Перейти к содержанию
инструкция 17 января 2028 По состоянию на 17 января 2028

Является ли оператор КЭДО оператором ПДн или обработчиком

Статус оператора КЭДО по 152-ФЗ зависит от того, кто определяет цели и состав обработки персональных данных — работодатель или вендор системы.
Работодатель, ведущий кадровый электронный документооборот, остаётся оператором ПДн по ст. 3 ФЗ-152. Вендор КЭДО в большинстве схем — обработчик по поручению (п. 3 ст. 6 ФЗ-152). Путаница в статусах создаёт пробел в ответственности и открывает основание для штрафа по ч. 1–2 ст. 13.11 КоАП.
→ Если вы HRD и ваша компания внедрила КЭДО без формализованного поручения — у вас есть неоформленный риск штрафа до 700 000 ₽ за каждый факт обработки без надлежащего основания.

С 2022 года КЭДО стало массовым явлением: крупный бизнес переводит трудовые договоры, приказы и согласия в цифровой формат. Однако вопрос о том, кто именно является оператором ПДн — работодатель или платформа КЭДО, — до сих пор решается интуитивно, без надлежащей документации. Эта инструкция разбирает критерии разграничения, необходимые документы и последовательность действий HR-директора для снятия правового риска.

Как разграничить оператора ПДн и обработчика по поручению в КЭДО?

Оператор персональных данных — это лицо, которое самостоятельно или совместно с другими определяет цели и способы обработки ПДн (ст. 3 ФЗ-152). Обработчик по поручению — лицо, которое обрабатывает ПДн исключительно на основании инструкций оператора и не вправе использовать данные в собственных целях (п. 3 ст. 6 ФЗ-152).

Применительно к КЭДО ответ выглядит следующим образом. Работодатель принимает решение о приёме сотрудника, определяет перечень требуемых документов, устанавливает сроки хранения личных дел. Именно работодатель формирует цели обработки: исполнение трудового договора, начисление зарплаты, воинский учёт. Значит, работодатель — оператор.

Вендор КЭДО предоставляет техническую платформу: хранит файлы, обеспечивает подписание, передаёт документы между участниками. Если вендор не определяет, зачем и какие данные собирать, — он действует как обработчик. Ключевой маркер: вендор не вправе использовать данные работников за пределами инструкций работодателя.

«Ст. 6 ч. 3 ФЗ-152: обработка ПДн по поручению оператора осуществляется на основании договора. В договоре обязательно прописываются цели, перечень действий с ПДн и обязанность обработчика соблюдать конфиденциальность.»

На практике встречаются три схемы. Первая: работодатель — единственный оператор, вендор КЭДО — обработчик. Это стандартная корпоративная модель. Вторая: вендор КЭДО оказывает услугу нескольким работодателям и самостоятельно устанавливает правила хранения и обработки — тогда вендор может быть признан самостоятельным оператором в части своей инфраструктуры. Третья: работодатель использует облачный КЭДО, где сервер находится за рубежом, — возникает риск нарушения локализации по ч. 5 ст. 18 ФЗ-152.

Не знаете, как оформить статус вендора КЭДО в документах?

Если HRD внедрил КЭДО, но договор с вендором не содержит раздела о поручении обработки ПДн — каждый документ, подписанный в системе, обрабатывается без надлежащего правового основания. Это основание для штрафа по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽). Юристы DATUM проведут аудит договора с вендором и сформируют необходимые документы в рамках пакета ОРД.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 1. Определите фактическую роль вендора КЭДО

До составления любых документов необходимо ответить на три вопроса. Первый: определяет ли вендор самостоятельно, какие ПДн и зачем собираются — или только выполняет технические функции по вашему заданию? Второй: имеет ли вендор доступ к данным работников за пределами задач, которые вы ему поставили? Третий: расположены ли серверы вендора на территории России?

Если на первый вопрос ответ «нет», на второй — «нет», на третий — «да» — вендор является обработчиком, и ваша задача — оформить поручение. Если хотя бы один ответ расходится — схема требует дополнительного анализа: возможно совместное операторство или самостоятельный оператор.

Для ряда крупных отечественных платформ КЭДО (1С:Кабинет сотрудника, Контур.Диадок кадры, HRlink) стандартная схема — обработчик. Но это не освобождает работодателя от необходимости формализовать отношения договором поручения.

Шаг 2. Проверьте договор с вендором на соответствие п. 3 ст. 6 ФЗ-152

Договор с вендором КЭДО должен содержать обязательные условия, предусмотренные п. 3 ст. 6 ФЗ-152. Проверьте наличие следующих элементов в тексте договора или дополнительного соглашения к нему.

Что должно быть в договоре с вендором КЭДО

  • Явное указание, что обработка ведётся по поручению работодателя-оператора, а не в собственных целях вендора
  • Исчерпывающий перечень действий с ПДн: хранение, передача, уничтожение, резервное копирование
  • Обязанность вендора обеспечить конфиденциальность и не передавать ПДн третьим лицам
  • Территория обработки: Россия (в соответствии с ч. 5 ст. 18 ФЗ-152)
  • Порядок уничтожения ПДн при расторжении договора (с указанием сроков и подтверждения)

Если договор — типовой SaaS-оферта и не содержит этих условий, необходимо добавить дополнительное соглашение. Оферта, принятая кликом, не является надлежащим договором поручения в понимании ФЗ-152.

Какие согласия работников нужны при использовании КЭДО?

Обработка ПДн работника в рамках КЭДО осуществляется преимущественно на основании п. 5 ч. 1 ст. 6 ФЗ-152 (исполнение трудового договора) и ст. 22.1–22.2 ТК РФ, регулирующих КЭДО. Согласие по ст. 9 ФЗ-152 требуется только там, где закон прямо его предписывает или где цель обработки выходит за рамки трудовых отношений.

Конкретные случаи, когда согласие необходимо. Первое: сбор биометрических данных для СКУД (сканирование лица или отпечатка пальца). По ст. 11 ФЗ-152 — только письменное согласие. Второе: хранение и использование фотографии работника для внутреннего портала, корпоративного сайта или пропуска, если эта цель не охвачена трудовым договором. Третье: передача данных работника в сторонние системы, не предусмотренные трудовым договором: страховщик, банк-партнёр, оператор корпоративного фитнеса.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 (действует с 01.09.2025): согласие оформляется отдельным документом. Включение согласия в текст трудового договора, анкеты или корпоративной политики недопустимо.»

По ст. 86–87 ТК РФ работодатель вправе обрабатывать только те персональные данные работника, которые необходимы для осуществления и исполнения трудовых обязанностей. Спрашивать в анкете сведения о вероисповедании, политических взглядах, состоянии здоровья (кроме случаев, установленных законом) — запрещено.

Шаг 3. Актуализируйте согласия работников после 01.09.2025

С 01.09.2025 любое согласие на обработку ПДн должно быть оформлено отдельным документом — не встроено в трудовой договор, анкету, оферту или иной документ с иным предметом. Это требование ФЗ-156 от 24.06.2025, внёсшего поправки в ч. 1 ст. 9 ФЗ-152.

Что делать с ранее полученными согласиями. Если согласие было встроено в трудовой договор до 01.09.2025 — оно не утрачивает силу автоматически (закон не имеет обратной силы). Однако при любом обновлении или перезаключении согласия (например, при изменении перечня ПДн или целей) документ необходимо переоформить по новым требованиям.

Обязательные реквизиты согласия по ст. 9 ФЗ-152: ФИО и контактные данные работника, наименование и адрес работодателя-оператора, конкретная цель обработки (не «кадровый учёт» в целом, а точная формулировка), перечень ПДн, перечень допустимых действий, срок действия согласия, порядок его отзыва.

Если HRD не проверил формат согласий после 01.09.2025 — каждый документ с включённым в него согласием создаёт риск штрафа по ч. 2 ст. 13.11 КоАП (300 000–700 000 ₽). Срок переоформления при обновлении согласий — сейчас.

Собрать ОРД под ключ

Шаг 4. Оформите поручение обработки и назначьте ответственного

После проверки договора с вендором и актуализации согласий HR-директору необходимо убедиться в наличии двух организационных документов.

Первый — приказ о назначении лица, ответственного за организацию обработки ПДн (ст. 22.1 ФЗ-152). В компаниях, где КЭДО ведётся без назначенного ответственного, отсутствие приказа само по себе является нарушением. При проверке РКН это первое, что запрашивают.

Второй — актуальная политика обработки персональных данных, опубликованная в свободном доступе (ч. 2 ст. 18.1 ФЗ-152). Политика должна отражать фактическую структуру обработки: включать КЭДО как систему, указывать вендора как обработчика по поручению, описывать цели и сроки хранения кадровых документов.

Нередко компания внедряет КЭДО, но политику конфиденциальности не обновляет — в ней по-прежнему описана только обработка данных клиентов на сайте. Это несоответствие реальной обработки заявленной является нарушением ст. 5 ФЗ-152 (принцип законности и соответствия целям).

Как это работает на практике: два сценария

Сценарий 1. КЭДО без поручения. Производственная компания в Уральском ФО внедрила облачный КЭДО через SaaS-оферту. Договор поручения не заключался, политика конфиденциальности не обновлялась. По итогам плановой проверки РКН в конце 2025 года регулятор установил, что данные работников обрабатываются в информационной системе, не отражённой в уведомлении. Компании выдано предписание и возбуждено дело по ч. 1 ст. 13.11 КоАП (штраф 150 000–300 000 ₽). Устранение нарушений потребовало переоформления договора с вендором, обновления политики и повторного уведомления РКН — работа заняла около трёх недель.

Сценарий 2. Биометрия СКУД без письменного согласия. Торговая сеть (Северо-Западный ФО, осень 2025) использовала систему контроля доступа с распознаванием лица. Согласие на обработку биометрии было включено в приложение к трудовому договору. После 01.09.2025 такое согласие утратило соответствие требованиям ст. 9 ФЗ-152 при его обновлении. Жалоба одного работника повлекла проверку, по результатам которой возбуждено дело по ч. 2 ст. 13.11 КоАП с потенциальным штрафом до 700 000 ₽. Компания переоформила согласия отдельными документами и избежала итогового штрафа, сославшись на добровольное устранение.

Услуги DATUM по теме

  • Аудит соответствия 152-ФЗ — проверка договоров с вендорами КЭДО, согласий и ОРД по чек-листу из 38 пунктов
  • Комплект ОРД под ключ — политика, согласия работников, приказ о назначении ответственного, поручение обработки
  • DPO-аутсорсинг — абонентское сопровождение: ответы на запросы субъектов, актуализация документов

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Ранее подписанные согласия не теряют юридической силы автоматически — ФЗ-156 не имеет обратной силы. Переоформление обязательно только при обновлении согласия: если вы меняете перечень ПДн, цели или добавляете новые виды обработки (например, биометрию СКУД). В этих случаях согласие оформляется отдельным документом с реквизитами по ст. 9 ФЗ-152.

2. Какие данные нельзя спрашивать в анкете при приёме на работу?

По ст. 86 ТК РФ работодатель вправе запрашивать только данные, необходимые для трудовых отношений. Запрещено включать в анкету вопросы о расовой и национальной принадлежности, политических и религиозных взглядах, состоянии здоровья (кроме случаев, предусмотренных законом для конкретных должностей), интимной жизни. Эти категории относятся к специальным по ст. 10 ФЗ-152, и их обработка без прямого основания — нарушение.

3. Можно ли вести видеонаблюдение в офисе без согласия сотрудников?

Видеонаблюдение в целях охраны труда и имущества допустимо без согласия работника при условии, что работник надлежащим образом уведомлён об этом до начала наблюдения (ст. 86 ТК РФ). Уведомление оформляется в трудовом договоре или отдельным приказом с подписью работника. Если изображение с камер используется для идентификации личности — это биометрические данные по ст. 11 ФЗ-152, и тогда письменное согласие обязательно.

4. Сколько хранить согласия после увольнения работника?

Личное дело работника хранится 75 лет (для большинства документов кадрового учёта — по номенклатуре дел согласно приказу Росархива). Согласие является частью личного дела и хранится вместе с ним. После увольнения работник вправе потребовать уничтожения ПДн по ст. 9 ч. 2 ФЗ-152, однако оператор вправе отказать, если обработка продолжается по иному законному основанию — например, для исполнения архивных обязанностей работодателя.

5. Кто является оператором при использовании аутсорсингового КЭДО?

Оператором остаётся работодатель — он определяет цели (ведение кадрового учёта) и состав данных. Платформа КЭДО в стандартной схеме — обработчик по поручению по п. 3 ст. 6 ФЗ-152. Исключение: если вендор самостоятельно определяет правила хранения, профилирует работников или использует данные в своих целях — он может быть признан самостоятельным или совместным оператором.

6. Что делать, если вендор КЭДО хранит данные за рубежом?

Запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан России должны осуществляться в базах на территории РФ (ч. 5 ст. 18 ФЗ-152). Если вендор хранит данные на зарубежных серверах — это нарушение локализации, за которое предусмотрен штраф по ч. 8 ст. 13.11 КоАП (1 000 000–6 000 000 ₽). Необходимо либо сменить вендора, либо потребовать переноса данных в российский дата-центр.

Итог

Работодатель, использующий КЭДО, остаётся оператором ПДн — вне зависимости от того, кто предоставил программную платформу. Вендор КЭДО в стандартной схеме является обработчиком по поручению и должен быть оформлен соответствующим договором с обязательными условиями по п. 3 ст. 6 ФЗ-152. Согласия работников на обработку ПДн, выходящую за рамки трудового договора, с 01.09.2025 оформляются исключительно отдельными документами.

Практика DATUM по сопровождению HR-процессов в рамках 152-ФЗ включает аудит договоров с вендорами КЭДО, разработку пакетов согласий и ОРД для HR-департаментов, а также поддержку при проверках РКН в части кадровой обработки.

Есть вопросы по статусу вашего вендора КЭДО?

Если HRD не уверен, правильно ли оформлены отношения с платформой КЭДО и актуальны ли согласия работников после 01.09.2025 — DATUM оценит риски по 152-ФЗ, проверит договор с вендором и подготовит пакет документов. Практика «Ветров и партнёры» по 152-ФЗ с 2014 года.

Оценить риски по 152-ФЗ

+7 (383) 310-38-76 · +7 (983) 510-38-76 · Telegram · info@vitveteam.ru

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах.

17 января 2028 года