инструкция 11 февраля 2028 По состоянию на 11 февраля 2028

Сопровождение перевыпуска согласий под ключ

С 01.09.2025 согласие на обработку персональных данных работника — это отдельный документ. Старые согласия, вшитые в трудовой договор или анкету кандидата, юридической силы не имеют.

За обработку ПДн без надлежащего согласия (когда оно обязательно) — штраф до 700 000 ₽ по ч. 2 ст. 13.11 КоАП в редакции с 30.05.2025. При повторном нарушении — 1 000 000–1 500 000 ₽ по ч. 2.1.

Если вы HRD и согласия работников до сих пор в трудовом договоре — эта инструкция описывает, как провести перевыпуск без остановки кадровых процессов.

ФЗ-156 от 24.06.2025 изменил ч. 1 ст. 9 ФЗ-152: согласие на обработку ПДн теперь оформляется отдельным документом и не объединяется с договором, офертой или политикой конфиденциальности. Поправка затронула все категории работников — действующих, новых и тех, чьи данные обрабатываются после увольнения. Инструкция охватывает шесть шагов: аудит действующих согласий, формирование реестра оснований, разработку комплекта новых форм, организацию подписания, обновление уведомления в РКН и поддержание процесса в рабочем состоянии.

Что изменилось в ст. 9 ФЗ-152 с 01.09.2025 и почему старые согласия не работают?

До ФЗ-156 закон допускал включение согласия в состав другого документа — достаточно было отдельной графы с подписью. После 01.09.2025 согласие должно быть самостоятельным документом: без смешения с условиями трудового договора, правилами внутреннего трудового распорядка или корпоративным регламентом.

«Ст. 9 ФЗ-152 (ред. ФЗ-156 от 24.06.2025) — согласие субъекта оформляется отдельным документом; не допускается объединение согласия с иным соглашением или договором. Обязательные реквизиты: ФИО и контактные данные субъекта, наименование и адрес оператора, цель обработки, перечень ПДн, перечень действий, срок, способ отзыва.»

Обратной силы у поправки нет: согласия, полученные до 01.09.2025, переоформлять принудительно не требуется, если они соответствовали тогдашней редакции закона. Однако на практике большинство HR-форм не содержало всех обязательных реквизитов даже в старой редакции — это самостоятельное основание для штрафа. Поэтому аудит действующей базы согласий нужен независимо от даты их получения.

Ст. 86 ТК РФ устанавливает, что работодатель обрабатывает ПДн работника только в целях трудовой деятельности. Ст. 87 ТК РФ обязывает работодателя установить порядок хранения и использования ПДн. Ст. 22.2 ТК РФ регулирует условия применения КЭДО — при переходе на электронный кадровый документооборот работник даёт отдельное письменное согласие, которое также требует переосмысления в свете ФЗ-156.

Согласия работников до сих пор в трудовом договоре?

Если HRD не провёл аудит кадровых форм после 01.09.2025 — каждый действующий документ несёт риск штрафа по ч. 2 ст. 13.11 КоАП (до 700 000 ₽). Срок устранения нарушения не восстанавливается после первого протокола РКН. Юристы DATUM проводят аудит обработки ПДн в HR-департаменте по чек-листу из 38 пунктов и собирают новый пакет согласий с учётом ФЗ-156.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 1. Проведите инвентаризацию действующих согласий

Составьте реестр всех мест, где сейчас закреплено согласие работника на обработку ПДн. Типовые точки: трудовой договор (приложение или отдельная статья), анкета при приёме, согласие на передачу данных в зарплатный проект, согласие на обработку в КЭДО, согласие на видеонаблюдение, биометрию СКУД, публикацию фотографии на корпоративном сайте.

Для каждого документа зафиксируйте: дату подписания, наличие обязательных реквизитов по ст. 9 ФЗ-152, соответствие форме «отдельного документа» по ФЗ-156. Результат — таблица с колонками «документ / категория ПДн / основание обработки / статус (требует замены / допустим / нет согласия)».

Отдельно проверьте, все ли цели обработки, заявленные в уведомлении РКН по ст. 22 ФЗ-152, подкреплены действующими согласиями или иными законными основаниями из ст. 6 ФЗ-152.

Шаг 2. Определите основания обработки по ст. 6 и ст. 10 ФЗ-152

Не все ПДн работника обрабатываются на основании согласия. Исполнение трудового договора (п. 5 ч. 1 ст. 6 ФЗ-152) и исполнение обязанностей работодателя по законодательству (п. 2) — самостоятельные основания, не требующие согласия. Это: начисление зарплаты, ведение трудовой книжки, воинский учёт, подача сведений в СФР.

Согласие обязательно там, где обработка выходит за пределы прямых трудовых обязанностей: передача данных третьим лицам (кредитные организации, страховщики, НПФ), обработка специальных категорий по ст. 10 ФЗ-152 (состояние здоровья для ДМС, инвалидность для льгот), биометрия СКУД по ст. 11 ФЗ-152, участие в корпоративных программах лояльности, публикация персональных сведений.

Фиксируйте основание напротив каждой цели: это снимает избыточные согласия и исключает ситуацию, когда работник отзывает согласие на передачу данных в СФР, считая, что вправе это сделать.

Шаг 3. Разработайте комплект новых форм согласий

Для каждой группы целей, требующих согласия, разработайте отдельную форму. Минимальный комплект для среднего предприятия: согласие на обработку общих ПДн (для зарплатного проекта и передачи работодателям-правопреемникам), согласие на обработку специальных категорий (здоровье — для ДМС и охраны труда), согласие на биометрию СКУД (письменная форма обязательна по ст. 11 ФЗ-152), согласие на КЭДО (ст. 22.2 ТК РФ), согласие на размещение фото и персональных сведений во внутренних системах и на сайте.

Каждая форма содержит реквизиты ст. 9 ФЗ-152: ФИО и контактные данные субъекта, полное наименование и адрес оператора, конкретную цель, исчерпывающий перечень ПДн и действий с ними, срок действия согласия, способ отзыва. Срок — не «бессрочно», а привязанный к событию: «на период трудовых отношений плюс три года после их прекращения» или иной обоснованный срок хранения по номенклатуре дел.

Для КЭДО дополнительно укажите, какая система используется (наименование платформы), и сошлитесь на порядок, установленный локальным нормативным актом по ст. 22.2 ТК РФ.

Что подготовить для перевыпуска согласий

Реестр действующих согласий с оценкой соответствия ст. 9 ФЗ-152 (редакция с 01.09.2025)
Матрица «цель обработки — основание — форма согласия» для каждой категории ПДн работников
Комплект новых форм: общие ПДн, спецкатегории, биометрия СКУД, КЭДО, размещение фото
График подписания с указанием ответственного, срока и способа (бумага или КЭДО)
Актуализированное уведомление в РКН по ст. 22 ФЗ-152, если цели или категории ПДн изменились

Шаг 4. Организуйте подписание: бумага, КЭДО и дистанционные работники

Для работников в офисе — бумажная форма в двух экземплярах: один работнику, второй в личное дело. Дата подписания фиксируется в реестре согласий. Отказ от подписания для целей, не связанных с исполнением договора, не является основанием для дисциплинарного взыскания — работник вправе не давать согласие на биометрию СКУД или ДМС без последствий для трудовых отношений.

При использовании КЭДО согласие на обработку ПДн в системе подписывается квалифицированной или усиленной неквалифицированной электронной подписью — в зависимости от установленного в компании порядка по ст. 22.2 ТК РФ. Согласие на само применение КЭДО не может быть получено через КЭДО: первичное согласие подписывается на бумаге или через государственные информационные системы.

Дистанционные работники подписывают согласия квалифицированной электронной подписью (ст. 312.3 ТК РФ) или — если стороны договорились — через систему, предусмотренную в трудовом договоре. Для каждого дистанционного работника зафиксируйте способ подписания и дату в реестре.

Шаг 5. Обновите уведомление в РКН и внутреннюю документацию

Если в ходе перевыпуска согласий вы изменили цели, категории ПДн или перечень получателей данных — подайте актуализирующее уведомление в РКН по форме Приказа РКН №180 от 28.10.2022 через портал pd.rkn.gov.ru. Срок включения изменений в реестр — до 30 дней.

Обновите политику обработки ПДн по ч. 2 ст. 18.1 ФЗ-152: внесите актуальные цели, категории субъектов, перечень операторов и обработчиков по поручению. Политика должна быть опубликована на сайте компании (если он есть) и доступна работникам. Её отсутствие или устаревшая редакция — самостоятельное нарушение по ч. 3 ст. 13.11 КоАП (30 000–60 000 ₽).

Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 — проверьте, что он актуален и должностное лицо действительно исполняет функцию. Если ответственный сменился — переиздайте приказ.

Шаг 6. Выстройте процесс поддержания согласий в актуальном состоянии

Перевыпуск согласий — не разовое мероприятие. Новые работники при приёме должны подписывать актуальный комплект. При изменении целей обработки, появлении новых систем (смена КЭДО-платформы, внедрение биометрии) — перезапрашивайте согласие. При увольнении фиксируйте дату прекращения согласия и остаточный срок хранения данных в личном деле.

Личное дело хранится 75 лет (для документов, созданных до 2003 года) или 50 лет (для документов, созданных с 2003 года) — в соответствии с приказом Росархива. Согласие на обработку ПДн хранится не менее срока, указанного в самом согласии, плюс период возможного предъявления претензий работником.

Установите ежегодный контрольный срок — например, первый квартал каждого года — для проверки актуальности реестра согласий и соответствия форм действующей редакции ст. 9 ФЗ-152.

Если в HR-департаменте нет ответственного за ПДн, а согласия подписываются произвольными формами — это три самостоятельных нарушения по ст. 13.11 КоАП. Юристы DATUM собирают ОРД HR-департамента под ключ: от реестра согласий до политики и приказа по ст. 22.1 ФЗ-152.

Собрать ОРД под ключ

Типовые ситуации при перевыпуске согласий

Ситуация 1. Согласие работника включено в трудовой договор. HRD крупного ритейлера (Сибирский ФО, осень 2025) обнаружил при аудите, что согласие на передачу данных в НПФ содержится в разделе трудового договора без отдельной формы. РКН при плановой проверке квалифицировал это как нарушение ч. 2 ст. 13.11 КоАП. Доказательством в пользу компании стал факт начатого перевыпуска: 60% работников уже подписали новые формы. Штраф назначен в нижней части диапазона. Стратегия: начинать перевыпуск до проверки — это смягчающее обстоятельство по ст. 4.1 КоАП.

Ситуация 2. Согласие на биометрию СКУД не соответствует ст. 11 ФЗ-152. IT-компания (Центральный ФО, лето 2025) использовала систему контроля доступа по отпечатку пальца. Согласие работников было получено устно при инструктаже. Ст. 11 ФЗ-152 требует письменного согласия на обработку биометрических ПДн. Нарушение зафиксировано по ч. 16 ст. 13.11 КоАП. Исход: переход на карточную СКУД или получение письменных согласий с обязательными реквизитами. Стратегия: биометрия СКУД без письменного согласия — прямое нарушение, которое невозможно устранить ретроспективно.

Ситуация 3. Дистанционный работник отказывается подписывать согласие на передачу данных в страховую компанию для ДМС. Работник вправе отказаться — согласие на обработку сверх трудовых обязанностей добровольно по ст. 9 ФЗ-152. Отказ не влечёт дисциплинарных последствий, но работник теряет доступ к ДМС. HR-директор фиксирует отказ письменно и исключает работника из программы. Стратегия: форма фиксации отказа — обязательный элемент комплекта ОРД.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка кадровых форм, реестра согласий и ОРД по 38 пунктам
Комплект ОРД под ключ — разработка форм согласий, политики, приказов и регламентов для HR
DPO-аутсорсинг — абонентское ведение функции ответственного по ст. 22.1 ФЗ-152

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025 и соответствовавшие тогдашней редакции ст. 9 ФЗ-152, обратной силы не теряют. Однако если в старом документе отсутствовали обязательные реквизиты (цель, перечень ПДн, способ отзыва) или согласие было включено в трудовой договор без выделения в отдельный документ — это самостоятельное нарушение. Рекомендуется провести аудит и переоформить несоответствующие документы при первом удобном взаимодействии с работником, не дожидаясь проверки РКН.

2. Какие данные нельзя спрашивать в анкете при приёме?

Ст. 86 ТК РФ запрещает обрабатывать ПДн работника, не связанные с трудовой деятельностью. Нельзя запрашивать: политические и религиозные взгляды, членство в партиях и профсоюзах (кроме случаев, предусмотренных ТК РФ), сведения о частной жизни, не влияющие на деловые качества. Данные о состоянии здоровья — только для решения вопросов о трудоустройстве или обеспечения льгот. Включение в анкету лишних полей создаёт риск штрафа по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽) за обработку ПДн, несовместимую с целями.

3. Можно ли вести видеонаблюдение в офисе?

Да, при соблюдении трёх условий: работники уведомлены о наблюдении (желательно в трудовом договоре или отдельном уведомлении), видеозапись ведётся только в рабочих зонах, цель — контроль за рабочим процессом и безопасность. Если запись хранится дольше технически необходимого срока или используется для иных целей — нужно отдельное согласие по ст. 9 ФЗ-152. В местах, где работник обоснованно ожидает приватности (туалеты, раздевалки), наблюдение запрещено.

4. Сколько хранить согласия после увольнения?

Согласие хранится в течение срока, указанного в документе, плюс период исковой давности по возможным требованиям работника (три года по ст. 196 ГК РФ, по трудовым спорам — один год по ст. 392 ТК РФ). Личное дело в целом — 50 лет для документов, созданных с 2003 года, или 75 лет для более ранних. На практике разумный минимум — хранить согласие столько же, сколько личное дело, с учётом сроков проверки РКН.

5. Кто является оператором при использовании КЭДО?

Оператором остаётся работодатель — он определяет цели и состав обрабатываемых ПДн. Провайдер КЭДО-платформы выступает лицом, осуществляющим обработку по поручению (ст. 6 ч. 3 ФЗ-152), — отношения оформляются договором поручения с перечнем допустимых действий и требованиями к защите. Работодатель несёт ответственность перед работником и РКН независимо от действий провайдера. Утечка через КЭДО-платформу — это утечка оператора.

6. Что происходит, если работник отзывает согласие на обработку ПДн?

Работник вправе отозвать согласие в любой момент (ст. 9 ч. 2 ФЗ-152). При отзыве оператор обязан прекратить обработку и уничтожить ПДн в течение 30 дней, если нет иного законного основания для продолжения обработки. Для работодателя «иным основанием» является исполнение трудового договора и требования законодательства: данные для расчёта зарплаты, ведения воинского учёта, хранения личного дела продолжают обрабатываться без согласия. Отзыв согласия работает только для тех целей, где согласие — единственное основание.

Итог

Перевыпуск согласий — это шестишаговый процесс: инвентаризация, определение оснований, разработка форм, организация подписания, обновление документации и поддержание процесса. Главный риск при игнорировании — штраф по ч. 2 ст. 13.11 КоАП до 700 000 ₽ за каждое ненадлежащее согласие и до 1 500 000 ₽ при повторном нарушении.

DATUM сопровождает перевыпуск согласий в HR-департаментах с учётом специфики КЭДО, биометрии СКУД и дистанционных работников. Аудит кадровых форм проводится по чек-листу из 38 пунктов; по результатам выдаётся приоритизированный план устранения нарушений и готовый комплект ОРД.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), КЭДО, биометрия СКУД, зарплатные проекты, проверки РКН в HR-департаментах.

11 февраля 2028 года