Персональные данные в КЭДО — это вся информация о работнике, которая попадает в систему электронного кадрового документооборота: ФИО, паспорт, СНИЛС, адрес, зарплата, сведения о здоровье. С 30 мая 2025 года правила обращения с ними ужесточились, а штрафы за утечку выросли до 15 миллионов рублей, и для разовой утечки этого хватает. В этой статье разберём, кто отвечает за данные, какие согласия и локальные акты нужны, где и сколько их хранить, как уведомлять Роскомнадзор и что грозит за нарушения в 2026 году. Материал входит в большой раздел про кадровый электронный документооборот, где описан весь путь от выбора системы до полного перевода штата.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Что относится к персональным данным работника в КЭДО
Персональные данные по статье 3 закона 152-ФЗ — любая информация, прямо или косвенно относящаяся к конкретному человеку. В кадрах это почти всё, с чем работает отдел кадров: ФИО, дата рождения, паспортные данные, СНИЛС, ИНН, адрес регистрации, телефон, должность, размер оклада, банковские реквизиты для зарплаты. Когда вы переводите кадровые процессы в электронный вид, весь этот массив оказывается в системе КЭДО, и обращаться с ним надо так же бережно, как с бумажным личным делом. Только утечка теперь происходит не через забытую папку на столе, а через канал передачи данных, и масштаб совсем другой.
Закон выделяет особые группы, к которым требования жёстче. Специальные категории — сведения о здоровье, национальности, религиозных и политических взглядах, личной жизни: медсправки, документы об инвалидности, данные для льгот. Биометрия — изображение лица, отпечатки, запись голоса. За утечку этих категорий ответственность выше, чем за обычные сведения. Так что прежде чем заливать в систему сканы медкнижек, стоит понимать: обычные данные и спецкатегория — это разные уровни риска.
Мария Ж, юрист со стажем более 20 лет:
«Эйчары часто думают, что персональные данные — это только паспорт и СНИЛС. А по факту это и табельный номер, и фотография в пропуске, и даже корпоративная почта вида фамилия-инициалы. Косвенно идентифицирует человека? Значит, это персональные данные, и точка.»
Кто оператор, а кто обработчик персональных данных в КЭДО
Это первый вопрос до запуска системы, и от него зависит, кто за что отвечает. Работодатель — оператор персональных данных. Он определяет цели обработки, состав данных, и на нём лежат обязанности по статьям 18.1 и 19 закона 152-ФЗ: меры защиты, ответственный, политика. Сервис КЭДО чаще всего выступает обработчиком — обрабатывает данные по поручению оператора (часть 3 статьи 6). Сервис не определяет, зачем собираются данные, он хранит и обрабатывает их по вашему заданию.
Между работодателем и сервисом заключается отдельное соглашение об обработке персональных данных (поручение на обработку). Это не лицензионный договор. В практике Добыто мы оформляем такое соглашение с каждым клиентом отдельным документом: в нём прописано, какие данные обрабатываем, в каком объёме, какие меры защиты применяем и что происходит с данными после расторжения договора. Без него схема обработки повисает в воздухе, и при проверке оператору нечего предъявить.
Бывает и другой сценарий. Когда работник сам регистрируется в сервисе как физлицо и сам даёт согласие, оператором части процессов становится сам сервис. Но как только идёт массовая регистрация через интеграцию — работодатель выгружает список из 1С и передаёт в систему, — именно он организует передачу данных, и согласие на неё надо собирать заранее. Этот момент любят пропускать, особенно когда внедряют КЭДО в спешке под сдачу отчётности.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«Когда заходит интеграция с 1С и идёт массовая регистрация, работодатель передаёт данные в сервис скопом. Вот тут и нужно отдельное согласие на передачу. Эту развилку — оператор или обработчик — надо разрулить на старте, иначе потом будете доказывать, на каком основании данные вообще оказались в системе.»
Согласия и локальные акты: что требует 152-ФЗ и статьи 22.1-22.3 ТК
Тут две истории, которые путают. Первая — согласие на обработку персональных данных по 152-ФЗ. Вторая — согласие на переход в КЭДО по статье 22.2 Трудового кодекса. Разные документы, разные основания.
Согласие на КЭДО по закону должно быть письменным. Минтруд придерживается жёсткой позиции: брать его на бумаге. Логика простая — работник ещё не выразил согласия вести документооборот электронно, значит, и согласие на это электронно дать не может. При трудовом споре бумажный экземпляр будет главным доказательством. Отказ работника от КЭДО, к слову, не повод увольнять или давить санкциями — перевод добровольный.
С дистанционными сотрудниками порядок мягче. У них свой режим обмена электронными документами по главе 49.1 Трудового кодекса, и отдельное письменное согласие на КЭДО с них собирать не обязательно — условия закрепляются в локальном акте об удалённой работе или прямо в трудовом договоре. Для штатных сотрудников в офисе лучше идти проверенным путём и собирать бумажное согласие.
Теперь локальные акты. По 152-ФЗ оператор обязан иметь политику обработки персональных данных (статья 18.1), положение о защите данных, приказы о назначении ответственного. По линии КЭДО добавляются положение о переходе на электронный документооборот, порядок его ведения, формы согласий. В крупной организации пакет документов по защите данных доходит до нескольких десятков позиций. Можно принять два отдельных акта — о вводе КЭДО и о порядке ведения — или один комплексный. Главное, чтобы содержание соответствовало требованиям кодекса.
Образцы документов для обработки персональных данных в КЭДО
Открыть список документов
| Документ | Скачать |
|---|---|
| Правила обработки персональных данных | Скачать |
| Приказ о введении КЭДО | Скачать |
| Приказ о КЭДО | Скачать |
| Шаблон соглашения по ЭДО | Скачать |
| Примерная форма трудового договора | Скачать |
| Образец личной карточки работника | Скачать |
| Образец приказа о приёме на работу | Скачать |
| Руководство пользователя Добыто КЭДО | Скачать |
| Методические рекомендации по внедрению ЭДО | Скачать |
| Образец штатного расписания | Скачать |
Где и сколько хранятся персональные данные в электронном кадровом документообороте
Локализация — первое требование, которое многие узнают уже на проверке. Персональные данные граждан России должны храниться на серверах, физически расположенных в России (часть 5 статьи 18 закона 152-ФЗ). Это значит, что при выборе сервиса КЭДО надо спрашивать, где стоят серверы. Если данные уходят за рубеж, это нарушение само по себе, безотносительно утечек. Серьёзные сервисы держат собственный центр обработки данных на территории страны — в практике Добыто все данные клиентов размещаются на российских серверах, и это закладывается в соглашение об обработке.
Со сроками хранения интереснее. Электронный документ хранится столько же, сколько хранился бы бумажный аналог — требования переносятся с бумаги на цифру один в один. Сроки определены перечнями типовых документов и приказами Росархива, а право вести архив закреплено статьёй 13 закона 125-ФЗ «Об архивном деле». Часть кадровых документов хранится десятилетиями: трудовые договоры, личные дела, приказы по личному составу — до 50 и более лет. Поэтому система КЭДО должна обеспечивать долговременное архивное хранение с возможностью проверить подпись через много лет. Спрашивайте у вендора прямо: документы при извлечении из архива через 15 лет останутся юридически значимыми?
Отдельная тонкость — данные уволенного. После увольнения обрабатывать персональные данные работника по общему правилу нельзя (часть 4 статьи 21 закона 152-ФЗ). Но есть исключения. Роскомнадзор как-то предъявил компании обработку данных уволенного, а суд встал на сторону работодателя: данные обрабатывались для отчётности перед фондами, и согласие не требовалось (постановление АС Московского округа от 30.05.2022). Хранить документы уволенного для целей, прямо предусмотренных законом, можно — но обоснование должно быть. В КЭДО документы, которые по закону остаются у работника (тот же трудовой договор), доступны ему в личном кабинете и после увольнения, а доступ компании к чужому закрывается.
Мария Ж, специалист по трудовому праву и КЭДО:
«Сроки хранения — это та область, где импровизировать нельзя. Трудовой договор лежит десятилетиями, и если система не умеет ухаживать за подписью, то через десять лет вы откроете файл, а подпись уже невалидна. Поэтому ещё на пилоте надо проверять, как сервис работает с архивом, а не верить на слово менеджеру.»
Защита персональных данных в системе КЭДО: технические и организационные меры
Оператор обязан охранять данные от неправомерного или случайного доступа, уничтожения, изменения, копирования и распространения (часть 1 статьи 19 закона 152-ФЗ). Меры делятся на организационные и технические. Организационные — политика, регламенты доступа, журнал учёта инцидентов, назначенные ответственные. Технические — сертифицированные средства защиты информации, шифрование каналов, двухфакторная аутентификация, тайм-аут сессии при бездействии, разграничение прав доступа и логирование всех действий пользователей.
Когда речь о сервисе КЭДО, часть технического бремени переходит на вендора. И тут важно разобраться с его документами — их три, и они про разное. Лицензия ФСТЭК или ФСБ разрешает разработчику заниматься защитой информации; без неё компания рискует в плохой момент остаться без поставщика. Сертификат подтверждает соответствие требованиям на конкретную версию продукта (а версии выходят регулярно, сертифицировать надо каждую либо весь процесс разработки). Аттестат — про конкретный развёрнутый экземпляр системы, и это зона ответственности оператора, то есть вашего бизнеса. Для персональных данных оценка соответствия обязательна: её проводят самостоятельно с оформлением акта либо через аттестацию у лицензиата ФСТЭК.
Вид поставки тоже влияет на распределение ответственности. Облачная схема — данные на серверах разработчика, защиту обеспечивает он. Поставка on-premise, она же in-house, — система ставится в контур клиента, и тогда защиту и архив организует сам клиент. Есть гибрид. Безопасники крупных компаний на первых встречах задают вопросы именно про это — насколько система закрывает требования инфобеза, прежде чем смотреть на бизнес-функции. Если служба безопасности работает с моделью угроз, её придётся составить, и серьёзный сервис в этом участвует.
Следите за нашими каналами
Никакой воды — только важное и новости первыми.
Мария Ж, судебный эксперт в сфере корпоративного права:
«Лицензия, сертификат, аттестат — это три разные бумажечки, и заказчики их вечно путают. Лицензию проверяете у вендора. Сертификат — на ту версию продукта, что вам ставят. А аттестат — это уже про вашу развёрнутую систему, и за оценку соответствия отвечаете вы как оператор. Не разобрались — получите грабли на проверке.»
Развести роли оператора и обработчика, собрать пакет локальных актов под 152-ФЗ, проверить серверы и аттестацию — на этом этапе кадровик в одиночку обычно вязнет, потому что половина вопросов уже не про кадры, а про инфобез. Специалисты Добыто проходили этот путь на сотнях проектов и закрывают юридическую обвязку вместе с технической: соглашение об обработке, шаблоны согласий, размещение данных на серверах в России.
Как настроить обработку персональных данных при переходе на КЭДО: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Определите роли: работодатель — оператор, сервис КЭДО — обработчик. Заключите с сервисом отдельное соглашение об обработке персональных данных.
- Шаг 2. Утвердите локальные акты: политику обработки персональных данных, положение о защите данных, приказ о назначении ответственного, положение о КЭДО и порядок его ведения.
- Шаг 3. Подайте уведомление в Роскомнадзор о намерении обрабатывать персональные данные, если ещё не в реестре операторов.
- Шаг 4. Соберите согласия: письменное на КЭДО (для штатных — на бумаге), согласие на обработку и при необходимости на передачу данных в сервис.
- Шаг 5. Проверьте размещение серверов в России, наличие лицензий ФСТЭК или ФСБ у вендора и проведите оценку соответствия требованиям защиты.
- Шаг 6. Настройте разграничение доступа, двухфакторную аутентификацию и сроки хранения документов по архивным перечням, затем запустите пилотную группу.
Уведомление Роскомнадзора и действия при утечке данных
С 30 мая 2025 года уведомление Роскомнадзора о намерении обрабатывать персональные данные стало обязательным практически для всех — прежних исключений больше нет. Подать его можно в электронном виде через портал регулятора или Госуслуги. Получив уведомление, Роскомнадзор в течение 30 дней вносит компанию в реестр операторов (часть 4 статьи 22 закона 152-ФЗ). За неуведомление юрлицу грозит штраф от 100 000 до 300 000 рублей. Форму подачи можно посмотреть на портале персональных данных Роскомнадзора — реестр операторов персональных данных.
Если утечка случилась, действовать надо по часам. В первые 24 часа с момента обнаружения инцидента оператор обязан уведомить Роскомнадзор о факте утечки. В течение 72 часов — провести внутреннее расследование и направить второе уведомление с его результатами (часть 3.1 статьи 21 закона 152-ФЗ). Сроки жёсткие, за их нарушение отдельный штраф — от 1 до 3 миллионов рублей для организаций. Регламент реагирования на инцидент лучше написать заранее, а не сочинять, когда данные уже утекли.
Штрафы за нарушения 152-ФЗ в КЭДО в 2026 году
С 30 мая 2025 года ответственность операторов выросла кратно — изменения внёс закон 420-ФЗ, дополнив статью 13.11 КоАП. За нарушение правил обработки персональных данных (часть 1 статьи 13.11) организацию штрафуют на 150 000-300 000 рублей. Но основные суммы — за утечку, и они зависят от количества пострадавших.
За утечку данных от 1 000 до 10 000 человек юрлицо или ИП заплатит от 3 до 5 миллионов рублей. От 10 000 до 100 000 человек — от 5 до 10 миллионов. Более 100 000 человек — от 10 до 15 миллионов. За утечку специальных категорий штраф 10-15 миллионов, за биометрию — 15-20 миллионов. Повторная утечка наказывается оборотным штрафом: от 1 до 3 процентов годовой выручки, при этом не менее 20 миллионов и не более 500 миллионов рублей. Для повторной утечки биометрии и спецкатегорий нижняя планка ещё выше — не менее 25 миллионов. Одна повторная утечка способна стоить компании годовой прибыли.
Появилась и уголовная ответственность. По закону 421-ФЗ за незаконный оборот персональных данных, повлёкший тяжкие последствия, или при совершении организованной группой грозит до 10 лет лишения свободы и штраф до 3 миллионов рублей. И ещё одно изменение, которое стоит учесть: с 1 января 2026 года дела о нарушениях по статье 13.11 КоАП рассматривают мировые судьи. Логику в распределении подсудности искать необязательно, её достаточно просто знать.
Мария Ж, юрист со стажем более 20 лет:
«Когда называю клиентам цифры по оборотным штрафам, реакция меняется моментально. Раньше штраф был неприятностью на пару сотен тысяч, теперь повторная утечка — это не менее 20 миллионов, а то и процент от выручки. Это уже не про денежки на бумагу, это про устойчивость бизнеса. Поэтому инфобез из коробки перестал быть капризом и стал базовым требованием.»
Ошибки при работе с персональными данными в КЭДО
Первая и самая частая — передавать данные кандидатов и сотрудников по электронной почте простым архивом без согласия на обработку. Человеку говорят: отсканируй паспорт, СНИЛС, диплом и пришли zip-архивом на почту. Так делают повсеместно — быстро и привычно. Цена ошибки — нарушение правил обработки и штраф до 300 000 рублей для организации, а если массив утечёт — суммы уже миллионные. Правильно собирать данные через систему, где нулевым шагом стоит согласие на обработку: пока человек его не дал, личный кабинет ему не откроется.
Вторая — не оформлять соглашение об обработке с сервисом, считая, что лицензионного договора достаточно. Мотив понятен: лишняя бумага, руки не доходят. Но без этого соглашения роли оператора и обработчика юридически не закреплены, и при проверке нечем подтвердить, на каком основании сервис обрабатывает данные сотрудников.
Третья — не проверять, где стоят серверы. Компания берёт сервис подешевле, а данные граждан России оказываются на зарубежной инфраструктуре. Это нарушение части 5 статьи 18 закона 152-ФЗ само по себе, даже без утечки. Экономия на выборе оборачивается риском предписания.
Стоимость внедрения КЭДО с защитой персональных данных
Итоговая цена зависит от численности персонала, выбранного тарифа, набора модулей и вида поставки. Защита персональных данных — это не отдельная платная опция, а часть инфраструктуры сервиса: размещение на российских серверах, шифрование, разграничение доступа входят в тариф. Ниже — основные тарифы сервиса Добыто КЭДО.
| Тариф / Услуга | Стоимость | Условия |
|---|---|---|
| Старт — для небольших компаний, начинающих переход на КЭДО | от 30 ₽ за сотрудника / мес | До 25 сотрудников, ПЭП и УНЭП, базовые шаблоны, email-поддержка |
| Бизнес — оптимальный выбор для среднего бизнеса | от 50 ₽ за сотрудника / мес | Неограниченно сотрудников, ПЭП, УНЭП и УКЭП, интеграция с 1С, электронный архив |
| Бизнес — минимальная оплата | 30 000 ₽ в год | За 50 сотрудников |
| Корпорация — для крупного бизнеса с расширенными требованиями и SLA | По запросу | Выделенный сервер, SLA 99.9%, персональный менеджер, API и кастомные интеграции |
На итоговую сумму влияют численность штата, нужна ли поставка on-premise в контур компании под требования инфобеза, и какие виды подписи подключаются. Тариф Корпорация с выделенным сервером чаще выбирают там, где служба безопасности предъявляет повышенные требования к размещению данных. Чтобы прикинуть бюджет точнее, посмотрите актуальные тарифы сервиса Добыто КЭДО — там разложено, что входит в каждый пакет.
Выводы: что учесть по персональным данным в КЭДО
Работодатель в КЭДО всегда остаётся оператором персональных данных, а сервис — обработчиком по поручению, и эти роли нужно закрепить отдельным соглашением об обработке. До запуска системы собираются два разных документа: письменное согласие на переход в КЭДО по статье 22.2 Трудового кодекса (для штатных — на бумаге) и согласие на обработку данных по 152-ФЗ. Обязательны политика обработки, положение о защите и уведомление Роскомнадзора с внесением в реестр операторов в течение 30 дней.
Данные граждан России хранятся на серверах в России, сроки хранения переносятся с бумажных документов и доходят до десятилетий, поэтому система обязана обеспечивать долговременный архив. При утечке счёт идёт на часы: 24 часа на уведомление Роскомнадзора и 72 часа на результаты расследования. Штрафы с 30 мая 2025 года выросли до 15 миллионов за разовую утечку и до оборотных при повторе, а с 1 января 2026 года такие дела ведут мировые судьи. Проверяйте лицензии вендора, размещение серверов и проводите оценку соответствия требованиям защиты.
Следите за нашими каналами
Никакой воды — только важное и новости первыми.
Часто задаваемые вопросы
Нужно ли отдельное согласие на обработку персональных данных, если уже есть согласие на КЭДО?
Можно ли собрать согласие на КЭДО в электронном виде?
Кто отвечает за защиту персональных данных — работодатель или сервис КЭДО?
Где должны храниться персональные данные сотрудников в КЭДО?
Сколько хранить кадровые документы в электронном виде?
Можно ли обрабатывать персональные данные сотрудника после увольнения?
Нужно ли уведомлять Роскомнадзор о начале обработки персональных данных?
Что делать при утечке персональных данных и в какие сроки?
Какой штраф за утечку персональных данных в 2026 году?
Какие локальные акты по персональным данным нужны для запуска КЭДО?
Чем лицензия вендора отличается от сертификата и аттестата?
Относятся ли данные о здоровье и биометрия к особым категориям?
Перевод кадровых процессов в электронный вид упирается не столько в кадровое право, сколько в защиту персональных данных: роли оператора и обработчика, согласия, локализация серверов, уведомление Роскомнадзора, сроки хранения. Каждый из этих пунктов — отдельный риск, а штрафы по 152-ФЗ с 2025 года измеряются миллионами.
Сервис Добыто закрывает и кадровую, и юридическую, и техническую часть перехода на КЭДО. За время работы мы подключили сотни компаний по всей России и в каждом проекте проходили этап согласования с безопасниками заказчика — так что знаем, какие вопросы зададут и какие документы понадобятся.
- Размещение данных на серверах в России, шифрование каналов и соответствие требованиям 152-ФЗ
- Юридическая обвязка из коробки: соглашение об обработке, шаблоны политики и форм согласий сотрудников
- Три вида поставки — облачная, on-premise, гибридная — под требования информационной безопасности компании
- Поддержка ПЭП, УНЭП и УКЭП для любого кадрового процесса
- Разграничение прав доступа, двухфакторная аутентификация и протоколирование действий пользователей
- Хранение документов до 50 лет с сохранением юридической значимости подписи в архиве
- Готовый коннектор с 1С (ЗУП, КА, бухгалтерия) — подключение без привлечения разработчиков