Перейти к содержанию
инструкция 3 апреля 2028 По состоянию на 3 апреля 2028

Удалённый найм: правовые особенности

Удалённый найм — это оформление трудовых отношений без личного присутствия кандидата: сбор документов, подписание договора и согласий в электронном виде через КЭДО или квалифицированную ЭЦП.
С 01.09.2025 согласие на обработку персональных данных — отдельный документ (ФЗ-156). Старые согласия, встроенные в трудовой договор или анкету, не отвечают требованиям ч. 1 ст. 9 ФЗ-152. Штраф по ч. 2 ст. 13.11 КоАП — до 700 000 ₽ за каждый некорректный документ.
Если вы HRD и в компании работает дистанционный персонал — проверьте: согласия оформлены отдельно, маршрут передачи данных локализован, КЭДО подключён с надлежащим поручением оператора. Ниже — пошаговая инструкция.

Удалённый найм создаёт специфические риски по 152-ФЗ: данные кандидата проходят через несколько систем (ATS, КЭДО, кадровая МИС, СКУД) до того, как трудовой договор подписан. Каждая точка передачи — потенциальное нарушение, если маршрут не задокументирован. В 2025 году РКН зафиксировал 118 компрометаций баз; большинство — через третьих лиц и облачные HR-системы. Эта инструкция охватывает шесть шагов: от проверки уведомления в реестре до архивации личного дела удалённого сотрудника.

Шаг 1. Проверьте уведомление в реестре операторов РКН

Прежде чем собирать данные кандидатов, убедитесь, что компания включена в реестр операторов персональных данных. Обязанность уведомить Роскомнадзор до начала обработки установлена ст. 22 ФЗ-152. Срок включения в реестр после подачи уведомления — до 30 дней.

«Ст. 22 ФЗ-152 — оператор обязан уведомить РКН до начала обработки ПДн. Форма уведомления — Приказ РКН №180 от 28.10.2022. Неуведомление — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП (в ред. с 30.05.2025).»

При удалённом найме в уведомлении необходимо указать все актуальные цели обработки: трудоустройство, кадровый учёт, передача данных в КЭДО-оператор, при наличии — биометрия для СКУД. Если компания ведёт подбор через агрегаторы (hh.ru, SuperJob), проверьте, заключён ли с ними договор поручения по п. 3 ч. 1 ст. 6 ФЗ-152 с перечнем допустимых действий.

Шаг 2. Оформите согласие кандидата как отдельный документ

С 01.09.2025 согласие на обработку персональных данных не может быть частью трудового договора, оферты, анкеты или другого документа (ФЗ-156, изменения ч. 1 ст. 9 ФЗ-152). Согласие — самостоятельный документ с обязательными реквизитами: ФИО субъекта, контактные данные, наименование оператора, цель обработки, перечень данных, перечень действий, срок, способ отзыва.

«Ст. 9 ФЗ-152 (в ред. ФЗ-156 от 24.06.2025, действует с 01.09.2025) — согласие оформляется отдельным документом. Обработка ПДн без надлежащего согласия — штраф 300 000–700 000 ₽ по ч. 2 ст. 13.11 КоАП (в ред. с 30.05.2025).»

При удалённом найме согласие передаётся в электронном виде. Допустимые варианты: УКЭП субъекта, КЭДО (если платформа позволяет подписывать документы неквалифицированной ЭЦП по соглашению сторон), или классическая бумажная форма с последующим скан-образом в личном деле. Для кандидатов, которые не стали сотрудниками, согласие необходимо на этапе сбора резюме — до оформления трудовых отношений.

Согласие на распространение персональных данных (например, публикация фото сотрудника на корпоративном сайте) требует дополнительного отдельного документа по ст. 10.1 ФЗ-152. Дефолт молчания — запрет на распространение.

Согласия в трудовом договоре или анкете кандидата?

Если HRD обнаружил, что согласия встроены в трудовой договор или анкету, — каждый такой документ создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП (до 700 000 ₽). С 01.09.2025 такие согласия юридически недействительны. Юристы DATUM проведут аудит HR-документации и соберут корректный пакет ОРД по требованиям ФЗ-156.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Настройте КЭДО с надлежащим поручением оператора

КЭДО — это система, которая обрабатывает персональные данные работников по поручению работодателя. Работодатель остаётся оператором ПДн; КЭДО-провайдер — лицо, осуществляющее обработку по поручению (п. 3 ч. 1 ст. 6 ФЗ-152). Без надлежащего договора поручения обработка КЭДО-провайдером незаконна.

Договор поручения должен содержать: перечень ПДн, передаваемых в систему; перечень действий (систематизация, хранение, уточнение, передача); запрет субпоручения без согласия оператора; обязанность уничтожить данные по истечении договора. Если КЭДО-провайдер расположен за рубежом — необходимо уведомление РКН о трансграничной передаче по ст. 12 ФЗ-152 до начала передачи данных.

«Ст. 6 ч. 1 п. 3 ФЗ-152 — поручение обработки третьему лицу допустимо при наличии договора, определяющего перечень ПДн, цели, действия и обязанность конфиденциальности. Ответственность перед субъектом — на операторе.»

При удалённом найме кандидаты впервые взаимодействуют с КЭДО до подписания трудового договора. Убедитесь, что платформа собирает только те данные, которые необходимы для трудоустройства (принцип минимизации, ст. 5 ФЗ-152). Не запрашивайте через КЭДО данные о религиозных взглядах, состоянии здоровья (кроме случаев обязательного медосмотра), судимости — это специальные категории по ст. 10 ФЗ-152.

Шаг 4. Определите правовое основание для каждой категории данных по ст. 86–88 ТК РФ

Трудовое законодательство устанавливает закрытый перечень целей обработки персональных данных работников (ст. 86 ТК РФ): обеспечение соблюдения законов, содействие в трудоустройстве, обучение и продвижение по службе, безопасность имущества, учёт труда и контроль выполнения работы. Данные за пределами этих целей — нарушение ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽).

Правовые основания для конкретных данных при удалённом найме:

  • Паспортные данные, СНИЛС, ИНН — исполнение трудового договора (п. 5 ч. 1 ст. 6 ФЗ-152), без отдельного согласия.
  • Фотография для пропуска или корпоративного сайта — согласие по ст. 9 ФЗ-152 (отдельный документ).
  • Номер банковского счёта — исполнение договора, п. 5 ч. 1 ст. 6.
  • Данные о состоянии здоровья (при обязательном медосмотре) — исполнение обязанности по закону, п. 2 ч. 1 ст. 6, или согласие по ст. 10 ФЗ-152.
  • Биометрия для СКУД — отдельное письменное согласие по ст. 11 ФЗ-152.
«Ст. 86 ТК РФ — цели обработки ПДн работника ограничены законом. Ст. 87 ТК РФ — порядок хранения и использования ПДн работников. Ст. 88 ТК РФ — условия передачи ПДн работника третьим лицам. Ст. 22.2 ТК РФ — КЭДО: основания применения и обязательный перечень документов.»

Что подготовить HRD до начала удалённого найма

Чек-лист готовности HR-департамента

  • Актуальное уведомление в реестре операторов РКН (pd.rkn.gov.ru) с указанием всех целей обработки и КЭДО-оператора как получателя.
  • Отдельные бланки согласий для кандидатов (на подбор) и работников (на кадровый учёт) — оба документа по требованиям ст. 9 ФЗ-152 в ред. ФЗ-156.
  • Договор поручения с КЭДО-провайдером по п. 3 ч. 1 ст. 6 ФЗ-152 с перечнем ПДн и запретом субпоручения.
  • Приказ о назначении ответственного за обработку ПДн в HR по ст. 22.1 ФЗ-152 с кругом обязанностей.
  • Журнал учёта обращений субъектов за последние 12 месяцев и регламент ответа в течение 10 рабочих дней (ст. 20 ФЗ-152).

Шаг 5. Оформите биометрию СКУД и видеонаблюдение

Биометрические персональные данные (отпечатки пальцев, изображение лица для распознавания) обрабатываются только на основании письменного согласия (ст. 11 ФЗ-152). Для удалённого сотрудника, который периодически приезжает в офис, согласие на биометрию СКУД оформляется отдельно от согласия на обработку общих ПДн. Отказ от биометрии не может быть основанием для отказа в трудоустройстве или изменения условий труда.

Видеонаблюдение в офисе — обработка биометрии, только если система идентифицирует личность (распознавание лиц). Запись без идентификации формально не является обработкой биометрических ПДн, однако работники должны быть уведомлены о наблюдении (ст. 86 ТК РФ, принцип прозрачности ст. 5 ФЗ-152). Уведомление — в тексте трудового договора или отдельным локальным актом под подпись.

Хранение биометрических шаблонов вне Единой биометрической системы (ЕБС) для коммерческих целей (например, банковская идентификация) запрещено с 01.06.2023 (ФЗ-572). СКУД в офисе — не коммерческая цель, поэтому хранение локально допустимо, но требует отдельного согласия и надлежащего уровня защищённости ИСПДн.

Если в СКУД используется распознавание лиц или отпечатки без отдельного письменного согласия — это нарушение ст. 11 ФЗ-152. Штраф по ч. 16 ст. 13.11 КоАП при повторности переходит в оборотный по ч. 18. Юристы DATUM соберут корректный пакет для биометрии и СКУД.

Собрать ОРД под ключ

Шаг 6. Организуйте хранение и уничтожение личного дела после увольнения

Личное дело удалённого сотрудника хранится в электронном виде (при КЭДО) или на бумажном носителе. Типовой срок хранения — 75 лет (для документов по личному составу, включая трудовые договоры и согласия). По истечении цели обработки или после отзыва согласия данные, которые не подпадают под обязательное хранение, подлежат уничтожению в течение 30 дней (ст. 21 ФЗ-152).

Для кандидатов, не ставших сотрудниками, срок хранения резюме и анкеты — в пределах указанного в согласии. Если срок не указан — хранение допустимо только на период, необходимый для достижения цели (рассмотрение кандидатуры). После отказа в трудоустройстве данные уничтожают, если кандидат не дал согласия на хранение в кадровом резерве.

«Ст. 21 ФЗ-152 — оператор обязан уничтожить или обезличить ПДн при достижении целей обработки или по требованию субъекта, если нет иного законного основания. Срок уничтожения — не позднее 30 дней с момента достижения цели или получения требования.»

При увольнении удалённого сотрудника удалите его данные из всех систем, которые использовались исключительно для трудовой деятельности (корпоративная почта, КЭДО-аккаунт, доступ в СКУД). Данные из систем с нормативным сроком хранения (налоговый учёт, архив трудовых договоров) сохраняются согласно требованиям законодательства.

Типовые ситуации при удалённом найме

Ситуация 1. Согласие кандидата получено через форму на сайте джоб-агрегатора. Если форма агрегатора содержала текст согласия, но агрегатор не является вашим обработчиком по договору поручения — оператором считается агрегатор, а не работодатель. При дальнейшей передаче резюме работодателю возникает самостоятельная обработка без правового основания. Стратегия: заключить договор поручения с агрегатором или собирать согласие повторно — в собственной форме при первом контакте с кандидатом.

Ситуация 2. HRD использует зарубежный ATS (Applicant Tracking System) с серверами вне РФ. Первичный сбор, систематизация и хранение данных российских кандидатов в зарубежной системе нарушает требование локализации ч. 5 ст. 18 ФЗ-152. Штраф по ч. 8 ст. 13.11 КоАП — 1 000 000–6 000 000 ₽; при повторности по ч. 9 — 6 000 000–18 000 000 ₽. Стратегия: перенести первичную базу в российский контур; при необходимости — настроить репликацию в зарубежный сервис с уведомлением РКН о трансграничной передаче по ст. 12 ФЗ-152.

Ситуация 3. Сотрудник после увольнения требует уничтожить все его данные. Работодатель вправе отказать в части данных, хранение которых обязательно по закону (трудовая книжка, налоговые документы, архив трудовых договоров — 75 лет). В части данных, не требующих обязательного хранения (фото, переписка, данные доступа к СКУД), — уничтожение в 30-дневный срок. Стратегия: разграничить категории данных заранее и зафиксировать это в политике обработки ПДн.

Как это применяется на практике

Кейс 1. HR-директор производственной компании (Уральский ФО, осень 2025) при подготовке к расширению удалённого штата обнаружил, что согласия работников были вшиты в трудовые договоры с 2019 года. После 01.09.2025 такие согласия перестали отвечать требованиям ч. 1 ст. 9 ФЗ-152. Юристы DATUM провели аудит, выявили 340 некорректных документов, подготовили типовой бланк отдельного согласия и организовали дистанционное переподписание через КЭДО за 18 рабочих дней. Проверка РКН прошла без замечаний по блоку согласий.

Кейс 2. IT-компания (Центральный ФО, начало 2026) подключила зарубежный ATS с хранением резюме на серверах в Нидерландах. РКН в ходе плановой проверки зафиксировал нарушение ч. 5 ст. 18 ФЗ-152 — отсутствие первичной локализации. Протокол был составлен по ч. 8 ст. 13.11 КоАП с диапазоном штрафа 1–6 млн ₽. Компания оперативно мигрировала базу кандидатов в российский контур и заключила договор поручения с российским оператором. Суд принял это как смягчающее обстоятельство. ⚠️ Конкретный номер дела и точная сумма — менеджер уточняет при публикации.

Услуги DATUM по теме

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Ранее полученные согласия обратной силы не лишаются — ФЗ-156 не требует их аннулировать. Однако если старое согласие не является отдельным документом (вшито в трудовой договор, анкету или политику), то при проверке оно не отвечает требованиям ч. 1 ст. 9 ФЗ-152 в новой редакции. Риск штрафа по ч. 2 ст. 13.11 КоАП — до 700 000 ₽. Рекомендуется переоформить такие согласия при первой возможности: при плановом переподписании кадровых документов, обновлении трудового договора или переводе на КЭДО.

2. Какие данные нельзя спрашивать в анкете кандидата?

Ст. 86 ТК РФ запрещает собирать данные, не необходимые для выполнения трудовых обязанностей. Без отдельного согласия нельзя запрашивать: религиозные и политические взгляды, сведения о членстве в общественных организациях, состояние здоровья (кроме случаев обязательного медосмотра по должности), семейное положение (кроме случаев льгот), данные о судимости (кроме должностей с ограничениями по закону). Нарушение — ч. 1 ст. 13.11 КоАП, штраф 150 000–300 000 ₽.

3. Можно ли вести видеонаблюдение в офисе без согласия работников?

Видеозапись без идентификации личности — не биометрические ПДн. Согласие не требуется, но работники обязаны быть уведомлены о наблюдении (ст. 86 ТК РФ, принцип прозрачности ст. 5 ФЗ-152). Уведомление фиксируется в трудовом договоре или локальном акте. Если система использует распознавание лиц — это биометрия: нужно отдельное письменное согласие по ст. 11 ФЗ-152. Удалённых сотрудников, которые работают из дома, нельзя обязывать включать веб-камеру без согласия — это обработка биометрии в их жилом пространстве.

4. Сколько хранить согласия после увольнения?

Согласия работников входят в состав документов по личному составу. Согласно нормативным срокам хранения, документы по личному составу (включая трудовые договоры и приложения к ним) хранятся 75 лет. Согласие кандидата, не ставшего сотрудником, — в пределах срока, указанного в самом согласии, или до достижения цели (рассмотрение резюме). После истечения срока — уничтожение с актом в течение 30 дней (ст. 21 ФЗ-152).

5. Кто является оператором ПДн при использовании КЭДО?

Оператором остаётся работодатель — он определяет цели и состав обработки. КЭДО-провайдер — лицо, осуществляющее обработку по поручению оператора по п. 3 ч. 1 ст. 6 ФЗ-152. Ответственность перед работником и РКН несёт оператор (работодатель), даже если утечка произошла на стороне КЭДО-провайдера. Поэтому в договоре поручения необходимо предусмотреть право аудита провайдера и его обязанность немедленно уведомить оператора об инцидентах.

6. Что делать, если кандидат отозвал согласие в процессе найма?

Отзыв согласия по ч. 2 ст. 9 ФЗ-152 — право субъекта в любой момент. После получения отзыва оператор прекращает обработку, основанную только на этом согласии, и уничтожает данные в течение 30 дней (если нет иного законного основания хранить их). Если рассматривается конкретная вакансия — отзыв фактически означает отказ от участия в конкурсе. Данные, которые хранятся на ином основании (например, переписка по корпоративной почте при уже подписанном договоре), отзыв согласия не затрагивает.

Итог

Удалённый найм не освобождает от полного соблюдения 152-ФЗ: каждый этап — сбор резюме, подписание согласия, передача в КЭДО, биометрия СКУД, хранение личного дела — имеет конкретное правовое основание и документальное оформление. Наибольший риск после 01.09.2025 — некорректно оформленные согласия: штраф по ч. 2 ст. 13.11 КоАП достигает 700 000 ₽ за один документ.

Юристы DATUM сопровождают HR-департаменты при переходе на КЭДО, переоформлении согласий работников и подготовке к проверкам РКН. Практика по ПДн в HR — с 2014 года.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах.

3 апреля 2028 года