инструкция 14 апреля 2027 По состоянию на 14 апреля 2027

Согласие при смене HR-системы

Смена HR-системы — это новая цель обработки ПДн и новый обработчик. По ст. 9 ФЗ-152 в редакции с 01.09.2025 каждое согласие работника оформляется отдельным документом с обязательными реквизитами.

Если при переходе с одной HR-платформы на другую согласия не переоформлены, оператор обрабатывает данные без надлежащего правового основания. Штраф по ч. 2 ст. 13.11 КоАП — 300 000 — 700 000 ₽ за каждый факт обработки без корректного согласия.

→ Если вы HRD и планируете или уже завершили переход на новую HR-систему — проверьте согласия до начала загрузки данных в новую платформу.

С 01.09.2025 вступили в силу поправки ФЗ-156 от 24.06.2025, обязывающие оформлять согласие на обработку персональных данных отдельным документом — вне трудового договора, ПВТР или политики конфиденциальности. Смена HR-системы создаёт как минимум два новых правовых основания для переоформления согласий: изменение состава обрабатываемых данных и передача данных новому обработчику по поручению (п. 3 ст. 6 ФЗ-152). Инструкция разбирает шесть шагов — от аудита текущей базы до подписи на поручении с вендором — применительно к HR-директору, который отвечает за легальность обработки кадровых ПДн.

Что подготовить до начала миграции данных

Выгрузку реестра согласий из текущей HR-системы с датами подписания и перечнем ПДн
Проект договора (поручения) с вендором новой HR-системы по п. 3 ст. 6 ФЗ-152
Шаблон нового согласия по ст. 9 ФЗ-152 в редакции с 01.09.2025 — отдельный документ
Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152
Актуальное уведомление в реестре РКН — проверить, отражена ли новая цель и новый обработчик

Почему смена HR-системы требует новых согласий?

Согласие по ст. 9 ФЗ-152 привязано к конкретному оператору, конкретной цели и конкретному перечню действий с данными. При переходе на новую платформу меняется состав технических операций: данные выгружаются из старой системы, загружаются в новую, обрабатываются новым программным обеспечением. Формально это новые «обработка» и «систематизация» по ст. 3 ФЗ-152.

«Ст. 9 ФЗ-152 (в ред. с 01.09.2025, ФЗ-156): согласие субъекта оформляется отдельным документом, не включённым в состав иного документа. Обязательные реквизиты — ФИО субъекта, контактные данные, наименование и адрес оператора, цель обработки, перечень ПДн, перечень действий, срок, порядок отзыва.»

Если действующее согласие работника было включено в трудовой договор или типовую анкету — с 01.09.2025 оно не отвечает требованиям закона при любой новой обработке. При миграции данных в новую HR-систему это становится нарушением сразу по двум основаниям: несоблюдение формы согласия (ч. 2 ст. 13.11 КоАП) и передача данных без надлежащего правового основания (ч. 1 ст. 13.11 КоАП).

Дополнительно: если новая HR-система — это SaaS иностранного вендора с серверами за рубежом, возникает обязанность по локализации (ч. 5 ст. 18 ФЗ-152) и, при передаче данных за рубеж, по уведомлению РКН о трансграничной передаче (ст. 12 ФЗ-152). Эти вопросы решаются до, а не после подписания договора с вендором.

Переходите на новую HR-систему и не уверены в юридическом сопровождении?

Если HR-директор планирует миграцию данных, а договор с вендором уже на подписании — есть время проверить, покрывает ли поручение на обработку требования п. 3 ст. 6 ФЗ-152. Ошибка в договоре с вендором или отсутствие новых согласий фиксируется при плановой проверке РКН как самостоятельный состав нарушения. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и подготовят отчёт с планом устранения нарушений.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 1. Проведите инвентаризацию текущих согласий

До выгрузки данных из старой системы составьте реестр: какие категории ПДн обрабатываются, на каком основании, в каком документе зафиксировано согласие. Для кадровых ПДн правовые основания делятся на три группы.

Первая группа — данные, обработка которых обязательна по трудовому законодательству (ст. 86, 87 ТК РФ, ст. 22.2 ТК РФ для КЭДО): ФИО, дата рождения, паспортные данные, СНИЛС, ИНН, сведения о трудовом стаже. Здесь согласие не требуется — основание ст. 6 ч. 1 п. 2 ФЗ-152 (исполнение обязанностей оператора, предусмотренных законом).

Вторая группа — данные, которые работодатель собирает сверх обязательного минимума: личное фото, семейное положение, хобби, результаты психологического тестирования. На эти данные требуется отдельное согласие по ст. 9 ФЗ-152.

Третья группа — специальные категории ПДн (ст. 10 ФЗ-152): состояние здоровья (медкнижки, справки), национальность, судимость. Обработка допустима только в строго определённых законом случаях; согласие здесь недостаточно само по себе — нужно одно из оснований п. 2 ст. 10 ФЗ-152.

Шаг 2. Проверьте договор с вендором новой HR-системы

По п. 3 ст. 6 ФЗ-152 оператор вправе поручить обработку ПДн третьему лицу только на основании договора или иного документа. Условия поручения обязательны: перечень действий, цели, обязанность соблюдать конфиденциальность, требования к защите, запрет передачи данных субподрядчикам без согласия оператора.

«П. 3 ст. 6 ФЗ-152: если оператор поручает обработку третьему лицу, оператор остаётся ответственным перед субъектом. Ответственность обработчика перед оператором — по договору; перед субъектом за убытки — также оператор.»

Типичные проблемы в договорах с HR-вендорами: отсутствует явный перечень допустимых действий с ПДн; не указан запрет на обработку данных в собственных целях вендора; нет требований к защите ПДн применительно к уровню защищённости (УЗ-3 или УЗ-4 по ПП РФ №1119). Если вендор — иностранная компания с облаком за рубежом, дополнительно проверьте наличие уведомления РКН о трансграничной передаче по ст. 12 ФЗ-152.

Практический ориентир: Роскомнадзор при проверках истребует договор с вендором наряду с политикой обработки ПДн. Отсутствие надлежащего поручения — самостоятельный состав по ч. 1 ст. 13.11 КоАП.

Шаг 3. Подготовьте новые шаблоны согласий по требованиям ФЗ-156

С 01.09.2025 согласие на обработку ПДн — это отдельный документ. Нельзя встраивать его в трудовой договор, анкету при трудоустройстве, положение о персональных данных или ПВТР. Документ подписывается работником до начала обработки данных в новой системе.

Обязательные реквизиты согласия по ст. 9 ФЗ-152: ФИО субъекта и его контактные данные; наименование и адрес оператора; конкретная цель обработки (например, «ведение кадрового учёта в системе [название платформы]»); перечень персональных данных; перечень действий с данными (сбор, запись, систематизация, хранение, передача вендору в целях хостинга); срок действия согласия или условие его прекращения; порядок отзыва.

Важно: если работодатель использует КЭДО (ст. 22.2 ТК РФ), часть кадровых документов подписывается в электронном виде с УКЭП или ПЭП. Согласие на обработку ПДн, оформляемое в рамках КЭДО, должно сохранять все реквизиты ст. 9 и быть идентифицировано как самостоятельный документ, а не как часть кадрового документооборота.

Если HR-директор переходит на КЭДО одновременно со сменой HR-системы — согласия на ПДн и подключение к КЭДО регулируются разными нормами. Смешение этих документов создаёт основание для штрафа. Юристы DATUM соберут комплект ОРД под ключ: политика, согласия по ФЗ-156, приказы, регламенты.

Собрать ОРД под ключ

Шаг 4. Организуйте сбор согласий до загрузки данных в новую систему

Порядок действий: сначала подписанные согласия, затем миграция данных. Это принципиальный момент: обработка ПДн в новой системе начинается с момента загрузки первой записи. Если данные загружены до подписания согласий — нарушение уже состоялось.

Для действующих работников согласие собирается в личном порядке: бумажная форма или квалифицированная электронная подпись при наличии КЭДО. Работодатель обязан разъяснить цели обработки и последствия отказа. Отказ работника дать согласие на обработку данных, не обязательных по закону (например, фотографии в профиле HR-системы), не может служить основанием для дисциплинарного взыскания или увольнения.

Для новых работников, принимаемых на работу после запуска новой HR-системы, согласие подписывается при оформлении — до внесения сведений в систему.

Дополнительно проверьте: нужна ли биометрия в новой системе. Если HR-платформа интегрируется с СКУД (система контроля и управления доступом) и использует распознавание лица или отпечатков пальцев — это биометрические ПДн по ст. 11 ФЗ-152. Для их обработки требуется письменное согласие работника, а хранение биометрии для целей, не связанных с ЕБС (ФЗ-572), возможно только при соблюдении требований к уровню защищённости УЗ-1 по ПП РФ №1119.

Шаг 5. Обновите уведомление в реестре РКН

По ст. 22 ФЗ-152 оператор уведомляет РКН о намерении осуществлять обработку ПДн. Если в результате смены HR-системы изменились: состав обрабатываемых ПДн, цели, перечень действий, наименование обработчика или место хранения данных — необходимо подать уведомление об изменении сведений через pd.rkn.gov.ru.

«Ст. 22 ФЗ-152: оператор обязан уведомить уполномоченный орган об изменении ранее сообщённых сведений. Срок внесения в реестр — 30 дней с момента подачи уведомления. Неуведомление — штраф 100 000 — 300 000 ₽ по ч. 10 ст. 13.11 КоАП.»

Типичная ошибка: компания меняет HR-систему, вендор меняется, но уведомление в реестре не обновляется. Инспектор РКН при плановой проверке сравнивает реестровые данные с фактической обработкой. Расхождение — основание для протокола по ч. 1 или ч. 10 ст. 13.11 КоАП.

Шаг 6. Проверьте порядок хранения и уничтожения данных в старой системе

После завершения миграции данные в старой HR-системе подлежат уничтожению или обезличиванию — если для их хранения нет самостоятельного правового основания. По ст. 21 ФЗ-152 оператор обязан уничтожить ПДн, если цель обработки достигнута.

Для личных дел действуют сроки хранения по архивному законодательству: 50 лет для документов, созданных после 2003 года (75 лет — для созданных до 2003 года). Эти сроки установлены не ФЗ-152, а Федеральным законом об архивном деле. Наличие архивного основания хранения исключает обязанность уничтожения после увольнения работника.

Практический алгоритм после миграции: (1) зафиксировать дату завершения переноса данных; (2) проверить, какие данные в старой системе имеют самостоятельное основание хранения; (3) данные без такого основания уничтожить с составлением акта; (4) проинформировать работников об уничтожении их данных при наличии соответствующего запроса по ст. 20 ФЗ-152 — срок ответа 10 рабочих дней.

Типичные ситуации при смене HR-системы

Ситуация 1. Компания перешла на новую HR-систему, согласия не переоформила. Работники подписывали согласия при трудоустройстве три-пять лет назад — в составе анкеты или трудового договора. С 01.09.2025 такая форма не соответствует требованиям ст. 9 ФЗ-152 (ФЗ-156). При плановой проверке РКН в 2026 году инспектор истребует образцы согласий и установит несоответствие реквизитов. Протокол — по ч. 2 ст. 13.11 КоАП (300 000 — 700 000 ₽). Стратегия: переоформить согласия для всех работников до проверки; ранее полученные согласия, действительные на дату подписания, обратной силы не имеют по ФЗ-156 — но при новой обработке (в новой системе) нужен новый документ.

Ситуация 2. Вендор новой HR-системы — иностранная компания, данные хранятся в облаке за рубежом. Первичный сбор, систематизация и хранение ПДн граждан РФ обязаны осуществляться в базах данных на территории России (ч. 5 ст. 18 ФЗ-152). Нарушение этого требования — штраф по ч. 8 ст. 13.11 КоАП от 1 000 000 до 6 000 000 ₽; при повторности — до 18 000 000 ₽. Стратегия: до подписания договора с иностранным вендором выяснить, где физически находятся серверы и есть ли российский сегмент инфраструктуры. При наличии российского сегмента — первичная обработка через него с последующей трансграничной передачей при соблюдении ст. 12 ФЗ-152.

Ситуация 3. HR-система интегрирована с СКУД, использующим биометрию (распознавание лица). Биометрические ПДн по ст. 11 ФЗ-152 обрабатываются только с письменного согласия. Письменное — означает бумажный документ или УКЭП. Отдельное согласие на биометрию нельзя совмещать с иными согласиями. При смене HR-системы с интеграцией СКУД согласия на биометрию переоформляются вне зависимости от наличия ранее подписанных. Нарушение — штраф по ч. 16 ст. 13.11 КоАП.

Как это применяется на практике

Кейс 1. Производственная компания (Уральский ФО, начало 2026) перешла на новую HR-платформу российского вендора. Согласия работников были вшиты в типовой трудовой договор, действовавший с 2021 года. При внеплановой проверке РКН (индикатор риска — жалоба уволенного работника) инспектор квалифицировал обработку ПДн в новой системе как осуществлённую без надлежащего согласия по ч. 2 ст. 13.11 КоАП. HR-директор инициировал переоформление согласий после возбуждения дела. Итог: штраф в несколько сотен тысяч рублей; затраты на переоформление ОРД составили дополнительно около 50 000 ₽.

Кейс 2. Торговая сеть (Центральный ФО, осень 2025) параллельно внедряла КЭДО и меняла HR-систему. Договор с вендором новой платформы не содержал обязательных условий поручения по п. 3 ст. 6 ФЗ-152: отсутствовал перечень допустимых действий с данными и требования к защите ПДн. HR-директор обратился к юристам DATUM до начала миграции данных. Договор был доработан, согласия собраны по новым шаблонам, уведомление в РКН обновлено. Проверка РКН в том же году прошла без нарушений по кадровому блоку.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка кадровых согласий, ОРД и договоров с вендорами
Комплект ОРД под ключ — шаблоны согласий по ФЗ-156, политика, приказы
DPO-аутсорсинг — ответственный за обработку ПДн на абонентском обслуживании

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

ФЗ-156 не имеет обратной силы: согласия, полученные до 01.09.2025, остаются действительными для тех целей и операций, под которые они подписывались. Однако при смене HR-системы возникает новая цель и новый состав операций — это самостоятельное основание для получения нового согласия по ст. 9 ФЗ-152 в актуальной редакции. Новое согласие обязательно оформляется отдельным документом, не включённым в трудовой договор или иной кадровый документ.

2. Какие данные нельзя спрашивать в анкете при приёме на работу?

По ст. 86 ТК РФ и ст. 10 ФЗ-152 работодатель не вправе запрашивать данные, не обусловленные трудовой функцией: политические и религиозные взгляды, национальность, сведения об интимной жизни, членство в профсоюзах — без специального законного основания. Состояние здоровья запрашивается только в части, необходимой для определения пригодности к конкретной должности. Включение этих данных в профиль HR-системы без законного основания — нарушение ст. 10 ФЗ-152.

3. Можно ли вести видеонаблюдение в офисе?

Видеозапись изображения работника — биометрические ПДн по ст. 11 ФЗ-152, если используется для идентификации личности. Для СКУД с распознаванием лица требуется письменное согласие каждого работника. Видеонаблюдение без идентификации личности (общая запись в целях охраны) регулируется иначе: достаточно уведомить работников в соответствии со ст. 87 ТК РФ и зафиксировать это в локальных актах. При интеграции видеозаписи в HR-систему — проверить, не становится ли запись инструментом идентификации.

4. Сколько хранить согласия после увольнения?

Согласие на обработку ПДн — кадровый документ; срок хранения определяется архивным законодательством. Для документов, созданных после 2003 года, минимальный срок хранения личного дела — 50 лет. Согласие рекомендуется хранить не менее срока исковой давности после увольнения (3 года по ст. 196 ГК РФ) с учётом возможных претензий субъекта. Уничтожение согласий без соблюдения сроков хранения — нарушение архивного законодательства.

5. Кто является оператором при использовании КЭДО?

При использовании КЭДО оператором персональных данных работников остаётся работодатель по ст. 22.2 ТК РФ и ст. 3 ФЗ-152. Провайдер КЭДО-платформы выступает обработчиком по п. 3 ст. 6 ФЗ-152 и обязан действовать исключительно в рамках поручения. Работодатель несёт ответственность перед работниками за соблюдение 152-ФЗ вне зависимости от того, чья платформа используется.

6. Что делать, если 24-часовой срок уведомления об утечке пропущен?

По ч. 3.1 ст. 21 ФЗ-152 и Приказу РКН №187 первичное уведомление об инциденте направляется в РКН в течение 24 часов с момента обнаружения. Срок не восстанавливается. Если срок пропущен — направьте уведомление немедленно с указанием фактической даты обнаружения и обстоятельств задержки. Параллельно готовьте отчёт о результатах расследования (72 часа от обнаружения). Пропуск срока — штраф 1 000 000 — 3 000 000 ₽ по ч. 11 ст. 13.11 КоАП.

Итог

Смена HR-системы — это не технический проект, а юридически значимое событие в обработке персональных данных. Переоформление согласий по ФЗ-156, надлежащее поручение вендору по п. 3 ст. 6 ФЗ-152 и актуализация уведомления в РКН — три обязательных шага до загрузки первой записи в новую систему.

Юристы DATUM сопровождают HR-директоров при смене HR-платформ: проверяют договоры с вендорами, готовят шаблоны согласий под требования ФЗ-156 и закрывают кадровый блок ОРД. Практика по ПДн в HR с 2014 года.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите ПДн в HR. Специализация — согласия работников по ст. 9 ФЗ-152 в ред. с 01.09.2025 (ФЗ-156), КЭДО, биометрия в СКУД, передача в зарплатных проектах, проверки РКН в HR-департаментах.

14 апреля 2027 года