инструкция 3 июля 2027 По состоянию на 3 июля 2027

Внедрение КЭДО в группе компаний

КЭДО в группе компаний — это не просто перевод документооборота в цифру, а обработка персональных данных тысяч работников сразу несколькими юридическими лицами.

С 01.09.2025 согласие работника на обработку ПДн — отдельный документ по ФЗ-156. Объединить его с трудовым договором или положением о КЭДО нельзя. Нарушение — штраф до 700 000 ₽ по ч. 2 ст. 13.11 КоАП за каждый ненадлежащий документ.

→ Если вы HRD группы компаний и запускаете КЭДО в 2025–2026 году — эта инструкция покажет, как пройти внедрение без нарушений 152-ФЗ и ТК РФ.

Внедрение КЭДО в группе компаний создаёт несколько операторов персональных данных одновременно. Каждое юридическое лицо группы, обрабатывающее данные работников через платформу КЭДО, несёт самостоятельную ответственность по ст. 86–88 ТК РФ и 152-ФЗ. Ниже — пошаговый порядок внедрения с учётом требований, действующих с 30.05.2025 и 01.09.2025.

Шаг 1. Определите операторов ПДн внутри группы

В группе компаний каждое юридическое лицо, самостоятельно принимающее решения о составе и целях обработки данных своих работников, является отдельным оператором по ст. 3 ФЗ-152. Если платформа КЭДО развёрнута на уровне управляющей компании, а дочерние структуры передают ей данные работников — это поручение обработки по п. 3 ст. 6 ФЗ-152. Такое поручение оформляется отдельным договором или приказом с перечнем: цели, состав ПДн, допустимые действия, срок, обязанность по безопасности.

До запуска КЭДО проведите инвентаризацию: какие юрлица группы будут самостоятельными операторами, а какие — лицами, действующими по поручению. Это определит состав уведомлений в РКН по ст. 22 ФЗ-152 и пакет ОРД для каждой компании.

«Ст. 22 ФЗ-152: оператор обязан уведомить РКН о намерении обрабатывать ПДн до начала обработки. При изменении сведений — повторное уведомление через pd.rkn.gov.ru.»

Шаг 2. Как оформить согласия работников по ФЗ-156 с 01.09.2025?

С 01.09.2025 согласие работника на обработку ПДн, которая не обусловлена ТК РФ и не предусмотрена иным законом, оформляется отдельным документом (ФЗ-156 от 24.06.2025, изменения в ч. 1 ст. 9 ФЗ-152). Включить согласие в текст трудового договора, правил внутреннего трудового распорядка или политики конфиденциальности нельзя.

Обязательные реквизиты согласия по ст. 9 ФЗ-152: ФИО работника, контактные данные, наименование оператора, цель обработки, перечень ПДн, перечень разрешённых действий, срок согласия, способ отзыва. Для КЭДО в группе компаний при передаче данных в управляющую компанию добавляется указание на неё как на лицо, действующее по поручению.

«Ст. 9 ФЗ-152 в ред. ФЗ-156 (действует с 01.09.2025): согласие — отдельный документ, не объединяемый с иными. Согласия, полученные до 01.09.2025, сохраняют силу — переоформлять не требуется.»

Отдельно оформляйте согласие на распространение ПДн (ст. 10.1 ФЗ-152), если платформа КЭДО отображает данные работника в корпоративном справочнике, доступном другим сотрудникам. Молчание работника означает запрет распространения.

Согласия работников ещё в трудовом договоре?

Если HRD не переоформил согласия после 01.09.2025 — каждый старый документ создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП (до 700 000 ₽). При группе в 10 юрлиц и 500 работниках масштаб риска кратно выше. Специалисты DATUM проверят актуальность согласий и подготовят комплект документов по требованиям ФЗ-156.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Разработайте ОРД для КЭДО: что входит в пакет

Для каждого оператора в группе компаний потребуется собственный пакет организационно-распорядительной документации. Единый комплект управляющей компании не заменяет документы дочерних структур, если они — самостоятельные операторы.

Что подготовить для запуска КЭДО

Политика обработки ПДн по ст. 18.1 ФЗ-152 — отдельная для каждого оператора группы (опубликована на сайте и на стенде).
Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 — в каждом юрлице группы.
Отдельные согласия работников по ст. 9 ФЗ-152 в ред. ФЗ-156 — на каждый вид обработки, не предусмотренный ТК РФ.
Договор поручения обработки по п. 3 ст. 6 ФЗ-152 — если платформа КЭДО управляется управляющей компанией.
Уведомления в РКН по ст. 22 ФЗ-152 от каждого самостоятельного оператора группы.

Согласно ст. 86–88 ТК РФ, работодатель обрабатывает данные работника только в целях трудоустройства, исполнения договора, обеспечения безопасности и в иных случаях, прямо предусмотренных законом. КЭДО — это цифровой канал обмена документами, а не новое основание для расширения перечня собираемых ПДн. Не запрашивайте через КЭДО данные, которые вам не нужны для трудовых отношений: избыточный сбор нарушает принцип минимизации по ст. 5 ФЗ-152.

Шаг 4. Настройте платформу КЭДО: требования к безопасности ПДн

Информационная система обработки ПДн работников в КЭДО подпадает под требования ПП РФ № 1119 от 01.11.2012. Уровень защищённости (УЗ) зависит от категории обрабатываемых данных, типа угроз и численности субъектов. Для большинства групп компаний со стандартными кадровыми данными актуален УЗ-3 или УЗ-4 — конкретный уровень определяется после оценки угроз.

Ключевые технические меры для КЭДО по Приказу ФСТЭК № 21: идентификация и аутентификация пользователей (ИАФ), управление правами доступа (УПД), регистрация событий (РСБ), антивирусная защита (АВЗ), защита каналов передачи данных (ЗИС). Если данные работников хранятся в облаке провайдера — потребуется проверка его аттестации или соответствия приказу ФСТЭК № 21.

«Ст. 19 ФЗ-152 обязывает оператора принимать правовые, организационные и технические меры для защиты ПДн. Конкретный состав — ПП РФ № 1119 и Приказ ФСТЭК № 21.»

Если КЭДО включает СКУД с биометрией (отпечатки, изображение лица) — это биометрические ПДн по ст. 11 ФЗ-152. Обработка только с отдельного письменного согласия работника. Хранение биометрии в ЕБС регулируется ФЗ-572. За обработку биометрии без надлежащего согласия — штраф по ч. 16 ст. 13.11 КоАП.

Если HRD подключает СКУД с биометрией к КЭДО — проверьте, оформлены ли отдельные письменные согласия по ст. 11 ФЗ-152. Без них каждый факт обработки — нарушение с риском штрафа. Специалисты DATUM помогут собрать ОРД под ключ для КЭДО с биометрией.

Собрать ОРД под ключ

Шаг 5. Подключите DPO: кто отвечает за обработку ПДн в группе

Каждый самостоятельный оператор в группе компаний обязан назначить лицо, ответственное за организацию обработки ПДн, по ст. 22.1 ФЗ-152. Функция DPO может быть распределена: в управляющей компании — штатный специалист, в дочерних структурах — аутсорсинг по договору.

DPO на аутсорсинге принимает запросы субъектов, ведёт реестр обработки, контролирует сроки ответа работникам (10 рабочих дней по ст. 20 ФЗ-152), организует уведомление РКН об изменениях. При утечке — координирует первичное уведомление в течение 24 часов и отчёт через 72 часа по Приказу РКН № 187.

Как это применяется на практике

Кейс 1. Производственная группа (Уральский ФО, осень 2025) запустила КЭДО для 2 400 работников в 7 юрлицах. Согласия работников включили в регламент КЭДО единым документом — нарушение ч. 1 ст. 9 ФЗ-152 в ред. ФЗ-156. При плановой проверке РКН обнаружил отсутствие отдельных согласий. Протокол составлен по ч. 2 ст. 13.11 КоАП. Штраф в сотни тысяч рублей для двух юрлиц группы. Остальные пять избежали протоколов — у них успели переоформить документы до даты проверки.

Кейс 2. Ритейл-группа (Центральный ФО, начало 2026) использовала КЭДО с биометрическим СКУД (распознавание лица). Согласие на биометрию у работников получили в составе трудового договора — нарушение ст. 11 ФЗ-152. DPO на аутсорсинге выявил проблему в ходе внутреннего аудита до визита РКН. В течение месяца переоформили письменные согласия по каждому юрлицу группы, обновили уведомления в реестре РКН. Проверка завершена без штрафов — нарушения устранены до её начала.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка согласий, ОРД и платформы КЭДО по чек-листу 38 пунктов.
Комплект ОРД под ключ — политики, согласия, приказы, договоры поручения для всей группы компаний.
DPO-аутсорсинг — ответственный по ст. 22.1 ФЗ-152 на абонентском обслуживании для каждого юрлица группы.

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025, сохраняют юридическую силу — ФЗ-156 обратной силы не имеет. Переоформлять нужно только те согласия, которые с 01.09.2025 оформляются впервые или перезаключаются: новые приёмы, изменение целей обработки, новые виды данных. Если старое согласие встроено в трудовой договор и работник впоследствии его отзывает — оформить отдельный документ по новым требованиям.

2. Какие данные нельзя запрашивать у работника в анкете при КЭДО?

Ст. 86 ТК РФ запрещает получать данные о политических, религиозных убеждениях и частной жизни работника — кроме случаев, прямо предусмотренных федеральным законом. Нельзя собирать сведения о членстве в профсоюзах, состоянии здоровья (кроме допуска к работе), национальности и происхождении без специального основания. Данные о судимости — только если должность требует проверки по закону. Избыточный сбор нарушает принцип минимизации по ст. 5 ФЗ-152 и ст. 86 ТК РФ.

3. Можно ли вести видеонаблюдение в офисе при КЭДО?

Видеонаблюдение на рабочем месте допустимо в целях охраны труда и безопасности по ст. 214.2 ТК РФ. Работников необходимо уведомить об установке камер под подпись. Если запись лица используется для идентификации — это биометрические ПДн по ст. 11 ФЗ-152, и нужно отдельное письменное согласие. Использовать видеозапись для оценки эффективности работника без его согласия — нарушение ст. 86 ТК РФ. Перед подключением СКУД с видеоаналитикой к КЭДО оцените правовое основание каждой функции системы.

4. Сколько хранить согласия работников после увольнения?

Срок хранения документов о работнике определяется прежде всего Приказом Росархива № 236 от 20.12.2019 — личное дело хранится 75 лет для документов, созданных после 2003 года. Согласие на обработку ПДн хранится весь период хранения документов, к которым оно относится. После истечения срока хранения или отзыва согласия оператор обязан уничтожить или обезличить ПДн по ст. 21 ФЗ-152 — обычно в течение 30 дней с момента наступления основания.

5. Кто является оператором ПДн при использовании КЭДО в группе компаний?

Оператором по ст. 3 ФЗ-152 является то юридическое лицо, которое самостоятельно определяет цели и состав обработки ПДн своих работников. В группе компаний это, как правило, каждое юрлицо-работодатель. Управляющая компания становится оператором, если ведёт собственный кадровый учёт. Если платформа КЭДО развёрнута управляющей компанией для всей группы — дочерние структуры выступают операторами, управляющая компания — лицом, действующим по поручению. Это разграничение оформляется договором поручения обработки по п. 3 ст. 6 ФЗ-152.

6. Нужны ли отдельные уведомления в РКН от каждого юрлица группы?

Да. Каждый самостоятельный оператор группы обязан направить уведомление в РКН по ст. 22 ФЗ-152 до начала обработки ПДн. Подать единое уведомление за всю группу нельзя. Уведомление подаётся через портал pd.rkn.gov.ru с УКЭП или через ЕСИА. Срок включения в реестр операторов — 30 дней. До включения в реестр начинать обработку ПДн не следует: неуведомление — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП в редакции с 30.05.2025.

Итог

Внедрение КЭДО в группе компаний — многоуровневая задача: определить операторов, оформить согласия по новым требованиям ФЗ-156, собрать пакет ОРД для каждого юрлица, настроить платформу под уровень защищённости по ПП РФ № 1119 и назначить ответственного по ст. 22.1 ФЗ-152. Ошибка в любом из этих шагов — самостоятельный состав нарушения по ст. 13.11 КоАП с штрафом до 700 000 ₽ и выше за каждое юрлицо.

DATUM сопровождает внедрение КЭДО в группах компаний: от инвентаризации операторов и уведомлений РКН до полного пакета ОРД и DPO-аутсорсинга для каждого юрлица. Практика по 152-ФЗ и ТК РФ — с 2014 года.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в ред. ФЗ-156, КЭДО, биометрия СКУД, передача данных в зарплатных проектах.

3 июля 2027 года