Перейти к содержанию
инструкция 28 февраля 2028 По состоянию на 28 февраля 2028

Уведомление работника об обработке ПДн по ст. 18 152-ФЗ

Уведомить работника об обработке его персональных данных — прямая обязанность работодателя по ст. 18.1 и ст. 9 ФЗ-152. С 01.09.2025 согласие оформляется отдельным документом.
Нарушение требований к составу согласия или его отсутствие — штраф от 300 000 до 700 000 ₽ по ч. 2 ст. 13.11 КоАП в редакции с 30.05.2025. При повторном нарушении — до 1 500 000 ₽.
Если вы HRD и согласия работников включены в трудовой договор или анкету — порядок действий ниже.

С 01.09.2025 ФЗ-156 от 24.06.2025 изменил ч. 1 ст. 9 ФЗ-152: согласие на обработку персональных данных больше нельзя объединять с трудовым договором, анкетой или иным документом. Для HR-департаментов это означает пересмотр всего пакета кадровых документов — от бланка заявления при найме до регламентов КЭДО и биометрии СКУД. В этой инструкции — шесть шагов, которые позволят привести уведомление работника и сопутствующую документацию в соответствие с действующими требованиями.

Шаг 1. Определите, какие данные и на каком основании вы обрабатываете

Прежде чем уведомлять работника, зафиксируйте перечень обрабатываемых категорий персональных данных и правовое основание для каждой группы. Ст. 86 ТК РФ разрешает работодателю обрабатывать только те ПДн, которые необходимы для исполнения трудового договора. Ст. 87 ТК РФ обязывает установить порядок хранения и использования ПДн во внутреннем локальном акте.

Разграничьте три категории:

  • Обязательные для трудового договора — ФИО, паспортные данные, ИНН, СНИЛС, реквизиты трудовой книжки, банковский счёт для выплаты зарплаты. Правовое основание — п. 5 ч. 1 ст. 6 ФЗ-152 (исполнение договора). Согласие не требуется.
  • Требующие отдельного согласия — сведения о состоянии здоровья (медосмотры, листки нетрудоспособности), семейное положение для льгот, национальность для квотируемых должностей, персональные данные для корпоративного страхования. Основание — п. 1 ч. 1 ст. 6 ФЗ-152 + согласие.
  • Биометрические ПДн — изображение лица, отпечатки пальцев для СКУД, голос для систем распознавания. Ст. 11 ФЗ-152 требует отдельного письменного согласия в любом случае.

Результат шага: таблица или реестр обрабатываемых ПДн с указанием категории, цели, основания и срока хранения по каждой группе. Этот документ станет основой для уведомления.

Согласия работников ещё в трудовом договоре?

Если HRD не переоформил согласия после 01.09.2025 — каждый старый документ создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП (300 000 — 700 000 ₽). Срок для переоформления не восстанавливается. Юристы DATUM проведут аудит кадровых документов и подготовят новый пакет согласий по требованиям ФЗ-156.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 2. Как составить уведомление работника об обработке ПДн?

Уведомление (информирование) работника — это отдельный документ или раздел в политике обработки ПДн, с которым работник знакомится под подпись. Его не следует путать с согласием: уведомление информирует, согласие разрешает. Ст. 18.1 ФЗ-152 обязывает оператора довести до работника информацию о политике обработки ПДн, ст. 22.2 ТК РФ — обеспечить ознакомление с локальными нормативными актами.

Обязательное содержание уведомления работника:

  • наименование и реквизиты работодателя-оператора;
  • цели обработки персональных данных работника;
  • перечень обрабатываемых категорий ПДн;
  • перечень действий с ПДн — сбор, хранение, передача третьим лицам (зарплатный банк, страховщик, пенсионный фонд);
  • срок обработки и условия прекращения;
  • права работника как субъекта ПДн — право на доступ, уточнение, блокирование, уничтожение, отзыв согласия;
  • порядок обращения к ответственному за обработку ПДн по ст. 22.1 ФЗ-152.

Документ подписывается работником при трудоустройстве и актуализируется при существенном изменении условий обработки — например, при внедрении КЭДО или СКУД с биометрией.

Шаг 3. Оформите отдельное согласие по требованиям ст. 9 ФЗ-152 в редакции с 01.09.2025

С 01.09.2025 согласие на обработку ПДн — самостоятельный документ. Включение его в трудовой договор, анкету или приказ о приёме на работу недопустимо. Это прямое требование ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025.

«Ст. 9 ФЗ-152 (в ред. с 01.09.2025): согласие субъекта персональных данных должно быть оформлено в виде отдельного документа или отдельного действия в электронной форме. Объединение согласия с другими документами не допускается.»

Обязательные реквизиты письменного согласия работника:

  • ФИО и контактные данные работника как субъекта ПДн;
  • полное наименование и адрес работодателя-оператора;
  • цель обработки персональных данных (отдельно для каждой цели);
  • перечень персональных данных, на обработку которых даётся согласие;
  • перечень действий с ПДн и описание способов обработки;
  • срок действия согласия или условие его прекращения;
  • порядок отзыва согласия.

Одно согласие — одна цель. Не объединяйте в одном документе согласие на обработку медицинских ПДн для медосмотра и согласие на передачу данных в страховую компанию.

Согласия, полученные до 01.09.2025, переоформлять не требуется — ФЗ-156 не имеет обратной силы. Однако при изменении условий обработки или при приёме новых работников после 01.09.2025 — только новая форма.

Шаг 4. Учтите специфику КЭДО и биометрии СКУД

Два направления создают наибольшее число нарушений в HR-практике — электронный документооборот и системы контроля доступа.

КЭДО и персональные данные. При использовании системы кадрового электронного документооборота работодатель обрабатывает ПДн работника на платформе оператора КЭДО. Это означает передачу ПДн третьему лицу — поручение обработки по п. 3 ст. 6 ФЗ-152. Обязательно: договор-поручение с оператором КЭДО с перечнем разрешённых действий и требованием конфиденциальности; уведомление работника о передаче ПДн оператору КЭДО в составе уведомления об обработке.

Биометрия СКУД. Изображение лица или отпечатки пальцев, используемые в системе контроля доступа, — биометрические персональные данные по ст. 11 ФЗ-152. Требования:

  • отдельное письменное согласие на обработку биометрических ПДн — даже если СКУД используется только для учёта рабочего времени;
  • уровень защищённости ИСПДн определяется по ПП РФ №1119 — как правило, УЗ-3 или УЗ-2 в зависимости от числа субъектов;
  • работник вправе отказаться от биометрической идентификации — в этом случае работодатель обязан предоставить альтернативный способ контроля доступа.

Отказ работника от предоставления биометрии не может быть основанием для отказа в трудоустройстве или дисциплинарного взыскания.

Если в вашей компании внедряется КЭДО или биометрия СКУД — договоры-поручения и согласия работников нужно подготовить до запуска системы. Юристы DATUM соберут полный пакет ОРД под ключ, включая специальные согласия по ст. 11 ФЗ-152.

Собрать ОРД под ключ

Шаг 5. Определите сроки хранения и порядок уничтожения ПДн

Согласно принципу минимизации по ст. 5 ФЗ-152, ПДн работника хранятся не дольше, чем необходимо для целей обработки. После достижения цели — уничтожение или обезличивание.

Типовые сроки для кадровых ПДн:

  • личное дело работника — 75 лет с момента создания (для документов, созданных после 2003 года — 50 лет, уточнять по приказу Росархива);
  • согласие на обработку ПДн — в течение срока действия + 3 года после отзыва или прекращения обработки (для подтверждения правомерности);
  • видеозаписи с камер наблюдения — как правило, 30 дней, если внутренними документами не установлен иной срок;
  • биометрические шаблоны СКУД — уничтожаются в течение 30 дней после увольнения работника или отзыва согласия.

Уничтожение ПДн фиксируется актом с указанием перечня уничтоженных данных, способа уничтожения, даты и подписей ответственных лиц. Это требование ст. 21 ФЗ-152.

Шаг 6. Проверьте документы через чек-лист и назначьте ответственного

Что подготовить HR-департаменту

  • Политика обработки персональных данных с разделами по ч. 2 ст. 18.1 ФЗ-152 — опубликована на сайте и доступна работникам.
  • Уведомление работника об обработке ПДн — отдельный документ с перечнем целей, категорий, действий, сроков и прав субъекта.
  • Отдельные согласия по ст. 9 ФЗ-152 в редакции с 01.09.2025 — для каждой цели, требующей согласия (медосмотры, страховка, биометрия СКУД).
  • Договор-поручение с оператором КЭДО — если используется сторонняя платформа для кадрового документооборота.
  • Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152 — с описанием функций и полномочий.

Ответственный за обработку ПДн по ст. 22.1 ФЗ-152 — обязательная должность для любого работодателя-юридического лица. Этот сотрудник принимает запросы от работников как субъектов ПДн и отвечает в течение 10 рабочих дней (ст. 20 ФЗ-152), а при необходимости — взаимодействует с Роскомнадзором.

Типичные ситуации: что идёт не так в HR-практике

Ситуация 1. Согласие включено в трудовой договор до 01.09.2025. Работник принят на работу в 2023 году, согласие на обработку ПДн — пункт трудового договора. После 01.09.2025 такая форма по-прежнему действительна для этого работника: ФЗ-156 не имеет обратной силы. Однако при первом изменении условий обработки или при заключении дополнительного соглашения потребуется оформить согласие по новым правилам — отдельным документом. Стратегия: при ближайшем обновлении кадровых форм перейти на отдельные согласия превентивно, не дожидаясь инцидента.

Ситуация 2. Внедрена биометрия СКУД, согласия нет. Компания установила систему распознавания лиц на входной группе и собирает биометрические шаблоны работников без отдельных письменных согласий. Это нарушение ст. 11 ФЗ-152. Риск: штраф по ч. 2 ст. 13.11 КоАП от 300 000 до 700 000 ₽ за каждого работника, у которого нет согласия. При проверке РКН — протокол составляется по каждому выявленному факту. Стратегия: до запуска СКУД с биометрией — отдельное письменное согласие для каждого работника, плюс закрепление в политике обработки ПДн.

Ситуация 3. Работник потребовал уничтожить свои ПДн после увольнения. Уволенный работник направил письменное требование об уничтожении всех персональных данных, включая личное дело. Работодатель обязан уничтожить только те ПДн, для хранения которых нет самостоятельного правового основания. Личное дело хранится 75 лет по требованиям архивного законодательства — это самостоятельное основание, не зависящее от согласия. Биометрические шаблоны СКУД, согласие на корпоративное страхование и данные, не нужные после увольнения, — уничтожаются. Стратегия: в регламенте реагирования на запросы субъектов прописать перечень данных с самостоятельными основаниями хранения и алгоритм ответа на такие требования.

Как это применяется на практике

Кейс 1. Торговая компания (Уральский ФО, осень 2025). HR-директор при подготовке к плановой проверке РКН обнаружил, что согласия 340 работников включены в тексты трудовых договоров, а отдельных согласий для обработки данных о состоянии здоровья (медосмотры) нет совсем. Компания не дожидалась проверки: в течение 3 недель юристы-партнёры подготовили отдельный пакет согласий, актуализировали политику обработки ПДн и провели ознакомление работников. При проверке РКН нарушений по этому направлению выявлено не было. Расходы на приведение в соответствие составили в разы меньше минимального штрафа по ч. 2 ст. 13.11 КоАП.

Кейс 2. IT-компания (Северо-Западный ФО, начало 2026). Работодатель внедрил СКУД с распознаванием лиц, не оформив письменных согласий на обработку биометрических ПДн. Работник пожаловался в РКН. По результатам внеплановой проверки составлен протокол по ч. 2 ст. 13.11 КоАП. Компании удалось снизить итоговый размер санкций, представив доказательства последующего оформления согласий и отсутствия вреда для работников. ⚠️ Конкретный номер дела и точная сумма штрафа — менеджер уточняет при публикации.

Услуги DATUM по теме

  • Аудит соответствия 152-ФЗ — проверка кадровых документов по чек-листу из 38 пунктов, отчёт с планом устранения нарушений.
  • Комплект ОРД под ключ — полный пакет документов: политика, согласия работников, приказы, регламент ответов на запросы субъектов.
  • DPO-аутсорсинг — абонентское сопровождение: функция ответственного по ст. 22.1 ФЗ-152, ответы на запросы работников, взаимодействие с РКН.

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025, остаются действительными: ФЗ-156 от 24.06.2025 не имеет обратной силы. Переоформление потребуется при изменении целей или условий обработки, при внедрении новых систем (КЭДО, СКУД с биометрией), а также для всех работников, принятых после 01.09.2025. Новые согласия оформляются только отдельным документом — включение в трудовой договор или анкету недопустимо.

2. Какие данные нельзя запрашивать в анкете при приёме на работу?

Ст. 86 ТК РФ запрещает работодателю получать и обрабатывать ПДн, не связанные с трудовой деятельностью. Нельзя запрашивать без самостоятельного основания: сведения о вероисповедании, политических взглядах, национальности (если должность не квотируемая), наличии судимости (кроме должностей с законодательным ограничением), составе семьи — если это не влияет на предоставление гарантий по ТК РФ. Специальные категории ПДн по ст. 10 ФЗ-152 обрабатываются только при наличии прямого законодательного основания или отдельного согласия.

3. Можно ли вести видеонаблюдение в офисе без согласия работников?

Видеонаблюдение в служебных помещениях допустимо без согласия работников при наличии законного интереса работодателя (охрана имущества, безопасность труда) и при условии, что работники уведомлены о ведении съёмки. Уведомление фиксируется в правилах внутреннего трудового распорядка или отдельном локальном акте, с которым работники знакомятся под подпись. Видеозапись — персональные данные, поэтому в политике обработки ПДн должны быть указаны цель, срок хранения записей (как правило, 30 дней) и порядок доступа к ним.

4. Сколько хранить согласия после увольнения работника?

Согласие на обработку ПДн рекомендуется хранить в течение срока, на который оно выдано, плюс не менее 3 лет после прекращения обработки — для подтверждения правомерности действий оператора в случае претензий субъекта или проверки РКН. Личное дело хранится 75 лет (для документов с 2003 года — уточнять по требованиям Росархива) независимо от наличия или отзыва согласия, поскольку это самостоятельное основание хранения.

5. Кто является оператором ПДн при использовании КЭДО?

Оператором персональных данных работников остаётся работодатель — он определяет цели и состав обрабатываемых данных. Платформа КЭДО выступает лицом, осуществляющим обработку по поручению оператора, в соответствии с п. 3 ст. 6 ФЗ-152. Работодатель обязан заключить с оператором КЭДО договор-поручение, в котором закреплены перечень разрешённых действий, требование конфиденциальности и ответственность за нарушения. Ответственность перед РКН и работниками несёт работодатель как оператор.

6. Что делать, если работник отозвал согласие на обработку ПДн?

Отзыв согласия по ст. 9 ФЗ-152 не влечёт автоматического прекращения всей обработки. Работодатель вправе продолжать обрабатывать ПДн, если есть иное законное основание — например, исполнение трудового договора (п. 5 ч. 1 ст. 6 ФЗ-152) или требование закона. Данные, обрабатывавшиеся исключительно на основании отозванного согласия (биометрия СКУД, страховые программы), подлежат прекращению обработки и уничтожению. Факт отзыва и принятые меры фиксируются письменно.

Итог

Уведомление работника об обработке персональных данных — это не единственный документ, а система: политика обработки, отдельные согласия по ст. 9 ФЗ-152, специальные согласия для биометрии и КЭДО, регламенты хранения и уничтожения, назначение ответственного по ст. 22.1. С 01.09.2025 включение согласия в трудовой договор недопустимо — это самостоятельное нарушение ч. 2 ст. 13.11 КоАП. Последовательная работа по шести шагам инструкции закрывает основные риски, выявляемые РКН при проверке HR-департаментов.

DATUM сопровождает HR-аудиты по 152-ФЗ, разрабатывает пакеты ОРД для кадровых служб и предоставляет функцию ответственного за обработку ПДн в формате аутсорсинга.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах.

28 февраля 2028 года