — постоянный ответственный по ст. 22.1 ФЗ-152 на абонентском обслуживании

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции ФЗ-156, КЭДО, биометрия СКУД, передача в зарплатных проектах. Сопровождение проверок РКН в HR-департаментах.

21 апреля 2027 года

Переходите на новую систему учёта — нужна помощь с согласиями и ОРД?

Оценить риски по 152-ФЗ

Практика «Ветров и партнёры» по 152-ФЗ с 2014 года · +7 (383) 310-38-76 · Telegram · info@vitveteam.ru