Перейти к содержанию
инструкция 22 января 2028 По состоянию на 22 января 2028

Защита ПДн в системе КЭДО: ст. 19 152-ФЗ

КЭДО обрабатывает персональные данные работников в информационной системе — и это накладывает на оператора обязанности по ст. 19 152-ФЗ: организационные и технические меры защиты, определение уровня защищённости по ПП РФ №1119, соответствие Приказу ФСТЭК №21.
С 01.09.2025 согласие работника на обработку ПДн — отдельный документ (ФЗ-156 от 24.06.2025). Штраф за нарушение требований к согласию — до 700 000 ₽ по ч. 2 ст. 13.11 КоАП. Повторное нарушение — до 1 500 000 ₽.
Если вы HRD и КЭДО уже работает, но документы по защите ПДн не актуализированы — каждый рабочий день создаёт дополнительные основания для штрафа при проверке РКН.

Электронный кадровый документооборот концентрирует данные трудовых договоров, личных дел, биометрии СКУД и сведений о состоянии здоровья в единой информационной системе. По составу обрабатываемых данных КЭДО нередко попадает под уровень защищённости УЗ-3 или даже УЗ-2 по ПП РФ №1119. Ниже — пошаговый порядок приведения защиты ПДн в КЭДО в соответствие с требованиями ст. 19 152-ФЗ, ТК РФ и подзаконными актами.

Шаг 1. Установите, какие ПДн обрабатывает ваш КЭДО

Перед выбором мер защиты необходимо зафиксировать состав обрабатываемых данных. КЭДО, как правило, содержит: ФИО, паспортные данные, ИНН, СНИЛС, адрес регистрации, сведения о трудовой деятельности, банковские реквизиты для зарплаты, сведения о состоянии здоровья (медицинские справки, листы нетрудоспособности), а при наличии СКУД — изображение лица или отпечаток пальца.

Сведения о состоянии здоровья относятся к специальным категориям по ст. 10 152-ФЗ. Их обработка требует отдельного письменного согласия работника, если только она прямо не предусмотрена трудовым законодательством. Биометрические данные — изображение лица, используемое для идентификации, — относятся к биометрическим ПДн по ст. 11 152-ФЗ и также требуют отдельного письменного согласия.

«Ст. 10 152-ФЗ: обработка специальных категорий ПДн (в том числе сведений о состоянии здоровья) по общему правилу запрещена, кроме случаев, прямо предусмотренных ч. 2 ст. 10. Ст. 11 152-ФЗ: биометрические ПДн обрабатываются только с письменного согласия субъекта, если иное не установлено федеральным законом.»

Зафиксируйте перечень категорий ПДн, цели обработки и правовое основание по ст. 6 152-ФЗ для каждой категории. Это основа для определения уровня защищённости на следующем шаге.

Шаг 2. Определите уровень защищённости ИСПДн по ПП РФ №1119

Уровень защищённости зависит от трёх параметров: категория ПДн (общие, специальные, биометрические), тип угроз (1–3) и количество субъектов. Порог — 100 000 субъектов. Для большинства HR-систем среднего бизнеса актуален тип угроз 3 (угрозы, не связанные с недокументированными возможностями системного ПО).

Типичное распределение для КЭДО:

  • Общие ПДн (ФИО, паспорт, СНИЛС) + тип угроз 3 + менее 100 000 субъектов — УЗ-4.
  • Специальные ПДн (сведения о здоровье) + тип угроз 3 + менее 100 000 субъектов — УЗ-3.
  • Биометрические ПДн (изображение лица в СКУД) + тип угроз 3 — УЗ-3.
  • Специальные или биометрические + тип угроз 2 или более 100 000 субъектов — УЗ-2 или УЗ-1.
«ПП РФ №1119 от 01.11.2012: уровень защищённости ИСПДн определяется исходя из категории обрабатываемых ПДн, типа актуальных угроз и числа субъектов. Каждому уровню соответствует обязательный набор организационных и технических мер.»

Оформите акт определения уровня защищённости — это самостоятельный документ, который проверяет РКН. Его отсутствие — основание для штрафа по ч. 1 ст. 13.11 КоАП.

Система КЭДО уже запущена, но документы не актуализированы?

Если КЭДО обрабатывает специальные или биометрические ПДн без надлежащего акта об уровне защищённости и без пакета ОРД — это уже нарушение. Проверка РКН может начаться в любой момент. Согласия работников после 01.09.2025 требуют переработки по требованиям ФЗ-156.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Реализуйте меры защиты по Приказу ФСТЭК №21

Приказ ФСТЭК №21 от 18.02.2013 устанавливает 109 мер в 15 группах. Для каждого уровня защищённости определён базовый набор мер. Для КЭДО наиболее критичны следующие группы:

  • ИАФ (идентификация и аутентификация): двухфакторная аутентификация при доступе к системе КЭДО. Для УЗ-3 — обязательна.
  • УПД (управление правами доступа): разграничение ролей — кадровый специалист, руководитель, системный администратор. Доступ по принципу минимальных привилегий.
  • РСБ (регистрация и мониторинг): ведение журналов доступа к ПДн. Фиксация: кто, когда, какой документ открыл или изменил.
  • ЗНИ (защита носителей информации): шифрование данных на серверах и при передаче. Актуально при облачном КЭДО.
  • АВЗ (антивирусная защита): средства защиты от вредоносного ПО на рабочих станциях кадровиков.
  • ОДТ (обеспечение доступности): резервное копирование кадровых данных.

При использовании облачного КЭДО (SaaS-платформа) убедитесь, что поставщик имеет аттестат соответствия требованиям по защите ПДн или лицензию ФСТЭК. Договор с поставщиком должен содержать поручение на обработку ПДн по п. 3 ст. 6 152-ФЗ с перечнем разрешённых действий и обязанностью соблюдать конфиденциальность.

Шаг 4. Приведите согласия работников в соответствие с ФЗ-156

С 01.09.2025 согласие на обработку ПДн не может быть включено в трудовой договор, анкету, оферту или иной документ. Это требование ч. 1 ст. 9 152-ФЗ в редакции ФЗ-156 от 24.06.2025. Каждое согласие — отдельный документ с обязательными реквизитами: ФИО субъекта и его контактные данные, наименование и адрес оператора, цель обработки, перечень ПДн, перечень действий, срок, способ отзыва.

«Ст. 9 152-ФЗ в ред. ФЗ-156 от 24.06.2025 (действует с 01.09.2025): согласие субъекта на обработку ПДн оформляется самостоятельным документом, не объединяется с договором, политикой или иным документом. Согласия, полученные до 01.09.2025, юридической силы не утрачивают — обратной силы нет.»

Для КЭДО необходимо разделить согласия по целям: на обработку общих ПДн в целях ведения кадрового учёта (основание — п. 5 ст. 6 152-ФЗ, исполнение договора, поэтому согласие не нужно), на обработку специальных ПДн о здоровье (отдельное письменное согласие по ст. 10), на биометрические ПДн для СКУД (отдельное письменное согласие по ст. 11), на распространение ПДн (корпоративный сайт, доска почёта) — по ст. 10.1.

Отдельно урегулируйте обработку ПДн в самой системе КЭДО: если провайдер КЭДО является обработчиком, работник должен быть об этом уведомлён. Если провайдер — самостоятельный оператор, требуется отдельное согласие на передачу данных третьему лицу.

Что подготовить HRD для защиты ПДн в КЭДО

  • Акт определения уровня защищённости ИСПДн по ПП РФ №1119 с подписью ответственного.
  • Отдельные согласия работников по ст. 9 152-ФЗ в редакции ФЗ-156 — для каждой цели обработки.
  • Договор (поручение) с провайдером КЭДО по п. 3 ст. 6 152-ФЗ с перечнем допустимых действий.
  • Приказ о назначении ответственного за обработку ПДн по ст. 22.1 152-ФЗ.
  • Политика обработки ПДн с разделами по ч. 2 ст. 18.1 152-ФЗ — опубликована на сайте или вывешена в офисе.

Шаг 5. Урегулируйте биометрию в СКУД и видеонаблюдение

Если в офисе используется СКУД с распознаванием лица или отпечатков пальцев, а данные хранятся в информационной системе работодателя — это обработка биометрических ПДн по ст. 11 152-ФЗ. Обработка допустима только с письменного согласия работника. Отказ работника от предоставления биометрии не может быть основанием для отказа в приёме на работу или увольнения — это прямо следует из ст. 86 ТК РФ.

Видеонаблюдение в офисе в целях обеспечения безопасности не является обработкой биометрических ПДн, если видеозапись не используется для идентификации конкретного работника. Однако работники должны быть письменно уведомлены о ведении видеозаписи — это требование ст. 22.2 ТК РФ и ст. 86 ТК РФ. Факт уведомления следует фиксировать в журнале ознакомления.

«Ст. 86 ТК РФ: работодатель не вправе получать и обрабатывать ПДн работника о его политических взглядах, религиозных и иных убеждениях, частной жизни; не вправе использовать ПДн работника в целях, не связанных с трудовыми отношениями. Ст. 87 ТК РФ: порядок хранения и использования ПДн работников устанавливается работодателем самостоятельно с соблюдением требований ТК РФ и иных федеральных законов.»

Для биометрии СКУД дополнительно проверьте: хранятся ли биометрические шаблоны на сервере работодателя или только на карте/токене работника. Во втором случае обработка биометрии в ИСПДн отсутствует и согласие по ст. 11 не требуется.

Если в КЭДО или СКУД хранятся биометрические данные без письменных согласий — штраф до 700 000 ₽ по ч. 2 ст. 13.11 КоАП. При повторном нарушении — до 1 500 000 ₽. Юристы DATUM соберут пакет ОРД под КЭДО и биометрию СКУД за фиксированный срок.

Собрать ОРД под ключ

Как применяются эти правила на практике

Кейс 1. Производственная компания (Уральский ФО, весна 2026) использовала КЭДО со встроенным модулем СКУД на основе распознавания лица. Согласия на биометрию были включены в текст трудового договора. После внеплановой проверки РКН компания получила протокол по ч. 2 ст. 13.11 КоАП: согласие не соответствовало требованиям к письменной форме для биометрических ПДн. Штраф составил сотни тысяч рублей. Дополнительно выявлено отсутствие акта об уровне защищённости ИСПДн — протокол по ч. 1 ст. 13.11. Компания переоформила согласия и прошла повторную проверку без замечаний.

Кейс 2. IT-компания (Центральный ФО, осень 2025) перешла на облачный КЭДО. Договор с провайдером не содержал условий о поручении обработки ПДн по п. 3 ст. 6 152-ФЗ: не был определён перечень допустимых действий и не зафиксирована обязанность провайдера соблюдать конфиденциальность. HR-директор, выявив нарушение в ходе внутреннего аудита, инициировала переоформление договора и подачу актуализированного уведомления в РКН. Проверка РКН, инициированная по жалобе уволенного работника, не выявила нарушений — акт об уровне защищённости и ОРД к тому моменту были в порядке.

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025, юридической силы не утрачивают — ФЗ-156 не имеет обратной силы. Однако если согласие включено в текст трудового договора или иного документа, оно не соответствует новым требованиям ч. 1 ст. 9 152-ФЗ. Такое согласие формально действует, но при проверке РКН может быть квалифицировано как ненадлежащее. Рекомендуется получить отдельные согласия у работников, принятых до 01.09.2025, при первой возможности — при подписании дополнительных соглашений или новых кадровых документов.

2. Какие данные нельзя спрашивать в анкете при приёме на работу?

По ст. 86 ТК РФ и ст. 10 152-ФЗ работодатель не вправе запрашивать данные о политических и религиозных взглядах, членстве в профсоюзах, состоянии здоровья (кроме случаев, прямо предусмотренных трудовым законодательством), судимости (если должность не требует её проверки по закону), семейном положении и детях — без прямой связи с трудовыми функциями. Включение таких вопросов в анкету без правового основания — нарушение ч. 1 ст. 13.11 КоАП, штраф 150 000–300 000 ₽.

3. Можно ли вести видеонаблюдение в офисе?

Видеонаблюдение в офисе допустимо, если работники письменно уведомлены о его ведении — это требование ст. 22.2 ТК РФ. Если видеозапись не используется для идентификации конкретного работника, она не квалифицируется как биометрические ПДн и отдельного согласия по ст. 11 152-ФЗ не требует. Фиксируйте факт ознакомления работников с уведомлением о видеонаблюдении в журнале или в тексте трудового договора отдельным пунктом.

4. Сколько хранить согласия после увольнения работника?

Персональные данные работника, обрабатывавшиеся на основании согласия, должны быть уничтожены после достижения цели обработки или по отзыву согласия — если иной срок не установлен законодательством. Личное дело работника хранится 75 лет по типовому перечню управленческих документов. Само согласие как документ входит в состав личного дела — его срок хранения соответствует сроку хранения дела. При уничтожении составляется акт.

5. Кто является оператором ПДн при использовании КЭДО?

Оператором ПДн работников является работодатель — юридическое лицо, которое определяет цели и состав обрабатываемых данных. Провайдер КЭДО, действующий на основании договора-поручения по п. 3 ст. 6 152-ФЗ, является лицом, осуществляющим обработку по поручению оператора. Ответственность перед работниками и РКН несёт оператор. Провайдер КЭДО несёт ответственность перед оператором в рамках договора, а также самостоятельную ответственность за нарушения при обработке ПДн по указанию оператора.

6. Что проверяет РКН в КЭДО при плановой проверке?

При плановой проверке РКН, как правило, запрашивает: уведомление о намерении обрабатывать ПДн по ст. 22 152-ФЗ и его соответствие фактической обработке, политику обработки ПДн по ст. 18.1, приказ о назначении ответственного по ст. 22.1, согласия работников на обработку специальных и биометрических ПДн, договор с провайдером КЭДО, акт об уровне защищённости ИСПДн. Отсутствие любого из этих документов — самостоятельный состав нарушения по ст. 13.11 КоАП.

Итог

Защита ПДн в КЭДО — это пять последовательных шагов: инвентаризация состава данных, определение уровня защищённости по ПП РФ №1119, реализация мер по Приказу ФСТЭК №21, переработка согласий под требования ФЗ-156 и урегулирование биометрии СКУД. Каждый пропущенный шаг — самостоятельное основание для штрафа от 150 000 до 1 500 000 ₽ по ст. 13.11 КоАП.

Практика DATUM по 152-ФЗ в HR-сфере охватывает аудит КЭДО-систем, разработку комплектов ОРД для кадрового документооборота и сопровождение проверок РКН в HR-департаментах.

Услуги DATUM по теме

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM. Специализация — согласия работников по ст. 9 152-ФЗ (ред. ФЗ-156), КЭДО, биометрия СКУД, передача ПДн в зарплатных проектах, проверки РКН в HR-департаментах.

22 января 2028 года