Тест на детекторе лжи (полиграф)
Полиграфирование в HR практикуется при найме, служебных расследованиях и периодических проверках лояльности. Технически процедура фиксирует физиологические реакции — это биометрические персональные данные по ст. 11 ФЗ-152. Одновременно вопросы касаются состояния здоровья, судимости, политических взглядов — то есть специальных категорий ПДн по ст. 10 ФЗ-152. Комбинация двух режимов повышенной защиты означает: любое процедурное нарушение влечёт ответственность сразу по нескольким основаниям. Инструкция показывает, как выстроить процедуру так, чтобы она оставалась в правовом поле ФЗ-152, ст. 86–87 ТК РФ и новых требований ФЗ-156.
Шаг 1. Определите правовое основание: когда полиграф законен?
ТК РФ не запрещает полиграфирование, но и не разрешает его напрямую. Правовая база строится на двух столпах. Первый — ст. 86 ТК РФ: работодатель вправе обрабатывать персональные данные работника только в целях, связанных с трудовыми отношениями. Второй — ст. 9 ФЗ-152: обработка биометрических и специальных категорий ПДн допустима исключительно при наличии письменного согласия субъекта.
Полиграфирование законно при одновременном выполнении трёх условий: цель теста связана с трудовыми функциями (проверка благонадёжности на должности с доступом к коммерческой тайне, расследование хищения), работник дал письменное согласие на конкретные категории обрабатываемых данных, а само согласие оформлено как отдельный документ — не включено в трудовой договор, анкету или политику.
Важно понимать: обязать работника пройти полиграф нельзя. Отказ от прохождения теста не является дисциплинарным проступком и не может быть основанием для увольнения. Давление на работника с целью получить согласие квалифицируется как нарушение ст. 9 ФЗ-152 — согласие должно быть добровольным.
Шаг 2. Составьте отдельное письменное согласие
С 01.09.2025 согласие на обработку персональных данных должно быть оформлено отдельным документом (ФЗ-156 от 24.06.2025, изменения ч. 1 ст. 9 ФЗ-152). Для полиграфа это требование существовало фактически и раньше — биометрические и специальные ПДн всегда требовали письменного согласия. Теперь оно закреплено законодательно для всех категорий.
В согласии под полиграф необходимо прямо перечислить: физиологические показатели, фиксируемые в ходе тестирования (биометрические ПДн); вопросы, касающиеся здоровья, судимости или иных специальных категорий (если они будут задаваться); наименование организации-оператора полиграфного оборудования, если тестирование проводит внешний подрядчик. Если тест ведёт третье лицо — нужно отдельное согласие на передачу ПДн по ст. 6 ФЗ-152 (поручение обработки) и договор поручения с перечнем допустимых действий.
Согласия на полиграф в пакете HR-документов ещё не обновлены?
Если HRD использует формы согласий, составленные до 01.09.2025 или встроенные в анкеты кандидатов — каждый проведённый тест создаёт риск штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽. Срок, в течение которого РКН вправе возбудить дело об административном правонарушении по факту нарушения, — 1 год с момента нарушения. Юристы DATUM соберут пакет согласий по требованиям ФЗ-156 и проведут аудит HR-документации.
Заказать аудит 152-ФЗ+7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Шаг 3. Определите категории данных и уровень защищённости
Вид обрабатываемых ПДн при полиграфировании напрямую определяет уровень защищённости информационной системы, в которой хранятся результаты теста. Согласно ПП РФ №1119, специальные категории ПДн (здоровье, судимость) при любом числе субъектов требуют не ниже УЗ-3. Биометрические данные — аналогично УЗ-3 при отсутствии угроз первого и второго типа.
На практике это означает: хранить результаты полиграфа в общей HR-системе без отдельной подсистемы разграничения прав нельзя. Минимальный набор технических мер по Приказу ФСТЭК №21 для УЗ-3 включает идентификацию и аутентификацию пользователей (ИАФ), управление правами доступа (УПД), регистрацию событий безопасности (РСБ) и защиту носителей (ЗНИ).
Отдельный вопрос — хранение видеозаписи сеанса. Если полиграфолог ведёт видеофиксацию, возникает дополнительная категория биометрических ПДн (изображение лица). Это требует отдельного указания в согласии и отдельного решения по УЗ.
Шаг 4. Оформите документы с подрядчиком-полиграфологом
Привлечение внешней организации для проведения тестирования — поручение обработки ПДн по п. 3 ст. 6 ФЗ-152. Работодатель остаётся оператором и несёт ответственность за действия подрядчика перед субъектом и регулятором. Договор поручения должен содержать: исчерпывающий перечень допустимых действий с ПДн (только проведение теста и передача результатов, без права хранить или передавать третьим лицам), срок хранения данных у подрядчика, обязанность соблюдения требований ФЗ-152 и технических мер по Приказу ФСТЭК №21, ответственность за утечку.
Если подрядчик — иностранная компания или данные передаются за рубеж (например, в облачную систему анализа результатов), возникает трансграничная передача ПДн по ст. 12 ФЗ-152. В этом случае необходимо уведомление РКН до начала передачи.
Если HRD уже использует внешнего полиграфолога без договора поручения — это нарушение п. 3 ст. 6 ФЗ-152. При проверке РКН оператор (работодатель) несёт ответственность за все действия подрядчика с ПДн. 10 рабочих дней — срок ответа на запрос РКН о предоставлении документов.
Собрать ОРД под ключШаг 5. Пропишите порядок в локальных актах
Полиграфирование должно быть отражено в локальных нормативных актах работодателя: положении о защите персональных данных работников (ст. 87 ТК РФ, ст. 18.1 ФЗ-152), политике обработки ПДн (ч. 2 ст. 18.1 ФЗ-152) и регламенте проведения проверок. Отсутствие полиграфа в политике обработки при фактическом тестировании — несоответствие цели обработки задекларированным, нарушение ст. 5 ФЗ-152 (принцип конкретности целей).
Положение о защите ПДн работников по ст. 87 ТК РФ должно содержать раздел о специальных способах обработки биометрических данных. Работников необходимо ознакомить с документом под подпись. Работников, которых предполагается тестировать, — ознакомить отдельно и заблаговременно.
В уведомлении в реестр операторов ПДн (ст. 22 ФЗ-152) нужно указать обработку биометрических и специальных категорий ПДн, если это не было сделано при первичной регистрации. Изменение сведений — по форме Приказа РКН №180.
Шаг 6. Установите порядок хранения и уничтожения результатов
Результаты полиграфа — это ПДн, и на них распространяется принцип минимизации ст. 5 ФЗ-152: хранить не дольше, чем необходимо для достижения цели. Если цель — принятие решения о найме, данные подлежат уничтожению после принятия решения. Если цель — служебное расследование, хранение обосновано сроком расследования и, при необходимости, судебного обжалования.
Что подготовить для легального полиграфирования
- Отдельное письменное согласие на обработку биометрических и специальных категорий ПДн по ст. 9, 10, 11 ФЗ-152 в ред. ФЗ-156 (отдельный документ, не часть трудового договора или анкеты)
- Договор поручения обработки ПДн с полиграфологом по п. 3 ст. 6 ФЗ-152 с исчерпывающим перечнем допустимых действий
- Раздел о полиграфировании в Положении о защите ПДн работников (ст. 87 ТК РФ) и в Политике обработки ПДн (ст. 18.1 ФЗ-152)
- Актуальное уведомление в реестре операторов РКН с указанием биометрических и специальных категорий ПДн
- Регламент хранения и уничтожения результатов теста с конкретными сроками по каждой цели обработки
Типовые ситуации: как это выглядит на практике
Ситуация 1. Кандидат отказался от полиграфа, работодатель отозвал оффер. HR-директор производственной компании Сибирского ФО (начало 2026 г.) включил прохождение полиграфа в обязательный этап отбора. Несколько кандидатов отказались — им было отказано в приёме. Один из кандидатов обратился с жалобой в РКН, указав на принуждение к предоставлению согласия. Поскольку отказ от теста повлёк отказ в работе, РКН квалифицировал согласие как полученное не добровольно. Компания получила предписание об устранении нарушений ст. 9 ФЗ-152. Стратегия: полиграф не может быть обязательным условием найма; отказ от теста — не основание для отказа в приёме на работу.
Ситуация 2. Утечка результатов через подрядчика. Компания Центрального ФО (осень 2025 г.) проводила полиграф силами внешней организации. Результаты хранились у подрядчика в облачной системе без договора поручения. После инцидента на стороне подрядчика данные около 200 работников попали в открытый доступ. РКН возбудил дело в отношении работодателя-оператора. Штраф составил несколько сотен тысяч рублей по ч. 12 ст. 13.11 КоАП в редакции с 30.05.2025. Параллельно — предписание по ч. 2 ст. 13.11 за отсутствие надлежащего согласия. Стратегия: оператор несёт полную ответственность за действия подрядчика; договор поручения и контроль мер защиты у подрядчика — обязательны.
Ситуация 3. Проверка РКН выявила полиграф без отражения в политике. Ретейлер Северо-Западного ФО (лето 2025 г.) проводил полиграфирование службы безопасности. В политике обработки ПДн и уведомлении в реестре биометрические данные не были указаны. Плановая проверка РКН зафиксировала несоответствие между задекларированными и фактическими целями обработки. Компании выдано предписание по ст. 5 ФЗ-152 и протокол по ч. 3 ст. 13.11 КоАП за ненадлежащую политику. Стратегия: любое расширение перечня обрабатываемых категорий ПДн требует обновления политики, уведомления РКН и переподписания согласий.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка HR-документации: согласия, ОРД, уведомление РКН
- Комплект ОРД под ключ — политика, согласия, регламенты, приказы для HR-блока
- DPO-аутсорсинг — ответственный по ст. 22.1 ФЗ-152 на абонентском обслуживании
Частые вопросы
1. Нужно ли переподписывать согласия работников после 01.09.2025?
Согласия, полученные до 01.09.2025, обратной силы не теряют: ФЗ-156 не требует их обязательного переоформления. Однако если действующее согласие встроено в трудовой договор, анкету или иной документ — оно уязвимо при проверке: РКН вправе квалифицировать его как нарушение ч. 1 ст. 9 ФЗ-152 в новой редакции применительно к новым актам обработки. Безопаснее выдать работникам отдельный документ при следующем плановом контакте или перед очередным тестированием.
2. Какие данные нельзя запрашивать в анкете кандидата?
Ст. 86 ТК РФ запрещает запрашивать данные, не связанные с трудовой деятельностью. В анкете нельзя без специального основания спрашивать о состоянии здоровья, членстве в профсоюзе, религиозных и политических взглядах, национальности, судимости — это специальные категории ПДн по ст. 10 ФЗ-152. Если вопросы входят в программу полиграфа — они должны быть прямо перечислены в согласии, оформленном отдельным документом, до начала тестирования.
3. Можно ли вести видеонаблюдение в офисе при проведении полиграфа?
Видеозапись сеанса фиксирует изображение лица — биометрические ПДн по ст. 11 ФЗ-152. Работник должен дать отдельное письменное согласие на видеозапись, если она предусмотрена. Общая система видеонаблюдения в офисе обрабатывает биометрию по иному основанию: работники уведомляются в рамках Положения о защите ПДн (ст. 22.2 ТК РФ, ст. 87 ТК РФ) и должны быть ознакомлены с фактом видеосъёмки и её целями под подпись.
4. Сколько хранить согласия после увольнения?
Согласие на обработку ПДн — документ, подтверждающий правомерность обработки. Хранить его нужно не менее срока исковой давности после прекращения обработки (3 года по общему правилу ГК РФ). Личное дело работника хранится 75 лет (типовой срок для большинства организаций). Согласие на биометрические ПДн в рамках полиграфа целесообразно хранить столько же, сколько хранятся результаты теста, плюс срок исковой давности.
5. Кто является оператором при использовании КЭДО?
При использовании системы электронного документооборота (КЭДО) оператором по-прежнему остаётся работодатель — он определяет цели и состав обрабатываемых ПДн. Провайдер КЭДО выступает лицом, осуществляющим обработку по поручению оператора, по п. 3 ст. 6 ФЗ-152. Это означает: договор с провайдером должен содержать все условия поручения, а работники должны дать согласие с указанием провайдера как третьего лица, которому передаются данные.
6. Что делать, если работник отозвал согласие на полиграф в середине расследования?
Ч. 2 ст. 9 ФЗ-152 предоставляет субъекту право отозвать согласие в любой момент. После отзыва оператор обязан прекратить обработку и уничтожить ПДн, если отсутствует иное правовое основание для продолжения (например, исполнение требований законодательства). В ситуации служебного расследования обработка части данных может продолжаться на основании законного интереса или требований ТК РФ — но этот вопрос требует отдельной правовой оценки в каждом конкретном случае.
Итог
Полиграфирование в HR — правомерная практика при соблюдении трёх условий: добровольное письменное согласие отдельным документом, цель обработки соответствует задачам трудовых отношений, договор с подрядчиком оформлен как поручение по ст. 6 ФЗ-152. Нарушение любого из них при проверке РКН создаёт риски по ч. 2 и ч. 12–14 ст. 13.11 КоАП — от 700 000 ₽ до 15 000 000 ₽ в зависимости от числа затронутых субъектов.
DATUM сопровождает HR-директоров при выстраивании документооборота под биометрические и специальные категории ПДн: согласия, ОРД, договоры с подрядчиками, ответы на запросы субъектов и подготовка к проверкам РКН.
14 января 2028 года