КадрЭДО

Персональные данные сотрудников в КЭДО: 152-ФЗ и штрафы 2026

Мария Ж. 16 мин чтения

Утечка данных 1000 сотрудников стоит компании от 3 млн рублей, повторная — от 20 млн или 1-3% годовой выручки, а согласие на обработку персональных данных, зашитое в трудовой договор после 1 сентября 2025 года, превращает штатный переход на КЭДО в штраф до 700 тысяч. Из этой статьи вы узнаете, какие согласия собирать после изменений 156-ФЗ, сколько хранить электронные кадровые документы, что спросит безопасник у вендора и как уложиться в 24 часа при утечке. Материал продолжает наш разбор темы кадровый электронный документооборот и закрывает его юридическую часть.

Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.

Что из данных сотрудников попадает в КЭДО и когда фото становится биометрией

В систему КЭДО попадают ФИО, паспортные данные, СНИЛС, ИНН, адрес, телефон, сведения о должности и зарплате, данные сертификата электронной подписи — все это персональные данные по ст. 3 152-ФЗ, то есть любая информация, относящаяся к определенному или определяемому лицу. Ключевое слово — «определяемому»: косвенная идентификация тоже считается. Табельный номер в связке с должностью и подразделением уже позволяет определить человека, поэтому выгрузки из 1С с «обезличенными» номерами Роскомнадзор трактует как обработку ПДн.

Отдельный слой — специальные категории (здоровье, судимость) и биометрия. Здесь важна граница, которую путают даже вендоры: фотография в личном деле или в карточке сотрудника КЭДО биометрией не является, потому что не используется для установления личности. Биометрией фото становится, когда по нему система идентифицирует человека — например, в СКУД с распознаванием лиц. Встречающийся в статьях тезис «спецкатегории и биометрию в КЭДО обрабатывать нельзя» юридически неверен: 152-ФЗ не запрещает такую обработку, а требует отдельного письменного согласия и усиленных мер защиты. В практике Добыто медицинские сведения (например, справки для допуска к работе) заводятся в отдельный контур с ограниченным доступом и отдельным согласием, а не запрещаются целиком.

Схема движения кадровых документов и персональных данных сотрудников в системе КЭДО

Кто оператор, кто обработчик: сотрудники, кандидаты, ГПХ и самозанятые

Работодатель всегда остается оператором ПДн — он определяет цели и состав обработки. Сервис КЭДО выступает лицом, осуществляющим обработку по поручению оператора (ч. 3 ст. 6 152-ФЗ). Это поручение оформляется отдельным соглашением об обработке ПДн к договору с вендором: в нем фиксируются перечень действий, цели, обязанность конфиденциальности и меры защиты. Если такого соглашения нет, ответственность за действия сервиса все равно несет работодатель — перед субъектом данных отвечает оператор.

Мария Ж, юрист, судебный эксперт в сфере трудового права: «Самый частый пробел, который я вижу при аудите внедрений — компания подписала лицензионный договор с вендором, но не заключила соглашение об обработке персональных данных. Формально это означает передачу данных третьему лицу без правового основания, и при проверке Роскомнадзор квалифицирует ее как обработку без согласия со штрафом до 700 тысяч рублей».

Три пограничных случая, которые почти никто не разбирает. Первый — кандидаты: их данные обрабатываются до трудовых отношений, и основание зависит от сценария. Если кандидат сам регистрируется в сервисе и загружает документы, оператором его данных на этом этапе выступает сервис по собственной политике. Если HR выгружает анкеты кандидатов в систему — оператором остается компания, и нужно согласие кандидата. Второй — исполнители по ГПХ и самозанятые: на них не распространяются ст. 22.1-22.3 ТК РФ, документы с ними идут не как кадровые, а основание обработки — исполнение договора (п. 5 ч. 1 ст. 6 152-ФЗ), но согласие на передачу данных в сервис все равно требуется. Третий — дистанционные работники по гл. 49.1 ТК РФ: с ними электронное взаимодействие возможно и вне КЭДО, но состав обрабатываемых данных тот же. В практике Добыто при массовой регистрации сотрудников выгрузкой из 1С мы закладываем этап сверки: в систему попадают только поля, перечисленные в согласии, лишние атрибуты отсекаются на импорте.

Раздел документов сотрудника в интерфейсе сервиса КЭДО с разграничением доступа

Согласия в 2026 году: матрица, требования 156-ФЗ и аудит старых договоров

Главная ошибка внедрения — смешивание двух разных согласий. Согласие на взаимодействие через КЭДО дается по ст. 22.2 ТК РФ и оформляется в письменном виде; отказавшегося сотрудника нельзя уволить или наказать, документы с ним ведутся на бумаге. Согласие на обработку персональных данных — институт 152-ФЗ, оно нужно для передачи данных в сервис, выпуска сертификата подписи и других действий за пределами прямых обязанностей работодателя. Один документ не заменяет другой, а отзыв одного не отменяет второй.

С 1 сентября 2025 года действует требование 156-ФЗ от 24.06.2025: согласие на обработку ПДн оформляется отдельно от иных документов и информации, которые подписывает субъект (новое предложение в ч. 1 ст. 9 152-ФЗ). Пункт о согласии внутри трудового договора для новых работников больше не работает. Обратной силы норма не имеет — согласия, полученные до 01.09.2025, действительны. Но мы рекомендуем провести аудит: выписать, у кого согласие зашито в договор, и при ближайшем кадровом событии (перевод, изменение условий, выпуск новой подписи) пересобрать его отдельным документом — в КЭДО это делается массовой рассылкой на подписание за один день.

Обязательные реквизиты согласия по ст. 9 152-ФЗ: ФИО и адрес субъекта, реквизиты документа о личности, наименование и адрес оператора, цель обработки, перечень данных, перечень действий и способы обработки, наименование лица, обрабатывающего данные по поручению (то есть сервиса КЭДО — без этого передача вендору не покрыта согласием), срок действия и порядок отзыва, подпись. Электронная форма равнозначна бумажной, если согласие подписано электронной подписью — подробный порядок мы разбирали в материале о том, как подписать документ УКЭП онлайн.

Матрица «действие — согласие»:

Действие Какое согласие Форма
Ведение кадрового учета в рамках ТК Не требуется (п. 5 ч. 1 ст. 6 152-ФЗ)
Переход на КЭДО Согласие по ст. 22.2 ТК РФ Письменная
Передача данных в сервис КЭДО Согласие на обработку ПДн, отдельный документ Бумага или ЭП
Выпуск сертификата УНЭП/УКЭП Согласие на обработку ПДн для УЦ Бумага или ЭП
Обработка сведений о здоровье, биометрии Отдельное согласие на спецкатегории Письменная
Публикация данных (сайт, доска почета) Согласие на распространение (ст. 10.1) По форме РКН

Отказ и отзыв — разные сценарии. Отказ от КЭДО (ст. 22.2 ТК) означает бумажный документооборот с этим работником, но не блокирует обработку его данных для кадрового учета. Отзыв согласия на обработку ПДн прекращает только ту обработку, которая велась на основании согласия: вести личное дело, платить зарплату и сдавать отчетность работодатель продолжит, потому что основание здесь — закон и договор, а не согласие. Прекратить обработку после отзыва нужно в срок до 30 дней.

Скачайте готовую форму, соответствующую требованиям ст. 9 и 156-ФЗ:

Согласие на обработку персональных данных

Базовый бланк по 152-ФЗ — основа любой проверки кандидата и сбора данных.

.DOCX · БЕСПЛАТНО · ОБНОВЛЕНО В 2026

Скачать согласие

Сроки хранения, увольнение, уничтожение и смена сервиса КЭДО

Сроки хранения кадровых документов определяет Перечень, утвержденный приказом Росархива от 20.12.2019 № 236, и ст. 22.1 закона 125-ФЗ об архивном деле. Базовые позиции для электронного архива:

Документ Срок Что это значит для КЭДО
Трудовые договоры, личные карточки, приказы по личному составу 50 лет (документы после 2003 года) / 75 лет Подпись должна оставаться проверяемой десятилетиями — нужны метки времени
Согласия на обработку ПДн 3 года после истечения срока действия или отзыва Удалять раньше нельзя — это доказательство законности обработки
Графики отпусков 3 года Хранятся в архиве системы с датой утверждения
Приказы о ежегодных отпусках, дисциплинарных взысканиях 5 лет / 3 года Разные сроки внутри одной папки — нужна пометка срока на карточке документа

Срок отсчитывается не с даты документа, а с 1 января года, следующего за годом окончания делопроизводства. Пример: сотрудник уволен 15 марта 2026 года — 50 лет для его трудового договора идут с 1 января 2027 года. Ошибка в точке отсчета ведет к преждевременному уничтожению, а это уже нарушение архивного законодательства.

Следите за нашими каналами

Никакой воды — только важное и новости первыми.

Инфографика сроков хранения кадровых документов с персональными данными по Перечню 236

После увольнения данные не удаляются автоматически: документы длительного хранения остаются в архиве, а вот избыточные сведения (например, контакты для рассылок) подлежат уничтожению по достижении цели обработки. Уничтожение оформляется актом по требованиям приказа Роскомнадзора от 28.10.2022 № 179; сами акты храните — при проверке уничтожение без акта равно нарушению. Судебная практика подтверждает риск: Арбитражный суд Московского округа в решении от 30.05.2022 признал правомерным привлечение работодателя к ответственности за продолжение обработки данных уволенного сотрудника без правового основания.

Отдельный страх заказчика — что будет с данными при расторжении договора с вендором или миграции на другой сервис. Требуйте в соглашении об обработке три пункта: обязанность выгрузить архив в открытом формате с файлами подписей, срок уничтожения данных на стороне прежнего вендора и акт об этом уничтожении. В практике Добыто при миграции клиенту передается полный архив документов вместе с файлами электронных подписей и протоколами подписания, после чего данные на нашей стороне уничтожаются с составлением акта — без этого клиент не сможет подтвердить юридическую силу документов через годы.

Мария Ж, соучредитель сервиса КЭДО Добыто: «Проверяйте не то, как сервис хранит документы, а то, как вы их заберете. Я рекомендую еще на пресейле запросить тестовую выгрузку архива: если вендор отдает PDF без файлов подписей и меток времени, через 10 лет вы не докажете в суде, что документ был подписан именно этим человеком и именно тогда».

Образцы документов для оформления персональных данных при переходе на КЭДО

Открыть список документов
Документ Скачать
Согласие на обработку персональных данных Скачать
Согласие на обработку ПДн для выпуска сертификата ЭП Скачать
Заявление о согласии на переход на КЭДО Скачать
Заявление об отказе от перехода на КЭДО Скачать
Уведомление работнику о переходе на КЭДО Скачать
Положение о ведении КЭДО Скачать
Приказ о введении КЭДО Скачать

Защита персональных данных: что спросит безопасник у сервиса КЭДО

Технические требования к защите ПДн задают не маркетинговые списки вендоров, а два документа: постановление Правительства РФ от 01.11.2012 № 1119 (уровни защищенности УЗ-1…УЗ-4) и приказ ФСТЭК России от 18.02.2013 № 21 (состав организационных и технических мер под каждый уровень). Уровень защищенности определяет оператор, то есть работодатель, исходя из категорий данных, числа субъектов и модели угроз — переложить эту обязанность на вендора нельзя. Для кадровых данных штата типовой уровень — УЗ-3, при обработке спецкатегорий планка поднимается.

На пресейле служба безопасности заказчика обычно задает вендору один и тот же набор вопросов: где физически размещены серверы, есть ли у инфраструктуры аттестат соответствия требованиям защиты ПДн, есть ли у разработчика или его подрядчика лицензия ФСТЭК на техническую защиту конфиденциальной информации, сертифицированы ли средства криптографической защиты, как разграничен доступ и логируются действия. Важно различать три разных документа, которые часто смешивают: лицензия выдается на вид деятельности, сертификат — на конкретное средство защиты, аттестат — на конкретный экземпляр информационной системы. Наличие одного не заменяет другие. Наши специалисты настраивают разграничение доступа по маршрутам: кадровик видит документы своего контура, руководитель — только документы на своем этапе согласования, а каждое действие с документом фиксируется в журнале событий.

Оцените, закрывает ли ваша текущая схема обработки требования 152-ФЗ:

Калькулятор соответствия 152-ФЗ
Проверка готовности обработки персональных данных работников
Базовый режим. Шесть ключевых требований 152-ФЗ к работодателю. Отметьте то, что выполнено в компании.
соответствие 152-ФЗ
Проверено профессионалами · Источник: dobyto.ru — КЭДО Добыто

Роскомнадзор: уведомление о начале обработки и регламент утечки 24/72

До начала обработки ПДн оператор подает уведомление в Роскомнадзор для включения в реестр операторов — через портал ведомства или Госуслуги. С 30 мая 2025 года неподача этого уведомления наказывается по ч. 10 ст. 13.11 КоАП РФ штрафом от 100 000 до 300 000 рублей для организаций. Переход на КЭДО — повод проверить, отражены ли в вашем уведомлении актуальные цели обработки и факт поручения обработки третьему лицу.

При утечке действует жесткий регламент ч. 3.1 ст. 21 152-ФЗ. Первые 24 часа: уведомить Роскомнадзор в свободной форме о факте инцидента, предполагаемых причинах и назначенном ответственном. Следующие 72 часа с момента утечки: провести внутреннее расследование и направить второе уведомление с его результатами. Несообщение или просрочка — отдельный состав со штрафом от 1 до 3 млн рублей для компаний, независимо от санкции за саму утечку. Разумно заранее закрепить в локальном акте, кто в компании фиксирует время обнаружения, кто пишет уведомление и кто взаимодействует с вендором — в момент инцидента искать ответственного поздно.

Мария Ж, спикер конференций по КЭДО и юриспруденции: «24 часа — это не рабочий день, а календарные сутки, включая выходные. Компании, у которых регламент реагирования существует только на бумаге, физически не успевают: пока согласуют текст уведомления с юристами и PR, срок уже истек, и к штрафу за утечку добавляется штраф за молчание».

Штрафы за нарушения с персональными данными сотрудников в 2026 году

С 30 мая 2025 года действует шкала 420-ФЗ от 30.11.2024, привязанная к масштабу утечки, а с 1 января 2026 года дела по ст. 13.11 КоАП РФ рассматривают мировые судьи, что ускоряет привлечение к ответственности.

Нарушение Штраф для организаций
Обработка без согласия, когда оно обязательно (в т.ч. согласие внутри договора после 01.09.2025) 300 000 — 700 000 руб.
Обработка с нарушением требований (ч. 1 ст. 13.11) 150 000 — 300 000 руб.
Неуведомление РКН о начале обработки 100 000 — 300 000 руб.
Утечка данных 1000 — 10 000 человек 3 — 5 млн руб.
Утечка 10 000 — 100 000 человек 5 — 10 млн руб.
Утечка более 100 000 человек 10 — 15 млн руб.
Утечка спецкатегорий / биометрии 10 — 15 млн / 15 — 20 млн руб.
Повторная утечка 1 — 3% годовой выручки, минимум 20 млн, максимум 500 млн руб.
Несообщение об утечке в срок 1 — 3 млн руб.

Помимо административной, действует уголовная ответственность по ст. 272.1 УК РФ (введена 421-ФЗ) за незаконное использование и оборот баз с персональными данными — вплоть до лишения свободы для конкретных лиц. Для HR это означает простую вещь: пересылка кадровых баз в личные мессенджеры и на личную почту перестала быть дисциплинарным проступком и стала персональным риском сотрудника.

Самое уязвимое место в этой таблице — стык согласий и передачи данных вендору: одно согласие, оставшееся в теле трудового договора после 01.09.2025, или отсутствующее соглашение об обработке — это уже состав со штрафом до 700 тысяч рублей. Аудит согласий занимает день, проверка — минуты.

Проверить согласия на соответствие 156-ФЗ

Стоимость КЭДО с учетом требований к защите персональных данных

Стоимость зависит от численности сотрудников, выбранного тарифа, видов электронной подписи и необходимости выделенной инфраструктуры — последнее актуально для компаний с повышенными требованиями СБ к обработке ПДн.

Тариф Для кого Стоимость Что входит
Старт Небольшие компании, начинающие переход на КЭДО от 30 руб. за сотрудника / мес До 25 сотрудников, ПЭП и УНЭП, базовые шаблоны, email-поддержка
Бизнес Средний бизнес с полным набором функций от 50 руб. за сотрудника / мес Без лимита сотрудников, ПЭП/УНЭП/УКЭП, кастомные шаблоны, интеграция с 1С, приоритетная поддержка, электронный архив
Корпорация Крупный бизнес с расширенными требованиями и SLA По запросу Все из Бизнес, выделенный сервер, SLA 99.9%, персональный менеджер, API и кастомные интеграции

Для задач с персональными данными чаще выбирают Бизнес (электронный архив с длительным хранением и интеграция с 1С для контролируемой выгрузки) или Корпорацию (выделенный сервер под требования СБ). Актуальные условия и состав модулей — на странице тарифов Добыто КЭДО.

Выводы: персональные данные сотрудников в КЭДО

Переход на КЭДО не меняет статус работодателя — он остается оператором персональных данных и отвечает за все, что происходит с данными сотрудников, включая действия сервиса-обработчика. Юридический каркас складывается из трех согласий, которые нельзя смешивать: согласие на КЭДО по ст. 22.2 ТК РФ, отдельное согласие на обработку ПДн по ст. 9 152-ФЗ (с 1 сентября 2025 года — строго самостоятельным документом в силу 156-ФЗ) и письменное согласие на спецкатегории там, где они обрабатываются. Соглашение об обработке с вендором и уведомление Роскомнадзора закрывают формальную часть, разграничение доступа и журналирование по ПП № 1119 и приказу ФСТЭК № 21 — техническую.

Следите за нашими каналами

Никакой воды — только важное и новости первыми.

Практический минимум на 2026 год, когда штрафы измеряются миллионами, а дела рассматривают мировые судьи: аудит согласий в старых трудовых договорах, регламент реагирования на утечку с контрольными точками 24 и 72 часа, акты уничтожения данных по приказу РКН № 179 и зафиксированный в договоре с вендором порядок возврата и уничтожения данных при смене сервиса. Документы длительного хранения требуют не просто архива, а сохранения проверяемости электронной подписи на горизонте 50 лет.

FAQ: частые вопросы о персональных данных в КЭДО

Нужно ли переподписывать согласия, полученные до 1 сентября 2025 года?
Нет, 156-ФЗ обратной силы не имеет: согласия, полученные до 01.09.2025, действительны, даже если были частью договора. Пересбор нужен только для новых согласий и при изменении целей или состава обработки.
Можно ли вести в КЭДО документы с исполнителями по ГПХ и самозанятыми?
Да, но вне рамок ст. 22.1-22.3 ТК РФ: это обычный электронный документооборот с основанием обработки «исполнение договора». Согласие на передачу их данных в сервис оформляется отдельно.
Считается ли фотография сотрудника биометрией?
Фото в карточке сотрудника или личном деле — нет. Биометрией оно становится, когда используется для установления личности, например в системе распознавания лиц на проходной — тогда нужно отдельное письменное согласие.
Кто определяет уровень защищенности персональных данных — вендор или работодатель?
Работодатель как оператор: по ПП № 1119 он классифицирует систему исходя из категорий данных и числа субъектов, а вендор подтверждает, что инфраструктура закрывает меры соответствующего уровня по приказу ФСТЭК № 21.
Что запрашивает Роскомнадзор при проверке оператора?
Типовой набор: уведомление о начале обработки и его актуальность, политику и локальные акты по ПДн, согласия субъектов, соглашения с обработчиками, журналы учета, акты уничтожения, документы об уровне защищенности и назначении ответственного.
Как забрать данные при переходе на другой сервис КЭДО?
Запросить полную выгрузку архива с файлами электронных подписей и протоколами подписания, зафиксировать уничтожение данных у прежнего вендора актом. Порядок лучше закрепить в договоре еще при подключении.
Что такое ГИС обезличенных данных и касается ли она работодателей?
С 01.09.2025 в 152-ФЗ появилась ст. 13.1 о предоставлении операторами обезличенных данных в единую платформу по требованию Минцифры. Обязанность возникает по запросу, а не автоматически, но операторам стоит иметь процедуру обезличивания.
Нужно ли согласие кандидата, который еще не принят на работу?
Да, если компания сама собирает и вносит его данные (анкета, выгрузка от рекрутера). Если кандидат самостоятельно регистрируется в сервисе и загружает документы, на этом этапе обработку по своей политике ведет сервис.

Обработка персональных данных сотрудников в КЭДО складывается из документов, которые должны быть на месте до первого подписания: отдельные согласия по 156-ФЗ, соглашение об обработке с вендором, уведомление Роскомнадзора, регламент реагирования на утечку. Проверка начинается именно с этих бумаг.

Добыто закрывает этот контур на практике: сотрудник не получает доступ к документам, пока не подписал отдельное согласие на обработку ПДн, комплект локальных актов сверяется с 152-ФЗ и 377-ФЗ при запуске, а архив хранит документы вместе с файлами подписей на весь срок по Перечню № 236. Сервис включен в реестр отечественного ПО (№ 22664), внедрение занимает от 1 дня, ПЭП и УНЭП выпускаются бесплатно.

  • Сбор согласий по требованиям 156-ФЗ отдельным документом с подписью ЭП
  • Разграничение доступа по маршрутам и журнал всех действий с документами
  • Электронный архив с файлами подписей для сроков хранения 50 лет и более
  • Выгрузка архива и акт уничтожения данных при расторжении договора
  • Интеграция с 1С с контролем состава передаваемых полей
  • Готовые шаблоны локальных актов и регламента реагирования на утечку

Настроить обработку персональных данных в КЭДО

Насколько публикация полезна?

Нажмите на звезду, чтобы оценить!

Средняя оценка 0 / 5. Количество оценок: 0

Оценок пока нет. Поставьте оценку первым.

Поделиться:

Попробуйте ДОБЫТО КЭДО

Подписывайте кадровые документы электронно. Оставьте заявку и начните работу.