Перейти к содержанию
инструкция 19 января 2028 По состоянию на 19 января 2028

Согласие сотрудника на КЭДО по ст. 22.2 ТК РФ

Согласие сотрудника на КЭДО — самостоятельный документ, отдельный от трудового договора и политики обработки персональных данных.
С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие по ст. 9 ФЗ-152 оформляется отдельным документом. Включение согласия в тело трудового договора или приложение к нему — нарушение ч. 2 ст. 13.11 КоАП, штраф для юрлица до 700 000 ₽.
→ Если в вашем HR-департаменте согласия работников ещё встроены в трудовой договор или КЭДО-соглашение — нужно переоформить до первой проверки РКН.

КЭДО затрагивает два правовых контура одновременно: трудовой (ст. 22.1–22.3 ТК РФ — порядок перехода, согласие работника) и персональных данных (ст. 9, 18.1 ФЗ-152 — основания и форма обработки). HR-директор, который не разграничивает эти два согласия, рискует получить протокол по ч. 1 или ч. 2 ст. 13.11 КоАП. Инструкция описывает шесть шагов: от аудита текущих документов до хранения согласий после увольнения.

Шаг 1. Разграничьте два разных согласия в КЭДО

Переход на КЭДО требует согласия работника по ст. 22.2 ТК РФ — это трудоправовой документ. Он подтверждает, что работник согласен на электронный документооборот в части трудовых документов. Само по себе это согласие не является основанием для обработки персональных данных.

Параллельно оператор обязан получить согласие по ст. 9 ФЗ-152 на обработку ПДн, которая происходит в рамках КЭДО: обмен кадровыми документами, хранение в системе КЭДО, передача данных оператору платформы. С 01.09.2025 это согласие оформляется только отдельным документом — объединять его с соглашением о КЭДО, трудовым договором или офертой запрещено.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025: согласие субъекта персональных данных на обработку его ПДн не может быть включено в иные документы. Требования к обязательным реквизитам — ФИО субъекта, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва.»

Практический итог шага: в комплект при переходе на КЭДО входят минимум два документа — соглашение о КЭДО (ст. 22.2 ТК РФ) и отдельное согласие на обработку ПДн в системе КЭДО (ст. 9 ФЗ-152).

Шаг 2. Проверьте состав реквизитов согласия по ст. 9 ФЗ-152

Согласие на обработку ПДн в контексте КЭДО должно содержать все обязательные реквизиты ст. 9 ФЗ-152. Отсутствие любого из них означает, что согласие считается полученным с нарушением — основание для протокола по ч. 2 ст. 13.11 КоАП.

Обязательные реквизиты согласия на обработку ПДн в КЭДО

  • ФИО субъекта персональных данных (работника) и его контактные данные
  • Наименование и адрес оператора — вашей компании
  • Цель обработки: ведение кадрового электронного документооборота по ст. 22.1–22.3 ТК РФ
  • Перечень ПДн: фамилия, имя, отчество, должность, табельный номер, СНИЛС, электронная подпись (если применяется)
  • Перечень действий: сбор, запись, систематизация, хранение, передача оператору КЭДО-платформы, уничтожение
  • Срок действия согласия и срок хранения ПДн
  • Способ отзыва согласия

Если в вашей форме отсутствует хотя бы один пункт — РКН при проверке квалифицирует это как обработку ПДн с нарушением требований к согласию (ч. 2 ст. 13.11 КоАП, штраф для юрлица 300 000–700 000 ₽).

Согласия работников встроены в трудовой договор или КЭДО-соглашение?

С 01.09.2025 это прямое нарушение ч. 2 ст. 13.11 КоАП. Каждый такой документ — отдельное основание для протокола на 300 000–700 000 ₽. До первой проверки РКН есть время переоформить пакет. Юристы DATUM соберут согласия по требованиям ФЗ-156 и проверят комплект ОРД HR-департамента.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Учтите требования ст. 86–87 ТК РФ при формировании перечня данных

Ст. 86 ТК РФ устанавливает, что работодатель вправе получать и обрабатывать только те ПДн работника, которые необходимы для исполнения трудового договора. Это прямо ограничивает перечень данных, которые можно включать в согласие для КЭДО.

Нельзя включать в согласие на КЭДО данные, которые не связаны непосредственно с трудовой функцией: сведения о религиозных взглядах, о состоянии здоровья (кроме сведений для оформления больничных и льгот), о политической принадлежности. Такие данные относятся к специальным категориям по ст. 10 ФЗ-152 и требуют отдельного согласия с отдельным основанием.

«Ст. 87 ТК РФ обязывает работодателя утвердить локальным нормативным актом порядок хранения и использования ПДн работников. Без такого документа обработка ПДн в КЭДО лишена надлежащего правового основания даже при наличии согласия.»

Если в КЭДО-системе обрабатываются данные о нетрудоспособности, льготах, инвалидности — это специальные категории по ст. 10 ФЗ-152. Для них нужно отдельное согласие с явным указанием специальной категории и особого основания обработки.

Шаг 4. Определите оператора и обработчика КЭДО-платформы

Работодатель при переходе на КЭДО остаётся основным оператором ПДн работников. Платформа КЭДО (внешний SaaS-сервис или оператор государственной платформы на портале «Работа России») получает статус лица, осуществляющего обработку по поручению оператора (п. 3 ст. 6 ФЗ-152).

Это означает два практических требования. Первое: между работодателем и платформой КЭДО должен быть заключён договор поручения обработки с перечнем разрешённых действий. Второе: согласие работника должно содержать наименование этой платформы как третьего лица, которому передаются данные.

Если платформа КЭДО расположена на серверах за пределами России — возникает вопрос локализации по ч. 5 ст. 18 ФЗ-152. Первичный сбор, систематизация и хранение ПДн граждан РФ должны происходить в базах на территории России. При нарушении — ч. 8 ст. 13.11 КоАП, штраф 1 000 000–6 000 000 ₽.

Если HRD использует облачную КЭДО-платформу без проверки локализации и договора поручения — это одновременно риск по ч. 8 ст. 13.11 (нарушение локализации, до 6 млн ₽) и по ч. 1 ст. 13.11 (обработка без надлежащего основания). Оба нарушения могут быть выявлены в рамках одной проверки РКН.

Собрать ОРД под ключ

Шаг 5. Учтите биометрию СКУД и видеонаблюдение

Многие компании, переходящие на КЭДО, одновременно внедряют системы контроля доступа (СКУД) с биометрической идентификацией — отпечаток пальца, распознавание лица. По ст. 11 ФЗ-152 биометрические ПДн обрабатываются только при наличии письменного согласия работника. Устная форма недопустима.

Видеонаблюдение в офисе само по себе является обработкой биометрических ПДн (изображение лица), если запись используется для идентификации конкретного человека. Если видеозапись хранится и может быть использована для установления личности — нужно отдельное согласие на обработку биометрии по ст. 11 ФЗ-152 или иное законное основание.

«Ст. 11 ФЗ-152: биометрические персональные данные (сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность) обрабатываются только при наличии письменного согласия субъекта, если иное не предусмотрено законом.»

Нарушение требований к обработке биометрии — ч. 16 ст. 13.11 КоАП. Утечка биометрических данных — ч. 17 ст. 13.11, штраф 15 000 000–20 000 000 ₽. Смешивать согласие на СКУД-биометрию с согласием на КЭДО нельзя: это разные цели, разные основания, разные документы.

Шаг 6. Установите порядок хранения и уничтожения согласий

Согласие на обработку ПДн в КЭДО хранится на протяжении всего периода обработки плюс три года после её прекращения — как минимум до истечения срока исковой давности по трудовым спорам. Личное дело работника хранится 75 лет (или 50 лет для документов, созданных после 2003 года по Приказу Росархива №236). Согласие на обработку ПДн — часть личного дела, и его срок хранения следует этому же правилу.

После увольнения работник вправе потребовать уничтожения его ПДн, однако работодатель как оператор вправе отказать, если обработка необходима для исполнения обязанностей, возложенных законом (ст. 21 ФЗ-152). Хранение кадровых документов — такое основание. При этом КЭДО-данные, выходящие за рамки кадрового учёта (например, история переписки в системе), подлежат уничтожению по истечении цели обработки.

Локальный нормативный акт о порядке хранения ПДн по ст. 87 ТК РФ должен содержать чёткую таблицу: категория данных, цель, срок, основание для продления. Без этого документа хранение любых ПДн работников после достижения цели — нарушение принципа минимизации по ст. 5 ФЗ-152.

Типовые ситуации: как работает ответственность

Ситуация 1. Согласие в трудовом договоре (до и после 01.09.2025). Крупная торговая сеть (Сибирский ФО, начало 2026 года) при проверке РКН получила протокол по ч. 2 ст. 13.11 КоАП: согласие на обработку ПДн работников было включено в раздел трудового договора «Защита персональных данных». По требованиям ФЗ-156 такая форма недопустима с 01.09.2025. Штраф по ч. 2 составил несколько сотен тысяч рублей. Компания переработала весь пакет согласий, однако возможность оспорить протокол была существенно ограничена — нарушение было очевидным.

Ситуация 2. Облачная КЭДО-платформа без договора поручения. IT-компания (Центральный ФО, осень 2025) использовала зарубежный SaaS-сервис для ведения КЭДО без заключения договора поручения обработки ПДн. РКН выявил нарушение ч. 5 ст. 18 ФЗ-152 (локализация) и отсутствие поручения по п. 3 ст. 6 ФЗ-152. Технический директор настаивал, что сервер физически расположен в России, однако компания не смогла документально подтвердить соответствие требованиям локализации. Протоколы составлены по двум основаниям одновременно. ⚠️ Конкретные номер дела и точная дата — менеджер уточняет при публикации.

Услуги DATUM по теме

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025, обратной силы не теряют — ФЗ-156 не предусматривает обязательного переоформления уже существующих согласий. Однако если ваши прежние согласия были включены в трудовой договор или КЭДО-соглашение, то с 01.09.2025 любое новое согласие — в том числе при приёме новых сотрудников — обязано быть отдельным документом. Для действующих работников, чьи согласия не соответствуют новым требованиям по составу реквизитов, рекомендуется переоформить документы при ближайшей возможности, не дожидаясь проверки.

2. Какие данные нельзя запрашивать в анкете при приёме на работу?

Ст. 86 ТК РФ запрещает работодателю получать и обрабатывать ПДн о политических, религиозных и иных убеждениях работника, о членстве в общественных объединениях, о частной жизни. Данные о состоянии здоровья допускаются только в части, необходимой для определения пригодности к работе или предоставления гарантий и компенсаций. Запрос сведений о национальности, расовой принадлежности, судимости (если должность не предполагает ограничений по закону) — нарушение ст. 10 ФЗ-152, специальные категории ПДн.

3. Можно ли вести видеонаблюдение в офисе?

Видеонаблюдение допустимо, если работник уведомлён об обработке его изображения и это условие закреплено в локальном нормативном акте (ст. 86–87 ТК РФ) или в согласии по ст. 11 ФЗ-152. Если запись используется исключительно в режиме «живого» просмотра без идентификации и хранения — правовой режим биометрии может не применяться. Если запись хранится и может быть использована для установления личности — обработка биометрических ПДн, письменное согласие обязательно. Скрытое видеонаблюдение без уведомления работников — нарушение ст. 23–24 Конституции РФ и ст. 86 ТК РФ.

4. Сколько хранить согласия после увольнения?

Согласие на обработку ПДн — часть личного дела работника. Срок хранения личного дела по Приказу Росархива №236 составляет 50 лет для документов, созданных начиная с 2003 года. Минимальный практический ориентир — три года после прекращения обработки (срок исковой давности по трудовым спорам). Даже после увольнения работника оператор вправе хранить его ПДн, если это необходимо для исполнения обязанностей, возложенных законом, — в частности, кадровых и архивных.

5. Кто является оператором при использовании КЭДО?

Оператором ПДн остаётся работодатель — юридическое лицо, которое определяет цели и порядок обработки ПДн работников. Платформа КЭДО (внешний сервис или государственная платформа «Работа России») действует как обработчик по поручению оператора в соответствии с п. 3 ст. 6 ФЗ-152. Ответственность перед РКН и работником несёт работодатель, а не платформа — даже если утечка произошла на стороне платформы. Договор поручения обработки с чётким перечнем разрешённых действий — обязательный документ.

6. Что делать, если работник отозвал согласие на обработку ПДн в КЭДО?

Отзыв согласия по ст. 9 ФЗ-152 не прекращает трудовые отношения автоматически. Если обработка ПДн необходима для исполнения трудового договора, работодатель вправе продолжить обработку на основании п. 5 ч. 1 ст. 6 ФЗ-152 (достижение целей договора) без согласия. Однако конкретные действия в КЭДО-системе, выходящие за рамки исполнения трудового договора (например, маркетинговые рассылки, участие в корпоративных программах), при отзыве согласия должны быть прекращены. Ответить на запрос об отзыве необходимо в течение 10 рабочих дней по ст. 20 ФЗ-152.

Итог

Переход на КЭДО требует двух параллельных правовых действий: оформления согласия работника по ст. 22.2 ТК РФ и отдельного согласия на обработку ПДн по ст. 9 ФЗ-152 в редакции ФЗ-156. Смешение этих документов после 01.09.2025 — прямое нарушение ч. 2 ст. 13.11 КоАП. Дополнительные риски создают биометрия СКУД, облачные платформы без договора поручения и отсутствие локального акта по ст. 87 ТК РФ.

Практика DATUM по ПДн в HR-департаментах охватывает аудит кадровых согласий, разработку ОРД под требования ФЗ-156 и сопровождение при проверках РКН в части трудовых ПДн.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах.

19 января 2028 года