Самое главное:
1. Персональные данные сотрудников — это любая информация, которая прямо или косвенно относится к физлицу.
2. Правила обработки персональных данных касаются всех специалистов в компании, которые работают с данными физлиц.
3. Требования к обработке персональных данных нужно выполнять не только в отношении данных сотрудников, но и сведений о соискателях.
4. Состав пакета документов, необходимых оператору персональных данных, зависит от специфики деятельности конкретного работодателя.
5. За утечку персональных данных сотрудников работодателю грозит штраф до 500 млн руб.
Какие данные сотрудников относятся к персональным
Закон от 27.07.2006 № 152-ФЗ устанавливает правила и порядок обработки персональных данных. Они в том числе относятся к работодателям, которые собирают данные соискателей, сотрудников, а также хранят архивы со сведениями бывших сотрудников.
Персональные данные — это информация о физлице, по которой прямо или косвенно можно установить его личность.
Какие данные позволяют напрямую идентифицировать человека. Это ФИО, паспортные данные, ИНН, СНИЛС, ДНК, физиологические особенности (форма носа, цвет глаз, геометрия лица).
Какие данные косвенно относятся к физлицу. Это адрес регистрации, email, образование, трудовой стаж и др. Со временем эта информация может измениться.
Виды персональных данных:
Общие — это стандартный набор данных, которые собирают HR о кандидатах и для трудоустройства новых сотрудников. Это ФИО, данные паспорта, ИНН, адрес электронной почты, номер телефона.
Специальные — это сведения о здоровье, религии, политических убеждениях. Например, школы и заведения общепита отправляют своих сотрудников на медкомиссию — в этом случае нужно иметь законное основание на обработку сведений о состоянии здоровья.
Биометрические — это уникальные данные человека, его физиологические особенности: отпечатки пальцев, ДНК, видеозапись, фото, форма лица.
Для заключения трудового договора HR и кадровые специалисты собирают общие персональные данные. Бухгалтерам нужны данные сотрудника и его банковские реквизиты для начисления зарплаты. Биометрические и специальные данные разрешено обрабатывать только с письменного согласия человека или в установленных законом случаях (ст. 10 и 11 закона № 152-ФЗ).
Кого касаются правила обработки персональных данных
Требования закона относятся не только к основному работодателю — ИП или собственнику компании, но и к специалистам, которые непосредственно работают с данными физлиц:
Делопроизводители, HR, кадровые специалисты, бухгалтеры. Они собирают первичную информацию, оформляют документы по трудоустройству и увольнению, вносят сведения в учетную систему.
Руководители отделов. Они имеют доступ к данным сотрудников и должны исполнять законодательные требования по хранению и передаче сведений.
Третьи лица. Работодатели могут передавать данные сотрудников банкам (для открытия зарплатных карт), страховым компаниям (для оформления ОМС), экспертам (для получения консультаций). Такая передача допускается только с согласия владельца данных.
Закон распространяется не только на данные кандидатов и действующих сотрудников, но и уволенных работников. Архивы с информацией о них нужно хранить в защищенном от несанкционированного доступа пространстве.
В случае нарушений ответственность несет не только собственник, но и должностное лицо. Оступиться можно на любом этапе — от некорректного сбора анкет и резюме соискателей до неправильного уничтожения сведений.
Компания «Центр безопасности данных» оказывает весь комплекс услуг в области персональных данных — аудит текущих процессов оператора ПДн, подготовка документов, регистрация в реестре Роскомнадзора, аттестация ИСПД и т. д. Вы можете заказать экспресс-анализ и получить экспертные рекомендации по доработке «узких мест» в соответствии с законом № 152-ФЗ.
В каких случаях нужно получать согласие на обработку персональных данных соискателя
Кандидаты заполняют анкеты, резюме и передают их работодателю. Независимо от формы подачи сведений — лично на бумаге или через сайт компании — работодатель становится оператором персональных данных.
Когда нужно согласие от кандидата:
Обработка данных по результатам собеседования. Согласие на получение резюме обычно не требуется, если оно размещено в открытом доступе, рекрутер может свободно его посмотреть (например, на сайте HH.ru). На собеседовании обычно кандидаты рассказывают о себе подробнее — в этом случае нужно получить согласие.
Хранение данных. По итогам собеседования соискателя могут не взять на работу, но сохранить его данные «на будущее». Например, сведения пригодятся для рассмотрения кандидатуры через время на другие должности (кадровый резерв).
Передача третьим лицам. HR может передавать данные заинтересованным лицам в другую организацию группы компаний — по закону такая передача допускается с согласия физлица.
Обработка специальных категорий данных. Иногда работодатели запрашивают справки об отсутствии судимости, результаты медкомиссий — для их обработки требуется согласие в письменной форме.
С 1 сентября 2025 года согласие нужно оформлять в виде самостоятельного (отдельного) документа. Запрещено включать его в текст трудовых договоров, заявлений, подписываемых анкет и т.п. Человек должен подписывать согласие отдельно!
Рекомендация: пересмотрите согласия, оформленные до 1 сентября. При необходимости — возьмите их с сотрудников еще раз, но уже по новым правилам.
Топ ошибок в работе с персональными данными, которые могут привести к многомиллионным штрафам
Проверьте, правильно ли ваша компания обрабатывает персональные данные
Заполните форму ниже, вышлем мануал вам на e-mail:
Как хранить персональные данные бумажного и электронного формата
Работодатель вправе обрабатывать персональные данные с помощью средств автоматизации или без их использования.
Автоматизированные средства — это компьютер, ПО, облачные хранилища, корпоративный сервер. Работодатель должен обеспечить к ним доступ только уполномоченных сотрудников через пароли и двухфакторную аутентификацию. Для этого используют ролевую модель — например, бухгалтер получает доступ к зарплатным ведомостям, а для менеджеров по продажам и HR этот участок закрыт.
Неавтоматизированные средства — это бумажные архивы, их хранят в закрытых сейфах и специально оборудованных помещениях. Доступ к ним также должны иметь только уполномоченные сотрудники. Например, HR и кадровые специалисты имеют доступ к шкафам с анкетами кандидатов.
С 1 июля 2025 года действуют новые правила «локализации» при обработке персональных данных (ч. 5 ст. 18 закона № 152-ФЗ). Операторам запрещено использовать ПО, учетные системы, серверы, базы данных, расположенные за рубежом, если они нарушают правила российского законодательства. Данные физлиц должны первично обрабатываться в России. За нарушение правил локализации штрафы на организацию и ИП могут достигать 6 млн руб., а при повторном нарушении — до 18 млн руб.
С чего начать обработку персональных данных сотрудников
Обязательные этапы, без которых по закону №152-ФЗ обрабатывать персональные данные нельзя:
1. Составьте политику обработки персональных данных
Политика — это основной документ, в котором указывают ключевые сведения: данные оператора, цели обработки, категории персональных данных, категории субъектов ПДн.
Иногда на практике HR собирают данные соискателей, которые не соответствуют закрепленным в политике пунктам. Задача руководителя — проинформировать специалистов об ответственности и пресекать подобные ситуации.
2. Направьте уведомление в Роскомнадзор
Работодатель указывает в документе наименование компании (ИП — ФИО), цели и дату начала обработки, сроки и условия прекращения обработки.
Подать документ можно на бумаге — заказным письмом по почте или лично в отделении Роскомнадзора, а также онлайн — на сайте ведомства с использованием профиля «Госуслуг». Срок рассмотрения уведомления — 30 календарных дней. Если у ведомства не возникнет дополнительных вопросов, то компанию внесут в реестр операторов.
Рекомендация. Если вы включены в реестр операторов, то проверьте актуальность данных. При необходимости подайте уведомление об изменении сведений — по аналогии с вышеназванными способами. Сделать это нужно не позднее 15 числа следующего месяца после возникновения изменений.
3. Назначьте ответственного
Это сотрудник, который в компании занимается организацией обработки персональных данных — контролирует соблюдение норм закона № 152-ФЗ, информирует сотрудников об изменениях в НПА, обеспечивает корректную работу с обращениями граждан, взаимодействует с надзорными органами.
Ответственного назначают приказом — это может быть как сотрудник организации, так и сам руководитель.
4. Придерживайтесь правил получения согласия на обработку
Согласие можно получать в письменной или электронной форме. При устройстве на работу нового сотрудника обычно берут согласие на обработку персональных данных (ст. 6 закона № 152-ФЗ, ст. 86 ТК).
С 1 сентября 2025 года согласие должно быть оформлено отдельно от трудовых договоров и других документов. Кроме того, самостоятельными должны быть и другие виды согласий — на рекламные (информационные) рассылки и распространение данных (ст. 10.1 закона № 152-ФЗ).
Какие документы подготовить для работы с персональными данными
Количество документов находится в диапазоне от 30 до 120 — окончательный состав пакета зависит от специфики деятельности конкретного работодателя. Вот основные из них:
Политика обработки персональных данных — главный документ организации, который находится в открытом доступе (на сайте или в уголке потребителя) (п. 2 ч. 1 ст. 18.1 закона № 152-ФЗ).
Приказ об ответственном за организацию обработки персональных данных. В нем указывают уполномоченного сотрудника, а при необходимости — специалиста, который заменит ответственного на время отпуска, командировки или больничного.
Положение о персональных данных — локальный документ, в котором, например, прописывают правила доступа к личным делам сотрудников и резюме соискателей.
Перечень лиц, допущенных к обработке персональных данных. В документе перечисляют всех лиц и открытые для них участки базы данных (HR, кадровых специалистов, бухгалтеров, менеджеров по продажам и т.д).
Перечень мест хранения материальных носителей. Бумажные архивы хранятся в специально оборудованных комнатах, сейфах. Доступ к ним ограничен.
Должностные инструкции — определяют область задач конкретных специалистов.
Другие приказы, положения, инструкции и журналы.
Это базовый комплект документов — организация может составить их сама или обратиться к компетентным специалистам. Компания «Центр безопасности данных» поможет подготовить пакет документов в соответствии с требованиями закона № 152-ФЗ и особенностями конкретного оператора.
Административная ответственность работодателей
Штрафы в области персональных данных значительно выросли с 30 мая 2025 года.
1. Отсутствие уведомления в Роскомнадзор
Без уведомления операторы не могут в частности обрабатывать резюме и анкеты соискателей, данные сотрудников. Штрафы на должностных лиц достигают 50 тыс. руб., на организации и ИП — до 300 тыс. руб.
Кроме того, работодатели должны информировать Роскомнадзор о фактах утечки данных в течение 24 часов после инцидента. За несоблюдение этого требования должностному лицу грозит штраф до 800 тыс. руб., организации и ИП — до 3 млн рублей.
Основание — ч. 10 и 11 ст. 13.11 КоАП.
2. Обработка данных без согласия физлица
Действия с данными физлица запрещены без его согласия, если закон не устанавливает другие случаи. Первичное нарушение влечет штрафы на должностных лиц до 300 тыс. руб., на организации — до 700 тыс. рублей. За повторное нарушение суммы значительно выше — до 1,5 млн руб. на организации.
Основание — ч. 2 и 2.1 ст. 13.11 КоАП.
3. Утечка персональных данных
Штрафы за утечку персональных данных зависят от количества пострадавших физлиц и категории персональных данных. Самые высокие санкции — за утечку биометрических данных. Наказать организации и ИП могут на сумму до 20 млн рублей.
За повторные нарушения размер штрафа рассчитывается от совокупного дохода за календарный год (от 1 до 3%), который оператор получил от реализации ТРУ, но не менее 20 млн руб. Максимальный штраф на организацию и ИП — 500 млн рублей.
Основание — ч. 12–18 ст. 13.11 КоАП.
Услуги в области персональных данных
Шпаргалка по персональным данным для работодателя — 2025
В таблице — основные этапы и рекомендации:
№ | Этап | Примечания |
1. | Подайте уведомление в Роскомнадзор | На сайте https://pd.rkn.gov.ru, через Госуслуги или в отделении на бумаге. Если включены в реестр — проверьте актуальность сведений |
2. | Подготовьте пакет документов | Политика обработки ПДн, положение об обработке ПДн, формы согласий, приказ о назначении ответственного, журнал учета паролей ИСПД и т. д. |
3. | Собирайте и обрабатывайте персональные данные с согласия их владельцев | Получить согласие можно в письменной или электронной форме. Проверьте, что все согласия приведены в соответствие с требованиями от 1 сентября 2025 года и оформлены как самостоятельные документы |
4. | Обеспечьте хранение персональных данных | Для хранения персональных данных в электронной форме используйте российские IT-решения — ПО, облака, серверы. Установите пароли и двухфакторную аутентификацию. Бумажные носители храните в закрытых помещениях и сейфах. Доступ к ним должен быть только у уполномоченных специалистов (HR, бухгалтеров, кадровых специалистов) |
5. | Обрабатывайте данные в соответствии с собственными целями | Запрещено запрашивать лишнюю информацию у соискателей и сотрудников. Убедитесь, что HR и рекрутеры не злоупотребляют своими обязанностями, проинформируйте их об ответственности |
Нужна помощь в области обработки персональных данных? Специалисты «Центра безопасности данных» подключатся на любом этапе и помогут законно избежать штрафов и предписаний от Роскомнадзора. Обращайтесь с локальной задачей — провести экспресс-анализ, оценить эффективность существующей защиты, подготовить пакет документов. Или доверьте профессионалам создание системы защиты в вашей организации «под ключ» в соответствии с 152-ФЗ.
Читайте также:
Обезличивание персональных данных: новые правила с 1 сентября 2025 года
Как выполнить требования Роскомнадзора к сайтам, чтобы избежать штрафа до 18 млн руб.
Реклама: ООО ЦЕНТР БЕЗОПАСНОСТИ ДАННЫХ «АЙДЕКО», ИНН 6324020784, erid: 2W5zFHHyKSG
Начать дискуссию