Нужно ли согласие сотрудника на обработку персональных данных?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Согласие сотрудника на обработку персональных данных не является универсальным и обязательным основанием для работы с его данными. Более того, в большинстве кадровых процессов работодатель не только не обязан, но и не вправе подменять законные основания обработки согласиями работников.

ВАЖНО: в трудовых отношениях правовым основанием обработки персональных данных выступает прежде всего закон и трудовой договор, а не согласие. Использование согласия там, где обработка должна осуществляться в силу закона, рассматривается как ошибка и не защищает работодателя при проверках.

На практике Роскомнадзор штрафует не за отсутствие согласий как таковых, а за их неправильное применение: когда согласие используется вместо установленных законом оснований либо, наоборот, отсутствует там, где без него обработка данных действительно незаконна.

Когда согласие сотрудника НЕ требуется

В большинстве кадровых процессов согласие работника не является правовым основанием обработки персональных данных. Использование согласия в этих случаях не только избыточно, но и ошибочно.

Согласие не требуется, если персональные данные работника обрабатываются в рамках его трудовых отношений и обязанностей работодателя, установленных законом.

Исполнение трудового договора

Работодатель вправе обрабатывать персональные данные сотрудника без согласия для:

оформления приема на работу;
ведения личных дел;
расчёта заработной платы;
предоставления отпусков и иных гарантий.

Основанием здесь является сам трудовой договор и нормы трудового законодательства.

Выполнение требований законодательства

Согласие не нужно, если данные обрабатываются для исполнения требований:

налогового законодательства;
пенсионного и социального страхования;
миграционного учета;
воинского учета.

Передача данных в ФНС, СФР, ФОМС, военкоматы осуществляется на основании закона, а не согласия работника.

Кадровый и бухгалтерский учет

Работодатель вправе без согласия вести:

табели учета рабочего времени;
расчёт выплат и удержаний;
учет стажа и квалификации;
хранение обязательных кадровых документов.

Обеспечение условий труда и безопасности

Без согласия допускается обработка данных, необходимых для:

охраны труда;
обеспечения пропускного режима;
организации рабочего процесса;
исполнения требований по охране жизни и здоровья работников.

Получение согласия вместо законных оснований не делает обработку более «законной» и не освобождает работодателя от ответственности.

Согласие нужно далеко не всегда

Но ошибка здесь может стоить штрафа

Проверим, где вам действительно требуется согласие сотрудников

Когда согласие сотрудника ОБЯЗАТЕЛЬНО

Если цель обработки персональных данных выходит за рамки трудовых обязанностей и требований закона, без согласия сотрудника такая обработка становится незаконной.

Согласие обязательно во всех случаях, когда данные работника используются не для исполнения трудового договора и не в силу прямых требований законодательства.

Публикация данных на сайте и в социальных сетях

Согласие требуется, если работодатель:

размещает сведения о сотруднике на корпоративном сайте;
публикует информацию о персонале в соцсетях;
указывает данные сотрудников в открытых источниках.

Даже если речь идет только о ФИО и должности, без согласия такая публикация незаконна.

Размещение фотографий сотрудников

Фото является персональными данными, а в ряде случаев — биометрическими.

Согласие обязательно, если:

фото размещаются на сайте;
используются в рекламных материалах;
публикуются в презентациях, буклетах, на стендах.

Исключения возможны только в строго установленных законом случаях.

Использование данных в маркетинге и рекламе

Если персональные данные работников используются:

для продвижения бренда;
в рекламных кампаниях;
для публичного позиционирования компании,

без письменного согласия такая обработка незаконна.

Передача данных третьим лицам вне требований закона

Согласие необходимо, если данные передаются:

партнерам;
контрагентам;
иным организациям,

и такая передача не предусмотрена трудовым или иным законом.

Обработка биометрических данных

Биометрические данные (отпечатки пальцев, изображение лица для систем распознавания) могут обрабатываться только с письменного согласия, если это не предусмотрено законом напрямую.

Почему согласие не всегда защищает работодателя

Наличие согласия сотрудника не означает автоматически, что обработка персональных данных законна. В ряде случаев согласие не имеет юридической силы и не освобождает работодателя от ответственности.

Согласие не заменяет законные основания обработки

Согласие не может подменять требования закона.
Если обработка данных должна осуществляться в силу трудового или иного законодательства, использование согласия вместо законных оснований рассматривается как нарушение.

Например:
оформление кадрового учета «по согласию» вместо выполнения требований Трудового кодекса.

Нельзя получать согласие «на всё»

Согласие должно быть конкретным.
Недопустимы формулировки вида:

«на любую обработку данных»;
«на все возможные цели»;
«на неопределённый срок».

Такие согласия признаются недействительными.

Принцип добровольности

В трудовых отношениях согласие не всегда считается добровольным, поскольку между работником и работодателем существует зависимость.

Если сотрудник вынужден дать согласие под угрозой отказа в приёме на работу или иных последствий, такое согласие не считается свободным и может быть признано недействительным.

Право на отзыв согласия

Работник вправе в любой момент отозвать согласие.
Если при этом отсутствуют иные законные основания обработки, работодатель обязан прекратить использование данных по соответствующим целям.

Это особенно критично, когда согласие используется как единственное основание обработки.

Несоответствие согласия реальным целям обработки

Если в согласии указаны одни цели, а фактически данные используются для других, согласие теряет юридическую силу.

Как правильно оформлять согласие сотрудника

Согласие должно быть не просто подписанным документом, а юридически корректным основанием обработки персональных данных. Ошибки в форме и содержании согласия делают его бесполезным при проверках.

Форма согласия

Согласие может быть оформлено:

в письменной форме;
в электронной форме с подтверждением;
в виде отдельного документа либо отдельного раздела в договоре (если это допустимо по цели обработки).

Для обработки биометрических данных согласие обязательно должно быть письменным.

Обязательные элементы согласия

Согласие должно содержать:

ФИО субъекта персональных данных;
данные работодателя (оператора ПДн);
конкретные цели обработки;
перечень персональных данных;
перечень действий с данными (сбор, хранение, передача и т.п.);
срок действия согласия;
порядок отзыва согласия.

Отсутствие любого из этих элементов делает согласие юридически уязвимым.

Ограниченность по целям и сроку

Согласие не может быть бессрочным и универсальным.

Оно должно:

ограничиваться конкретными целями;
действовать только в рамках этих целей;
прекращать действие после их достижения либо по истечении срока.

Соответствие согласия реальной обработке

Текст согласия должен точно отражать:

фактические процессы обработки;
реальное использование данных;
действующие каналы передачи информации.

Хранение согласий

Работодатель обязан:

обеспечить сохранность согласий;
иметь возможность подтвердить их наличие при проверке;
хранить их не меньше срока действия и срока возможных претензий.

Типовые ошибки при работе с согласиями работников

Именно ошибки в согласиях работников чаще всего становятся формальным основанием для привлечения работодателей к ответственности, даже при отсутствии иных серьёзных нарушений.

Использование согласия вместо законных оснований

Одна из самых распространённых ошибок — оформление согласий там, где обработка должна осуществляться в силу закона или трудового договора.

В результате:

нарушается принцип законности обработки;
согласие не признаётся действительным основанием;
работодатель теряет юридическую защиту.

Отсутствие согласия там, где оно обязательно

Обратная ситуация — отсутствие согласия при:

публикации данных сотрудников на сайте;
использовании фото работников;
обработке биометрических данных;
передаче данных третьим лицам вне требований закона.

В этих случаях отсутствие согласия практически гарантирует нарушение 152-ФЗ.

Шаблонные формы согласий

Использование универсальных шаблонов без учета реальных целей обработки приводит к тому, что:

согласие не отражает фактические процессы;
содержит недостоверные формулировки;
признаётся формальным и юридически несостоятельным.

Несоответствие согласий документам по ПДн

Если согласия:

не согласованы с политикой обработки ПДн;
противоречат локальным актам;
не отражены в ОРД,

это рассматривается как отсутствие системы работы с персональными данными.

Отсутствие учёта и контроля согласий

Типичные проблемы:

нет реестра согласий;
невозможно подтвердить их наличие;
отсутствует порядок отзыва и прекращения обработки.

Неправильно оформленное согласие не защищает

А иногда только усугубляет ситуацию

Приведём согласия и документы по ПДн в соответствие требованиям закона

Как выстроить работу с согласиями без риска штрафов

Согласия работников должны быть не разрозненными документами, а частью единой системы обработки персональных данных в организации.

Провести аудит целей обработки персональных данных

Первый шаг — определить:

какие данные работников реально обрабатываются;
для каких целей;
на каких правовых основаниях.

Это позволяет чётко разграничить:

где согласие не требуется,
а где без него обработка незаконна.

Разграничить трудовые и нетрудовые цели обработки

Трудовые цели должны опираться на закон и трудовой договор, а не на согласие.

Согласия используются только для:

маркетинга;
публичных размещений;
иных целей, не связанных напрямую с трудовыми обязанностями.

Привести согласия и документы по ПДн в соответствие

Согласия должны быть согласованы с:

политикой обработки персональных данных;
локальными актами;
фактическими процессами обработки.

Для этого разрабатывается организационно-распорядительная документация по защите персональных данных.

Обучить кадровый и управленческий персонал

Ошибки с согласиями чаще всего возникают из-за:

неправильного понимания требований закона;
механического копирования шаблонов;
отсутствия внутреннего контроля.

Обеспечить контроль и актуализацию

Необходимо регулярно:

пересматривать цели обработки;
актуализировать согласия;
отзывать или заменять устаревшие формы.

На практике

На практике согласие — один из самых неправильно используемых инструментов в сфере персональных данных.
Работодатели либо получают его там, где оно не нужно, либо не получают там, где без него обработка незаконна. Согласие не заменяет систему защиты персональных данных.
Только выстроенная система обработки ПДн, где согласия используются строго по назначению, позволяет реально снизить риски штрафов и претензий со стороны Роскомнадзора

Не хотите рисковать штрафами из-за согласий сотрудников?

Доверьте защиту персональных данных профессионалам

Создадим индивидуальный пакет документов и выстроим систему защиты ПДн под ваш бизнес под ключ

Последние статьи

9 февраля, 2026

От чего зависит размер штрафа за персональные данные?

Нужна подробная консультация?

Оформите заявку, мы свяжемся с вами в ближайшее время и ответим на все интересующие вас вопросы.

Я ознакомлен(а) с политикой и даю согласие на обработку персональных данных

Заявка успешно отправлена

Произошла ошибка