Сравнение HR-Link, Контур.Кадры, СБИС по 152-ФЗ
Вопрос «какой КЭДО выбрать» для HR-директора в 2026 году — это не только вопрос интерфейса и стоимости лицензии. Каждая из трёх систем — HR-Link, Контур.Кадры и СБИС — формирует собственную модель обработки персональных данных работников. Роль оператора, порядок передачи данных поставщику, механизм получения согласий по ст. 9 ФЗ-152, хранение биометрии СКУД, ведение личного дела — всё это влияет на комплаенс-статус компании. В инструкции — последовательный разбор шести критериев оценки, применимых к любой КЭДО-платформе, с акцентом на различия между тремя системами.
Шаг 1. Определите, кто является оператором ПДн при работе с платформой
Первый и принципиальный вопрос при внедрении любой КЭДО-системы — разграничение ролей оператора и лица, осуществляющего обработку по поручению (ст. 3, п. 3 ст. 6 ФЗ-152). Компания-работодатель в любом случае остаётся оператором: она собирает данные работников, определяет цели и состав обработки. КЭДО-платформа — обработчик по поручению, если договор прямо это устанавливает.
Проверьте договор с платформой на три обязательных условия поручения: перечень действий, которые вправе совершать обработчик; запрет на использование данных в иных целях; обязанность обеспечить конфиденциальность. Без этих условий платформа де-факто является самостоятельным оператором — и вы несёте солидарный риск по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽ за обработку в случаях, не предусмотренных законом).
HR-Link позиционирует себя как SaaS-платформу и в типовом договоре присутствует условие об обработке данных по поручению клиента. Контур.Кадры (экосистема СКБ Контур) также работает по модели поручения — обратите внимание на дополнительное соглашение к договору об обработке ПДн, которое Контур предлагает подписать отдельно. СБИС (Тензор) имеет собственную политику конфиденциальности и требует отдельной проверки договора: в некоторых тарифах СБИС обрабатывает данные в том числе для собственных аналитических целей, что меняет его роль с обработчика на самостоятельного оператора по части операций.
Что проверить: найдите в договоре с платформой раздел или соглашение об обработке ПДн. Убедитесь, что там перечислены конкретные виды данных, действия разрешены строго в рамках ваших целей, предусмотрена обязанность уничтожить данные при расторжении договора.
Не уверены, правильно ли оформлен договор с КЭДО-платформой?
Большинство типовых договоров с КЭДО-системами не содержат всех обязательных условий поручения по ст. 6 ФЗ-152. Это означает, что платформа де-факто выступает самостоятельным оператором, а компания несёт риск по ч. 1 ст. 13.11 КоАП. Юристы DATUM проведут аудит договоров с КЭДО-поставщиками в рамках аудита соответствия 152-ФЗ — от 100 000 ₽.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru
Шаг 2. Проверьте, как платформа оформляет согласие работника по ст. 9 ФЗ-152
С 01.09.2025 вступили в силу изменения в ч. 1 ст. 9 ФЗ-152 (ФЗ-156 от 24.06.2025): согласие на обработку персональных данных должно быть оформлено отдельным документом. Нельзя включать согласие в трудовой договор, оферту, пользовательское соглашение КЭДО-платформы или какой-либо иной документ.
HR-Link позволяет генерировать согласие как самостоятельный документ прямо внутри системы с возможностью электронной подписи. Функционально это закрывает требование об отдельности документа — при условии, что шаблон согласия содержит все обязательные реквизиты ст. 9. Проверьте шаблон: в практике встречаются случаи, когда платформа генерирует согласие без указания срока действия или без перечня конкретных действий с ПДн.
Контур.Кадры предлагает согласие как часть пакета при приёме на работу. Важно убедиться, что работник подписывает согласие отдельной транзакцией — не в пакете с трудовым договором одним нажатием кнопки. Если платформа объединяет подписание нескольких документов в один клик, это создаёт риск по ч. 2 ст. 13.11 КоАП (до 700 000 ₽).
СБИС в базовой конфигурации не всегда формирует отдельное согласие — этот документ нередко встроен в пользовательские соглашения или политику конфиденциальности самой платформы. HR-директору, использующему СБИС, рекомендуется разработать собственный шаблон согласия на обработку ПДн работника вне платформы и хранить подписанные экземпляры в системе.
Согласия, полученные до 01.09.2025 в формате «встроенного» документа, переоформлять не требуется — ФЗ-156 не имеет обратной силы. Однако при приёме сотрудников с 01.09.2025 и при любом изменении целей обработки — новый порядок обязателен.
Шаг 3. Оцените соответствие платформы требованиям к КЭДО и ПДн по ст. 22.2 ТК РФ и ст. 18 ФЗ-152
КЭДО-платформа, работающая с персональными данными работников, обязана обеспечить локализацию: данные граждан РФ должны записываться, систематизироваться, накапливаться и храниться в базах, расположенных на территории России (ч. 5 ст. 18 ФЗ-152). Это требование действует с 2015 года, однако контроль за его соблюдением усилился после ФЗ-233 (с 01.07.2025).
Все три платформы — HR-Link, Контур.Кадры и СБИС — декларируют хранение данных на серверах в России. Тем не менее при использовании облачных интеграций (например, резервного копирования через зарубежные облачные сервисы или аналитических модулей) фактическое место хранения может отличаться от задекларированного. Запросите у вендора письменное подтверждение расположения серверов и убедитесь, что договор содержит гарантию локализации.
Дополнительно оцените, использует ли платформа сторонние сервисы для аналитики или рекламы, которые передают пользовательские данные за рубеж. Для КЭДО-систем это менее типично, чем для публичных сервисов, но исключать нельзя — особенно в части аналитики поведения пользователей.
Что проверить в договоре и настройках КЭДО-платформы
- Договор с платформой содержит условие об обработке ПДн по поручению с перечнем разрешённых действий (п. 3 ст. 6 ФЗ-152).
- Шаблон согласия работника в системе — отдельный документ с реквизитами ст. 9 ФЗ-152 (ФЗ-156, с 01.09.2025).
- Данные хранятся на серверах в РФ — получено письменное подтверждение от вендора (ч. 5 ст. 18 ФЗ-152).
- В системе назначен или подключён ответственный за обработку ПДн по ст. 22.1 ФЗ-152.
- Биометрия (фото для СКУД) обрабатывается только с письменного согласия работника по ст. 11 ФЗ-152 — отдельного от согласия на общую обработку ПДн.
Шаг 4. Разберитесь с биометрией СКУД: как это работает в каждой из платформ
Биометрические персональные данные — отдельная категория по ст. 11 ФЗ-152. Фотография работника, используемая для идентификации в системе контроля и управления доступом (СКУД), является биометрией, если она применяется именно для установления личности. Это не очевидно на практике: многие HR-департаменты хранят фото в личном деле, не осознавая, что при использовании для СКУД оно переходит в категорию биометрических ПДн.
HR-Link поддерживает интеграцию со СКУД-системами. Фото работника в профиле может передаваться в СКУД автоматически — это означает, что согласие на обработку биометрии необходимо получать до включения этой функции. Если согласие не получено, а СКУД уже использует фото, — налицо нарушение ст. 11 ФЗ-152 с риском по ч. 2 ст. 13.11 КоАП (300 000–700 000 ₽ за отсутствие письменного согласия).
Контур.Кадры в базовой версии не имеет встроенной интеграции со СКУД. Биометрические данные через эту платформу, как правило, не обрабатываются — но если компания использует Контур совместно со сторонней СКУД-системой, то вопрос согласия регулируется на уровне той системы, а не Контура.
СБИС предлагает расширенный функционал с поддержкой биометрической идентификации. При активации модуля распознавания лиц или отпечатков пальцев необходимо: получить отдельное письменное согласие каждого работника по ст. 11 ФЗ-152, убедиться, что данные не передаются в ЕБС без согласия по ФЗ-572, и разграничить хранение биометрии от хранения обычных фото в личном деле.
Важное практическое правило: согласие на биометрию для СКУД — это не то же согласие, которое работник подписывает при трудоустройстве. Это отдельный документ, и работник вправе отказаться от его подписания без последствий для трудоустройства.
Шаг 5. Проверьте порядок хранения личного дела и данных после увольнения
Ст. 86–88 ТК РФ и ст. 5, 21 ФЗ-152 устанавливают принцип: данные работника обрабатываются только в целях трудовых отношений и уничтожаются при достижении этих целей. После увольнения большинство ПДн в КЭДО-системе должны быть заблокированы и затем уничтожены — при соблюдении сроков хранения по архивному законодательству (личное дело — 75 лет для документов, возникших с 2003 года и позднее, 50 лет — по более ранней практике). Это означает, что «уничтожение» ПДн уволенного работника на практике часто заменяется блокированием с ограничением доступа.
В HR-Link предусмотрен функционал архивирования профиля уволенного сотрудника с ограничением доступа — это соответствует требованию блокирования ПДн при отсутствии законного основания для активной обработки. Однако убедитесь, что данные не остаются доступными для аналитических модулей и отчётов после архивирования.
Контур.Кадры сохраняет данные уволенных сотрудников в базе без автоматического ограничения. Настройка доступа — ответственность HR-администратора. Если не настроить ролевую модель доступа, данные уволенных остаются доступными наравне с данными действующих работников — это противоречит принципу минимизации (ст. 5 ФЗ-152).
СБИС позволяет переводить карточки уволенных в архивный статус. Однако интеграции с бухгалтерским и налоговым модулями СБИС могут сохранять доступ к ПДн работника в рамках финансовой отчётности — это нужно проверить отдельно, поскольку цель «ведение бухгалтерского учёта» отличается от цели «управление персоналом» и требует самостоятельного правового основания.
Если HRD использует КЭДО, но согласия работников оформлены внутри трудового договора или в интерфейсе платформы без отдельного документа — каждая такая запись создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП (до 700 000 ₽). Юристы DATUM соберут пакет ОРД для HR-департамента под требования ФЗ-156.
Собрать ОРД под ключШаг 6. Убедитесь, что данные работников не используются платформой в собственных целях
Ст. 5 ФЗ-152 запрещает объединение баз данных с несовместимыми целями обработки. Если КЭДО-платформа использует обезличенные или агрегированные данные клиентов для улучшения собственных алгоритмов, рыночной аналитики или продажи инсайтов — это потенциально выходит за рамки поручения и создаёт для работодателя риск привлечения к ответственности как соучастника несанкционированной обработки.
HR-Link в публичной документации не упоминает использование клиентских данных для собственных аналитических целей. Тем не менее при работе с AI-функционалом (автоматические рекомендации, аналитика производительности) данные работников могут обрабатываться алгоритмами, обученными на данных других клиентов платформы. Запросите у вендора информацию об использовании данных при обучении ML-моделей.
Контур.Кадры исторически позиционируется как локальная система без внешнего использования данных клиентов. Риск ниже, но договор требует проверки на предмет разрешения обрабатывать агрегированную статистику.
СБИС как крупная экосистема имеет широкий периметр обработки данных. Политика конфиденциальности СБИС допускает использование данных в рамках группы компаний Тензор. Для HR-директора это означает необходимость проверить, не является ли такое использование несанкционированной передачей третьим лицам по смыслу ст. 6 ФЗ-152.
Типовые ситуации при переходе на КЭДО
Ситуация 1. Компания внедрила HR-Link и предложила работникам подписать согласие на обработку ПДн внутри интерфейса платформы — одним нажатием кнопки вместе с трудовым договором. До 01.09.2025 это было распространённой практикой. После вступления ФЗ-156 в силу каждое новое согласие, оформленное в таком формате, нарушает требование об отдельном документе. Штраф по ч. 2 ст. 13.11 КоАП — 300 000–700 000 ₽. Стратегия: разработать отдельный шаблон согласия по ст. 9 ФЗ-152 и настроить платформу на его отдельное подписание.
Ситуация 2. КЭДО на базе СБИС интегрирован со СКУД с функцией распознавания лиц. При внедрении СКУД HR-служба не оформила отдельных согласий на биометрию — работники подписали только общее согласие при трудоустройстве. РКН при проверке квалифицировал это как нарушение ст. 11 ФЗ-152. Исход: предписание об устранении + риск штрафа по ч. 2 ст. 13.11 (до 700 000 ₽). Стратегия: до активации биометрических функций СКУД — получить отдельное письменное согласие каждого работника.
Ситуация 3. Компания сменила КЭДО-платформу с Контур.Кадры на HR-Link. При миграции данных выгрузка содержала персональные данные уволенных сотрудников за последние 10 лет. Передача данных новому вендору без договора поручения обработки создала риск по ч. 1 ст. 13.11 КоАП. Стратегия: до миграции — проверить договор с новым вендором на наличие условий поручения, исключить из выгрузки данные, по которым истёк срок хранения.
Частые вопросы
1. Нужно ли переподписывать согласия работников после 01.09.2025?
Согласия, полученные до 01.09.2025 по старым правилам, юридически остаются действительными — ФЗ-156 от 24.06.2025 не имеет обратной силы. Переподписывать их не обязательно. Однако при приёме новых сотрудников с 01.09.2025 или при изменении целей обработки для действующих работников согласие необходимо оформить как отдельный документ по ст. 9 ФЗ-152 в новой редакции.
2. Какие данные нельзя спрашивать в анкете при приёме на работу?
Ст. 86 ТК РФ запрещает работодателю получать данные работника, не связанные с трудовой функцией. Нельзя спрашивать о вероисповедании, политических взглядах, членстве в партиях и профсоюзах, состоянии здоровья (кроме случаев обязательного медосмотра), судимости (кроме должностей с ограничениями по закону). Включение таких вопросов в анкету — нарушение ст. 10 ФЗ-152 (специальные категории ПДн) и основание для штрафа по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽).
3. Можно ли вести видеонаблюдение в офисе без согласия работников?
Видеозапись лица работника при использовании для идентификации личности — биометрические ПДн по ст. 11 ФЗ-152. Запись в режиме охраны (без идентификации) правомерна при наличии локального акта о видеонаблюдении и уведомлении работников под подпись по ст. 22.2 ТК РФ и ст. 87 ТК РФ. Если системы видеонаблюдения интегрированы с КЭДО-платформой и позволяют идентифицировать конкретных лиц — необходимо отдельное письменное согласие по ст. 11 ФЗ-152.
4. Сколько хранить согласия после увольнения работника?
Согласие на обработку ПДн — документ, срок хранения которого определяется сроком хранения документов, для которых оно получено. Для личных дел, созданных с 2003 года, срок хранения составляет 50 лет (в соответствии с перечнем типовых управленческих документов). Само согласие как часть личного дела хранится весь этот срок. После истечения срока — уничтожается по акту в соответствии с ч. 4 ст. 21 ФЗ-152.
5. Кто является оператором ПДн при использовании КЭДО?
Оператором персональных данных работников всегда является работодатель — он определяет цели обработки и состав данных. КЭДО-платформа (HR-Link, Контур.Кадры, СБИС) выступает обработчиком по поручению в соответствии с п. 3 ст. 6 ФЗ-152 при условии, что договор с платформой содержит соответствующие условия. Обязанность уведомить РКН о намерении обрабатывать данные (ст. 22 ФЗ-152) лежит на работодателе — не на вендоре платформы.
6. Что делать, если платформа меняет условия договора и политику конфиденциальности?
Изменение условий договора с КЭДО-платформой, затрагивающее объём или цели обработки ПДн, требует анализа на соответствие действующим основаниям обработки. Если вендор расширяет цели использования данных клиентов (например, вводит аналитические модули), проверьте, не требует ли это обновления уведомления в РКН по ст. 22 ФЗ-152 и корректировки согласий работников.
Итог
HR-Link, Контур.Кадры и СБИС по-разному реализуют модель обработки персональных данных работников — и ни одна из платформ не закрывает комплаенс-задачу автоматически. Выбор платформы определяет риски, но не устраняет их: договор поручения, отдельные согласия по ст. 9 ФЗ-152 в редакции ФЗ-156, согласия на биометрию по ст. 11, локализация данных, хранение личных дел уволенных — всё это зависит от конкретной настройки и пакета документов, который компания оформляет независимо от платформы.
Юристы DATUM сопровождают HR-департаменты в части 152-ФЗ с 2014 года: аудит договоров с КЭДО-вендорами, разработка пакета ОРД для HR, согласия по новым требованиям ФЗ-156, настройка порядка обработки биометрии СКУД.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка HR-документации, договоров с КЭДО, согласий и ОРД
- Комплект ОРД под ключ — пакет документов для HR: политика, согласия, приказы, регламенты
- DPO-аутсорсинг — ответственный за обработку ПДн по ст. 22.1 на абонентском обслуживании
19 февраля 2028 года