28 января прошел Privacy Forum 2026 - конференция о персональных данных в бизнесе, организованная Lukash & Partners.
В мероприятии приняли участие более 20 практикующих специалистов в области персональных данных и информационной безопасности.
Среди экспертов представители ФГУП ГРЧЦ (Роскомнадзор), ДИП г. Москва, Центра биометрических технологий, ТБанка, Сбербанка, Авито, ГК "Гарда", Городисский и партнеры, АЛРУД, RTM GROUP и других крупных российских и международных компаний.
На панельной дискуссии о защите персональных данных в трудовых отношениях эксперты-практики поделились реальным опытом минимизации согласий, обсудили альтернативные правовые основания обработки и рассказали о подходах крупных компаний к этим вопросам.
Модератор:
Дарья Неверова, основатель и генеральный директор Учебного центра ООО «Безопасность 360»
Участники:
Анастасия Петрова, советник практики Защиты данных и кибербезопасности юридической фирмы АЛРУД
Валерия Аршинова, адвокат в сфере трудового права, старший партнер ЮК «Альтависта»
Марина Юфа, руководитель практики защиты данных, Авито
Владислав Симоненко, руководитель направления по трудовому праву, ПАО Сбербанк
Запись секции доступна VKvideo
Ниже краткий обзор обсуждений по затронутым темам.
Тренд на минимизацию согласий
Важно понимать, что минимизация — это не увеличение рисков, а более комплексный анализ всех рисков. Согласие там, где его быть не должно, где оно вступает в противоречие существу трудовых отношений, создаёт не меньшие риски — трудоправовые и репутационные.
Роскомнадзор поддерживает тренд на минимизацию согласий, но ТК РФ всё ещё сдерживает этот процесс своими требованиями.
Где эксперты видят возможность отказаться от согласий: передача персональных данных о работнике аудиторам, установка мониторинговых систем для контроля эффективности работника, передача данных подрядчику для исполнения должностных обязанностей (охранное агентство, обслуживание СКУД, доступ в объекты).
В этих случаях работодатель не должен зависеть от волеизъявления сотрудника — здесь важна максимальная прозрачность процессов.
Категории, которые компании часто оставляют на уровне согласия из осторожности: командировки, аутсорсинг кадрового администрирования и бухгалтерии, распространение данных сотрудников.
Альтернативные основания обработки
Трудовой договор: два противоположных подхода
Подход "за": c точки зрения 152-ФЗ трудовой договор — отличное основание для обработки, не нужно брать дополнительное согласие. Трудовой договор работает и по ТК РФ, и по 152-ФЗ (п. 5 ч. 1 ст. 6 — исполнение договора).
Подход "против": когда компании заменяют согласие трудовым договором, на практике это означает, что текст из согласий просто переносится в трудовой договор. Проблема в том, что при небольших изменениях обновление трудового договора через доп.соглашения превращается в ту же кампанию по сбору согласий.
Локальные акты: основание, но не согласие
Эксперты отметили, что локальный акт — это не согласие. Локальный акт — это специфический источник трудового права, который принимается работодателем, как правило, единолично. Работник с ним ознакомился — согласен или не согласен, но он будет его исполнять, если ЛНА не противоречит закону.
Локальный акт может быть основанием обработки (исполнение требований законодательства, если он принят в соответствии с ТК РФ), но не может быть формой согласия на обработку персональных данных. Ознакомление с ЛНА — это не согласие в понимании 152-ФЗ.
Фактическое волеизъявление
Среди приглашенных экспертов высказывалось мнение, что не всё должно быть письменным согласием по канонам части 4 статьи 9 152-ФЗ. Существует подход, при котором сам сотрудник даёт свои данные и начинает взаимоотношение с подрядчиком: сам заполняет заявку на такси, сам подаёт заявку на ДМС. Это вполне нормальное, солидное волеизъявление. Оно, конечно, не отвечает письменной форме согласия, но на практике это надёжнее, чем попытка обосновать обработку законным интересом.
Передача данных о работниках третьим лицам
Один из самых спорных вопросов, затронутых в рамках обсуждения, — нужно ли согласие на передачу данных работника третьим лицам, если это необходимо для предоставления корпоративных льгот?
Безопасная позиция: собирать согласие обязательно, так как статья 88 ТК РФ прямо это требует.
Смелая позиция: если работодатель не может исполнить договор без передачи данных третьему лицу, согласие по 152-ФЗ не нужно. Здесь исключение, предусмотренное другими федеральными законами (152-ФЗ): передача необходима для исполнения договора. Судебная практика (например, дело Аэрофлота) подтверждает такой подход, особенно когда работник является выгодоприобретателем по договору.
Как указывать третьих лиц?
В согласии должно быть конкретизированы третьи лица, но при смене подрядчиков возникает проблема актуализации. Промежуточный вариант — вести публичный список всех подрядчиков на сайте, портале или стенде, а в ЛНА или согласии указывать, где можно ознакомиться с этим списком. Роскомнадзор озвучивает такой подход как приемлемый.
Оптимальная команда для легализации обработки персональных данных в кадровых процессах
Эффективная обработка данных работников требует специализированной команды: выделенные специалисты DPО в отделе HR, которые занимаются обработкой данных работников, соискателей, стажёров, в связке с юристами по трудовому праву. Эта команда работает под координацией общего DPO компании. База знаний по трудовому праву для DPО, работающего в кадровых процессах, абсолютно необходима.
Разделение функций: юристы по трудовому праву дают советы, как работает законодательство, а DPO HR, зная процесс, думает, как найти решение через волеизъявление работника или другое основание, а не получить очередное согласие.
Размещение информации о сотрудниках
По мнению спикеров, внутрикорпоративные справочники с корпоративными контактами, необходимыми для нормального взаимодействия внутри компании, не требуют сбора письменных согласий. Корпоративные контакты (должность, рабочий телефон, email) размещаются без согласия. Публикацию личных контактов рекомендуется реализовать с элементами управления видимостью (дашборды), чтобы работник сам решал, что показывать коллегам.
В рамках этого вопроса коллеги отметили важный нюанс для групп компаний: размещение данных на общем портале — это передача данных другим юридическим лицам. Формально это требует согласия, кроме случаев, когда работник выполняет обязанности для нескольких компаний группы по договору или совместительству.
Применение полиграфа
Экспертное сообщество единодушно в вопросе применения полиграфа: это всегда требует письменного согласия работника. Обосновать обработку данных, которые появляются при прохождении полиграфа, другими основаниями практически невозможно. При проверке на полиграфе образуются в том числе данные о состоянии здоровья человека — пульс, частота сердцебиений, другие физиологические показатели.
Поскольку проверка на полиграфе основана на согласии, работник вправе управлять этим согласием. При отзыве согласия данные, полученные при проверке, должны быть уничтожены. Работодатель не может препятствовать отзыву или создавать для этого препятствия.
Существует важное ограничение: нельзя основывать управленческие решения исключительно на результатах проверки на полиграфе. Необходима дополнительная доказательная база. Судебная практика подтверждает, что увольнение работника, обоснованное только результатами полиграфа, не будет поддержано судом. Результаты полиграфа могут быть лишь частью комплексной оценки, но не единственным доказательством.
Дисклеймер:
Представленные в материале позиции отражают мнения экспертов-участников дискуссии и носят информационно-ознакомительный характер. Данная информация не является юридической консультацией. При принятии решений по вопросам обработки персональных данных рекомендуется учитывать специфику конкретной ситуации и обращаться за профессиональной юридической помощью. Организатор и спикеры не несут ответственности за последствия применения представленных подходов.
