инструкция 22 апреля 2028 По состоянию на 22 апреля 2028

УКЭП, УНЭП, ПЭП в КЭДО: какую подпись использовать

Выбор вида электронной подписи в КЭДО определяет, действителен ли кадровый документ юридически, и несёт ли оператор персональных данных риск штрафа по ст. 13.11 КоАП.

С 22.11.2021 (ст. 22.2 ТК РФ) работодатель обязан использовать УКЭП или УНЭП для трудового договора, допсоглашений и приказов об увольнении. Простая подпись (ПЭП) допустима лишь для части документов. Ошибка в выборе подписи превращает документ в юридически ничтожный и создаёт нарушение ст. 9 ФЗ-152 при обработке ПДн в КЭДО.

Если вы HRD и ещё не разграничили документы по видам подписи — этот разбор поможет выстроить правильный порядок до первой проверки РКН.

Кадровый электронный документооборот объединяет две регуляторные зоны: трудовое право (ст. 22.2 ТК РФ) и защиту персональных данных (ФЗ-152, в особенности ст. 9 в редакции ФЗ-156 от 24.06.2025). Нарушение требований к подписи в КЭДО одновременно делает кадровый документ недействительным и порождает нарушение порядка обработки ПДн. Ниже — пошаговый разбор: какую подпись выбрать, как организовать хранение и что нужно переоформить после 01.09.2025.

Шаг 1. Разберитесь в трёх видах подписи: чем они отличаются?

УКЭП (усиленная квалифицированная электронная подпись) создаётся с использованием криптографического ключа и квалифицированного сертификата, выданного аккредитованным удостоверяющим центром. По умолчанию приравнивается к собственноручной подписи без дополнительного соглашения сторон (ФЗ-63 «Об электронной подписи»). Для работника получение УКЭП означает личное обращение в удостоверяющий центр или через портал Госуслуг.

УНЭП (усиленная неквалифицированная электронная подпись) также создаётся на основе криптографии, но без квалифицированного сертификата. Юридически значима при наличии соглашения сторон о её использовании. В КЭДО применяется через систему работодателя или оператора платформы — работник получает УНЭП внутри системы.

ПЭП (простая электронная подпись) — код подтверждения: СМС, пароль, логин. Не обеспечивает защиту от изменения документа. Допустима только для документов с низким правовым риском и при заключённом соглашении сторон.

«Ст. 22.2 ТК РФ: при ведении КЭДО трудовой договор, допсоглашения, договор о материальной ответственности и ученический договор работодатель подписывает УКЭП, работник — УКЭП или УНЭП. Приказ об увольнении — работник подписывает УКЭП или УНЭП. Для остальных документов допустима ПЭП при наличии локального акта.»

Шаг 2. Составьте матрицу документов — что чем подписывать?

Ст. 22.2 ТК РФ делит кадровые документы на три группы по требуемому виду подписи. Важно: требование распространяется на подпись каждой из сторон отдельно.

Группа А — только УКЭП или УНЭП (обе стороны):

трудовой договор и дополнительные соглашения к нему;
договор о полной материальной ответственности;
ученический договор;
согласие на перевод;
заявление об увольнении и приказ об увольнении.

Группа Б — УКЭП/УНЭП работодателя, ПЭП допустима для работника: приказы о приёме, переводе, командировании, предоставлении отпуска; уведомления об условиях труда.

Группа В — ПЭП допустима для обеих сторон: заявления на отпуск, объяснительные, согласия на обработку ПДн по ст. 9 ФЗ-152 (при наличии соглашения о ПЭП в локальном акте).

«Ст. 22.2 ч. 4 ТК РФ: работодатель применяет УКЭП. Работник вправе применять УКЭП, УНЭП через инфраструктуру работодателя или через платформу «Работа в России».»

Практическая ошибка: подписать трудовой договор ПЭП через СМС-код. Такой документ не имеет силы собственноручной подписи — работник вправе оспорить условия договора. При этом ПДн, переданные для оформления договора, уже обработаны без надлежащего согласия по ст. 9 ФЗ-152.

Ещё не определили, какая подпись нужна для каждого документа КЭДО?

Если HRD не разграничил виды подписи по группам документов — кадровые документы могут быть юридически недействительны. Одновременно возникает риск нарушения ст. 9 ФЗ-152 по согласиям работников: с 01.09.2025 согласие — отдельный документ по ФЗ-156. Штраф по ч. 2 ст. 13.11 КоАП — до 700 000 ₽ за каждый факт обработки без надлежащего согласия.

Проверить КЭДО и согласия работников

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Настройте хранение ПДн при использовании КЭДО

КЭДО — это информационная система, в которой обрабатываются персональные данные работников: ФИО, должность, ИНН, СНИЛС, паспортные данные, сведения о зарплате, состоянии здоровья (при медосмотрах). По ст. 3 ФЗ-152 работодатель является оператором ПДн и обязан соблюдать все требования закона.

Ключевые требования для КЭДО как ИСПДн:

Локализация: базы данных с ПДн работников хранятся на серверах в РФ (ч. 5 ст. 18 ФЗ-152). Если КЭДО-платформа — иностранный SaaS, запись и первичное накопление должны происходить в России.
Уровень защищённости: при обработке ПДн менее 100 000 субъектов без спецкатегорий — не ниже УЗ-4 по ПП РФ №1119. При наличии данных о здоровье (медосмотры) — УЗ-3 или выше.
Поручение обработки: если КЭДО ведёт внешняя платформа (оператор платформы), необходим договор-поручение по п. 3 ст. 6 ФЗ-152 с указанием перечня операций и мер защиты.
Уведомление РКН: оператор обязан уведомить Роскомнадзор о намерении обрабатывать ПДн до начала обработки (ст. 22 ФЗ-152). Запуск КЭДО без уведомления — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП.

Шаг 4. Переоформите согласия работников после 01.09.2025

С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие на обработку ПДн должно оформляться отдельным документом. Включение согласия в текст трудового договора, должностной инструкции, заявления о приёме на работу или локального акта — нарушение ч. 1 ст. 9 ФЗ-152.

Обязательные реквизиты согласия работника по ст. 9 ФЗ-152:

ФИО работника и его контактные данные;
наименование и адрес работодателя-оператора;
цель обработки (каждая цель — отдельно: КЭДО, зарплатный проект, СКУД и т. д.);
перечень персональных данных по каждой цели;
перечень действий с ПДн (сбор, хранение, передача третьим лицам);
срок действия или условие прекращения;
способ отзыва согласия.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025: согласие субъекта на обработку персональных данных оформляется отдельным документом. Ранее полученные согласия, соответствующие требованиям к составу, переоформлять не требуется.»

Согласие на распространение ПДн (публикация фото в корпоративных материалах, размещение в открытом профиле) — отдельный документ по ст. 10.1 ФЗ-152, с дефолтом «запрещено при молчании».

Отдельное согласие требуется также при передаче ПДн работника в зарплатный банк, страховую компанию ДМС, провайдеру СКУД с биометрией.

Что подготовить HRD для соответствия КЭДО требованиям ФЗ-152

Матрица документов КЭДО с разграничением УКЭП / УНЭП / ПЭП по ст. 22.2 ТК РФ.
Отдельные согласия работников на обработку ПДн по каждой цели (ст. 9 ФЗ-152, ред. ФЗ-156).
Договор-поручение с оператором КЭДО-платформы по п. 3 ст. 6 ФЗ-152.
Уведомление РКН о намерении обрабатывать ПДн с указанием КЭДО как информационной системы (ст. 22 ФЗ-152).
Приказ о назначении ответственного за обработку ПДн в HR-департаменте (ст. 22.1 ФЗ-152).

Шаг 5. Учтите особенности биометрии в СКУД и согласий на видеонаблюдение

Если СКУД использует отпечатки пальцев, распознавание лица или радужку глаза — это биометрические ПДн по ст. 11 ФЗ-152. Для их обработки необходимо письменное согласие работника (отдельный документ). Устное или включённое в трудовой договор согласие недопустимо.

Видеонаблюдение в офисе: если система ведёт запись и идентифицирует работников — обработка ПДн требует уведомления работника по ст. 86–87 ТК РФ и ст. 18.1 ФЗ-152. Уведомление оформляется локальным актом (правила внутреннего трудового распорядка или отдельное положение).

Передача биометрии в ЕБС (ГИС ЕБС по ФЗ-572) при СКУД — только в случаях, прямо предусмотренных законом. В большинстве корпоративных СКУД биометрия хранится локально — что требует соответствия Приказу ФСТЭК №21 и УЗ-3.

Типовые ситуации: как это выглядит в практике HRD?

Ситуация 1. Трудовой договор подписан ПЭП через КЭДО-платформу. Работник оспаривает пункт о ненормированном рабочем дне. Суд исходит из того, что трудовой договор подписан ненадлежащим видом подписи (ПЭП вместо УНЭП/УКЭП). Доказать содержание договора сложно; работодатель несёт риск признания условия несогласованным. Дополнительно: ПДн обрабатывались в системе без надлежащего согласия по ст. 9 ФЗ-152 — основание для штрафа по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽).

Ситуация 2. Согласие работника включено в трудовой договор, подписанный до 01.09.2025. После вступления в силу ФЗ-156 порядок изменился: новые согласия должны быть отдельными документами. Ранее полученные действительны, если содержат все обязательные реквизиты ст. 9 ФЗ-152. HRD не обязан переоформлять исторические согласия, но обязан использовать новый формат для всех новых работников с 01.09.2025. При проверке РКН отсутствие отдельного согласия у работников, принятых после 01.09.2025, — нарушение ч. 2 ст. 13.11, штраф до 700 000 ₽.

Ситуация 3. КЭДО-платформа — иностранный сервис, серверы за рубежом. Первичная запись ПДн работников происходит за пределами РФ. Это нарушение ч. 5 ст. 18 ФЗ-152 (локализация). Штраф по ч. 8 ст. 13.11 КоАП — от 1 000 000 до 6 000 000 ₽. При повторном нарушении — 6 000 000–18 000 000 ₽ по ч. 9 ст. 13.11. Стратегия: либо переход на российскую платформу, либо гибридная схема с первичным накоплением в РФ и последующей синхронизацией.

Если вы HRD и КЭДО уже работает, но документы по подписям и согласиям не разграничены — каждый день создаются новые нарушения ст. 9 ФЗ-152 и ст. 22.2 ТК РФ. С 01.09.2025 согласия работников, принятых после этой даты, должны быть отдельными документами по ФЗ-156. Юристы DATUM проверят КЭДО и соберут ОРД для HR-департамента.

Заказать аудит 152-ФЗ

Как организовать хранение согласий и документов КЭДО?

Согласия на обработку ПДн работников хранятся в течение срока обработки ПДн плюс три года после его окончания (общий ориентир по сроку исковой давности). Личное дело работника — 75 лет (типовой срок по перечню Росархива для документов по личному составу).

После увольнения: работник вправе потребовать уничтожения ПДн, не связанных с исполнением трудовых обязанностей (ст. 21 ФЗ-152). Данные, необходимые для исполнения налогового, пенсионного, воинского учёта — хранятся в установленные законом сроки вне зависимости от отзыва согласия.

При использовании КЭДО важно обеспечить возможность: извлечения документа в читаемом формате, подтверждения факта подписания, восстановления цепочки версий. Это требование ст. 22.3 ТК РФ об обеспечении целостности документов.

Кейс 1. HR-директор производственной компании (Уральский ФО, осень 2025) при подготовке к плановой проверке РКН обнаружил: КЭДО-платформа хранит данные на зарубежных серверах, трудовые договоры с 2022 года подписаны ПЭП, согласия включены в текст договора. Аудит DATUM выявил три самостоятельных нарушения: ч. 8 (локализация), ч. 2 (согласие), ч. 10 (неуведомление о новой ИСПДн). Компания до проверки устранила нарушения, переехала на российскую платформу, получила предупреждение по ч. 2 вместо штрафа до 700 000 ₽ благодаря ст. 4.1.1 КоАП (первичность + микропредприятие по численности).

Кейс 2. Директор по персоналу торговой сети (Центральный ФО, начало 2026) получил запрос от бывшего работника об уничтожении ПДн. В КЭДО-системе данные хранились без разграничения: часть — документы по личному составу (75 лет), часть — маркетинговые рассылки (подлежат уничтожению). Отсутствие раздельного учёта привело к тому, что ответить на запрос в 10 рабочих дней по ст. 20 ФЗ-152 не удалось. РКН составил протокол по ч. 5 ст. 13.11 (штраф 50 000–90 000 ₽). Настройка раздельного хранения в КЭДО и регламент обработки запросов субъектов решили бы проблему заранее.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка КЭДО, согласий работников и ОРД HR-департамента
Комплект ОРД под ключ — политика, согласия по ФЗ-156, приказы, регламент реагирования
DPO-аутсорсинг — ответственный за обработку ПДн по ст. 22.1 на абонентском обслуживании

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Нет, если ранее полученное согласие уже содержит все обязательные реквизиты ст. 9 ФЗ-152: цель, перечень ПДн, перечень действий, срок, способ отзыва. Ранее полученные согласия обратной силы не имеют (ФЗ-156 от 24.06.2025). Однако для всех работников, принятых с 01.09.2025, согласие обязательно оформляется отдельным документом, не включённым в трудовой договор, политику или иной документ.

2. Какие данные нельзя запрашивать у кандидата при приёме на работу?

По ст. 86 ТК РФ работодатель обрабатывает только ПДн, необходимые для исполнения трудовых обязанностей. Запрос сведений о вероисповедании, политических взглядах, членстве в партиях, состоянии здоровья (кроме случаев обязательного медосмотра) и семейном положении без прямой связи с должностью нарушает ст. 10 ФЗ-152 (специальные категории ПДн). Штраф за обработку спецкатегорий без основания — по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽).

3. Можно ли вести видеонаблюдение в офисе без согласия работников?

Да, при соблюдении условий ст. 87 ТК РФ и ст. 18.1 ФЗ-152: работники уведомлены о наблюдении под роспись или через локальный акт (правила внутреннего трудового распорядка), цель — контроль безопасности или охрана труда, данные не передаются третьим лицам без основания. Если система идентифицирует лица и хранит биометрические шаблоны — требуется письменное согласие по ст. 11 ФЗ-152.

4. Сколько хранить согласия работников после увольнения?

Согласие на обработку ПДн хранят в течение срока обработки плюс не менее трёх лет после его окончания (ориентир по общему сроку исковой давности). Документы по личному составу, включая приказы и трудовые договоры, — 75 лет (типовой перечень Росархива). Согласия, связанные с трудовой функцией, целесообразно хранить в составе личного дела. После истечения срока — уничтожение с составлением акта.

5. Кто является оператором ПДн при использовании КЭДО-платформы?

Оператором остаётся работодатель — он определяет цели и состав обработки ПДн работников. Платформа КЭДО, если обрабатывает ПДн по заданию работодателя, действует как лицо, осуществляющее обработку по поручению (п. 3 ст. 6 ФЗ-152). Договор-поручение обязателен: в нём фиксируются перечень операций, меры защиты и запрет использования ПДн в собственных целях платформы. Ответственность перед субъектом и РКН несёт работодатель-оператор.

6. Что делать, если КЭДО-платформа иностранная и серверы за рубежом?

По ч. 5 ст. 18 ФЗ-152 запись, систематизация, накопление и хранение ПДн граждан РФ должны происходить в базах на территории России. Первичный сбор ПДн работников через иностранный сервис с зарубежным хранением нарушает требование локализации. Штраф по ч. 8 ст. 13.11 КоАП — 1 000 000–6 000 000 ₽. Решение: переход на российскую платформу или гибридная схема с первичным накоплением в РФ и последующей синхронизацией с зарубежным сервисом.

Итог

Выбор вида подписи в КЭДО — это не техническая деталь, а юридический факт: неправильный вид подписи делает кадровый документ ничтожным и создаёт нарушение ФЗ-152. После 01.09.2025 согласия работников должны быть отдельными документами по ФЗ-156; трудовые договоры и приказы об увольнении подписываются только УКЭП или УНЭП по ст. 22.2 ТК РФ; КЭДО-платформа с зарубежными серверами нарушает локализацию с штрафом до 6 000 000 ₽.

Практика DATUM по ПДн в HR-департаментах охватывает аудит КЭДО, формирование пакета согласий по ФЗ-156 и сопровождение проверок РКН в кадровой функции.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах. Сопровождение проверок РКН в HR-департаментах.

22 апреля 2028 года