Перейти к содержанию
инструкция 14 января 2028 По состоянию на 14 января 2028

Юр. услуга — аудит найма по 152-ФЗ

Аудит найма по 152-ФЗ — это проверка того, как HR-департамент собирает, обрабатывает и хранит персональные данные кандидатов и новых сотрудников на всех этапах: от анкеты до подписания трудового договора.
С 01.09.2025 согласие работника оформляется отдельным документом (ФЗ-156). Нарушение — штраф по ч. 2 ст. 13.11 КоАП до 700 000 ₽ за каждый факт обработки без надлежащего согласия.
Если вы HRD и согласия работников всё ещё встроены в трудовой договор или анкету — аудит найма покажет, где риск, и устранит его до проверки РКН. → Подготовиться к аудиту

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420: 18 частей, оборотные штрафы при повторности. HR-процессы — найм, КЭДО, биометрия СКУД — формируют три самостоятельных риска по ст. 13.11. Аудит найма по 152-ФЗ закрывает все три: выявляет нарушения в документах, устраняет их до проверки и фиксирует результат в отчёте, который принимает арбитражный суд как доказательство добросовестности оператора.

Шаг 1. Оцените, что обрабатывает HR-департамент и на каком основании

Первый этап аудита — инвентаризация данных. HR собирает данные кандидатов через анкеты, сайт, hh.ru, кадровые агентства. Данные новых сотрудников поступают при оформлении: паспорт, СНИЛС, ИНН, сведения о семейном положении, документы об образовании. Часть этих данных — специальные категории по ст. 10 ФЗ-152: сведения о состоянии здоровья при медосмотрах, судимости при допуске к отдельным должностям. Обработка специальных категорий без явного письменного согласия запрещена за рамками исключений п. 2 ст. 10 ФЗ-152.

Правовое основание для обработки данных работника определяется ст. 6 ФЗ-152 и ст. 86–88 ТК РФ. Для обработки в целях исполнения трудового договора согласие не требуется — достаточно п. 5 ч. 1 ст. 6 ФЗ-152. Но для передачи третьим лицам (зарплатный банк, ДМС, пенсионный фонд через НПФ), для видеозаписи, для биометрии СКУД — нужно отдельное согласие по ст. 9 ФЗ-152 в редакции с 01.09.2025.

«Ст. 86 ТК РФ устанавливает: обработка персональных данных работника допускается исключительно в целях соблюдения законодательства и содействия занятости. Данные о частной жизни работника без его письменного согласия не обрабатываются.»

На выходе первого шага: перечень категорий ПДн, которые реально обрабатывает HR; матрица «данные — цель — правовое основание»; список операций, где основание отсутствует или сомнительно.

Шаг 2. Проверьте согласия работников по требованиям ФЗ-156 с 01.09.2025

С 01.09.2025 согласие на обработку персональных данных оформляется отдельным документом — его нельзя включать в трудовой договор, должностную инструкцию, анкету или оферту (ФЗ-156 от 24.06.2025, изменения в ч. 1 ст. 9 ФЗ-152). Ранее полученные согласия, встроенные в другие документы, с этой даты не соответствуют закону при новом привлечении работника.

Обязательные реквизиты согласия по ст. 9 ФЗ-152: ФИО субъекта и его контактные данные, наименование оператора, цель обработки, перечень персональных данных, перечень действий с ними, срок согласия, способ отзыва. Отсутствие любого реквизита делает согласие недействительным. Штраф по ч. 2 ст. 13.11 КоАП — 300 000–700 000 ₽ за обработку без письменного согласия, когда оно обязательно.

«Ч. 2 ст. 13.11 КоАП (ред. с 30.05.2025): обработка персональных данных без согласия в письменной форме или нарушение требований к составу согласия — штраф для юридического лица 300 000–700 000 ₽.»

На практике типовые нарушения выглядят так: согласие — один абзац в приложении к трудовому договору; в перечне данных — «иные сведения, необходимые работодателю» без конкретизации; способ отзыва не указан; цель сформулирована как «кадровый учёт» без детализации. Каждое из этих обстоятельств — самостоятельное основание для протокола по ч. 2.

Согласия работников ещё в трудовом договоре?

Если HRD не переоформил согласия после 01.09.2025 — каждый встроенный документ создаёт риск штрафа по ч. 2 ст. 13.11 КоАП (до 700 000 ₽). Срок 01.09.2025 не восстанавливается: проверка РКН фиксирует факт нарушения на дату обращения, а не на дату введения нормы. Юристы DATUM проверят пакет согласий по чек-листу ФЗ-156 и составят корректные формы под ваши HR-процессы.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Проверьте обработку ПДн в КЭДО и при передаче третьим лицам

КЭДО (кадровый электронный документооборот) создаёт два самостоятельных правовых вопроса. Первый — является ли оператор КЭДО-платформы обработчиком персональных данных по поручению работодателя. По ст. 6 ФЗ-152, поручение обработки третьему лицу оформляется договором, в котором закреплён перечень действий, цели, обязанность конфиденциальности и возможность проверки. Отсутствие такого условия в договоре с вендором КЭДО — нарушение ч. 3 ст. 6 ФЗ-152.

Второй вопрос — согласие работника на участие в КЭДО. По ст. 22.2 ТК РФ, переход на электронный кадровый документооборот с действующим работником требует его согласия. Это согласие по ТК не тождественно согласию по ст. 9 ФЗ-152: они имеют разные основания, разные реквизиты и хранятся отдельно.

При передаче данных работников третьим лицам — зарплатный банк, страховщик ДМС, НПФ, кадровое агентство при аутсорсинге — для каждого получателя требуется отдельное согласие с указанием наименования получателя и цели передачи. Передача данных «банку по зарплатному проекту» без поимённого указания банка в согласии — нарушение ч. 1 ст. 13.11 (обработка в случаях, не предусмотренных законом, или несовместимая с целями).

Что проверить в HR-документах перед аудитом

  • Согласия на обработку ПДн — оформлены отдельным документом, содержат все реквизиты ст. 9 ФЗ-152 в редакции с 01.09.2025
  • Договор с вендором КЭДО — содержит условие поручения обработки ПДн по ч. 3 ст. 6 ФЗ-152
  • Согласия на передачу данных третьим лицам — с поимённым указанием получателя и цели для каждого
  • Политика обработки ПДн — опубликована на сайте и во внутренних системах, содержит раздел о работниках
  • Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 и журнал учёта обращений субъектов

Шаг 4. Проверьте законность биометрии СКУД и видеонаблюдения

Биометрические персональные данные — отдельная категория по ст. 11 ФЗ-152. Изображение лица и голос являются биометрией, когда используются для идентификации конкретного человека. Системы контроля и управления доступом (СКУД) с распознаванием лица или отпечатка пальца обрабатывают биометрию. Основание — письменное согласие по ч. 1 ст. 11 ФЗ-152, отдельное от других согласий.

Видеонаблюдение в офисе — пограничный случай. Если запись ведётся без целенаправленной идентификации и данные не систематизируются в базе для сопоставления с личностью — это не биометрия в смысле ст. 11. Но работник должен быть уведомлён о видеонаблюдении до начала работы (ст. 87 ТК РФ: порядок хранения и использования информации о работниках устанавливается работодателем при условии соблюдения прав работника). Отсутствие уведомления — нарушение ст. 87 ТК в связке со ст. 18.1 ФЗ-152.

Хранение биометрических данных вне Единой биометрической системы (ЕБС) запрещено для случаев, подпадающих под ФЗ-572. СКУД в корпоративной сети — за рамками ЕБС, поэтому требует самостоятельного технического и организационного обеспечения: уровень защищённости не ниже УЗ-3 по ПП РФ №1119, меры по Приказу ФСТЭК №21. Штраф за нарушение требований к биометрии — по ч. 16 ст. 13.11 КоАП.

«Ст. 11 ФЗ-152: обработка биометрических персональных данных допускается только при наличии письменного согласия субъекта. Исключения установлены п. 2 ст. 11 — для целей осуществления правосудия, государственной безопасности и ряда иных случаев, прямо предусмотренных федеральным законом.»

Если в компании СКУД с распознаванием лица и нет письменных биометрических согласий работников — штраф по ч. 16 ст. 13.11 КоАП. Нарушение фиксируется при плановой и внеплановой проверке РКН. Юристы DATUM проверят СКУД-документацию и составят корректные согласия.

Заказать аудит 152-ФЗ

Шаг 5. Проверьте хранение и уничтожение ПДн при увольнении

Личное дело работника хранится 75 лет — это требование законодательства об архивном деле. Но не все данные, собранные при найме, требуют 75-летнего хранения. Данные кандидатов, которым отказано в трудоустройстве, хранятся не дольше, чем необходимо для цели, ради которой собирались (принцип ст. 5 ФЗ-152). На практике это 30–90 дней после отказа, если иной срок не закреплён в политике обработки ПДн.

При увольнении работник вправе потребовать уничтожения данных, которые перестали быть необходимыми для целей обработки (ст. 21 ФЗ-152). Отказ или промедление — нарушение ч. 5 ст. 13.11 КоАП (50 000–90 000 ₽). Отдельный вопрос — данные в КЭДО: если платформа хранит данные уволенного сотрудника на своих серверах после прекращения договора, работодатель как оператор обязан потребовать их уничтожения у обработчика.

Журнал уничтожения ПДн — обязательный организационный документ. Его отсутствие при проверке РКН означает, что оператор не может подтвердить выполнение обязанности по уничтожению, предусмотренной ч. 7 ст. 21 ФЗ-152.

Как это применяется на практике

Кейс 1. Производственная компания (Уральский ФО, весна 2026): HR-директор обратился после получения уведомления о плановой проверке РКН. Аудит найма выявил три нарушения — согласия работников встроены в трудовые договоры, отсутствует договор-поручение с вендором кадровой системы, биометрические согласия на СКУД не оформлены. За 3 недели до проверки документы переоформили, вендор подписал соглашение. Проверка завершилась предписанием по незначительному нарушению (отсутствие срока в одном из старых согласий) без штрафа.

Кейс 2. Розничная сеть (Центральный ФО, осень 2025): после жалобы уволенного сотрудника РКН возбудил дело по ч. 2 ст. 13.11. Выяснилось, что согласие на обработку персональных данных было включено в анкету при приёме на работу — без выделения отдельным документом, без указания способа отзыва. Штраф для юридического лица составил сотни тысяч рублей. Повторное нарушение по ч. 2.1 грозило бы штрафом 1 000 000–1 500 000 ₽. После инцидента компания заказала полный аудит и переоформила документацию по всей сети.

Услуги DATUM по теме

  • Аудит соответствия 152-ФЗ — проверка HR-документов по чек-листу из 38 пунктов, отчёт с планом устранения
  • Комплект ОРД под ключ — согласия, политика, приказы, регламент реагирования под HR-процессы
  • DPO-аутсорсинг — ответственный по ст. 22.1 ФЗ-152 на абонентском обслуживании, ответы на запросы субъектов

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025, обратной силы не теряют — ФЗ-156 не требует их принудительного переоформления для уже действующих работников. Но если согласие встроено в трудовой договор или анкету и работник при этом продолжает работать на новых условиях, риск претензий со стороны РКН при проверке существует. При найме новых сотрудников с 01.09.2025 согласие обязательно оформляется отдельным документом по ст. 9 ФЗ-152 в редакции ФЗ-156. Рекомендуемая практика — переоформить согласия действующих работников при очередном кадровом мероприятии (перевод, повышение, изменение условий труда).

2. Какие данные нельзя спрашивать в анкете при найме?

По ст. 86 ТК РФ работодатель вправе обрабатывать только данные, необходимые для исполнения трудового договора. Вопросы о национальности, вероисповедании, политических взглядах, состоянии здоровья (кроме обязательного медосмотра), семейном положении, членстве в профсоюзах — это специальные категории по ст. 10 ФЗ-152, обработка которых без явного согласия запрещена. Анкеты, содержащие такие пункты без отдельного согласия, создают риск по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽).

3. Можно ли вести видеонаблюдение в офисе без согласия работников?

Видеонаблюдение без целенаправленной идентификации лиц не является обработкой биометрических данных по ст. 11 ФЗ-152 и не требует биометрического согласия. Но работодатель обязан уведомить работника о факте видеонаблюдения до начала работы (ст. 87 ТК РФ) и закрепить цели, порядок и сроки хранения записей в локальном акте. Если записи используются для идентификации конкретного работника или систематизируются в базе по личности — это уже биометрия, и требуется письменное согласие по ст. 11 ФЗ-152.

4. Сколько хранить согласия после увольнения работника?

Согласие на обработку персональных данных — документ личного дела. Личное дело хранится 75 лет по требованиям архивного законодательства. Согласия, оформлявшиеся отдельно от личного дела (например, на передачу данных в зарплатный банк), хранятся не менее срока хранения данных, к которым они относятся. После уничтожения персональных данных согласие утрачивает смысл, но его копия с отметкой об уничтожении данных рекомендуется к хранению для подтверждения правомерности обработки при возможной претензии субъекта.

5. Кто является оператором персональных данных при использовании КЭДО?

Оператором остаётся работодатель — именно он определяет цели и состав обрабатываемых данных работников. Вендор КЭДО-платформы является обработчиком по поручению в смысле ч. 3 ст. 6 ФЗ-152. Это означает, что договор с вендором обязан содержать перечень разрешённых действий с данными, цели обработки, условия конфиденциальности и право работодателя на проверку. Ответственность перед РКН и работниками несёт работодатель-оператор, а не платформа.

6. Что делать, если кандидат отозвал согласие на обработку данных до трудоустройства?

По ст. 9 ФЗ-152 субъект вправе отозвать согласие в любой момент. При отзыве оператор обязан прекратить обработку и уничтожить данные в срок, предусмотренный законом (по общему правилу — не позднее 30 дней). Если кандидат не был принят на работу — данные уничтожаются. Если трудовой договор уже заключён — основание для обработки переходит с согласия (ст. 9 ФЗ-152) на исполнение договора (п. 5 ч. 1 ст. 6 ФЗ-152), и отзыв согласия не обязывает прекратить обработку в части данных, необходимых для исполнения трудового договора.

Итог

Аудит найма по 152-ФЗ закрывает три группы рисков: несоответствие согласий работников требованиям ФЗ-156 (штраф до 700 000 ₽ по ч. 2 ст. 13.11), отсутствие договора-поручения с вендором КЭДО и нарушения в биометрии СКУД. Проверка РКН фиксирует эти нарушения на дату визита — независимо от того, когда они возникли.

Практика DATUM по HR-блоку 152-ФЗ с 2014 года охватывает аудиты HR-департаментов производственных, торговых и IT-компаний, подготовку к проверкам РКН и защиту от штрафов по ст. 13.11 КоАП в арбитражных судах.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Согласия работников по ст. 9 152-ФЗ (ФЗ-156), КЭДО, биометрия СКУД, передача в зарплатных проектах. Сопровождение проверок РКН в HR-департаментах.

14 января 2028 года