WiseAdvice EmplDocs
Цифровая трансформация кадровых процессов вашей компании.
25 сентября 2025
Как работать с данными сотрудников в 2025 году: все о сборе и хранении персональных сведений
К защите персональных данных сотрудников сегодня предъявляют серьезные требования. Даже если кажется, что «это просто копия паспорта» или «внутренняя переписка», закон строго ограничивает действия работодателя. Нарушения могут привести компанию к штрафам от 300 тыс. рублей до 15 млн. рублей, а в крайних случаях — даже к уголовной ответственности. В статье разбираемся, как собирать, хранить и защищать персональные сведения о работнике согласно всем юридическим требованиям.
Персональные данные работников – что это такое?
Паспортные данные, сведения о здоровье, о вероисповедании – все это считается персональными данными. Другими словами, если информация позволяет узнать конкретного человека — она относится к персональной и защищается законом. Согласно ст. 3 №152-ФЗ от 27.07.2006, защита сведений о работнике – обязанность работодателя, и сотрудник имеет право знать, как они используются
Полного и законодательно закрепленного списка персональных данных не существует, однако его можно выделять из нормативных документов компании. Так, к персональным данным работников относятся:
Категория | Что относится? | Особенности обработки |
Общие персональные данные | ФИО, дата рождения, контакты (телефон, e-mail), адрес, ИНН, СНИЛС, образование, трудовая история. | Можно обрабатывать на основании трудового договора, но требуется защита от утечек. |
Специальные категории | Раса, национальность, религия, политические взгляды, здоровье, сексуальная ориентация, судимость. | Запрещено собирать без письменного согласия, кроме исключений (например, медосмотры). |
Биометрические данные | Отпечатки пальцев, ДНК, сканы лица/радужки глаза, голос, фотографии (при использовании для идентификации). | Требуется отдельное согласие, если не связаны с трудовой деятельностью (например, пропускная система). |
Иные данные | Финансовая информация (зарплата, кредитная история), геолокация, переписка (если содержит личные сведения о работнике). | Обработка возможна только при обоснованной необходимости и с защитой конфиденциальности. |
И наоборот, к персональным данным работников не относятся такие данные, как общая статистика (например, сведения о том, какой процент работников составляют мужчины, а какой – женщины), а также вся информация о сотруднике, которая его не идентифицирует.
Важно: даже публично доступные данные (например, профиль в соц. сетях) становятся персональными, если работодатель систематически их обрабатывает (например, для проверки кандидатов). Но, например, место работы не относится к ПД.
Документы, содержащие персональные данные сотрудников
Персональные данные работников фиксируются во множестве кадровых, финансовых и организационных документов. Вот основные из них:
1
Кадровые документы
Персональные данные работников фиксируются во множестве кадровых, финансовых и организационных документов. Вот основные из них:
Трудовой договор – содержит ФИО, паспортные данные, адрес, должность, условия работы;
Личная карточка (Т-2) – включает образование, семейное положение, воинский учет, сведения о детях;
Трудовая книжка – фиксирует профессиональную историю (места работы, должности);
Приказы (о приеме, увольнении, отпуске, командировках) – указывают ФИО, даты, основания кадровых решений;
2
Финансовые и отчетные документы
Резюме и анкеты кандидатов – могут содержать телефоны, email, образование, предыдущие места работы.
Например, платежные ведомости, налоговые отчеты или документы на социальные выплаты.
3
Документы по безопасности и охране труда
К ним относятся медицинские книжки, справки, пропуска или учетные журналы.
4
Документы, связанные с увольнением
Например, заявление об увольнении содержит личную подпись, причины ухода, а обходной лист – данные об имуществе.
Когда срок договора ГПХ заканчивается — доступ к личному кабинету закрывается автоматически.
Правовое регулирование работы с персональными данными в России
В России система защиты персональных данных в организации строится на комплексной законодательной базе, включающей различные уровни нормативных актов.
Рассмотрим ключевые документы, устанавливающие правила обработки и защиты персональной информации.
Основные нормативные акты:
Рассмотрим ключевые документы, устанавливающие правила обработки и защиты персональной информации.
Основные нормативные акты:
Федеральный закон №152-ФЗ (2006 г.)
Оператор ПД обязан соблюдать базовый документ, регулирующий все аспекты работы с персональными данными. Закон обязывает операторов:
Оператор ПД обязан соблюдать базовый документ, регулирующий все аспекты работы с персональными данными. Закон обязывает операторов:
- Получать согласие на обработку (за исключением установленных случаев).
- Обеспечивать конфиденциальность информации о сотрудниках.
- Уведомлять Роскомнадзор о начале обработки.
Уголовный кодекс РФ (ст. 137)
Предусматривает ответственность за незаконное вмешательство в частную жизнь, включая неправомерный сбор и распространение персональных сведений.
Предусматривает ответственность за незаконное вмешательство в частную жизнь, включая неправомерный сбор и распространение персональных сведений.
КоАП РФ
Устанавливает административную ответственность за нарушения в сфере обработки персональных данных.
Устанавливает административную ответственность за нарушения в сфере обработки персональных данных.
Постановление Правительства №1119 (2012 г.)
Определяет требования к защите информации, включая:
Определяет требования к защите информации, включая:
- Уровни защищенности данных
- Необходимые меры безопасности
- Классификацию категорий информации
Трудовой кодекс РФ (ТК РФ)
Регламентирует особенности обработки персональных данных работников, ТК РФ включает:
Регламентирует особенности обработки персональных данных работников, ТК РФ включает:
- Порядок хранения
- Доступ к информации
- Защитные меры
Постановление Правительства РФ от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
Постановление Правительства "О федеральном государственном контроле (надзоре) за обработкой персональных данных" от 29.06.2021 № 1046.
С 2025 года вступают в силу новые требования, направленные на усиление защиты персональных данных.
С 1 марта 2025 введены:
- Обязательная регистрация всех операторов в реестре Роскомнадзора (ст. 22.1 152-ФЗ в ред. ФЗ от 30.12.2024 № 567-ФЗ)
- Требования к электронному согласию с УКЭП (п. 4 ст. 9 152-ФЗ)
- Особые правила обработки данных несовершеннолетних 14-18 лет (ст. 14.1 152-ФЗ)
Изменения с 30 мая 2025 года:
С 30 мая 2025 года в России вступает в силу Федеральный закон от 30 ноября 2024 года № 420-ФЗ в части обработки персональных данных. Этот закон существенно усиливает ответственность работодателей и операторов персональных данных и кратко увеличивает размеры штрафов за нарушения:
С 30 мая 2025 года в России вступает в силу Федеральный закон от 30 ноября 2024 года № 420-ФЗ в части обработки персональных данных. Этот закон существенно усиливает ответственность работодателей и операторов персональных данных и кратко увеличивает размеры штрафов за нарушения:
- должностных лиц — от 1 млн до 1,3 млн рублей,
- юридических лиц и ИП — от 10 млн до 15 млн рублей.
- должностных лиц — от 1,3 млн до 1,5 млн рублей,
- юридических лиц — от 15 млн до 20 млн рублей.
Изменения с 1 сентября 2025 года в ФЗ-152 (ч.1 ст. 9).
С 2025 года ужесточили требования по ФЗ-156 (правки касаются ч. 1 ст. 9 ФЗ-152) к согласию на обработку персональных данных сотрудников и их передачи третьим лицам:
б) точный перечень организаций-получателей;
в) срок действия разрешения на передачу.
Права и обязанности в этой части закреплены в 152-ФЗ и дополнены Федеральным законом № 412-ФЗ от 12.12.2024, которые требуют прозрачности таких операций и предусматривают ответственность за нарушение порядка передачи данных.
Эти нововведения усиливают защиту прав работников и одновременно диктуют работодателям необходимость разработки четких процедур и документов для согласования обработки и передачи персональных данных в кадровом документообороте. Несоблюдение требований грозит серьезными административными штрафами и иными санкциями.
С 2025 года ужесточили требования по ФЗ-156 (правки касаются ч. 1 ст. 9 ФЗ-152) к согласию на обработку персональных данных сотрудников и их передачи третьим лицам:
- Отдельное согласие на обработку персональных данных, которое нельзя “спрятать”в другие формы документов. Согласно положениям Федерального закона № 152-ФЗ "О персональных данных" (в редакции, действующей с 2025 года), согласие на обработку персональных данных должно быть свободным, осознанным и однозначным, а также оформлено отдельно документом в письменной или электронной форме с использованием квалифицированной электронной подписи (УКЭП). Это согласие необходимо получать не только при первоначальном сборе данных, но и при расширении их обработки сверх целей, предусмотренных трудовым договором. Для работодателей это значит, что если потребуются дополнительные сведения (например, данные о здоровье, религиозных взглядах или семейном положении), согласие должно быть оформлено отдельно и документально.
- Согласие на передачу персональных данных третьим лицам. Передача персональных данных сотрудников третьим сторонам (облачным сервисам, банкам, страховым компаниям, даже сервису такси) и другим коммерческим организациям допускается только при наличии отдельного письменного согласия. В этом согласии обязательно должны быть указаны:
б) точный перечень организаций-получателей;
в) срок действия разрешения на передачу.
Права и обязанности в этой части закреплены в 152-ФЗ и дополнены Федеральным законом № 412-ФЗ от 12.12.2024, которые требуют прозрачности таких операций и предусматривают ответственность за нарушение порядка передачи данных.
- Уведомление Роскомнадзора. Работодатели обязаны уведомлять Роскомнадзор о начале обработки персональных данных сотрудников, а при изменении условий обработки — подавать новые уведомления. Это обеспечивает дополнительный уровень контроля и ответственность за использование данных в рамках трудовых отношений.
Эти нововведения усиливают защиту прав работников и одновременно диктуют работодателям необходимость разработки четких процедур и документов для согласования обработки и передачи персональных данных в кадровом документообороте. Несоблюдение требований грозит серьезными административными штрафами и иными санкциями.
Основные изменения, вводимые ФЗ № 420-ФЗ:
1. Увеличение штрафов за нарушения обработки персональных данных: Штрафы за неправильную обработку персональных данных могут достигать до 500 тысяч рублей, за первичную утечку — до 15 миллионов рублей. Для организаций, допустивших повторные утечки, предусмотрены оборотные штрафы от 1% до 3% годовой выручки, но не менее 25 миллионов рублей и не более 500 миллионов.
2. Обязанность уведомления Роскомнадзора: работодатели обязаны уведомлять Роскомнадзор о намерении обрабатывать персональные данные работников до начала такой обработки. При изменении информации необходимо отправить новое уведомление до 15-го числа месяца, следующего за месяцем, в котором произошли изменения.
3. Передача обезличенных данных в ГИС Минцифры: операторы персональных данных обязаны передавать по требованию Минцифры обезличенные сведения в государственную информационную систему (ГИС). Доступ к этой системе получат государственные и муниципальные органы, а также российские граждане и компании, соответствующие установленным требованиям.
4. Уголовная ответственность за незаконное использование персональных данных: с 11 декабря 2024 года введена уголовная ответственность за незаконное использование, передачу, сбор и хранение компьютерной информации о сотрудниках, содержащей персональные данные. Наказание включает штрафы до 700 тысяч рублей, принудительные работы или лишение свободы на срок до пяти лет, а в случае тяжких последствий — до десяти лет со штрафом до 3 миллионов рублей.
5. Обязательное использование российских сервисов для хранения персональных данных. В соответствии с ФЗ от 27.07.2006 № 152-ФЗ (ст. 18.1), все операторы ПД обязаны хранить и обрабатывать данные сотрудников исключительно на серверах, расположенных на территории РФ.
На основании Постановления Правительства РФ от 15.03.2025 № 245 исключения возможны только при наличии специального разрешения Роскомнадзора.
6. Усиленные требования к защите биометрических данных.
Вводится обязательная сертификация систем обработки биометрии по стандартам ФСТЭК России (на основании Приказа ФСТЭК от 10.02.2025 № 32).
Работодатели, использующие биометрию (например, системы контроля доступа по отпечаткам пальцев), должны до 1 июля 2025 года привести оборудование в соответствие с новыми требованиями. Штрафы:
7. Автоматизированный учет обработки ПД.
Все работодатели обязаны вести электронный журнал учета обработки персональных данных (требование Роскомнадзора, введенное Приказом от 20.01.2025 № 18). Данные должны храниться не менее 10 лет и быть доступны для проверки.
8. Штрафы за несоблюдение сроков хранения ПД.
Штрафы (ч. 6 ст. 13.11 КоАП РФ):
9. За преждевременное уничтожение кадровых документов (например, трудовых договоров) теперь предусмотрен штраф:
До 500 тыс. рублей для юрлиц (ст. 13.11 КоАП РФ в ред. ФЗ от 24.02.2023 № 19-ФЗ).
2. Обязанность уведомления Роскомнадзора: работодатели обязаны уведомлять Роскомнадзор о намерении обрабатывать персональные данные работников до начала такой обработки. При изменении информации необходимо отправить новое уведомление до 15-го числа месяца, следующего за месяцем, в котором произошли изменения.
3. Передача обезличенных данных в ГИС Минцифры: операторы персональных данных обязаны передавать по требованию Минцифры обезличенные сведения в государственную информационную систему (ГИС). Доступ к этой системе получат государственные и муниципальные органы, а также российские граждане и компании, соответствующие установленным требованиям.
4. Уголовная ответственность за незаконное использование персональных данных: с 11 декабря 2024 года введена уголовная ответственность за незаконное использование, передачу, сбор и хранение компьютерной информации о сотрудниках, содержащей персональные данные. Наказание включает штрафы до 700 тысяч рублей, принудительные работы или лишение свободы на срок до пяти лет, а в случае тяжких последствий — до десяти лет со штрафом до 3 миллионов рублей.
5. Обязательное использование российских сервисов для хранения персональных данных. В соответствии с ФЗ от 27.07.2006 № 152-ФЗ (ст. 18.1), все операторы ПД обязаны хранить и обрабатывать данные сотрудников исключительно на серверах, расположенных на территории РФ.
На основании Постановления Правительства РФ от 15.03.2025 № 245 исключения возможны только при наличии специального разрешения Роскомнадзора.
6. Усиленные требования к защите биометрических данных.
Вводится обязательная сертификация систем обработки биометрии по стандартам ФСТЭК России (на основании Приказа ФСТЭК от 10.02.2025 № 32).
Работодатели, использующие биометрию (например, системы контроля доступа по отпечаткам пальцев), должны до 1 июля 2025 года привести оборудование в соответствие с новыми требованиями. Штрафы:
- Непринятие мер безопасности в информационных системах с аутентификацией по биометрии: должностных лиц — от 300 000 до 500 000 рублей, юридических лиц — от 1 млн до 1,5 млн рублей.
- Утечка биометрических данных. Для должностных лиц — от 1,3 млн до 1,5 млн рублей, для юридических лиц — от 15 млн до 20 млн рублей.
7. Автоматизированный учет обработки ПД.
Все работодатели обязаны вести электронный журнал учета обработки персональных данных (требование Роскомнадзора, введенное Приказом от 20.01.2025 № 18). Данные должны храниться не менее 10 лет и быть доступны для проверки.
8. Штрафы за несоблюдение сроков хранения ПД.
Штрафы (ч. 6 ст. 13.11 КоАП РФ):
- для должностных лиц — от 8 000 до 20 000 рублей;
- для индивидуальных предпринимателей — от 20 000 до 40 000 рублей;
- для организаций — от 50 000 до 100 000 рублей.
9. За преждевременное уничтожение кадровых документов (например, трудовых договоров) теперь предусмотрен штраф:
До 500 тыс. рублей для юрлиц (ст. 13.11 КоАП РФ в ред. ФЗ от 24.02.2023 № 19-ФЗ).
Дополнительные требования:
- Переход на отечественные криптографические решения для работы с биометрией
- Специальные требования к операторам, работающим с особыми категориями данных
Требования к хранению персональных данных
Соблюдение этих требований позволяет минимизировать риски утечек и обеспечивает соответствие законодательным нормам, защищая как интересы субъектов данных, так и репутацию организации.
Электронное хранение:
Электронное хранение:
- Размещение в защищенных дата-центрах
- Обязательное шифрование данных
- Использование межсетевых экранов
- Системы обнаружения вторжений
- Регулярное резервное копирование
- Хранение в запираемых шкафах/сейфах
- Ограниченный доступ
- Охранная сигнализация
- Видеонаблюдение
- Журналы учета доступа
Как правильно утилизировать персональные данные?
Персональные данные работников нельзя просто выбросить в мусорное ведро или удалить в корзину — их нужно утилизировать так, чтобы никто не смог ими воспользоваться.
Вот основные правила:
1) Бумажные документы – не рвем руками, а измельчаем в шредере (лучше мелкой «крошкой», чтобы нельзя было склеить).
2) Электронные данные – обычного удаления недостаточно! Нужно либо использовать спецпрограммы для полного стирания, либо физически уничтожать диски (дробить, размагничивать).
3) Передача на утилизацию – только проверенным компаниям с лицензией и под подпись в акте.
4) Фиксируем процесс – кто, когда и как уничтожил данные (на случай проверки).
Утилизируйте данные сразу после истечения срока хранения или отзыва согласия субъекта ПД.
Вот основные правила:
1) Бумажные документы – не рвем руками, а измельчаем в шредере (лучше мелкой «крошкой», чтобы нельзя было склеить).
2) Электронные данные – обычного удаления недостаточно! Нужно либо использовать спецпрограммы для полного стирания, либо физически уничтожать диски (дробить, размагничивать).
3) Передача на утилизацию – только проверенным компаниям с лицензией и под подпись в акте.
4) Фиксируем процесс – кто, когда и как уничтожил данные (на случай проверки).
Утилизируйте данные сразу после истечения срока хранения или отзыва согласия субъекта ПД.
Кто имеет право на доступ к персональным данным сотрудника?
Персональные данные сотрудников (паспортные данные, ИНН, адрес, медицинские сведения и др.) хранятся у работодателя, но доступ к ним строго ограничен.
Кто может их видеть?
3. IT-специалисты – если данные хранятся в цифровом виде (но только для технической поддержки, не для просмотра).
4. Охранные структуры – если требуется пропускной режим или контроль доступа.
Работодатель может передавать персональные данные сотрудника только в определенных случаях. Когда и кому?
1. Государственным органам (Налоговая, Пенсионный фонд, военкомат) – по официальному запросу.
2. Банкам – для оформления зарплатных карт (с согласия сотрудника).
3. Медицинским учреждениям – при необходимости медосмотра или экстренной помощи.
4. Новому работодателю – только по запросу самого сотрудника (например, для рекомендаций).
Кто может их видеть?
- Кадровая служба и бухгалтерия – для оформления трудовых отношений, начисления зарплаты и отчетности.
3. IT-специалисты – если данные хранятся в цифровом виде (но только для технической поддержки, не для просмотра).
4. Охранные структуры – если требуется пропускной режим или контроль доступа.
Работодатель может передавать персональные данные сотрудника только в определенных случаях. Когда и кому?
1. Государственным органам (Налоговая, Пенсионный фонд, военкомат) – по официальному запросу.
2. Банкам – для оформления зарплатных карт (с согласия сотрудника).
3. Медицинским учреждениям – при необходимости медосмотра или экстренной помощи.
4. Новому работодателю – только по запросу самого сотрудника (например, для рекомендаций).
Какие персональные данные сотрудников нельзя собирать: руководство для работодателей?
При приеме на работу и оформлении сотрудников важно соблюдать баланс между необходимостью кадрового учета и правом работников на приватность. Федеральный закон «О персональных данных» (152-ФЗ) и Трудовой кодекс устанавливают четкие границы — какие сведения можно запрашивать у сотрудников, а какие находятся под запретом.
Какие данные собирать нельзя?
1. Избыточные биометрические данные:
2. Личная жизнь и убеждения:
3. Медицинская информация, не связанная с работой:
4. Финансовые данные, не относящиеся к работе:
5. Личная переписка и соцсети:
Нарушение этих правил может привести к штрафам до 300 тыс. рублей, проверкам Роскомнадзора и судебным искам. Если сомневаетесь, какие данные запрашивать, проконсультируйтесь с юристом.
Какие данные собирать нельзя?
1. Избыточные биометрические данные:
- Отпечатки пальцев (кроме отдельных должностей, например, в охранных структурах).
- Результаты ДНК-тестов.
- Сканы сетчатки глаза или геометрия лица (если это не требуется для системы контроля доступа).
2. Личная жизнь и убеждения:
- Религиозные взгляды (если это не религиозная организация).
- Политические предпочтения.
- Личные подробности о жизни.
3. Медицинская информация, не связанная с работой:
- Полная история болезней.
- Генетические заболевания (если это не предусмотрено медосмотром).
- Психиатрические диагнозы (кроме обязательных проверок для некоторых профессий).
4. Финансовые данные, не относящиеся к работе:
- Кредитная история.
- Состояние личных банковских счетов (не зарплатных).
- Долги перед третьими лицами.
5. Личная переписка и соцсети:
- Пароли от личной почты и мессенджеров.
- Скриншоты переписок.
- Требования предоставить доступ к аккаунтам в соцсетях.
Нарушение этих правил может привести к штрафам до 300 тыс. рублей, проверкам Роскомнадзора и судебным искам. Если сомневаетесь, какие данные запрашивать, проконсультируйтесь с юристом.
Требования к операторам, работающим с персональными данными
Если ваша компания собирает, хранит или обрабатывает персональные данные сотрудников (а это почти все работодатели), вы считаетесь оператором персональных данных. Это накладывает на вас конкретные обязанности по закону. Что нужно делать, чтобы работать с персональными данными без риска для штрафов?
Нельзя просто так собирать данные сотрудников — нужно одно из этих оснований:
1) Трудовой договор (если данные нужны для оформления, зарплаты, отчислений в ПФР и т. д.).
2) Согласие работника (в письменной или электронной форме, если данные не связаны напрямую с трудовыми обязанностями).
3) Требование закона (например, передача данных в налоговую или военкомат).
Нельзя просто так собирать данные сотрудников — нужно одно из этих оснований:
1) Трудовой договор (если данные нужны для оформления, зарплаты, отчислений в ПФР и т. д.).
2) Согласие работника (в письменной или электронной форме, если данные не связаны напрямую с трудовыми обязанностями).
3) Требование закона (например, передача данных в налоговую или военкомат).
Вот перечень основных шагов, которые необходимо сделать работодателю перед сбором персональных данных:
1) Уведомить Роскомнадзор (если обработка не связана с трудовыми отношениями или кадровым учетом).
2) Назначить ответственного за защиту персданных (часто это HR, юрист или IT-специалист).
3) Обеспечить безопасность данных (защита от утечек, доступ только для нужных сотрудников).
1) Уведомить Роскомнадзор (если обработка не связана с трудовыми отношениями или кадровым учетом).
2) Назначить ответственного за защиту персданных (часто это HR, юрист или IT-специалист).
3) Обеспечить безопасность данных (защита от утечек, доступ только для нужных сотрудников).
Как компании обеспечить защиту персональных данных: пошаговая инструкция
Шаг 1. Определите, какие данные вы обрабатываете
Сначала составьте перечень персональных данных работников, которые собирает ваша компания:
- Паспортные данные, ИНН, СНИЛС сотрудников
- Адреса, телефоны, email
- Данные банковских карт (для зарплатных выплат)
- Медицинские сведения (если требуются по должности)
Шаг 2. Разработайте Положение о защите персональных данных
Это основной документ, который регламентирует работу с персональными данными работников компании.
Что должно быть в Положении:
1. Цели обработки данных (например, кадровый учет, начисление зарплаты).
2. Какие данные собираются (только необходимые для работы).
3. Как хранятся и защищаются (электронные и бумажные носители).
4. Кто имеет доступ (доступ к персональным данным сотрудника, включая должность и зарплату, имеют только уполномоченные лица: HR-менеджеры и непосредственный руководитель).
5. Сроки хранения и правила уничтожения.
Как оформить:
1. Возьмите за основу типовой шаблон (можно найти в интернете или заказать у юриста).
2. Адаптируйте под специфику вашей компании.
3. Утвердите приказом руководителя.
4. Ознакомьте сотрудников под подпись.
Что должно быть в Положении:
1. Цели обработки данных (например, кадровый учет, начисление зарплаты).
2. Какие данные собираются (только необходимые для работы).
3. Как хранятся и защищаются (электронные и бумажные носители).
4. Кто имеет доступ (доступ к персональным данным сотрудника, включая должность и зарплату, имеют только уполномоченные лица: HR-менеджеры и непосредственный руководитель).
5. Сроки хранения и правила уничтожения.
Как оформить:
1. Возьмите за основу типовой шаблон (можно найти в интернете или заказать у юриста).
2. Адаптируйте под специфику вашей компании.
3. Утвердите приказом руководителя.
4. Ознакомьте сотрудников под подпись.
Шаг 3. Оформите сопутствующие документы
- Персональные данные сотрудников: необходимо согласие на их обработку.
- Нужно, если данные собираются сверх трудового договора (например, для корпоративных соцсетей или медстраховки).
- Должно быть письменным (можно в электронном виде с ЭЦП).
2. Журнал учета обработки персональных данных сотрудников.
- Он фиксирует, какие данные собираются, кто их обрабатывает и куда передаются.
- Данную информацию можно вести как в бумажном, так и в электронном виде.
3. Приказ о назначении ответственного за ПД.
- Это может быть HR-специалист, юрист или IT-администратор.
- В приказе указываются его обязанности (контроль доступа, защита данных и т. д.).
4. Инструкция по безопасности
- Как хранить данные (шифрование, пароли, сейфы).
- Как передавать (только через защищенные каналы).
- Как уничтожать (шредер для бумаг, спецпрограммы для файлов)
Шаг 4. Обеспечьте техническую защиту
Для электронных данных:
Для бумажных документов:
- шифрование (особенно при передаче), антивирусы и фаерволы (защита от хакеров), разграничение доступа (только нужные сотрудники), резервное копирование (на случай атак или сбоев).
Для бумажных документов:
- сейфы или запираемые шкафы, журнал выдачи документов (кто и когда брал), уничтожение шредером.
Шаг 5. Обучите сотрудников
Проведите инструктаж:
- Какие данные можно/нельзя собирать.
- Как правильно хранить и передавать
- Что делать при утечке (например, сразу сообщить ответственному).
Важно: при увольнении сотрудника его должность и контактные данные должны быть удалены из общедоступных корпоративных систем в течение 30 дней, если сотрудник отозвал согласие на обработку персональных данных, согласно №152-ФЗ «О персональных данных».
Если кратко, то для защиты персональных данных сотрудников необходимо определить список обрабатываемой информации, разработать необходимые документы и защитить документы технически. Это избавит вас от штрафов, а вашу компанию – от потери репутации.
Когда работодателю требуется согласие сотрудника на обработку персональных данных?
С 1 сентября 2025 года Федеральный закон №152-ФЗ «О персональных данных» содержит следующие изменения:
В согласии необходимо указать конкретную информацию. В документе должны быть перечислены цели обработки персональных данных, перечень обрабатываемых данных, ФИО и адрес субъекта, наименование или ФИО и адрес оператора, срок действия согласия и способ его отзыва, подпись субъекта.
Согласие обязательно необходимо в следующих ситуациях:
1. Если работодатель трудоустраивает сотрудника после 1 сентября. Если запрашивает дополнительные сведения, не связанные напрямую с трудовой деятельностью (например, данные о здоровье, семейном положении, религиозных взглядах).
2. При планируемой передаче данных третьим лицам, коммерческим организациям (банкам, страховым компаниям, такси и пр.).
3. Для публикации персональных данных на корпоративном сайте или в СМИ.
4. При использовании биометрических данных (отпечатков пальцев, фото для системы контроля доступа).
Как правильно оформить согласие:
Важно, что даже при наличии согласия работодатель обязан обеспечить конфиденциальность персональных данных и не использовать их в других целях. Нарушение этих требований может повлечь административную ответственность по статье 13.11 КоАП РФ.
- Согласие на обработку персональных данных должно оформляться отдельным документом. Нельзя включать пункт о согласии в договор или пользовательское соглашение.
В согласии необходимо указать конкретную информацию. В документе должны быть перечислены цели обработки персональных данных, перечень обрабатываемых данных, ФИО и адрес субъекта, наименование или ФИО и адрес оператора, срок действия согласия и способ его отзыва, подпись субъекта.
Согласие обязательно необходимо в следующих ситуациях:
1. Если работодатель трудоустраивает сотрудника после 1 сентября. Если запрашивает дополнительные сведения, не связанные напрямую с трудовой деятельностью (например, данные о здоровье, семейном положении, религиозных взглядах).
2. При планируемой передаче данных третьим лицам, коммерческим организациям (банкам, страховым компаниям, такси и пр.).
3. Для публикации персональных данных на корпоративном сайте или в СМИ.
4. При использовании биометрических данных (отпечатков пальцев, фото для системы контроля доступа).
Как правильно оформить согласие:
- Документ составляется в электронном (если есть КЭДО) или бумажном варианте.
- Должен содержать конкретный перечень данных и целей их использования.
- Сотрудник вправе в любой момент отозвать свое согласие.
- Срок действия согласия не может превышать период трудоустройства.
Важно, что даже при наличии согласия работодатель обязан обеспечить конфиденциальность персональных данных и не использовать их в других целях. Нарушение этих требований может повлечь административную ответственность по статье 13.11 КоАП РФ.
Право работника на доступ к своим персональным данным: что нужно знать
Каждый сотрудник имеет законное право контролировать свою личную информацию, которую хранит работодатель. Это право гарантировано Федеральным законом № 152-ФЗ «О персональных данных». Сотрудник должен предоставить согласие на обработку персональных данных.
Что именно может запросить работник:
1. Какие именно его персональные данные обрабатываются.
2. С какой целью и как они используются.
3. то имеет к ним доступ внутри организации.
4. Куда и кому они передавались.
Как реализовать это право:
Что именно может запросить работник:
1. Какие именно его персональные данные обрабатываются.
2. С какой целью и как они используются.
3. то имеет к ним доступ внутри организации.
4. Куда и кому они передавались.
Как реализовать это право:
- Подать письменный запрос работодателю (в свободной форме).
- Получить ответ в течение 30 дней.
- Проверить актуальность и полноту предоставленных сведений.
Важно: работодатель не может отказать работнику в предоставлении информации. Данные должны быть переданы в понятной и доступной форме, а в случае несовпадения оператор должен внести изменения.
Важные нюансы:
Если права нарушаются:
- Работодатель не может отказать в предоставлении информации.
- Данные должны быть представлены в понятной форме.
- Сотрудник вправе требовать исправления неточных данных
Если права нарушаются:
- Можно обратиться с жалобой в Роскомнадзор
- Подать исковое заявление в суд
- Требовать компенсации морального вреда
Что делать работодателю при утечке персональных данных
Утечка персональных данных сотрудников — серьезный инцидент, который может привести к штрафам, репутационным потерям и судебным искам. По закону (ФЗ-152 «О персональных данных») работодатель обязан защищать персональные данные сотрудников и оперативно реагировать на их утечку.
Порядок действий при утечке:
- Определите источник (взлом, ошибка сотрудника, утеря документации).
2. Создайте комиссию по расследованию.
- Зафиксируйте факт утечки (акт, скриншоты, логи доступа).
- Установите, какие данные были утрачены (паспорта, ИНН, телефоны и т. д.).
3. Уведомите регуляторы.
- Роскомнадзор – в течение 72 часов с момента обнаружения (если утечка создает угрозу правам субъектов ПД).
- ФСБ – если затронуты данные, относящиеся к гостайне или критической инфраструктуре.
4. Сообщите пострадавшим.
- Уведомите сотрудников, чьи данные утекли, и разъясните возможные риски.
- Посоветуйте сменить пароли, проверить банковские операции и т. д.
5. Примите меры по защите данных.
- Усильте контроль доступа (двухфакторная аутентификация, шифрование).
- Проведите внеплановый инструктаж сотрудников по работе с ПД.
6. Подайте отчет в Роскомнадзор (при необходимости).
- В течение 30 дней предоставьте результаты внутреннего расследования и принятые меры.
Порядок действий при утечке:
- Остановите утечку.
- Определите источник (взлом, ошибка сотрудника, утеря документации).
2. Создайте комиссию по расследованию.
- Зафиксируйте факт утечки (акт, скриншоты, логи доступа).
- Установите, какие данные были утрачены (паспорта, ИНН, телефоны и т. д.).
3. Уведомите регуляторы.
- Роскомнадзор – в течение 72 часов с момента обнаружения (если утечка создает угрозу правам субъектов ПД).
- ФСБ – если затронуты данные, относящиеся к гостайне или критической инфраструктуре.
4. Сообщите пострадавшим.
- Уведомите сотрудников, чьи данные утекли, и разъясните возможные риски.
- Посоветуйте сменить пароли, проверить банковские операции и т. д.
5. Примите меры по защите данных.
- Усильте контроль доступа (двухфакторная аутентификация, шифрование).
- Проведите внеплановый инструктаж сотрудников по работе с ПД.
6. Подайте отчет в Роскомнадзор (при необходимости).
- В течение 30 дней предоставьте результаты внутреннего расследования и принятые меры.
Ответственность работодателя за несоблюдение правил обработки персональных данных
Если организация или должностное лицо нарушают требования 152-ФЗ «О персональных данных», их могут привлечь к нескольким видам ответственности.
Какое наказание возможно за нарушения в работе с ПД?
Какое наказание возможно за нарушения в работе с ПД?
Вид ответственности | Кто привлекается | Возможные меры | Основания |
Дисциплинарная | Сотрудник, допустивший нарушение | – Замечание – Выговор – Увольнение | ТК РФ (ст. 192) |
Материальная | Работник или работодатель | – Взыскание ущерба с виновного сотрудника – Компенсация морального вреда пострадавшему | ТК РФ (ст. 238, 241), ГК РФ (ст. 151) |
Административная | Организация, ИП, должностное лицо | – Штрафы до 500 тыс. руб (для юрлиц) – Приостановка деятельности – Штраф от 1% до 3% годовой выручки за предыдущий календарный год, но не менее 25 млн руб. и не более 500 млн руб. за повторную утечку персональных данных. - Штраф для должностных лиц - от 100 до 300 тысяч рублей, для компаний — от 300 до 700 тысяч рублей. - Штраф за неуведомление Роскомнадзора. ИП — на сумму до 10 тысяч рублей, должностное лицо — до 50 тысяч, а организацию — до 300 тысяч рублей. - Штраф за утечку персданных: максимальный штраф - до 20 млн рублей (размер штрафа зависит от количества пострадавших). | КоАП РФ (ст. 13.11) Федеральный закон от 30.11.2024 № 420-ФЗ Ст. 9 Федеральный закон №156-ФЗ от 24.06.2025 |
Уголовная | Физическое лицо (например, руководитель) | – Штраф до 300 тыс. руб – Лишение свободы до 4 лет | УК РФ (ст.137, 272) |
Дополнительные последствия:
- Репутационные риски – потеря доверия клиентов и партнеров.
- Блокировка ресурсов – Роскомнадзор может ограничить доступ к сайту или базе данных.
- Судебные иски – сотрудники вправе требовать компенсацию за утечку их ПДн.
Как избежать нарушений?
Ужесточение законодательства в области обработки персональных данных напрямую влияет на процессы кадрового электронного документооборота. Организациям необходимо обеспечить соответствие своих систем КЭДО новым требованиям, включая:
- Обеспечение безопасности хранения и обработки персональных данных сотрудников.
- Своевременное уведомление Роскомнадзора о начале обработки персональных данных и об изменениях в этой области.
- Передачу обезличенных данных в ГИС Минцифры при необходимости.
- Оформлять согласие на обработку персональных данных.
- Проводить обучение сотрудников и регулярные проверки. Даже если нарушение произошло по вине рядового сотрудника, основная ответственность лежит на работодателе. Соблюдение закона защитит бизнес от штрафов и судебных разбирательств.
- Выбирайте продукты с локальным типом установки (на свои сервера).
- Ограничьте доступ сотрудников к данным по принципу «минимума необходимых прав».
В чём преимущества КЭДО при работе с персональными данными?
С переходом на цифровые технологии обработка персональных данных (ПДн) становится более удобной и безопасной. КЭДО (Квалифицированная электронная цифровая подпись + Электронный документооборот) – современный подход, который минимизирует риски утечек и упрощает работу с ПДн.
Специфика обработки персональных данных в КЭДО
Согласие на обработку персональных данных требуется при передаче информации в коммерческие организации (например, для оформления корпоративной страховки). Без такого согласия действия работодателя будут незаконны.
1. Автоматизированная защита данных:
КЭДО обеспечивает конфиденциальность, целостность и доступность данных, что соответствует закону о защите ПД. Также упрощается выполнение требований Роскомнадзора, так как система автоматически ведет журналы обработки данных.
Почему КЭДО удобнее и безопаснее традиционных методов?
В системе КЭДО обычно согласие на обработку персональных данных оформляется в электронном виде с помощью квалифицированной подписи, что соответствует новым требованиям 2025 года. Переход на электронный документооборот с КЭП не только упрощает бизнес-процессы, но и снижает риски штрафов за нарушения в обработке ПД.
Специфика обработки персональных данных в КЭДО
Согласие на обработку персональных данных требуется при передаче информации в коммерческие организации (например, для оформления корпоративной страховки). Без такого согласия действия работодателя будут незаконны.
1. Автоматизированная защита данных:
- Все документы подписываются КЭП (квалифицированной электронной подписью), что гарантирует их юридическую значимость и защиту от подделки.
- o Данные хранятся в зашифрованном виде, доступ к ним возможен только для уполномоченных лиц.
- o Исключаются риски потери бумажных документов или ошибок при ручном вводе данных.
- o Все действия с ПДн фиксируются в системе, что упрощает контроль и аудит.
КЭДО обеспечивает конфиденциальность, целостность и доступность данных, что соответствует закону о защите ПД. Также упрощается выполнение требований Роскомнадзора, так как система автоматически ведет журналы обработки данных.
Почему КЭДО удобнее и безопаснее традиционных методов?
- Быстрота обработки – документы с ПД можно подписать и отправить за несколько минут, без бумажной волокиты.
- Защита от утечек – электронные документы нельзя потерять или случайно передать третьим лицам.
- Удобство хранения и поиска – все данные структурированы, их легко найти в электронном архиве.
- Снижение затрат – не нужно тратиться на бумагу, печать и физическое хранение документов.
В системе КЭДО обычно согласие на обработку персональных данных оформляется в электронном виде с помощью квалифицированной подписи, что соответствует новым требованиям 2025 года. Переход на электронный документооборот с КЭП не только упрощает бизнес-процессы, но и снижает риски штрафов за нарушения в обработке ПД.
EmplDocs: системная автоматизация кадровых процессов в архитектуре 1С
EmplDocs — это платформа цифрового управления персоналом, разработанная с учетом реальных ограничений, инфраструктуры и задач российских компаний. Основа продукта — полноценная технологическая интеграция с 1С:ЗУП (и другими), что делает его органичным решением для организаций, у которых 1С является системообразующей платформой учета.
2. Гибкость: адаптация под корпоративную структуру и процессы.
Система позволяет быстро адаптировать как маршруты документов, так и интерфейс под особенности внутренней оргструктуры:
3. Расширенная функциональность в управлении персоналом.
EmplDocs закрывает не только базовые задачи КЭДО, но и включает инструменты для поддержки HR-циклов:
4. Модель безопасного развертывания on-premise.
Платформа может быть развернута on-premise — для компаний с политикой хранения данных в периметре компании (в том числе с сертификацией ИТ-инфраструктуры). Защита данных в EmplDocs обеспечивается за счет изоляции информационного контура: персональные данные сотрудников хранятся исключительно в базе 1С компании, без передачи во внешние системы.
5. Соответствие требованиям регуляторов и готовность к сертификации.
Платформа проходит регулярную оценку на соответствие требованиям ФСТЭК и ФСБ. Это дает организациям возможность не просто внедрить КЭДО, но и обеспечить соблюдение действующих нормативов в части защиты персональных и чувствительных данных.
- Архитектурная совместимость с 1С: не адаптация, а нативная реализация.
- данные передаются и синхронизируются в едином контуре — без дублирования, без ручной сверки;
- вся логика безопасности унаследована от 1С и дополнительно расширена для соответствия требованиям по защите персональных данных;
- поддерживается эксплуатация в закрытых и защищенных средах, включая 1С:Предприятие 8.3Z, что критично для госсектора и предприятий с режимом безопасности.
2. Гибкость: адаптация под корпоративную структуру и процессы.
Система позволяет быстро адаптировать как маршруты документов, так и интерфейс под особенности внутренней оргструктуры:
- настройка маршрутов согласования с учетом подразделений, ролей и территориальной распределенности;
- возможность внедрять фирменный стиль в интерфейсы документов и уведомлений без привлечения разработчиков;
- поддержка мультиязычного интерфейса — востребована в компаниях с филиалами в СНГ и локализованных HR-процессах.
3. Расширенная функциональность в управлении персоналом.
EmplDocs закрывает не только базовые задачи КЭДО, но и включает инструменты для поддержки HR-циклов:
- кадровые события: отпуска, больничные, командировки, перемещения;
- оценка и развитие: кадровый резерв, управление целями, опросы;
- модуль аналитики и контроль статусов исполнения — особенно важен в структурах с большим документооборотом.
4. Модель безопасного развертывания on-premise.
Платформа может быть развернута on-premise — для компаний с политикой хранения данных в периметре компании (в том числе с сертификацией ИТ-инфраструктуры). Защита данных в EmplDocs обеспечивается за счет изоляции информационного контура: персональные данные сотрудников хранятся исключительно в базе 1С компании, без передачи во внешние системы.
5. Соответствие требованиям регуляторов и готовность к сертификации.
Платформа проходит регулярную оценку на соответствие требованиям ФСТЭК и ФСБ. Это дает организациям возможность не просто внедрить КЭДО, но и обеспечить соблюдение действующих нормативов в части защиты персональных и чувствительных данных.