ГрамотаИБ ГрамотаИБ

Согласие на обработку персональных данных работников: когда нужно, а когда нет

25.06.2026

Разбираемся, когда работодателю действительно нужно согласие работника на обработку персональных данных, а когда хватает закона и трудового договора. Главная ошибка — брать согласие на всё подряд. Что изменилось с 1 сентября 2025 года (отдельный документ), требования ТК РФ и 152-ФЗ, что обязательно должно быть в согласии и типичные нарушения работодателей.

Каждый работодатель — оператор персональных данных, даже если у него нет ни одного клиента: данные работников это тоже ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн).. Но главная путаница в том, что согласие работника нужно не всегда, а во многих случаях оно вообще не требуется. Разберём, когда согласие обязательно, когда хватает закона, что изменилось с 1 сентября 2025 года и что должно быть в самом согласии.

Когда согласие НЕ нужно

Большую часть данных работника работодатель обрабатывает без всякого согласия — на других законных основаниях (статья 6 152-ФЗ и глава 14 ТК РФ):

  • для исполнения трудового договора, стороной которого является работник (оформление, зарплата, кадровый учёт);
  • для исполнения требований закона — налоговый и воинский учёт, отчётность в Социальный фонд, ведение трудовых книжек.

Брать у работника согласие на эти цели не только не нужно, но и неверно: если обработка обязательна по закону, согласие как основание здесь не работает, и его отзыв не освобождает работодателя от обязанности обрабатывать данные.

Когда согласие НУЖНО

Согласие требуется там, где обработка выходит за рамки трудового договора и прямых требований закона:

  • передача данных третьим лицам не во исполнение закона — оформление полиса ДМС, выпуск зарплатной карты в банке, негосударственный пенсионный фонд;
  • получение данных о работнике у третьей стороны — по статье 86 ТК РФ это допускается только с его письменного согласия;
  • публикация данных и фотографий работника на сайте, доске почёта, в соцсетях;
  • обработка специальных категорий и биометрических данных сверх обязательной — только письменное согласие (статьи 10 и 11 152-ФЗ).

Что изменилось с 1 сентября 2025 года

Раньше согласие нередко включали пунктом в трудовой договор, заявление или анкету. С 1 сентября 2025 года так делать нельзя: согласие на обработку персональных данных должно быть отдельным документом, не объединённым с другими. То есть согласие на передачу в банк или ДМС оформляется отдельным бланком, а не строчкой в договоре. За нарушения с персональными данными в 2025 году штрафы выросли.

Что должно быть в согласии

Утверждённой формы нет, но состав сведений задан частью 4 статьи 9 152-ФЗ:

  • ФИО, адрес работника и реквизиты документа, удостоверяющего личность;
  • наименование и адрес работодателя (оператора);
  • цель обработки и перечень персональных данных;
  • наименование и адрес обработчика, если обработка поручается третьему лицу (см. поручение на обработку);
  • перечень действий с данными и способы обработки;
  • срок действия согласия и порядок его отзыва;
  • подпись работника.

Типичные нарушения работодателей

  • Согласие на всё подряд. Берут одно общее согласие на любую обработку вместо опоры на закон и трудовой договор — это создаёт видимость согласия и риск признания его недействительным.
  • Согласие внутри трудового договора. После 1 сентября 2025 года это нарушение — нужен отдельный документ.
  • Нет отдельного согласия на передачу. Данные уходят в банк, ДМС или НПФ без оформленного согласия работника.
  • Сбор данных у третьих лиц без согласия. Запрашивают сведения о работнике на прежнем месте работы или в сторонних сервисах без его письменного согласия (статья 86 ТК РФ).
  • Удаление по отзыву того, что хранить обязаны. По отзыву согласия удаляют данные, которые работодатель обязан хранить по закону (кадровые документы, личные дела с установленными сроками хранения).

Главное

Согласие работника — это не универсальная страховка, а основание для узкого круга случаев: передача данных третьим лицам, получение их у третьей стороны, спецкатегории и публикация. Основная же обработка идёт по трудовому договору и закону, без согласия. С 1 сентября 2025 года согласие оформляется отдельным документом. Виды согласий разобраны в статье про согласие на обработку ПДн, а порядок документов в целом — в статье про политику обработки. ГрамотаИБ помогает определить, где согласие действительно нужно, и подготовить корректные бланки под профиль работодателя — попробовать можно в сервисе.

Попробовать ГрамотаИБ

Читайте также

Все по теме «Персональные данные и Роскомнадзор» →

Бумага и ИСПДн: что хранить, сколько и когда уничтожать персональные данные

Клиент подписал согласие и договор на бумаге, а данные внесли в информационную систему. Нужно ли после этого уничтожать оригиналы документов и сколько их хранить? Когда и как удалять данные из ИСПДн? Разбираем жизненный цикл персональных данных на двух носителях сразу: зачем хранить бумажный оригинал как доказательство законности обработки, какие сроки хранения у согласий и договоров, когда наступает обязанность уничтожить данные (30 дней по статье 21 152-ФЗ) и как оформить уничтожение по Приказу Роскомнадзора №179.

Обработка персональных данных соискателей при найме: согласие, кадровый резерв и сроки

Как работодателю законно обрабатывать персональные данные соискателей на этапе найма: на каком основании можно рассматривать резюме без отдельного согласия, почему хранение резюме в кадровом резерве требует отдельного согласия и срока, когда нужно согласие на проверку кандидата, принцип минимизации данных и сроки удаления после отказа. Типичные нарушения, за которые штрафует Роскомнадзор.

Политика обработки ПДн для сайта на внешнем хранилище Яндекса: передача данных третьим лицам

Разбор на конкретном примере: как сайту, который хранит персональные данные во внешнем облаке Яндекса (Yandex Object Storage, Яндекс Облако), правильно оформить передачу данных. Почему облако — это поручение обработки, а не слив данных на сторону, как закрывается локализация, что отразить в политике, что должно быть в согласии и в договоре поручения с провайдером. С примерами формулировок.

Как разработать политику обработки персональных данных: требования и типичные нарушения

Пошаговое руководство по разработке политики обработки персональных данных: чем регламентирован документ (статья 18.1 152-ФЗ и рекомендации Роскомнадзора), что обязательно должно быть внутри, где и как его публиковать, как составить под реальные процессы компании, а также подводные камни и характерные нарушения, за которые операторов штрафуют по статье 13.11 КоАП.