Роскомнадзор повысил компаниям категории риска. Узнайте, какая теперь у вас и чем это грозит

Журнал «Кадровое дело», №2 Февраль 2026

Изменения в работе

Вячеслав Филиппов, Главный редактор журнала «Кадровое дело»

Почему оформление согласий на обработку данных переводит компанию в повышенную зону риска
Как оформлять заграничные командировки, чтобы не навлечь на работодателя санкции Роскомнадзора
Что учесть кадровику при обработке персональных данных родственников работника и его детей

Скорее всего вы не знаете, но категория риска вашей компании в работе с персональными данными изменилась. Роскомнадзор обновил критерии, по которым теперь относит их к той или иной категории. При этом не стоит ждать информации о том, к какой категории отнесли вас — официальные уведомления не предусмотрены. Разобраться самостоятельно непросто — механизм сложный и требует учитывать много условий. Чтобы помочь вам в этом вопросе мы подготовили чат-бот. Ответьте на несколько вопросов и он подскажет, какая категория риска у вашей компании. Она напрямую влияет на частоту проверок и размер штрафов, если есть нарушения.

Хорошая и плохая новость одновременно — категория риска может измениться. В статье — рекомендации по работе с персданными, которые помогут снизить категорию, если получили критическую или высокую, и не повысить ее, если вас отнесли к умеренной или благонадежной.

Узнайте вашу категорию риска

/interactive/doc/f1da0ada-ad58-4f00-8e71-a89ec502438c/index.html

На категорию риска вашей компании влияет, какие персональные данные вы обрабатываете, были ли у вас нарушения в работе с персональными данными и какие именно. Чтобы исключить вероятность того, что вашей компании повысят категорию риска или попытаться ее снизить, единственный вариант — привести свою практику работы в соответствие с требованиями закона. Ниже мы разобрали, что необходимо сделать по семи наиболее критичным видам обработки персданных, чтобы у проверяющих к вам не было претензий.

Биометрия и специальные данные

Если ваша организация применяет системы распознавания лиц или голоса для доступа в офис, на производственную площадку или иных задач, зона ответственности кадровика — получить согласия работников. Форму такого согласия установило Правительство, (ст. 11 Закона от 27.07.2006 № 152-ФЗ (далее — Закон № 152-ФЗ), распоряжение Правительства от 30.06.2018 № 1322-р). Кроме того, все данные работников должны храниться в Единой биометрической системе (ЕБС) (ст. 4 Закона от 29.12.2022 № 572-ФЗ). Эта задача на стороне ИТ, но рекомендуем убедиться, что данное требование коллеги выполнили. Хранить биометрию в локальных базах данных без аккредитации Минцифры нельзя. Это грубое нарушение, которое при наличии прошлых предписаний гарантирует попадание в план проверок и наложение штрафов до 2 млн руб.

Аналогичная зона ответственности кадровика связана с обработкой специальных категорий данных, к которым относятся сведения о расовой принадлежности, политических взглядах, интимной жизни и, что наиболее актуально, о состоянии здоровья. Фиксация диагнозов в личных делах, хранение необязательных медсправок приравнивают вас к «тяжелым» операторам. Роскомнадзор уделяет особое внимание тому, насколько цели обработки таких данных соответствуют реальным задачам трудового договора. При малейшем несоответствии квалифицирует действия кадровой службы как незаконный сбор избыточной информации, что автоматически активирует механизм государственного контроля.

Согласия на обработку данных

Получать согласия на обработку персданных необходимо только в тех случаях, когда они действительно нужны. Привычный подход большинства кадровиков брать согласия на обработку персданных на все случаи жизни теперь опасен. С начала 2026 года Роскомнадзор будет воспринимать избыточные согласия не как желание работодателя подстраховаться и защититься от претензий работников, а как индикатор, что работодатель неправильно выбрал правовое основание обработки персданных. Речь идет о ситуациях, когда закон предусматривает иные основания обработки, предусмотренные статьей 6 Закона № 152-ФЗ.

Позиция Роскомнадзора изменилась из-за того, что появилась новая задача — сформировать реестр согласий на обработку персональных данных. Предполагается, что гражданин сможет видеть, кому и на каких условиях он разрешил обрабатывать свои данные. При необходимости он сможет отзывать согласие через Госуслуги. Чтобы этот реестр не превратился в перегруженную систему, регулятор исходит из того, что в нем должны учитываться только те согласия, которые требуются дополнительно. Сокращение избыточных согласий стало конкретной целью, а изменения в Положение № 1046 — первым шагом в этом направлении.

Какие точно согласия не нужны, Роскомнадзор еще не разъяснял. Поэтому мы рекомендуем ориентироваться на судебную практику, когда суд признавал отсутствие согласия допустимым:

при рассмотрении кандидатуры соискателя (определение Второго КСОЮ от 03.06.2020 № 88-2557/2020);
трудоустройстве (апелляционное определение Мосгорсуда от 16.07.2020 по делу № 33-13748/2020);
направлении запроса о выдаче больничного работнику (определение Четвертого КСОЮ от 03.04.2024 по делу № 88-12376/2024);
передаче кадрового учета на аутсорсинг (решение Пресненского районного суда г. Москвы от 30.01.2024 по делу № 02-0907/2024);
оформлении договоров ДМС (постановление АС Московского округа от 30.05.2022 по делу № А40-163911/21-17-1229).

Как РКН определяет категорию риска

Категория риска зависит от двух факторов — группы тяжести и группы вероятности нарушений (Положение № 1046). Группа тяжести (от А до Г) определяет масштаб вреда в случае инцидента. Например, если обрабатываете биометрические персданные или данные несовершеннолетних, группа тяжести — А.

Группа вероятности (от 1-й до 4-й) зависит от того, есть ли у компании штрафы за предыдущие годы. Итоговое сочетание этих параметров определяет, станете ли вы для Роскомнадзора «невидимкой» или попадете в список тех, к кому придут обязательно и скоро.

Трансграничная передача данных в страны без адекватной защиты

Передавать данные за границу не запрещено. Но для Роскомнадзора принципиально знать, куда уходят данные граждан РФ и насколько эта страна «дружелюбна» к правилам защиты информации. И если вы передаете данные в страны без адекватной защиты, то вы на карандаше у РКН. Обратите внимание, что к таким странам относятся, например, США и ОАЭ. Важно понимать, что физического «пересечения границы» данными может не быть: если кадровик из Москвы загружает анкету соискателя в облачную HR-систему, серверы которой стоят в США или Германии, это по закону считается трансграничной передачей.

Поэтому, если компания использует зарубежный софт, бронирует для сотрудников гостиницы в Дубае, покупает билеты на рейсы иностранных авиалиний, она обязана уведомить Роскомнадзор о намерении осуществлять трансграничную передачу (ст. 12 Закона № 152-ФЗ). Важно — нельзя передавать данные сотрудников в такие страны сразу после подачи документов (ч. 11 ст. 12 Закона № 152-ФЗ). Процесс выглядит так: вы направляете уведомление в Роскомнадзор и ждете 10 рабочих дней. Только по истечении этого срока, если от ведомства не пришел официальный запрет или ограничение, передача данных становится легальной.

Уведомлять Роскомнадзор по каждой отдельной поездке не надо. Достаточно подать одно уведомление на одну страну и одну цель

Трансграничная передача в страны «белого» списка

Если ваша компания сотрудничает с контрагентами из стран «белого списка», режим контроля будет максимально лояльным. К таким государствам относятся участники Конвенции Совета Европы (например, Белоруссия, Армения, Казахстан, страны ЕС) и страны из специального перечня Роскомнадзора (например, Китай или Сербия). Главное отличие в том, что вы имеете право передавать данные сотрудников (бронировать билеты, отели или использовать ПО) сразу после того как направили уведомление в ведомство. Ждать десять дней или специального разрешения не надо (ч. 10 ст. 12 Закона № 152-ФЗ).

Для руководителя кадрового отдела работа со странами из «белого списка» — это самый безопасный способ сохранить статус умеренного риска. Но важно следить за актуальностью перечня стран: если страна будет исключена из списка адекватной защиты, ваши действия автоматически попадут под жесткие ограничения, предусмотренные для «неадекватных» юрисдикций, что потребует немедленного пересмотра всей системы согласий и уведомлений.

Данные несовершеннолетних

Хотя основными объектами контроля по части детских данных остаются образовательные и досуговые учреждения, коммерческие компании также находятся в зоне риска. Для Роскомнадзора количество таких данных не имеет значения: незаконная обработка даже одной записи о несовершеннолетнем является грубым нарушением статьи 9 Закона № 152-ФЗ, так как дети признаны особо защищаемой категорией граждан. В отделе кадров практически любой организации хранятся сведения о детях сотрудников для оформления налоговых вычетов, ДМС или закупки подарков.

Чаще всего для обработки этих данных также всегда брали с родителей согласие. Однако не совсем ясно, насколько такая практика продолжает быть актуальной. Оформление налогового вычета — это задача, предусмотренная законом. Если работник желает его получить, он не может это сделать без предоставления данных на ребенка. Таким образом, согласие в этом случае будет избыточным. В отношении подарков ситуация сложнее, так как здесь инициатива исходит от самой компании. В любом случае важно прекратить обработку данных, полученных от работника после достижения целей, для которых их брали, и официально уничтожить документы, где они содержались.

Штрафы за нарушения в работе с персданными — 2026

кликните по картинке и увидите всю таблицу

Сделайте своей привычкой ежеквартальную «чистку» архивов и баз данных. Удаляйте все, что не требуется по закону или для текущей работы. Помните: Роскомнадзор не может наказать вас за нарушение правил хранения тех данных, которых у вас физически нет

Обработка данных родственников

Обработка данных членов семьи без их прямого согласия разрешена работодателю только в строго определенных законом случаях. К ним относятся заполнение личной карточки (в объеме степени родства, Ф. И. О. и года рождения), удержание алиментов, выплата пособий по нетрудоспособности или уходу за ребенком. Во всех остальных ситуациях, включая получение контактных телефонов родственников для экстренной связи, необходимо оформлять отдельное письменное согласие от самого члена семьи, составленное по правилам статьи 9 Закона № 152-ФЗ.

Чтобы избежать этой громоздкой процедуры, работодатели нередко прибегают к юридической «хитрости» — просят самого работника подписать обязательство или заявление о том, что он гарантирует наличие согласий от своих близких на передачу их данных компании. С точки зрения буквы закона это является слабой защитой, однако в условиях реального документооборота такая расписка позволяет создать хотя бы первичный бумажный след и снизить риск претензий при поверхностной проверке.

Тем не менее важно понимать, что «хитрость» с подписью работника за родственников не спасет компанию, если между сотрудником и работодателем возникнет конфликт или если сам родственник направит жалобу в Роскомнадзор. Поэтому подобный компромиссный вариант допустим лишь для второстепенных данных, вроде номеров телефонов для связи в экстренных случаях, в то время как для передачи сведений в страховые компании по ДМС или банковские структуры все же безопаснее организовать сбор реальных подписей, чтобы не давать регулятору повода для перевода компании в более тяжелую группу риска.

Проверьте ваш корпоративный сайт и стенды в офисе. На каждого сотрудника, чье фото или Ф. И. О. там фигурируют, должно быть оформлено отдельное согласие

Распространение персональных данных

Под распространением закон понимает действия, в результате которых данные становятся доступны неопределенному кругу лиц. Обычно данные распространяются через портал компании в силу закона или желания работодателя.

Для кадровика важно проверить следующее:

размещение фото и Ф. И. О. сотрудников на официальном сайте компании;
публикацию данных на «досках почета» в общедоступных местах;
посты в корпоративных соцсетях с упоминанием успехов конкретных работников.

Главная ловушка здесь — статья 10.1 Закона № 152-ФЗ. Согласно этой норме, для распространения данных недостаточно обычного согласия на обработку. Нужно получить от сотрудника отдельное согласие на распространение персональных данных. Это документ по строго установленной форме, в котором работник имеет право поставить галочки напротив каждого пункта: например, разрешить публикацию фамилии, но запретить использование личного фото или номера телефона (приказ Роскомнадзора от 24.02.2021 № 18).

Если такого документа нет, данные необходимо немедленно удалить из публичного доступа. Это исключит риск получения жалобы, которая является самым частым поводом для внеплановой проверки компаний с «умеренным» уровнем риска.

Когда вы невидимка для РКН

Чтобы попасть в самую безопасную категорию, компания должна соответствовать двум условиям: относиться к группе тяжести «Г» и иметь группу вероятности 4. Это означает, что вы обрабатываете минимальный набор данных и за последние три года не получили ни одного, даже самого мелкого, штрафа от Роскомнадзора. Если вы используете сторонние ресурсы для получения персональных данных, то пользуетесь лишь общедоступными источниками информации. В такой ситуации регулятор не видит смысла тратить ресурсы на контроль вашей деятельности, считая вас добросовестным оператором с «прозрачными» процессами. Важный момент: в обработке у вас не более тысячи субъектов данных, включая как работников, так и контрагентов.

Даже если вы не дошли до этого статуса — не переживайте. Если вы не получали штрафов ранее и не обрабатываете избыточные данные, то у вас все равно высокие шансы избежать внимания со стороны РКН.