Только работники без клиентов: нужно ли уведомление
Вопрос «нужно ли уведомление Роскомнадзора, если компания обрабатывает ПДн только своих работников» — один из самых частых на практике. Ответ не очевиден: в ст. 22 ФЗ-152 есть специальное исключение, но его границы многие трактуют расширительно. С учётом поправок ФЗ-156 от 24.06.2025 (отдельное согласие с 01.09.2025) и практики РКН 2025–2026 годов цена ошибки выросла. Инструкция проведёт по семи шагам: от анализа фактической обработки до финального пакета ОРД.
Шаг 1. Определите, попадаете ли вы под исключение ст. 22 ФЗ-152
Статья 22 ФЗ-152 обязывает оператора уведомить РКН до начала обработки персональных данных. Однако п. 2 той же статьи перечисляет случаи, когда уведомление не требуется. Ключевое из них для работодателей — обработка ПДн, полученных исключительно в связи с заключением и исполнением трудового договора, если данные не передаются третьим лицам без согласия субъекта и обрабатываются в информационных системах, не являющихся общедоступными.
Исключение действует при одновременном выполнении трёх условий: данные получены в связи с трудовым договором; они не передаются третьим лицам без согласия; система не является общедоступной. Нарушение хотя бы одного условия — и исключение не работает.
На практике «третьи лица» появляются быстрее, чем кажется: зарплатный проект в банке, аутсорсинговая бухгалтерия, кадровое агентство, корпоративный мессенджер с иностранным оператором. Каждый из этих случаев требует отдельного анализа.
Шаг 2. Составьте карту фактической обработки
До принятия решения об уведомлении нужно зафиксировать, что именно обрабатывается, в каких системах и кому передаётся. Без этого шага юрист не сможет корректно квалифицировать ситуацию.
Что включить в карту обработки
- Категории ПДн работников: общие (ФИО, дата рождения, адрес), специальные (состояние здоровья — медосмотры, больничные), биометрические (фото для СКУД, если используются для идентификации).
- Информационные системы: 1С:ЗУП, КЭДО-платформа, корпоративная почта, облачные сервисы, HRM-система.
- Третьи лица, которым передаются данные: банк (зарплатный проект), ПФР/СФР, налоговая, страховая компания, аутсорсер бухгалтерии, кадровое агентство.
- Трансграничная составляющая: облачные хранилища за пределами РФ, иностранные SaaS-платформы.
- Сроки хранения: личные дела — 75 лет по типовому перечню Росархива.
Если хотя бы в одной позиции карты появляется передача данных третьим лицам, общедоступная система или трансграничная передача — исключение по п. 2 ст. 22 ФЗ-152 не применяется. Нужно уведомление.
Шаг 3. Подайте уведомление в РКН по Приказу №180
Если исключение не применяется, уведомление подаётся до начала обработки через портал pd.rkn.gov.ru с использованием ЕСИА или УКЭП. Форма уведомления установлена Приказом РКН №180 от 28.10.2022.
Уведомление включает: наименование и адрес оператора, цели обработки, категории ПДн и субъектов, правовое основание, перечень действий с данными, описание мер защиты, сведения об обеспечении безопасности. РКН вносит оператора в реестр в течение 30 дней. До внесения формально начинать обработку нельзя — хотя на практике регулятор не блокирует деятельность компании в этот период.
Штраф за неуведомление или несвоевременное уведомление — 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП в редакции с 30.05.2025. Для компании с годовой выручкой от 100 млн ₽ это незначительная сумма, но нарушение фиксируется и учитывается при повторных проверках.
Не уверены, попадаете ли под исключение ст. 22?
Юристы DATUM проверят карту обработки по чек-листу из 38 пунктов и определят, нужно ли уведомление. Если нужно — подготовят форму и сопроводят подачу. Срок ответа на первичный запрос — 2 рабочих дня.
Заказать аудит 152-ФЗ+7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Шаг 4. Назначьте ответственного по ст. 22.1 ФЗ-152
Вне зависимости от того, подаётся уведомление или нет, оператор-юрлицо обязан назначить лицо, ответственное за организацию обработки персональных данных. Это требование ст. 22.1 ФЗ-152, оно не связано с уведомлением РКН.
Ответственный должен соответствовать квалификационным требованиям ч. 4 ст. 22.1: знание законодательства о ПДн, понимание технических мер защиты. На практике это штатный юрист, офицер ИБ или HR-менеджер с опытом работы с кадровой документацией. Назначение оформляется приказом с указанием конкретных обязанностей: ведение реестра, ответы на запросы субъектов, взаимодействие с РКН.
Если в компании нет подходящего специалиста — функцию можно передать на аутсорсинг по договору. DPO-аутсорсинг позволяет закрыть требование ст. 22.1 без найма отдельного сотрудника.
Шаг 5. Разработайте политику обработки и опубликуйте её
Статья 18.1 ФЗ-152 обязывает оператора разработать и опубликовать документ, определяющий политику в отношении обработки персональных данных. Требование распространяется на всех операторов — включая тех, кто работает только с персоналом.
Минимальное содержание политики: цели обработки, правовые основания, категории субъектов и данных, порядок и условия обработки, права субъектов, меры по обеспечению безопасности, сроки хранения. Политика размещается на сайте компании. Если сайта нет — в доступном для работников месте (стенд, корпоративный портал, при трудоустройстве под роспись).
Невыполнение обязанности по опубликованию политики — штраф 30 000–60 000 ₽ по ч. 3 ст. 13.11 КоАП. Использовать шаблон из интернета без адаптации под конкретную компанию опасно: РКН при проверке смотрит на соответствие реальной обработке, а не на наличие документа как такового.
Если юрист обнаружил, что политика обработки не опубликована или не соответствует реальной карте данных — каждый день просрочки сохраняет основание для штрафа по ч. 3 ст. 13.11 КоАП. Юристы DATUM разработают политику под конкретную компанию и подготовят полный пакет ОРД.
Собрать ОРД под ключШаг 6. Переоформите согласия работников после 01.09.2025 — какие согласия нужны?
С 01.09.2025 вступил в силу ФЗ-156 от 24.06.2025, изменивший ч. 1 ст. 9 ФЗ-152. Согласие на обработку персональных данных теперь оформляется отдельным документом — его нельзя включать в текст трудового договора, дополнительного соглашения, заявления о приёме или иного документа.
Обязательные реквизиты согласия: ФИО и контактные данные субъекта, наименование и реквизиты оператора, цель обработки, перечень обрабатываемых ПДн, перечень действий с данными, срок действия согласия или условие его прекращения, порядок отзыва. Обратной силы норма не имеет: ранее полученные согласия, оформленные в составе трудового договора до 01.09.2025, переоформлять не обязательно. Но при любом обновлении документов после этой даты — формат должен быть уже раздельным.
Важно понимать, в каких ситуациях согласие вообще нужно. Обработка ПДн в рамках трудового договора — это самостоятельное основание по п. 5 ч. 1 ст. 6 ФЗ-152, не требующее согласия. Согласие необходимо, когда обработка выходит за рамки трудовых отношений: публикация фотографии работника на сайте, передача данных третьим лицам (кадровые агентства, банки по зарплатному проекту), обработка специальных категорий (состояние здоровья вне медосмотра), биометрические данные для СКУД.
Шаг 7. Соберите полный пакет ОРД и проверьте его актуальность
Наличие уведомления в реестре РКН и правильно оформленных согласий — необходимые, но не достаточные условия. Комплаенс по ст. 18.1 ФЗ-152 требует полного комплекта организационно-распорядительной документации.
Минимальный ОРД-пакет для работодателя, обрабатывающего только кадровые данные, включает: политику обработки ПДн (обязательная публикация), приказ о назначении ответственного по ст. 22.1, регламент обработки ПДн работников, перечень лиц, допущенных к обработке, инструкции по режиму ограниченного доступа, журнал учёта запросов субъектов, форму согласия на обработку (для случаев, не покрытых трудовым договором), соглашение о конфиденциальности с работниками, договор-поручение при передаче данных аутсорсеру. Если обрабатываются специальные категории (медицинские данные) — отдельное согласие по ст. 10 ФЗ-152 и усиленные меры защиты.
Проверку актуальности ОРД стоит проводить при любом изменении организационной структуры, смене систем обработки, подключении новых подрядчиков или расширении целей обработки. РКН при плановой проверке запрашивает документы за предшествующий период — устаревший ОРД фиксируется как нарушение.
Как применяется на практике: два сценария для юриста
Рассмотрим два типовых варианта, с которыми сталкиваются юристы при проверке кадрового комплаенса.
Сценарий 1. Производственная компания без сайта, только 1С:ЗУП. Компания обрабатывает ФИО, паспортные данные, СНИЛС, ИНН, банковский счёт (зарплата через зарплатный проект). На первый взгляд — чистое исключение по п. 2 ст. 22 ФЗ-152. Но зарплатный проект — это передача данных банку без отдельного согласия работника. Исключение не действует. Ситуация: уведомление не подано, штраф по ч. 10 ст. 13.11 — 100 000–300 000 ₽. Стратегия: подать уведомление немедленно, оформить отдельные согласия на передачу данных в банк, актуализировать ОРД.
Сценарий 2. IT-компания с КЭДО и биометрией в СКУД. Компания ввела электронный кадровый документооборот на внешней платформе и систему контроля доступа с распознаванием лица. Биометрические ПДн — отдельная категория по ст. 11 ФЗ-152, требующая письменного согласия вне зависимости от исключения по ст. 22. КЭДО на внешней платформе — это поручение обработки по п. 3 ч. 1 ст. 6 ФЗ-152, требующее договора-поручения и уведомления РКН. Стратегия: уведомление в РКН, письменные согласия на биометрию, договор-поручение с КЭДО-платформой, приказ о назначении ответственного, проверка соответствия платформы требованиям по уровню защищённости (ПП РФ №1119).
Услуги DATUM по теме
- Комплект ОРД под ключ — полный пакет для работодателя: политика, согласия, приказы, регламенты.
- Аудит соответствия 152-ФЗ — проверка по 38 пунктам с отчётом и планом устранения нарушений.
- DPO-аутсорсинг — ответственный по ст. 22.1 на абонентском обслуживании.
Частые вопросы
1. Какие документы должны быть у оператора ПДн?
Минимальный пакет включает: политику обработки ПДн (ст. 18.1 ФЗ-152), приказ о назначении ответственного (ст. 22.1 ФЗ-152), перечень лиц, допущенных к обработке, формы согласий (для случаев, выходящих за рамки трудового договора), регламент обработки ПДн работников, журнал учёта запросов субъектов и — при наличии поручения третьим лицам — соответствующий договор. Для компаний с уведомлением в реестре РКН дополнительно хранится копия поданного уведомления и сведения об изменениях.
2. Как составить политику обработки ПДн?
Политика должна отражать реальную обработку данных в конкретной компании. Обязательные разделы по ч. 2 ст. 18.1 ФЗ-152: цели и правовые основания обработки, категории субъектов и данных, перечень действий с ПДн, условия передачи третьим лицам, меры безопасности, права субъектов и порядок их реализации, сроки хранения и условия уничтожения. Документ публикуется на сайте или размещается в доступном месте. Использовать шаблон без адаптации под конкретную компанию — риск: РКН при проверке сопоставляет политику с реальной картой обработки.
3. Кого назначить ответственным по ст. 22.1?
Законодательство не ограничивает выбор конкретной должностью, но устанавливает квалификационные требования по ч. 4 ст. 22.1 ФЗ-152: знание законодательства о ПДн и понимание технических мер защиты. На практике это штатный юрист, специалист по кадрам с опытом работы с персональными данными или офицер ИБ. Если подходящего сотрудника нет — функцию можно передать на аутсорсинг: DPO-аутсорсинг закрывает требование ст. 22.1 без найма.
4. Можно ли использовать шаблон политики из интернета?
Шаблон может служить отправной точкой, но не заменяет адаптацию. РКН при проверке сопоставляет содержание политики с реальными системами обработки и передачами данных. Типовой шаблон не учитывает специфику конкретной компании: перечень систем, цели обработки, третьих лиц, сроки хранения. Несоответствие между политикой и реальной обработкой — самостоятельное основание для предписания и штрафа по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽).
5. Какие согласия нужны после 01.09.2025?
С 01.09.2025 по ФЗ-156 от 24.06.2025 согласие оформляется только отдельным документом — не включается в трудовой договор или иной документ. Согласие нужно в случаях, выходящих за рамки трудовых отношений: публикация фотографий и персональных данных работника, передача данных третьим лицам (банки, агентства), обработка биометрии для СКУД (ст. 11 ФЗ-152), обработка специальных категорий ПДн вне медосмотра (ст. 10 ФЗ-152). Ранее оформленные согласия, вошедшие в состав трудового договора до 01.09.2025, переоформлять не требуется — обратной силы у нормы нет.
6. Как проверить, включена ли компания в реестр операторов РКН?
Реестр операторов персональных данных размещён на портале pd.rkn.gov.ru — поиск осуществляется по наименованию организации или ИНН. Если компания не найдена и при этом ведёт обработку ПДн вне исключения по п. 2 ст. 22 ФЗ-152 — необходимо подать уведомление по форме Приказа РКН №180 от 28.10.2022. Подача осуществляется через тот же портал с использованием ЕСИА или УКЭП. Срок включения в реестр — 30 дней с момента подачи.
Итог
Обработка персональных данных только работников не означает автоматического освобождения от уведомления РКН. Исключение по ст. 22 ФЗ-152 работает только при строгом соблюдении трёх условий: данные получены в рамках трудовых отношений, не передаются третьим лицам без согласия, система не является общедоступной. На практике хотя бы одно из условий нарушается у большинства компаний — через зарплатный проект, КЭДО или биометрический СКУД.
DATUM сопровождает работодателей на всех этапах: от анализа карты обработки и подачи уведомления в РКН до разработки полного пакета ОРД и переоформления согласий работников под требования ФЗ-156 с 01.09.2025. Аудит обработки ПДн по чек-листу из 38 пунктов — от 100 000 ₽.
25 ноября 2026 года