Какие данные считают персональными
Персональные данные — это информация, по которой можно прямо или косвенно установить личность человека.
Закон рассматривает персональные данные не только как уникальные идентификаторы (паспорт, СНИЛС, ИНН), но и как комбинации сведений, которые в совокупности позволяют идентифицировать личность.
Не каждое отдельное сведение уникально само по себе — одинаковые даты рождения или фамилии встречаются у тысяч людей. По одному признаку не всегда можно достоверно идентифицировать человека. Но зная место работы, должность и e-mail, мы можем определить сотрудника.
Согласно 152-ФЗ персональные данные бывают:
Общими. Это стандартный набор, с которым HR сталкивается каждый день: ФИО, дата рождения, адрес, паспортные данные, контакты. Такая информация нужна для трудового договора, налоговой отчетности и кадрового учета.
Специальными. Сюда входят национальность, религиозные и политические взгляды, состояние здоровья. Обработка таких данных разрешена только с согласия работника или в случаях, установленных законом.
Биометрическими. Это особая группа информации, которая описывает физиологические особенности и позволяет однозначно идентифицировать человека. Например, отпечатки пальцев, фото, запись голоса.
При найме и ведении кадровой документации важно четко понимать, как работать с персональными данными сотрудников. Общие можно обрабатывать в рамках трудового договора, для специальных и биометрических чаще всего нужно письменное согласие.
Кто попадает под действие закона о персональных данных
152-ФЗ регулирует отношения, которые возникают при сборе, хранении и передаче информации о человеке. HR, рекрутерам и кадровым специалистам важно понимать: закон охватывает не просто сотрудников, а всех, чьи данные обрабатывает компания.
1. Соискатели. Даже если кандидат не был принят на работу, его анкета или резюме — это уже персональные данные, и они должны храниться в соответствии с законом.
Обеспечить корректную обработку персональных данных поможет специальный инструмент HR-автоматизации — Start Link. Это сервис онлайн-приема, который позволяет отправлять кандидатам на подписание согласие на обработку персональных данных с помощью простой электронной подписи.
Без согласия Роскомнадзор может признать обработку нарушением и наложить штраф до 500 000 рублей (ст. 13.11 КоАП). Использование Start Link решает сразу две задачи:
дает юридически корректное согласие в электронной форме;
фиксирует факт его получения — вы всегда сможете доказать, что данные обрабатываются законно.
2. Бывшие сотрудники. Закон распространяется на архивные личные дела. Работодатель обязан хранить их в течение установленного срока и защищать от несанкционированного доступа.
3. Третьи лица. Иногда HR получает сведения не только о сотрудниках. Например, данные супругов и детей для предоставления налоговых вычетов. Такая информация тоже попадает под закон.
Кого касаются правила работы с персональными данными
Правила работы с персональными данными касаются всех, кто получает, хранит или использует информацию о кандидатах.
HR-специалистов и рекрутеров. Сбор резюме, хранение анкет, проведение собеседований — все это работа с персональными данными сотрудников.
Руководителей подразделений. Менеджеры получают доступ к личным данным кандидатов. Если руководитель сохраняет их в незащищенном виде или передает третьим лицам без согласия, это считается нарушением.
Бухгалтеров. Они обрабатывают паспорта, СНИЛС, ИНН, справки о доходах и другие документы.
Ответственность за обработку персональных данных кандидатов несет не только HR-отдел, а вся компания. Нарушение может произойти на любом этапе — от запроса документов до их некорректного удаления в случае отказа от оффера.
Когда работодателю нужно согласие на обработку персональных данных кандидатов
Как только кандидат прислал резюме или заполнил анкету на сайте, работодатель становится оператором персональных данных. А значит, обязан соблюдать правила их обработки.
Когда нужно согласие:
Получение и хранение резюме. Рекрутер получил резюме по e-mail или через сайт вакансий, а затем перенес данные в ATS-систему. Хранить и обрабатывать информацию без согласия нельзя.
Сохранение данных «на будущее». Кандидат не подошел на текущую вакансию, но HR хочет оставить его резюме для новых позиций. Нужно отдельное согласие, причем с указанием срока хранения.
Передача данных третьим лицам. HR пересылает резюме руководителю отдела или стороннему эксперту для консультации. Чтобы передавать данные, требуется согласие.
Обработка специальных категорий данных. Медицинские справки, результаты тестов о состоянии здоровья, сведения о судимости — для работы с такими документами обязательно согласие.
Узнайте, как проверить кандидата на благонадежность и не получить штраф за некорректную обработку персональных данных.
Как нанимать сотрудников без рисков для себя и компании
Хранение резюме без согласия — распространенная ошибка, которую Роскомнадзор трактует как незаконную обработку ПДн. А пересылка резюме в рабочих чатах формально считается передачей третьим лицам. Чтобы избежать возможных штрафов, важно получать согласие еще на первом этапе коммуникации. В этом помогает Start Link — сервис не собирает данные, пока кандидат не даст согласие.
Как вести обработку данных в разных форматах
Работодатель может хранить и обрабатывать персональные данные кандидатов в бумажном или электронном виде.
1. Бумажный формат. Документы хранятся в закрытых шкафах или сейфах. Доступ к ним имеют только уполномоченные сотрудники — обычно HR и кадровые специалисты.
Распространенная ошибка: анкеты соискателей находятся в открытом доступе. Например, на полке, где кто угодно может посмотреть их. Это считается нарушением правил обработки ПДн.
2. Электронный формат. Данные хранятся в HRM-системах, облачных сервисах или на корпоративном сервере. Доступ к ним разграничен по ролям. Для защиты используются пароли и двухфакторная аутентификация. Данные передаются по защищенным каналам.
Start Link собирает и хранит документы в выделенной защищенной системе в соответствии с 152-ФЗ. Кандидатам не нужно отправлять их через сторонние каналы связи. Сервис помогает компании исключить штрафы за нелегитимную обработку персональных данных.
Как обеспечить обработку персональных данных
Чтобы избежать возможных штрафов, важно убедиться, что вы корректно работаете с персональными данными кандидатов.
Что важно сделать:
направить уведомление в Роскомнадзор;
проверить согласия на обработку персональных данных;
зафиксировать, какие данные могут собирать сотрудники.
1. Уведомление в Роскомнадзор. Существуют три вида уведомлений: о намерении обрабатывать персональные данные, о внесении изменений в ранее поданное уведомление и о прекращении обработки персональных данных. Отправить уведомление можно в бумажном и электронном виде через сайт https://pd.rkn.gov.ru.
2. Согласие на обработку персональных данных. При оформлении нового сотрудника обычно подписывают согласие на обработку персональных данных (ст. 6 152-ФЗ и ст. 86 ТК). С 1 марта 2025 года его составляют как отдельный документ, а не как часть других, например, трудового договора.
Согласие на обработку персональных данных — самостоятельный документ. Вы можете оформить его и отправить на подписание кандидату через Start Link. Электронное согласие обладает той же юридической силой, что и бумажное.
3. Данные для сбора. На практике часто бывает, что HR и рекрутеры собирают какие-то данные, а руководитель даже не знает об этом. Важно исключить такие ситуации — запрашивайте только те сведения, которые зафиксировали в положении об обработке персональных данных.
Чтобы предупредить получение лишних персональных данных, вы можете периодически уточнять, какую информацию кадровые специалисты запрашивают у кандидатов. А можете настроить шаблоны запроса документов в Start Link — он соберет с кандидата только то, что требуется для оформления.
Какие документы необходимы организации для работы с персональными данными
У работодателя должны быть документы, которые подтверждают, что компания соблюдает закон о персональных данных (152-ФЗ).
Политика в отношении обработки персональных данных. Описывает цели обработки, права субъектов данных, порядок защиты информации.
Положение о персональных данных. Внутренний документ для HR и сотрудников, который фиксирует правила доступа к личным делам и резюме кандидатов.
Формы согласий на обработку персональных данных. Могут быть в бумажном или электронном виде.
Приказ о назначении ответственного. Определяет, кто отвечает за работу с персональными данными.
Это обязательный минимум, который должен быть в любой организации. Но для спокойствия при проверках и реальной защиты лучше иметь полный пакет документов, среди которых:
порядок доступа к персональным данным;
порядок уничтожения и обезличивания персональных данных;
приказ об утверждении перечня лиц, имеющих доступ к персональным данным;
документы учета и контроля — журналы обращений и акты об уничтожении персональных данных;
другие.
Как правильно обрабатывать персональные данные
За некорректную обработку персональных данных кандидатов могут оштрафовать компанию, сотрудника или сразу обоих. Разберем наиболее частые кейсы, которые помогут правильно выстроить процесс.
1. Определите состав пакета документов, чтобы избежать сбора лишних персональных данных. При оформлении кандидата кадровый специалист запросил информацию о семейном положении и количестве детей. Такие сведения выходят за рамки необходимых при заключении трудового договора, если не предусмотрены другими законодательными актами. Соискатель пожаловался в Роскомнадзор на сбор лишних данных без согласия. С 30 мая 2025 года штраф может составить до 300 000 рублей для компании и до 100 000 рублей для кадрового специалиста.
Не нарушить закон о персональных данных поможет Start Link. Сервис автоматизирует процесс оформления и запрашивает у кандидатов установленный пакет документов. Состав пакета и обязательность того или иного документа определяет работодатель на основе действующего положения об обработке персональных данных и статьи 65 ТК.
2. Обеспечьте защиту данных. Для сбора документов при оформлении компания использовала электронную почту и мессенджеры — кандидаты по e-mail и в сообщениях отправляли нужные сканы кадровому специалисту. После увольнения у него сохранились персональные данные сотрудников. Компания не может гарантировать их уничтожение. Размер штрафа зависит от объема и типа упущенных данных.
В Start Link данные хранятся в электронном виде согласно 152-ФЗ. При достижении цели обработки или получении заявления на отзыв согласия на обработку компания может уничтожить ПДн кандидата. Сервис автоматически создает акт об уничтожении ПДн. Все акты ведутся в соответствующем реестре. Это позволяет при необходимости подтвердить процедуру уничтожения.
Как правильно подать уведомление о начале обработки персональных данных в Роскомнадзор
Согласно 152-ФЗ любая организация, которая собирает и использует персональные данные, обязана уведомить Роскомнадзор о начале их обработки. Это нужно, чтобы:
зафиксировать факт законной обработки ПДн;
получить статус оператора ПДн;
исключить нарушения при проверках.
Уведомить Роскомнадзор нужно до начала обработки персональных данных. Если компания хранит базы кандидатов, но уведомления нет, это считается нарушением.
Как подать уведомление:
1. Подготовьте данные об организации. Какая информация понадобится:
2. Заполните форму уведомления. Это можно сделать онлайн на сайте pd.rkn.gov.ru. Либо направить бумажное уведомление почтой в территориальное управление Роскомнадзора.
3. Получите подтверждение. Роскомнадзор внесет организацию в реестр операторов персональных данных. С этого момента можно официально обрабатывать ПДн.
Что делать, если только собираетесь нанять первого сотрудника
Многие работодатели думают, что правила обработки персональных данных касаются только действующих работников. Но они распространяются и на кандидатов. Делимся чек-листом для проверки себя — убедитесь, что вы действуете в соответствии с 152-ФЗ.
Назначить ответственного за персональные данные — оформить приказ.
Подать уведомление в Роскомнадзор — заполнить форму на pd.rkn.gov.ru до того, как начнете собирать резюме.
Подготовить документы — политику в отношении обработки ПДн, положение о ПДн, форму согласия кандидата на обработку ПДн.
Организовать хранение резюме и анкет — в сейфе или защищенной электронной системе.
Информировать кандидатов — указать, зачем собираете их данные и как будете использовать.
Штрафы за нарушения 152-ФЗ
В 2025 году работа с персональными данными — зона ответственности не только юристов. HR, рекрутеры и кадровые специалисты должны знать, как правильно собирать и хранить документы кандидатов, чтобы минимизировать риски.
С 30 мая ответственность ужесточилась: увеличили размеры штрафов за нарушение работы с персональными данными, появилась градация санкций.
1. Ужесточение штрафов за утечку персональных данных. Размер зависит от количества пострадавших субъектов персональных данных и вида проступка:
незаконная передача информации;
нелегальное распространение сведений специальных категорий;
неправомерное распространение биометрических данных;
утечка.
В каждом случае диапазон разный. Самый большой штраф — за незаконное раскрытие биометрии. Для компаний и предпринимателей он составит от 15 до 20 миллионов рублей.
За повторные нарушения вводят оборотные штрафы — те, которые зависят от дохода компании за определенный период. Их размер достигает 3% от дохода, но не менее 20 млн рублей. Максимальный размер — 500 млн рублей.
2. Уголовная ответственность за утечку персональных данных. Статья 272.1 УК устанавливает ответственность сроком до 10 лет лишения свободы за незаконное использование персональных данных.
3. Уведомление в Роскомнадзор. Компания должна заранее сообщить в Роскомнадзор, что намерена обрабатывать персональные данные сотрудников (ст. 22 152-ФЗ). Штрафы за несвоевременное представление уведомлений:
от 5000 до 10 000 рублей — для физлиц;
от 30 000 до 50 000 рублей — для должностных лиц;
от 100 000 до 300 000 рублей — для организаций и ИП.
Также компании обязаны уведомлять о фактах утечки данных в течение 24 часов. Штрафы за несвоевременное представление таких сведений — от 1 до 3 миллионов рублей для организаций и ИП.
Коротко о главном
В 2025 году правила обработки персональных данных кандидатов изменились, и это влияет на работу рекрутеров и HR-отделов. Если вы продолжаете запрашивать паспортные сведения по почте или в мессенджере и собираете согласия на обработку ПДн только при подписании трудового договора — вы в зоне риска. За нарушения могут наказать компанию, ответственного сотрудника или сразу обоих.
Используйте гайд, чтобы перепроверить себя и выстроить корректную работу с персональными данными работников.
