1С:ЗУП и персональные данные сотрудников: полный гайд по соответствию 152-ФЗ в условиях новых штрафов

Как не получить оборотный штраф до 500 млн рублей и выстроить реальную защиту кадровых данных

Введение: почему именно сейчас это критически важно

Россия переживает период жёсткого ужесточения законодательства о персональных данных. Федеральный закон № 420-ФЗ, подписанный в ноябре 2024 года и вступивший в силу 30 мая 2025 года, перевернул привычную логику «заплатим штраф и забудем» [1]. Максимальный штраф для организаций вырос с прежних 100 тысяч рублей до 500 миллионов, а за повторную утечку введены оборотные санкции — от 1 до 3% годовой выручки компании [2].

На этом фоне системы кадрового учёта — и прежде всего 1С:Зарплата и управление персоналом (ЗУП) — оказываются в центре регуляторного внимания. По данным Роскомнадзора, в 2024 году было зафиксировано 135 утечек баз данных, содержащих более 710 млн записей о россиянах [3]. Каждая из них — это потенциальный иск, штраф и репутационный ущерб для компании-оператора.

Статья адресована широкой аудитории: кадровым специалистам и HR-менеджерам, ИТ-администраторам, руководителям компаний малого и среднего бизнеса, юристам и специалистам по комплаенсу, а также бухгалтерам, которые ежедневно работают с базами 1С. Если ваша компания использует 1С:ЗУП — значит, она является оператором персональных данных в полном смысле закона, и эта статья для вас обязательна.

Раздел 1. 1С:ЗУП как информационная система персональных данных: что это значит юридически

Почему ЗУП — это ИСПДн по умолчанию

Многие компании совершают одну и ту же ошибку: считают, что требования 152-ФЗ касаются только крупного бизнеса или тех, кто работает с «чувствительными» данными клиентов. Это заблуждение.

Согласно статье 3 Федерального закона № 152-ФЗ «О персональных данных», информационная система персональных данных (ИСПДн) — это совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств [4]. 1С:ЗУП полностью соответствует этому определению с момента занесения в базу первой кадровой записи [5].

Важно понимать: под действие закона подпадает любой работодатель, который хранит данные даже одного сотрудника. Директор ООО с единственным работником — уже оператор ПДн, обязанный уведомить Роскомнадзор и соблюдать все требования закона [6].

Какие персональные данные хранит типовая база ЗУП

В стандартной конфигурации 1С:ЗУП содержатся данные, относящиеся к нескольким категориям по 152-ФЗ:

1. Общие персональные данные: ФИО, дата и место рождения, гражданство, адрес регистрации и проживания, контактные телефоны, электронная почта, реквизиты паспорта, СНИЛС, ИНН, данные о занятости и должности [5].
2. Специальные категории персональных данных (требуют повышенной защиты по ст. 10 152-ФЗ): сведения о состоянии здоровья (больничные листы, медицинские справки), данные об инвалидности, в ряде случаев — религиозные взгляды (например, при учёте определённых видов отпусков), сведения о семейном положении и иждивенцах [4].
3. Биометрические персональные данные: в конфигурациях с системами контроля доступа по скану лица или отпечатку пальца — фото и биометрические шаблоны. Такие данные подпадают под ст. 11 152-ФЗ и требуют защиты по уровню не ниже третьего [7].
4. Финансовые данные (не выделены в 152-ФЗ отдельно, но требуют защиты): банковские реквизиты, номера счетов, размер заработной платы.

Уровень защищённости ИСПДн на базе ЗУП

Постановление Правительства № 1119 и Приказ ФСТЭК № 21 устанавливают четыре уровня защищённости ИСПДн [7]. Для типичной коммерческой организации, использующей ЗУП для учёта сотрудников:

1. Если обрабатываются только общие данные ограниченного числа сотрудников — применяется третий или четвёртый уровень защищённости.
2. Если в системе хранятся медицинские данные, сведения о состоянии здоровья — потребуется как минимум третий уровень.
3. Если используется биометрия (системы распознавания лиц, пропускные системы по отпечатку) — обязателен третий уровень [7].
4. Для государственных органов и предприятий, подключённых к ГИС, — обязательная аттестация по Приказу ФСТЭК № 17 [8].

Определение актуального уровня защищённости — первый обязательный шаг для любой организации, использующей ЗУП. Без него невозможно корректно выстроить систему защиты.

Раздел 2. Законодательный контекст: 152-ФЗ в 2025 году и что изменилось

Ключевые требования 152-ФЗ для работодателей

Работодатель в рамках 152-ФЗ выступает оператором персональных данных и несёт следующие обязательства [4]:

1. Уведомление Роскомнадзора о намерении осуществлять обработку ПДн — до начала любой обработки данных.
2. Разработка и утверждение внутренней документации: Политики обработки ПДн, Приказа о назначении ответственного, Регламентов обработки и уничтожения данных, Соглашений о неразглашении с сотрудниками, имеющими доступ к данным [9].
3. Получение согласий сотрудников на обработку данных, выходящую за рамки трудового договора. Важный нюанс: для обработки данных в рамках непосредственного исполнения трудового договора — начисления зарплаты, ведения кадровых документов, отчётности — отдельное согласие не требуется [10].
4. Уведомление Роскомнадзора об утечке в течение 24 часов с момента её обнаружения и направление повторного уведомления с результатами расследования в течение 72 часов [11].
5. Обеспечение хранения ПДн граждан РФ на серверах, расположенных на территории России — требование о локализации данных [12].
6. Уничтожение ПДн по истечении сроков хранения или при отзыве субъектом согласия.

С 1 сентября 2025 года действуют также новые требования к форме согласия: оно должно оформляться отдельным документом и не может быть включено в трудовой договор или анкету кандидата [12].

Новые штрафы с 30 мая 2025 года: конкретные цифры

Федеральный закон № 420-ФЗ от 30 ноября 2024 года радикально изменил санкции [1]:

1. За общее нарушение порядка обработки ПДн (ч. 1 ст. 13.11 КоАП) — штраф для организаций вырос до 150 000 — 300 000 рублей (против прежних 60 000 — 100 000).
2. За неуведомление о намерении обрабатывать ПДн — для юрлиц 100 000 — 300 000 рублей.
3. За неуведомление об утечке — для организаций 1 — 3 млн рублей [11].
4. За утечку ПДн в зависимости от масштаба [2]:

• от 1 000 до 10 000 субъектов — штраф 3 — 5 млн рублей;
• от 10 000 до 100 000 субъектов — 5 — 10 млн рублей;
• более 100 000 субъектов — 10 — 15 млн рублей;
• специальные категории ПДн (данные о здоровье) — 10 — 15 млн рублей;
• биометрические данные — 15 — 20 млн рублей.

1. За повторную утечку — оборотный штраф от 1 до 3% годовой выручки, минимум 20 млн рублей, максимум 500 млн рублей [2].
2. Уголовная ответственность: новая статья 272.1 УК РФ предусматривает штраф до 300 тысяч рублей или лишение свободы до 4 лет за незаконный сбор или хранение данных [13].

Эти цифры принципиально изменили отношение к защите ПДн: если раньше многие компании сознательно шли на штраф, то теперь нарушение может поставить под угрозу само существование бизнеса.

Раздел 3. Встроенные механизмы защиты в 1С:ЗУП: что есть в типовой конфигурации

Подсистема защиты персональных данных в ЗУП 3.1

Разработчики платформы 1С реализовали в конфигурации ЗУП 3.1 набор встроенных инструментов для работы с ПДн [14]. Доступ к ним открывается через меню «Администрирование — Настройки пользователей и прав — Защита персональных данных».

Ключевые возможности встроенной подсистемы:

1. Разграничение доступа по ролям. Для каждого пользователя системы назначается набор ролей, ограничивающих видимость и доступ к определённым данным. Типичная схема: кадровая служба видит паспортные данные и документы; бухгалтерия — расчётные данные с ограниченным доступом к личным сведениям; руководство — агрегированные аналитические данные без детализации по конкретным людям [5].
2. Журнал регистрации событий доступа к ПДн. После включения настройки «Использовать журнал регистрации событий» система фиксирует все обращения к персональным данным: кто, когда, к каким данным обращался. Журнал хранится отдельно и используется при аудите и проверках [14].
3. Маскирование полей. В ЗУП предусмотрена возможность скрыть отдельные поля на уровне интерфейса: паспортные данные — только для кадровой службы; адреса — для кадров и бухгалтерии; контактная информация — по необходимости [5].
4. Механизм согласий. При приёме сотрудника на работу из его карточки формируется и распечатывается «Согласие на обработку ПДн» в соответствии с требованиями Роскомнадзора. Все выданные согласия хранятся в разделе «Кадры — Согласия на обработку ПДн» [15].
5. Уничтожение персональных данных. В версии ЗУП 3.1.23.812 реализован механизм удаления ПДн уволенных сотрудников по истечении срока хранения в соответствии с Приказом Роскомнадзора от 28.10.2022 № 179 [16]. Процедура запускается вручную, носит необратимый характер, автоматически формирует Акт об уничтожении ПДн.
6. Уведомление в Роскомнадзор. В разделе «Отчёты — Уведомления, сообщения и заявления» пользователь может сформировать уведомление об обработке ПДн по форме, соответствующей Приказу Роскомнадзора от 28.10.2022 № 180 [9].

Сертификация платформы

Важно понимать, что речь идёт о сертификации платформы, а не конфигурации ЗУП как таковой. Специальная версия технологической платформы «1С:Предприятие 8.3z» сертифицирована ФСТЭК России (сертификат соответствия № 3442) на соответствие требованиям по защите от несанкционированного доступа по 5-му классу защищённости [17]. Эта версия может использоваться в ИСПДн до 1-го уровня защищённости включительно.

Однако сертификация платформы — это не аттестация конкретной ИСПДн вашей компании. Оператор обязан самостоятельно разработать модель угроз по методике ФСТЭК 2021 года [8], определить уровень защищённости и внедрить соответствующие меры.

Раздел 4. Риски и уязвимости: где ПДн «утекают» из ЗУП

Типичные каналы компрометации данных в кадровых системах

Понимание того, где конкретно возникает риск, важнее знания формальных требований. Для систем на базе 1С:ЗУП характерны следующие векторы угроз:

1. Избыточные права пользователей. Самый распространённый риск — пользователь видит значительно больше данных, чем нужно для работы. Это происходит, когда права назначаются «на глаз» или копируются от другого сотрудника без анализа. Риск усиливается при увольнениях: права бывшего сотрудника могут оставаться активными.
2. Незащищённые интеграции с внешними системами. 1С:ЗУП активно интегрируется с банками (зарплатные проекты), системами кадрового ЭДО, порталами HR-аутсорсинга, CRM-системами и ERP. Каждый новый канал обмена данными — потенциальный вектор утечки, если интеграция настроена без соблюдения стандартов безопасности [18]. Типичная проблема: при передаче списка сотрудников в банк для оформления зарплатных карт используется незашифрованный канал или данные передаются через промежуточный файл на общем сетевом ресурсе.
3. Доступность серверного оборудования. Если сервер 1С физически доступен для посторонних лиц, злоумышленник с прямым доступом к оборудованию получает возможность скопировать базу данных целиком, минуя программные средства защиты [19].
4. Нетиповые доработки конфигурации. Многие организации используют изменённые конфигурации ЗУП с дополнительными полями, отчётами или обработками, написанными сторонними разработчиками. Такие доработки могут содержать уязвимости или непреднамеренно открывать доступ к ПДн в обход штатных механизмов защиты.
5. Экспорт данных в Excel и другие форматы. Встроенные отчёты ЗУП позволяют выгружать данные о сотрудниках в табличные форматы. Если такие выгрузки не контролируются и не логируются, они становятся незаметным каналом утечки — достаточно отправить файл не тому адресату.
6. «Теневые» копии и тестовые базы. Нередко в компаниях существуют копии продуктивной базы ЗУП на тестовых серверах или локальных компьютерах разработчиков — с теми же реальными данными сотрудников, но без средств защиты продуктивной среды.
7. Расширение данных без уведомления. Когда компания добавляет новые поля в базу ЗУП (например, данные о медицинской страховке или документы воинского учёта), она фактически расширяет состав обрабатываемых ПДн — и обязана подать обновлённое уведомление в Роскомнадзор [9]. Этот шаг часто упускается.

Масштаб проблемы: статистика утечек в России

По данным аналитического центра ГК InfoWatch, в 2024 году из российских компаний утекло 1,581 млрд записей персональных данных — рост более чем на 30% по сравнению с 2023 годом. Количество инцидентов составило 592 случая [20]. Роскомнадзор зафиксировал 135 официальных фактов утечек с более чем 710 млн записями [3].

В первом полугодии 2025 года регулятор выявил 35 фактов утечек, в результате которых скомпрометированы более 39 млн записей [21]. Примечательно, что реальные масштабы утечек существенно превышают официальную статистику: значительная часть инцидентов либо не выявляется, либо не сообщается в Роскомнадзор.

Раздел 5. Настройка 1С:ЗУП для соответствия 152-ФЗ: пошаговое руководство

Шаг 1: Документальная основа (без неё всё остальное бессмысленно)

Прежде чем приступать к настройке системы, необходимо подготовить минимальный пакет документов [9]:

1. Приказ о назначении ответственного за организацию обработки ПДн (ст. 22.1 152-ФЗ).
2. Политика оператора в отношении обработки персональных данных — публично размещаемый документ, описывающий цели и принципы обработки.
3. Положение об обработке персональных данных работников — внутренний документ для сотрудников.
4. Соглашение о неразглашении для лиц, имеющих доступ к ПДн.
5. Регламенты обработки, хранения и уничтожения данных.
6. Модель угроз безопасности ПДн (по методике ФСТЭК 2021 года).
7. Акт определения уровня защищённости ИСПДн.
8. Уведомление в Роскомнадзор.

Отсутствие документации само по себе является нарушением и может повлечь штраф.

Шаг 2: Активация подсистемы защиты ПДн в ЗУП

В меню «Администрирование — Настройки пользователей и прав» необходимо:

1. Включить раздел «Защита персональных данных».
2. Активировать «Регистрацию событий доступа к персональным данным» и выбрать объекты контроля.
3. Настроить «Уничтожение персональных данных» — указать количество лет хранения ПДн после увольнения сотрудника (рекомендуется 5 лет, согласно требованиям архивного законодательства) [16].

Шаг 3: Настройка ролевой модели доступа

1. Провести инвентаризацию всех пользователей базы ЗУП и их текущих прав.
2. Сформировать базовые группы пользователей: кадровая служба, бухгалтерия, расчётный отдел, руководство, ИТ-администраторы.
3. Для каждой группы определить минимально необходимый доступ к полям с ПДн (принцип минимальных привилегий).
4. Права на удаление и уничтожение данных предоставить только уполномоченным специалистам.
5. Настроить автоматическое блокирование неактивных сеансов.
6. Установить требования к паролям: длина не менее 8 символов, наличие цифр и специальных символов, срок действия не более 90 дней.
7. При наличии технической возможности — подключить двухфакторную аутентификацию [5].

Шаг 4: Работа с согласиями сотрудников

1. При приёме каждого сотрудника формировать Согласие на обработку ПДн через карточку сотрудника: «Кадры — Сотрудники — выбрать сотрудника — Печать — Согласие на обработку ПДн» [15].
2. Хранить все согласия в разделе «Кадры — Согласия на обработку ПДн».
3. При необходимости передачи данных третьим лицам (кроме случаев, прямо предусмотренных законом) — получить отдельное согласие на каждую цель передачи.
4. Вести журнал отзывов согласий и своевременно реагировать на них — блокировать обработку и инициировать процедуру уничтожения данных.

Шаг 5: Регулярное уничтожение данных уволенных сотрудников

1. Подключить механизм уничтожения ПДн в настройках администрирования.
2. Настроить автоматические уведомления об истечении сроков хранения.
3. Запускать процедуру уничтожения через «Кадры — Сервис — Уничтожение персональных данных» — процесс необратим.
4. Сохранять автоматически формируемые Акты об уничтожении ПДн в течение трёх лет [16].

Шаг 6: Регулярный аудит и мониторинг

1. Проводить внутренний аудит прав пользователей не реже одного раза в полгода [5].
2. Ежеквартально проверять журнал событий доступа к ПДн на наличие аномалий.
3. При изменении состава обрабатываемых ПДн или добавлении новых интеграций — обновлять уведомление в Роскомнадзоре [9].
4. Обновлять конфигурацию ЗУП до актуальных версий: обновления включают исправления уязвимостей и доработки под изменения законодательства.

Раздел 6. Типичные ошибки и как их избежать

Ошибка 1: «Согласие включено в трудовой договор»

До 1 сентября 2025 года такая практика была распространена. После вступления в силу новых требований она недопустима: согласие на обработку ПДн должно быть отдельным документом [12]. Важно провести ревизию всех форм и отделить согласие от трудового договора.

Ошибка 2: Игнорирование уведомления в Роскомнадзор при расширении состава ПДн

Многие компании уведомили Роскомнадзор один раз при регистрации и больше не возвращались к этому вопросу. Между тем добавление новых полей данных, подключение новых интеграций, смена способа обработки — всё это требует повторного уведомления [9]. Штраф за его отсутствие с 30 мая 2025 года составляет от 100 тысяч до 300 тысяч рублей [1].

Ошибка 3: Данные уволенных сотрудников хранятся бессрочно

По умолчанию в ЗУП данные уволенных сотрудников никуда не деваются — они продолжают храниться в базе. Без настройки и регулярного запуска механизма уничтожения компания накапливает «лишние» ПДн, что само по себе нарушает принцип ограничения хранения из 152-ФЗ. Рекомендуемый срок — 5 лет после увольнения [16].

Ошибка 4: Отсутствие контроля над интеграциями

Каждая интеграция ЗУП с внешней системой — банком, кадровым порталом, страховой компанией — является отдельным каналом обработки ПДн. Многие компании не имеют актуального реестра таких интеграций и не знают, какие данные и куда передаются. Это критический слепой угол [18].

Ошибка 5: «У нас не было утечек, значит, всё хорошо»

Роскомнадзор в 2024 году получил 200 уведомлений об утечках [22]. При этом реальное количество инцидентов, по оценке InfoWatch, составило 592 случая [20]. Разрыв в три раза означает, что большинство компаний либо не знают о собственных утечках, либо намеренно не сообщают о них. Новый закон делает умолчание катастрофически опасным: штраф за неуведомление об утечке — до 3 млн рублей, тогда как прежде это стоило 3–5 тысяч рублей [11].

Ошибка 6: Тестовые базы с реальными данными

Разработчики и администраторы нередко используют копию продуктивной базы ЗУП в тестовых целях, не задумываясь о том, что реальные ПДн сотрудников оказываются в незащищённой среде. Для тестирования необходимо обезличивать данные.

Ошибка 7: Администратор имеет полный доступ ко всем данным без журналирования

Суперпользователь с неограниченными правами — это риск. Даже для ИТ-администраторов доступ к ПДн должен быть ограничен рамками их обязанностей, а все действия — фиксироваться в журнале событий.

Раздел 7. Практический чек-лист готовности к проверке Роскомнадзора

Готовность к проверке оценивается не только по техническим настройкам системы, но и по наличию документации и правильно выстроенным процессам. Чек-лист для самопроверки:

1. Компания подала уведомление в Роскомнадзор и включена в реестр операторов ПДн — да/нет.
2. Утверждена Политика обработки персональных данных — да/нет.
3. Назначен ответственный за организацию обработки ПДн (ст. 22.1 152-ФЗ) — да/нет.
4. Разработана и утверждена модель угроз безопасности ПДн — да/нет.
5. Определён уровень защищённости ИСПДн на базе ЗУП — да/нет.
6. В ЗУП активирована подсистема защиты ПДн и журналирование событий — да/нет.
7. Настроена ролевая модель доступа, проведена последняя проверка прав менее 6 месяцев назад — да/нет.
8. Все сотрудники с доступом к ПДн подписали соглашение о неразглашении — да/нет.
9. Имеется актуальный реестр согласий сотрудников — да/нет.
10. Настроен механизм уничтожения ПДн уволенных сотрудников с истёкшим сроком хранения — да/нет.
11. Есть актуальный реестр интеграций ЗУП с внешними системами с оценкой рисков каждой — да/нет.
12. Отсутствуют тестовые базы с реальными ПДн — да/нет.
13. Имеется план реагирования на инциденты с ПДн, включая процедуру уведомления Роскомнадзора в течение 24 часов — да/нет.
14. Резервные копии базы ЗУП шифруются и хранятся в защищённом месте — да/нет.

Раздел 8. Слепые зоны: что типовые настройки ЗУП не решают

Встроенные инструменты 1С:ЗУП решают часть задачи по защите ПДн, но оставляют несколько принципиальных проблем нерешёнными.

Проблема видимости: «Где ещё лежат наши ПДн?»

Компания ведёт ЗУП — но помимо него данные сотрудников могут оседать в почтовых архивах, корпоративных чатах, файловых хранилищах, системах кадрового ЭДО, порталах страховых компаний, системах пропускного режима и десятках других мест. Один из бухгалтеров выгрузил список с ФИО и окладами в Excel и сохранил на рабочем столе. Программист добавил поле с медицинскими данными в нетиповую доработку. Новый подрядчик получил доступ к API ЗУП и начал получать данные — а в уведомление в Роскомнадзор это не попало.

ЗУП не видит свои данные за пределами собственной базы. Он не знает, что часть ПДн продублирована в другую систему, что появились новые поля после доработки конфигуратором, что данные кандидатов из hh.ru загружаются в базу без согласий.

Проблема динамики: ИТ-ландшафт меняется быстрее, чем его успевают контролировать

Каждый квартал появляются новые интеграции, новые сервисы, новые подрядчики. Аудит, проведённый полгода назад, уже не отражает реального состояния дел. При этом закон требует актуального уведомления Роскомнадзора при любом изменении состава обрабатываемых ПДн.

Проблема аудита: ручные проверки занимают недели

Классический аудит ИСПДн в компании со 100+ пользователями и несколькими интеграциями занимает от нескольких дней до нескольких недель. За это время ИТ-ландшафт успевает измениться снова.

Раздел 9. «Пятый фактор»: как автоматизировать контроль ПДн за пределами ЗУП

Описанные выше слепые зоны — именно та проблема, которую решает платформа «Пятый фактор» (https://5factor.ru).

Суть задачи: компании нужна актуальная «карта ПДн» — понимание того, где именно в корпоративных системах хранятся персональные данные, кто является их владельцем, что изменилось за последнее время и где возникли новые риски.

«Пятый фактор» — это on-premise платформа для автоматического обнаружения, инвентаризации и контроля персональных данных в корпоративных системах. Система работает с базами данных (включая 1С:ЗУП), файловыми хранилищами, почтовыми серверами, AD/LDAP, CRM-системами и API, и при этом не хранит и не передаёт «сырые» значения ПДн — только метаданные, структуру и агрегаты. Это принципиально важно с точки зрения безопасности: сама платформа не становится дополнительным источником риска.

Конкретные задачи, которые платформа решает применительно к 1С:ЗУП:

1. Автоматически обнаруживает новые поля с ПДн, появившиеся в результате доработки конфигурации, — до того, как они превратятся в неучтённый риск.
2. Строит и поддерживает актуальную карту всех ИСПДн в компании, включая интеграции ЗУП с внешними системами.
3. Уведомляет ответственного за ПДн о новых источниках данных и изменениях, требующих обновления уведомления в Роскомнадзор.
4. Сокращает время проведения аудита ПДн с нескольких недель до часов — за счёт непрерывного мониторинга вместо периодических ручных проверок.
5. Формирует доказательную базу для регулятора: понятные отчёты о том, где хранятся ПДн, кто их владелец, какие меры приняты.

В условиях, когда штрафы за нарушения выросли до сотен миллионов рублей, а ИТ-ландшафт меняется ежедневно, переход от периодического ручного аудита к непрерывному автоматизированному контролю перестаёт быть «опцией» и становится необходимостью.

Раздел 10. Тренды: что будет дальше

Дальнейшее ужесточение регулирования

152-ФЗ продолжает развиваться: в 2025 году было принято несколько существенных изменений — о требованиях к согласию (с 1 сентября 2025 года), о новых правилах обезличивания (Приказ Роскомнадзора от 19.06.2025 № 140), об усиленных требованиях к биометрии [12]. Закон от 7 июля 2025 года № 200-ФЗ вступит в силу с 1 марта 2027 года и внесёт очередные изменения [12].

Рост числа проверок и применение оборотных штрафов

Роскомнадзор в 2025 году получил более 100 тысяч жалоб от граждан на операторов ПДн [23]. Это создаёт давление на регулятора в сторону увеличения числа проверок. Первые дела по новым составам уже рассматриваются.

Биометрия как отдельный фронт

Всё больше компаний внедряют системы контроля доступа по лицу или отпечатку пальца, интегрируя их с 1С:ЗУП. С 2026 года обязательна сертификация таких систем по стандартам ФСТЭК [12]. Для тех, кто не успел — штраф от 15 до 20 млн рублей за утечку биометрии.

Цифровой кадровый документооборот (КЭДО) и новые риски

Массовый переход на кадровый ЭДО через «1С:Кабинет сотрудника» означает появление нового канала обработки ПДн — с мобильными приложениями, внешними серверами, личными кабинетами. Каждый из этих элементов требует включения в периметр защиты ПДн.

Заключение: что делать прямо сейчас

1С:ЗУП — это не просто программа для расчёта зарплаты. Это информационная система персональных данных, содержащая одни из наиболее чувствительных сведений о каждом сотруднике компании. При этом большинство российских работодателей не имеют ни актуальной картины того, где и какие ПДн хранятся, ни инструментов для мониторинга изменений в реальном времени.

В условиях, когда штрафы стали по-настоящему болезненными, а угроза утечки не снижается, три вещи становятся неотложными:

1. Привести документацию в соответствие с актуальными требованиями 152-ФЗ — это минимальная основа, без которой никакие технические меры не имеют юридической силы.
2. Правильно настроить подсистему защиты в 1С:ЗУП — это снижает технический риск утечки и даёт инструменты для аудита.
3. Выстроить непрерывный контроль над тем, где и как обрабатываются ПДн за пределами ЗУП — в интеграциях, файловых хранилищах, почте и новых источниках данных, которые появляются ежедневно.

Закон не требует совершенства. Он требует добросовестности и системного подхода. Начать можно с ревизии: открыть реестр Роскомнадзора и проверить, включена ли ваша организация. Если нет — подать уведомление. Это займёт час. Не уведомить — обойдётся значительно дороже.

Источники

[1] КонсультантПлюс. Федеральный закон от 30.11.2024 N 420-ФЗ — https://www.consultant.ru/document/cons_doc_LAW_490308/

[2] КонсультантПлюс. Персональные данные: новые штрафы с 30 мая 2025 года — https://www.consultant.ru/legalnews/28492/

[3] CNews. В 2024 году в Сеть утекли более 710 млн записей о россиянах (январь 2025) — https://www.cnews.ru/news/top/2025-01-16_v_2024_godu_proizoshlo_135_utechek

[4] КонсультантПлюс. Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» — https://www.consultant.ru/document/cons_doc_LAW_61801/

[5] binavigator.ru. Персональные данные в 1С: настройка защиты по ФЗ-152 в 2025–2026 годах — https://binavigator.ru/articles/servisy-1s/personalnye-dannye-v-1s-nastroyka-zashchity-i-soblyudenie-fz-152-v-2025-godu/

[6] БУХ.1С. Штрафы за персональные данные с 30 мая 2025 года — https://buh.ru/articles/shtrafy-za-personalnye-dannye-s-30-maya-2025-goda-utechka-v-internet-neuvedomlenie-rkn-o-nachale-obr.html

[7] Selectel Academy. ИСПДн и уровни защищённости персональных данных — https://selectel.ru/blog/personal-info-is/

[8] Selectel. Модель угроз безопасности персональных данных по требованиям ФСТЭК — https://selectel.ru/blog/personal-data-security-threat-model/

[9] assistant1c.com. Персональные данные в 1С — пошаговая инструкция (июль 2025) — https://assistant1c.com/blog/administrirovanie-1c/kak-rabotat-s-personalnymi-dannymi-v-1s-poshagovaya-instrukciya/

[10] gazeta-unp.ru. Новое в законе 152-ФЗ о персональных данных — https://www.gazeta-unp.ru/articles/53285-zakon-152-fz-o-personalnyh-dannyh

[11] it-pnk.ru. Увеличение штрафов за нарушение законодательства о персональных данных с 30 мая 2025 года — https://it-pnk.ru/news/uvelichenie-shtrafov-pd/

[12] cisoclub.ru. Изменения в законе 152-ФЗ о персональных данных и обязательные меры безопасности (март 2026) — https://cisoclub.ru/izmenenija-v-zakone-152-fz-o-personalnyh-dannyh-i-objazatelnye-mery-bezopasnosti/

[13] hi-tech.mail.ru. Закон 420-ФЗ: новые штрафы за утечки персональных данных в России (май 2025) — https://hi-tech.mail.ru/news/127957-v-rossii-shtrafy-za-utechku-personalnyh-dannyh/

[14] infostart.ru. Защита персональных данных в 1С:Зарплата и управление персоналом 8 — https://infostart.ru/1c/articles/1663484/

[15] buhexpert8.ru. Согласие на обработку персональных данных в ЗУП 3.1 — https://buhexpert8.ru/1s-zup/uchet-sotrudnikov/uchet-personalnyh-dannyh-sotrudnikov/soglasiya-na-obrabotku-pdn.html

[16] buhexpert8.ru. Уничтожение персональных данных сотрудников (ЗУП 3.1.23.812 / 3.1.27.23) — https://buhexpert8.ru/1s-zup/uchet-sotrudnikov/uchet-personalnyh-dannyh-sotrudnikov/unichtozhenie-personalnyh-dannyh-sotrudnikov-zup-3-1-23-812-3-1-27-23.html

[17] 1C.ru. Защита информации — Платформа 1С:Предприятие — https://v8.1c.ru/platforma/zashchita-personalnykh-dannykh/

[18] de-coder.ru. Как использовать API для интеграции 1С с внешними системами — https://de-coder.ru/kak-ispolzovat-api-dlja-integracii-1s-s-vneshnimi-sistemami/

[19] 1cvp.ru. Безопасность при работе с базами данных в программе 1С — https://1cvp.ru/статьи/безопасность-базы-данных-в-1с/

[20] InfoWatch. Количество слитых персональных данных в 2024 году выросло на треть — https://www.infowatch.ru/company/presscenter/news/kolichestvo-slitykh-personalnykh-dannykh-v-dve-tysyachi-dvadtsat-chetvertom-godu-vyroslo-na-tret

[21] Хабр. В первой половине 2025 года РКН выявил 35 фактов утечек ПДн (июль 2025) — https://habr.com/ru/news/924602/

[22] CNews. Роскомнадзор зафиксировал число утечек: за год их стало вдвое меньше (февраль 2025) — https://www.cnews.ru/news/top/2025-02-07_roskomnadzor_zafiksiroval

[23] hi-tech.mail.ru. Роскомнадзор раскрыл число жалоб россиян на обработку персональных данных (апрель 2026) — https://hi-tech.mail.ru/news/146168-roskomnadzor-raskryl-chislo-zhalob-rossiyan-na-obrabotku-personalnyh-dannyh/