инструкция 10 февраля 2027 По состоянию на 10 февраля 2027

Согласие работника на обработку ПДн с 01.09.2025: шаблон по ФЗ-156

С 01.09.2025 согласие на обработку персональных данных работника — отдельный документ. Включать его в трудовой договор, анкету или должностную инструкцию больше нельзя.

ФЗ-156 от 24.06.2025 изменил ч. 1 ст. 9 ФЗ-152: согласие не объединяется с другими соглашениями. Нарушение — штраф 300 000–700 000 руб. по ч. 2 ст. 13.11 КоАП за каждый случай обработки без надлежащего согласия.

Если вы HRD и ваши согласия до сих пор в трудовом договоре — ниже пошаговый порядок переоформления и готовый шаблон. → ОРД под ключ

С 1 сентября 2025 года каждый работодатель, у которого согласие на обработку персональных данных вписано в трудовой договор или в форму анкеты, находится в зоне административного риска. ФЗ-156 не требует переоформлять уже подписанные документы, однако для любого нового согласия и при любом расширении обработки правило «отдельного документа» обязательно. Ниже — шесть шагов для HR-департамента: от аудита текущих форм до хранения готовых согласий в личном деле.

Шаг 1. Проверьте, какие согласия у вас сейчас и где они находятся

Соберите все формы, которые работник подписывает при приёме: трудовой договор, анкету, согласие на проверку службой безопасности, форму для СКУД, документы КЭДО, анкету ДМС. В каждом документе найдите фрагмент с согласием на обработку персональных данных и зафиксируйте, где именно оно расположено.

Критерий нарушения после 01.09.2025: согласие на обработку ПДн объединено с другим документом. Форма анкеты, в которую вписан пункт «Согласен с обработкой ПДн», — нарушение. Трудовой договор с аналогичным пунктом — нарушение. Отдельный одностраничный документ, подписанный работником, — соответствие требованиям ст. 9 ФЗ-152 в редакции ФЗ-156.

Что подготовить на этапе аудита

Перечень всех форм, которые подписывает работник при трудоустройстве
Перечень форм для действующих работников (КЭДО, ДМС, СКУД, зарплатный проект)
Список целей обработки ПДн, которые фактически реализует HR-департамент
Журнал учёта согласий (при его наличии) или база подписанных документов
Форма согласия на распространение ПДн, если компания публикует фото или данные работников

Шаг 2. Разберитесь, в каких случаях согласие вообще нужно по ст. 6 ФЗ-152

Трудовой кодекс допускает обработку значительной части персональных данных без согласия работника — на основании трудового договора и обязанностей работодателя (ст. 22.2 ТК РФ, ст. 86–88 ТК РФ). Передача данных в ПФР, ФНС, ФСС, оформление трудовой книжки, кадровый учёт — всё это обрабатывается без отдельного согласия, поскольку соответствует целям трудовых правоотношений.

Согласие по ст. 9 ФЗ-152 обязательно в следующих ситуациях:

передача данных третьим лицам, не предусмотренная ТК РФ (агентство ДМС, банк по зарплатному проекту, иная страховая компания);
обработка специальных категорий ПДн по ст. 10 ФЗ-152 — состояние здоровья, религиозные и политические взгляды, судимость;
биометрические данные для СКУД, систем распознавания лиц (ст. 11 ФЗ-152) — только письменное согласие;
распространение персональных данных: корпоративный сайт, фото в пресс-релизах, профиль в КЭДО с доступом третьих лиц — отдельное согласие по ст. 10.1 ФЗ-152;
хранение в зарубежных сервисах, не входящих в перечень стран с адекватной защитой (ст. 12 ФЗ-152).

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — согласие субъекта ПДн оформляется документом, не объединённым с иными документами. Обязательные реквизиты: ФИО субъекта и контактные данные; наименование и адрес оператора; цель обработки; перечень ПДн; перечень действий с ПДн; срок действия или условие отзыва; способ отзыва согласия.»

Отсутствие согласия там, где оно требуется, — это состав по ч. 2 ст. 13.11 КоАП: штраф для юридического лица от 300 000 до 700 000 руб. При повторном нарушении (ч. 2.1) — от 1 000 000 до 1 500 000 руб.

Согласия работников ещё в трудовом договоре?

Если HRD не выделил согласия в отдельные документы после 01.09.2025, каждая форма создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП — до 700 000 руб. При повторной проверке РКН сумма вырастает до 1 500 000 руб. по ч. 2.1. Юристы DATUM соберут полный пакет согласий и ОРД HR-департамента за фиксированную стоимость.

Собрать ОРД под ключ

Ответим в течение рабочего дня · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Составьте шаблон согласия по обязательным реквизитам ст. 9 ФЗ-152

Ниже — структура документа, которая соответствует требованиям ст. 9 ФЗ-152 в редакции ФЗ-156. Поля в квадратных скобках подставляются под конкретную ситуацию.

Шапка документа: «Согласие на обработку персональных данных» — название отдельным заголовком, без иного содержания документа рядом.

Субъект: ФИО полностью, паспортные данные или иной идентификатор, контактный телефон или email.

Оператор: полное наименование юридического лица, ОГРН, юридический адрес. Если обработка ведётся по поручению — указать также наименование лица, осуществляющего обработку (ст. 6 ч. 3 ФЗ-152).

Цель обработки: конкретная формулировка под каждый вид обработки. Не «кадровый учёт» в целом, а «исполнение трудового договора, в том числе начисление заработной платы и передача данных в ФНС России». Если целей несколько — каждая перечислена отдельно.

Перечень персональных данных: точный список категорий: фамилия, имя, отчество; дата рождения; ИНН; СНИЛС; реквизиты паспорта; адрес; номер телефона; данные о банковском счёте — и т. д. под конкретную цель.

Перечень действий: сбор, запись, систематизация, накопление, хранение, уточнение, использование, передача (с указанием получателей), уничтожение.

Срок: конкретная дата либо указание на событие — «до достижения цели обработки», «в течение срока трудовых отношений и 75 лет после их прекращения» (для личного дела).

Способ отзыва: письменное заявление в адрес работодателя с описанием реквизитов: кому, по какому адресу, в какой форме. Отзыв согласия не освобождает работодателя от обязательной обработки по другим основаниям (ТК РФ, НК РФ).

Подпись работника: дата и собственноручная подпись. При подписании в КЭДО — усиленная квалифицированная электронная подпись или простая электронная подпись с надлежащим соглашением об её использовании.

Шаг 4. Оформите отдельные согласия для СКУД и КЭДО

Биометрическое согласие для СКУД с распознаванием лиц или считыванием отпечатков — это отдельный документ от общего согласия на кадровую обработку. По ст. 11 ФЗ-152 биометрические персональные данные обрабатываются только при наличии письменного согласия. Электронная подпись без подтверждённого соглашения о её использовании не удовлетворяет требованию «письменной формы» в части биометрии.

В согласии для СКУД дополнительно указываются: описание биометрических параметров (изображение лица, дактилоскопические данные), технические средства их обработки, наименование СКУД-оператора, если он отличается от работодателя, и порядок уничтожения биометрических данных при увольнении.

Для КЭДО вопрос согласия на обработку ПДн решается через соглашение об использовании электронных документов (ст. 22.2 ТК РФ). Однако если платформа КЭДО передаёт данные работников третьим лицам или ведёт трансграничную передачу, потребуется отдельное согласие по ст. 9 ФЗ-152 и уведомление РКН по ст. 12 ФЗ-152. Оператором обработки ПДн в КЭДО является работодатель; платформа выступает лицом, осуществляющим обработку по поручению (ч. 3 ст. 6 ФЗ-152), и требует заключения договора поручения.

«Ст. 11 ФЗ-152 — обработка биометрических персональных данных допускается только с письменного согласия субъекта, за исключением случаев, установленных законом (государственная безопасность, судопроизводство, транспортная безопасность и ряд иных). Использование биометрии в коммерческих СКУД под исключения не подпадает.»

Если в офисе установлена система распознавания лиц или дактилоскопический СКУД — проверьте, подписал ли каждый работник отдельное биометрическое согласие. Отсутствие такого согласия — штраф по ч. 2 ст. 13.11 КоАП до 700 000 руб., при повторности — до 1 500 000 руб. DATUM проведёт аудит HR-обработки за фиксированный срок.

Заказать аудит 152-ФЗ

Шаг 5. Установите порядок хранения и отзыва согласий

Согласие на обработку персональных данных работника хранится в личном деле. Типовой срок личного дела — 75 лет с момента увольнения (для государственных организаций закреплён нормативно, для коммерческих — ориентир из практики хранения кадровых документов). Согласие должно быть доступно на всём протяжении обработки и в течение срока, необходимого для подтверждения законности обработки при проверке.

Отзыв согласия работником не прекращает обработку, которая ведётся на иных правовых основаниях (ТК РФ, НК РФ, законодательство о социальном страховании). Работодатель обязан прекратить обработку по согласию, но вправе продолжить обработку по закону. Об этом необходимо уведомить работника в письменной форме.

При увольнении данные работника, обработка которых основана исключительно на согласии, уничтожаются или обезличиваются в сроки, установленные политикой обработки ПДн. Данные, для которых срок хранения установлен законом (персональные данные в расчётных листах, трудовой книжке, больничных листах), хранятся независимо от отзыва согласия.

Шаг 6. Проверьте политику обработки ПДн и назначение ответственного

Согласие работника — один элемент системы защиты персональных данных. Чтобы оно имело юридическую силу, необходим комплект сопутствующих документов. Политика обработки персональных данных по ст. 18.1 ФЗ-152 должна быть размещена в открытом доступе и описывать цели, категории ПДн, сроки хранения, порядок обработки, права субъекта и порядок их реализации.

Ответственный за организацию обработки ПДн назначается приказом по ст. 22.1 ФЗ-152. Его функция — обеспечить исполнение требований закона внутри компании, в том числе хранение согласий и ответы на запросы работников. Срок ответа на запрос субъекта по ст. 20 ФЗ-152 — 10 рабочих дней с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта.

Компания без уведомления в реестре операторов РКН (ст. 22 ФЗ-152) не вправе обрабатывать персональные данные: за неуведомление — штраф 100 000–300 000 руб. по ч. 10 ст. 13.11 КоАП. Включение в реестр занимает до 30 дней с момента подачи уведомления.

Как выглядят нарушения в практике: два сценария для HR-директора

Сценарий 1. Согласие в трудовом договоре — проверка после 01.09.2025. HR-директор производственной компании (Приволжский ФО, осень 2025) включил согласие на обработку ПДн в стандартный трудовой договор ещё в 2022 году и не переоформил его. При плановой проверке РКН инспектор квалифицировал это как нарушение ч. 1 ст. 9 ФЗ-152 в новой редакции, составил протокол по ч. 2 ст. 13.11 КоАП. Компании предложили устранить нарушение — подписать отдельные согласия со всеми действующими работниками — и штраф был назначен в минимальном размере диапазона. Общая сумма по числу затронутых работников составила несколько сотен тысяч рублей. Переоформление заняло две недели.

Сценарий 2. СКУД без биометрического согласия. В IT-компании (Центральный ФО, начало 2026) система контроля доступа фиксировала данные о рабочем времени через считыватели отпечатков пальцев. Согласия на биометрию не оформлялись — HR считал, что раз работник прошёл через СКУД, значит, согласился. РКН по жалобе уволенного работника провёл внеплановую проверку, установил нарушение ст. 11 ФЗ-152 и ч. 2 ст. 13.11 КоАП. Доводы о том, что биометрия была «только для внутреннего использования», не были приняты: письменного согласия не существовало. Штраф для юридического лица исчислялся несколькими сотнями тысяч рублей.

Услуги DATUM по теме

Комплект ОРД под ключ — 38 документов, включая шаблоны согласий по ФЗ-156
Аудит соответствия 152-ФЗ — проверка HR-обработки по чек-листу из 38 пунктов
DPO-аутсорсинг — ведение функции ответственного по ст. 22.1 ФЗ-152 на абонентской основе

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Нет, если согласие было оформлено до 01.09.2025 и уже являлось отдельным документом — переподписывать не требуется. ФЗ-156 не имеет обратной силы. Переоформление нужно, если согласие было включено в текст трудового договора, анкеты или иного документа: при следующем расширении обработки ПДн или при оформлении нового согласия по любому основанию — использовать только отдельный документ по требованиям ст. 9 ФЗ-152 в новой редакции.

2. Какие данные нельзя спрашивать в анкете при приёме на работу?

Ст. 86 ТК РФ запрещает работодателю получать персональные данные о политических, религиозных и иных убеждениях работника, о его членстве в общественных объединениях и профсоюзах, а также данные о частной жизни, не связанные с трудовой деятельностью. Эти категории относятся к специальным по ст. 10 ФЗ-152 — их обработка требует отдельного согласия и допустима лишь в исключительных случаях. Стандартная анкета соискателя не является таким основанием.

3. Можно ли вести видеонаблюдение в офисе?

Видеонаблюдение в офисе допустимо при соблюдении трёх условий. Первое — работники уведомлены о наблюдении: это может быть условие трудового договора, отдельное уведомление или видимые таблички. Второе — цель наблюдения обоснована (охрана имущества, безопасность). Третье — если система ведёт распознавание лиц или сохраняет биометрию, требуется отдельное письменное согласие каждого работника по ст. 11 ФЗ-152. Видеозапись без биометрической обработки к биометрическим данным не относится — достаточно уведомления.

4. Сколько хранить согласия после увольнения?

Согласие на обработку персональных данных является частью личного дела работника. Для коммерческих организаций ориентиром служит 75-летний срок хранения кадровых документов. На практике согласие должно храниться не менее срока возможного предъявления претензий по обработке ПДн и проверки РКН. После истечения срока хранения документ подлежит уничтожению с составлением акта.

5. Кто оператор при использовании КЭДО?

Оператором персональных данных работников в системе КЭДО является работодатель — именно он определяет цели и состав обработки, несёт ответственность перед РКН и субъектами по ст. 6 ФЗ-152. Платформа КЭДО выступает лицом, осуществляющим обработку по поручению оператора (ч. 3 ст. 6 ФЗ-152). Договор между работодателем и платформой должен содержать перечень действий, цели обработки, обязательства по конфиденциальности и меры защиты. Ответственность перед субъектом за действия платформы несёт работодатель.

6. Что делать, если работник отказывается подписывать согласие?

Отказ работника от согласия на обработку, которая не является обязательной по ТК РФ или иному закону, означает, что эту обработку вести нельзя. Например, если работник не подписал согласие на передачу данных в банк по зарплатному проекту — работодатель обязан выплачивать зарплату наличными или иным законным способом. Принуждение к подписанию согласия под угрозой увольнения нарушает ст. 86 ТК РФ и создаёт риск признания такого согласия недействительным как полученного под давлением.

Итог

С 01.09.2025 согласие на обработку персональных данных работника — самостоятельный документ с фиксированным перечнем реквизитов по ст. 9 ФЗ-152 в редакции ФЗ-156. Встраивать его в трудовой договор, анкету или любой иной документ запрещено. Биометрическое согласие для СКУД и согласие на распространение ПДн (ст. 10.1 ФЗ-152) оформляются дополнительно — каждое отдельным документом. Штраф за нарушение — до 700 000 руб. по ч. 2 ст. 13.11 КоАП; при повторном нарушении — до 1 500 000 руб.

DATUM сопровождает HR-департаменты в приведении документооборота ПДн в соответствие с требованиями 152-ФЗ: от аудита текущих форм до передачи готового пакета согласий, политики и приказов. Специализация практики — ПДн в трудовых отношениях, КЭДО и биометрия.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах.

10 февраля 2027 года