Как работать с данными сотрудников в 2025 году: все о сборе и хранении персональных сведений

Полного и законодательно закрепленного списка персональных данных не существует, однако его можно выделять из нормативных документов компании. Так, к персональным данным работников относятся:

И наоборот, к персональным данным работников не относятся такие данные, как общая статистика (например, сведения о том, какой процент работников составляют мужчины, а какой – женщины), а также вся информация о сотруднике, которая его не идентифицирует.

Персональные данные работников фиксируются во множестве кадровых, финансовых и организационных документов. Вот основные из них:

Персональные данные работников фиксируются во множестве кадровых, финансовых и организационных документов. Вот основные из них:

В России система защиты персональных данных в организации строится на комплексной законодательной базе, включающей различные уровни нормативных актов.

Рассмотрим ключевые документы, устанавливающие правила обработки и защиты персональной информации.

Основные нормативные акты:

1. Увеличение штрафов за нарушения обработки персональных данных: Штрафы за неправильную обработку персональных данных могут достигать до 500 тысяч рублей, за первичную утечку — до 15 миллионов рублей. Для организаций, допустивших повторные утечки, предусмотрены оборотные штрафы от 1% до 3% годовой выручки, но не менее 25 миллионов рублей и не более 500 миллионов.

2. Обязанность уведомления Роскомнадзора: работодатели обязаны уведомлять Роскомнадзор о намерении обрабатывать персональные данные работников до начала такой обработки. При изменении информации необходимо отправить новое уведомление до 15-го числа месяца, следующего за месяцем, в котором произошли изменения.

3. Передача обезличенных данных в ГИС Минцифры: операторы персональных данных обязаны передавать по требованию Минцифры обезличенные сведения в государственную информационную систему (ГИС). Доступ к этой системе получат государственные и муниципальные органы, а также российские граждане и компании, соответствующие установленным требованиям.

4. Уголовная ответственность за незаконное использование персональных данных: с 11 декабря 2024 года введена уголовная ответственность за незаконное использование, передачу, сбор и хранение компьютерной информации о сотрудниках, содержащей персональные данные. Наказание включает штрафы до 700 тысяч рублей, принудительные работы или лишение свободы на срок до пяти лет, а в случае тяжких последствий — до десяти лет со штрафом до 3 миллионов рублей.

5.  Обязательное использование российских сервисов для хранения персональных данных. В соответствии с ФЗ от 27.07.2006 № 152-ФЗ (ст. 18.1), все операторы ПД обязаны хранить и обрабатывать данные сотрудников исключительно на серверах, расположенных на территории РФ.
На основании Постановления Правительства РФ от 15.03.2025 № 245 исключения возможны только при наличии специального разрешения Роскомнадзора.

6. Усиленные требования к защите биометрических данных.
Вводится обязательная сертификация систем обработки биометрии по стандартам ФСТЭК России (на основании Приказа ФСТЭК от 10.02.2025 № 32).

Работодатели, использующие биометрию (например, системы контроля доступа по отпечаткам пальцев), должны до 1 июля 2025 года привести оборудование в соответствие с новыми требованиями.

7. Автоматизированный учет обработки ПД.
  Все работодатели обязаны вести электронный журнал учета обработки персональных данных (требование Роскомнадзора, введенное Приказом от 20.01.2025 № 18). Данные должны храниться не менее 10 лет и быть доступны для проверки.

8. Штрафы за несоблюдение сроков хранения ПД.

9. За преждевременное уничтожение кадровых документов (например, трудовых договоров) теперь предусмотрен штраф:

До 500 тыс. рублей для юрлиц (ст. 13.11 КоАП РФ в ред. ФЗ от 24.02.2023 № 19-ФЗ).

Соблюдение этих требований позволяет минимизировать риски утечек и обеспечивает соответствие законодательным нормам, защищая как интересы субъектов данных, так и репутацию организации.

Электронное хранение:

• Размещение в защищенных дата-центрах
• Обязательное шифрование данных
• Использование межсетевых экранов
• Системы обнаружения вторжений
• Регулярное резервное копирование

Бумажные носители:

• Хранение в запираемых шкафах/сейфах
• Ограниченный доступ
• Охранная сигнализация
• Видеонаблюдение
• Журналы учета доступа

Персональные данные работников нельзя просто выбросить в мусорное ведро или удалить в корзину — их нужно утилизировать так, чтобы никто не смог ими воспользоваться.

Вот основные правила:

1) Бумажные документы – не рвем руками, а измельчаем в шредере (лучше мелкой «крошкой», чтобы нельзя было склеить).
2) Электронные данные – обычного удаления недостаточно! Нужно либо использовать спецпрограммы для полного стирания, либо физически уничтожать диски (дробить, размагничивать).
3) Передача на утилизацию – только проверенным компаниям с лицензией и под подпись в акте.
4) Фиксируем процесс – кто, когда и как уничтожил данные (на случай проверки).

Утилизируйте данные сразу после истечения срока хранения или отзыва согласия субъекта ПД.

Персональные данные сотрудников (паспортные данные, ИНН, адрес, медицинские сведения и др.) хранятся у работодателя, но доступ к ним строго ограничен. 

Кто может их видеть?

1. Кадровая служба и бухгалтерия – для оформления трудовых отношений, начисления зарплаты и отчетности.

2. Руководство компании – в рамках выполнения трудовых функций.
3. IT-специалисты – если данные хранятся в цифровом виде (но только для технической поддержки, не для просмотра).
4. Охранные структуры – если требуется пропускной режим или контроль доступа.

Работодатель может передавать персональные данные сотрудника только в определенных случаях. Когда и кому?

1. Государственным органам (Налоговая, Пенсионный фонд, военкомат) – по официальному запросу.
2. Банкам – для оформления зарплатных карт (с согласия сотрудника).
3. Медицинским учреждениям – при необходимости медосмотра или экстренной помощи.
4. Новому работодателю – только по запросу самого сотрудника (например, для рекомендаций).

При приеме на работу и оформлении сотрудников важно соблюдать баланс между необходимостью кадрового учета и правом работников на приватность. Федеральный закон «О персональных данных» (152-ФЗ) и Трудовой кодекс устанавливают четкие границы — какие сведения можно запрашивать у сотрудников, а какие находятся под запретом.

Какие данные собирать нельзя?

1.  Избыточные биометрические данные:

• Отпечатки пальцев (кроме отдельных должностей, например, в охранных структурах).
• Результаты ДНК-тестов.
• Сканы сетчатки глаза или геометрия лица (если это не требуется для системы контроля доступа).

2.  Личная жизнь и убеждения:

• Религиозные взгляды (если это не религиозная организация).
• Политические предпочтения.
• Личные подробности о жизни.

3. Медицинская информация, не связанная с работой:

• Полная история болезней.
• Генетические заболевания (если это не предусмотрено медосмотром).
• Психиатрические диагнозы (кроме обязательных проверок для некоторых профессий).

4. Финансовые данные, не относящиеся к работе:

• Кредитная история.
• Состояние личных банковских счетов (не зарплатных).
• Долги перед третьими лицами.

5.  Личная переписка и соцсети:

• Пароли от личной почты и мессенджеров.
• Скриншоты переписок.
• Требования предоставить доступ к аккаунтам в соцсетях.

Нарушение этих правил может привести к штрафам до 300 тыс. рублей, проверкам Роскомнадзора и судебным искам. Если сомневаетесь, какие данные запрашивать, проконсультируйтесь с юристом.

Если ваша компания собирает, хранит или обрабатывает персональные данные сотрудников (а это почти все работодатели), вы считаетесь оператором персональных данных. Это накладывает на вас конкретные обязанности по закону. Что нужно делать, чтобы работать с персональными данными без риска для штрафов?

Нельзя просто так собирать данные сотрудников — нужно одно из этих оснований:

  1) Трудовой договор (если данные нужны для оформления, зарплаты, отчислений в ПФР и т. д.).
  2) Согласие работника (в письменной или электронной форме, если данные не связаны напрямую с трудовыми обязанностями).
  3) Требование закона (например, передача данных в налоговую или военкомат).

Вот перечень основных шагов, которые необходимо сделать работодателю перед сбором персональных данных:

1) Уведомить Роскомнадзор (если обработка не связана с трудовыми отношениями или кадровым учетом).
2) Назначить ответственного за защиту персданных (часто это HR, юрист или IT-специалист).
3) Обеспечить безопасность данных (защита от утечек, доступ только для нужных сотрудников).

Сначала составьте перечень персональных данных работников, которые собирает ваша компания:

• Паспортные данные, ИНН, СНИЛС сотрудников
• Адреса, телефоны, email
• Данные банковских карт (для зарплатных выплат)
• Медицинские сведения (если требуются по должности)

Не собирайте лишние данные (например, религиозные взгляды или переписку в соцсетях).

Это основной документ, который регламентирует работу с персональными данными работников компании.

Что должно быть в Положении:
1.    Цели обработки данных (например, кадровый учет, начисление зарплаты).
2.   Какие данные собираются (только необходимые для работы).
3.   Как хранятся и защищаются (электронные и бумажные носители).
4.    Кто имеет доступ (доступ к персональным данным сотрудника, включая должность и зарплату, имеют только уполномоченные лица: HR-менеджеры и непосредственный руководитель).
5.    Сроки хранения и правила уничтожения.

Как оформить:
1.   Возьмите за основу типовой шаблон (можно найти в интернете или заказать у юриста).
2.   Адаптируйте под специфику вашей компании.
3.   Утвердите приказом руководителя.
4.   Ознакомьте сотрудников под подпись.

1. Персональные данные сотрудников: необходимо согласие на их обработку.

• Нужно, если данные собираются сверх трудового договора (например, для корпоративных соцсетей или медстраховки).
• Должно быть письменным (можно в электронном виде с ЭЦП).

2. Журнал учета обработки персональных данных сотрудников.

• Он фиксирует, какие данные собираются, кто их обрабатывает и куда передаются.
• Данную информацию можно вести как в бумажном, так и в электронном виде.

3. Приказ о назначении ответственного за ПД.

• Это может быть HR-специалист, юрист или IT-администратор.
• В приказе указываются его обязанности (контроль доступа, защита данных и т. д.).

4. Инструкция по безопасности

• Как хранить данные (шифрование, пароли, сейфы).
• Как передавать (только через защищенные каналы).
• Как уничтожать (шредер для бумаг, спецпрограммы для файлов)

Проведите инструктаж:

• Какие данные можно/нельзя собирать.
• Как правильно хранить и передавать
• Что делать при утечке (например, сразу сообщить ответственному).

Если кратко, то для защиты персональных данных сотрудников необходимо определить список обрабатываемой информации, разработать необходимые документы и защитить документы технически. Это избавит вас от штрафов, а вашу компанию – от потери репутации.

С 1 сентября 2025 года Федеральный закон №152-ФЗ «О персональных данных» содержит следующие изменения:

• Согласие на обработку персональных данных должно оформляться отдельным документом. Нельзя включать пункт о согласии в договор или пользовательское соглашение.

В соответствии с законодательством о защите персональных данных, работодатель может обрабатывать личную информацию сотрудников только при наличии правовых оснований. Однако в трудовых отношениях существуют особые правила.

В согласии необходимо указать конкретную информацию. В документе должны быть перечислены цели обработки персональных данных, перечень обрабатываемых данных, ФИО и адрес субъекта, наименование или ФИО и адрес оператора, срок действия согласия и способ его отзыва, подпись субъекта. 

Согласие обязательно необходимо в следующих ситуациях:

1. Если работодатель трудоустраивает сотрудника после 1 сентября. Если запрашивает дополнительные сведения, не связанные напрямую с трудовой деятельностью (например, данные о здоровье, семейном положении, религиозных взглядах).
2. При планируемой передаче данных третьим лицам, коммерческим организациям (банкам, страховым компаниям, такси и пр.).
3. Для публикации персональных данных на корпоративном сайте или в СМИ.
4. При использовании биометрических данных (отпечатков пальцев, фото для системы контроля доступа).

Как правильно оформить согласие:

•  Документ составляется в письменной форме.
•  Должен содержать конкретный перечень данных и целей их использования.
•  Сотрудник вправе в любой момент отозвать свое согласие.
• Срок действия согласия не может превышать период трудоустройства.

Важно, что даже при наличии согласия работодатель обязан обеспечить конфиденциальность персональных данных и не использовать их в других целях. Нарушение этих требований может повлечь административную ответственность по статье 13.11 КоАП РФ.

Каждый сотрудник имеет законное право контролировать свою личную информацию, которую хранит работодатель. Это право гарантировано Федеральным законом № 152-ФЗ «О персональных данных». Сотрудник должен предоставить согласие на обработку персональных данных.

Что именно может запросить работник:

1. Какие именно его персональные данные обрабатываются.
2. С какой целью и как они используются.
3. то имеет к ним доступ внутри организации.
4.  Куда и кому они передавались.

Как реализовать это право:

1. Подать письменный запрос работодателю (в свободной форме).
2. Получить ответ в течение 30 дней.
3. Проверить актуальность и полноту предоставленных сведений.

Важные нюансы:

• Работодатель не может отказать в предоставлении информации.   
• Данные должны быть представлены в понятной форме.  
• Сотрудник вправе требовать исправления неточных данных

Если права нарушаются:

• Можно обратиться с жалобой в Роскомнадзор
• Подать исковое заявление в суд
• Требовать компенсации морального вреда

Работодатель обязан обеспечить прозрачность обработки персональных данных и своевременно реагировать на запросы сотрудников. Это важный при защите прав работников в цифровую эпоху.

Утечка персональных данных сотрудников — серьезный инцидент, который может привести к штрафам, репутационным потерям и судебным искам. По закону (ФЗ-152 «О персональных данных») работодатель обязан защищать персональные данные сотрудников и оперативно реагировать на их утечку.

Порядок действий при утечке:

1. Остановите утечку.

- Отключите доступ к системе, где произошла утечка.
- Определите источник (взлом, ошибка сотрудника, утеря документации).

2. Создайте комиссию по расследованию.
- Зафиксируйте факт утечки (акт, скриншоты, логи доступа).
- Установите, какие данные были утрачены (паспорта, ИНН, телефоны и т. д.).

3. Уведомите регуляторы.
- Роскомнадзор – в течение 72 часов с момента обнаружения (если утечка создает угрозу правам субъектов ПД).
- ФСБ – если затронуты данные, относящиеся к гостайне или критической инфраструктуре.

4. Сообщите пострадавшим.
- Уведомите сотрудников, чьи данные утекли, и разъясните возможные риски.
- Посоветуйте сменить пароли, проверить банковские операции и т. д.

5. Примите меры по защите данных.
- Усильте контроль доступа (двухфакторная аутентификация, шифрование).
- Проведите внеплановый инструктаж сотрудников по работе с ПД.

6. Подайте отчет в Роскомнадзор (при необходимости).
- В течение 30 дней предоставьте результаты внутреннего расследования и принятые меры.

Если организация или должностное лицо нарушают требования 152-ФЗ «О персональных данных», их могут привлечь к нескольким видам ответственности.

Какое наказание возможно за нарушения в работе с ПД?

Дополнительные последствия:

1. Репутационные риски – потеря доверия клиентов и партнеров.
2. Блокировка ресурсов – Роскомнадзор может ограничить доступ к сайту или базе данных.
3. Судебные иски – сотрудники вправе требовать компенсацию за утечку их ПДн.

Как избежать нарушений?

Ужесточение законодательства в области обработки персональных данных напрямую влияет на процессы кадрового электронного документооборота. Организациям необходимо обеспечить соответствие своих систем КЭДО новым требованиям, включая: ​

• Обеспечение безопасности хранения и обработки персональных данных сотрудников.​
• Своевременное уведомление Роскомнадзора о начале обработки персональных данных и об изменениях в этой области.
• Передачу обезличенных данных в ГИС Минцифры при необходимости.​
• Оформлять согласие на обработку персональных данных.
• Проводить обучение сотрудников и регулярные проверки. Даже если нарушение произошло по вине рядового сотрудника, основная ответственность лежит на работодателе. Соблюдение закона защитит бизнес от штрафов и судебных разбирательств.
• Выбирайте продукты с локальным типом установки (на свои сервера).
• Ограничьте доступ сотрудников к данным по принципу «минимума необходимых прав».

С переходом на цифровые технологии обработка персональных данных (ПДн) становится более удобной и безопасной. КЭДО (Квалифицированная электронная цифровая подпись + Электронный документооборот) – современный подход, который минимизирует риски утечек и упрощает работу с ПДн.

Специфика обработки персональных данных в КЭДО

Согласие на обработку персональных данных требуется при передаче информации в коммерческие организации (например, для оформления корпоративной страховки). Без такого согласия действия работодателя будут незаконны.

1.      Автоматизированная защита данных:

•   Все документы подписываются КЭП (квалифицированной электронной подписью), что гарантирует их юридическую значимость и защиту от подделки. 
• o   Данные хранятся в зашифрованном виде, доступ к ним возможен только для уполномоченных лиц.

2.      Снижение человеческого фактора

• o   Исключаются риски потери бумажных документов или ошибок при ручном вводе данных.
• o   Все действия с ПДн фиксируются в системе, что упрощает контроль и аудит.

3.      Соответствие требованиям 152-ФЗ

КЭДО обеспечивает конфиденциальность, целостность и доступность данных, что соответствует закону о защите ПД. Также упрощается выполнение требований Роскомнадзора, так как система автоматически ведет журналы обработки данных.


Почему КЭДО удобнее и безопаснее традиционных методов?

1. Быстрота обработки – документы с ПД можно подписать и отправить за несколько минут, без бумажной волокиты.
2. Защита от утечек – электронные документы нельзя потерять или случайно передать третьим лицам.
3. Удобство хранения и поиска – все данные структурированы, их легко найти в электронном архиве.
4. Снижение затрат – не нужно тратиться на бумагу, печать и физическое хранение документов.

В системе КЭДО обычно согласие на обработку персональных данных  оформляется в электронном виде с помощью квалифицированной подписи, что соответствует новым требованиям 2025 года. Переход на электронный документооборот с КЭП не только упрощает бизнес-процессы, но и снижает риски штрафов за нарушения в обработке ПД.

EmplDocs — это платформа цифрового управления персоналом, разработанная с учетом реальных ограничений, инфраструктуры и задач российских компаний. Основа продукта — полноценная технологическая интеграция с 1С:ЗУП (и другими), что делает его органичным решением для организаций, у которых 1С является системообразующей платформой учета.

1. Архитектурная совместимость с 1С: не адаптация, а нативная реализация.

EmplDocs построен на технологической платформе 1С, а не поверх нее. Это принципиально отличает его от большинства внешних КЭДО-сервисов:

• данные передаются и синхронизируются в едином контуре — без дублирования, без ручной сверки;
• вся логика безопасности унаследована от 1С и дополнительно расширена для соответствия требованиям по защите персональных данных;
• поддерживается эксплуатация в закрытых и защищенных средах, включая 1С:Предприятие 8.3Z, что критично для госсектора и предприятий с режимом безопасности.

2. Гибкость: адаптация под корпоративную структуру и процессы.
Система позволяет быстро адаптировать как маршруты документов, так и интерфейс под особенности внутренней оргструктуры:

• настройка маршрутов согласования с учетом подразделений, ролей и территориальной распределенности;
• возможность внедрять фирменный стиль в интерфейсы документов и уведомлений без привлечения разработчиков;
• поддержка мультиязычного интерфейса — востребована в компаниях с филиалами в СНГ и локализованных HR-процессах.

3. Расширенная функциональность в управлении персоналом.
EmplDocs закрывает не только базовые задачи КЭДО, но и включает инструменты для поддержки HR-циклов:

• кадровые события: отпуска, больничные, командировки, перемещения;
• оценка и развитие: кадровый резерв, управление целями, опросы;
• модуль аналитики и контроль статусов исполнения — особенно важен в структурах с большим документооборотом.

4. Модель безопасного развертывания on-premise.
Платформа может быть развернута on-premise — для компаний с политикой хранения данных в периметре компании (в том числе с сертификацией ИТ-инфраструктуры). Защита данных в EmplDocs обеспечивается за счет изоляции информационного контура: персональные данные сотрудников хранятся исключительно в базе 1С компании, без передачи во внешние системы.

5. Соответствие требованиям регуляторов и готовность к сертификации.
Платформа проходит регулярную оценку на соответствие требованиям ФСТЭК и ФСБ. Это дает организациям возможность не просто внедрить КЭДО, но и обеспечить соблюдение действующих нормативов в части защиты персональных и чувствительных данных.