Персональные данные сотрудников: обязанности работодателя по 152-ФЗ
Какие данные сотрудников считаются персональными, когда нужно согласие, как хранить и что делать при увольнении. Чек-лист для кадровой службы по 152-ФЗ.
Персональные данные сотрудников: обязанности работодателя по 152-ФЗ
Каждая компания с хотя бы одним сотрудником — оператор персональных данных. Кадровое делопроизводство неизбежно связано с обработкой ПДн: от приёма на работу до увольнения. И именно HR-направление — одна из самых частых зон нарушений при проверках Роскомнадзора. Разберём, что обязан делать работодатель и где чаще всего допускаются ошибки.
Что относится к персональным данным сотрудников
Персональные данные — это любая информация, позволяющая прямо или косвенно идентифицировать физическое лицо. В кадровом контексте это:
| Категория | Примеры данных | Особенности |
|---|---|---|
| Основные идентификаторы | ФИО, дата рождения, паспортные данные | Обрабатываются у всех работодателей |
| Налоговые и страховые | ИНН, СНИЛС | Передаются в ФНС и СФР |
| Контактные | Адрес регистрации, телефон, email | Часто избыточно собираются |
| Финансовые | Банковские реквизиты, размер зарплаты | Ограниченный доступ |
| Специальные категории | Состояние здоровья, инвалидность | Только с письменного согласия |
| Биометрические | Фото для СКУД, отпечаток пальца | Только с письменного согласия |
| Семейные | Состав семьи, данные детей | Для льгот и вычетов — с согласия |
Правовые основания обработки
Основные основания для обработки ПДн сотрудников:
- Трудовой договор — обработка, необходимая для его исполнения (ст. 6 ч. 1 п. 5 152-ФЗ)
- Требования законодательства — налоговое, трудовое, пенсионное (ст. 6 ч. 1 п. 2)
- Согласие работника — для обработки, выходящей за рамки трудового законодательства
Трудовой договор покрывает обработку данных, непосредственно необходимых для трудовых отношений: ФИО, паспорт, СНИЛС, ИНН, образование, стаж. Но далеко не всё.
Когда обязательно отдельное согласие
Важно: С сентября 2025 года включение согласия на обработку ПДн в текст трудового договора считается нарушением. Согласие должно быть отдельным документом на каждую самостоятельную цель обработки.
Отдельное письменное согласие необходимо для:
- Специальных категорий — данные о здоровье (медосмотры, больничные)
- Биометрии — если СКУД использует распознавание лица или отпечатков
- Передачи третьим лицам — ДМС-провайдеру, банку для зарплатного проекта, кадровому агентству
- Размещения фото — на сайте компании, в корпоративных материалах
- Данных о семье — для оформления льгот, путёвок, подарков детям
- Обработки после увольнения — для рекомендаций, информирования о вакансиях
Каждая цель — отдельное согласие. Не допускается одно общее согласие «на всё».
Правила хранения
Бумажные носители
- Личные дела — в запирающихся шкафах
- Доступ — только сотрудникам, указанным в приказе о допуске
- Помещение — ограниченный доступ, желательно сигнализация
Электронные системы
- Базы данных — шифрование при хранении и передаче
- Доступ — ролевая модель, персональные учётные записи
- Логирование — фиксация всех действий с данными
- Резервное копирование — с тем же уровнем защиты
Важно: Если кадровая система (1С, SAP, облачный сервис) — это ИСПДн, на неё распространяются требования ФСТЭК в зависимости от уровня защищённости. Подробнее — в нашем материале «ИСПДн: что это такое и как классифицировать».
Приказ о допуске к персональным данным
Обязательный документ. Содержит перечень сотрудников, имеющих доступ к ПДн, и объём этого доступа. Типичный состав допущенных:
- Директор
- Главный бухгалтер
- Начальник отдела кадров и кадровые специалисты
- Системный администратор (техническое обслуживание ИСПДн)
Все допущенные подписывают обязательство о неразглашении. Полный перечень обязательных документов — в статье «Документы по 152-ФЗ: полный перечень».
Сроки хранения кадровых документов
| Документ | Срок хранения | Основание |
|---|---|---|
| Личная карточка (Т-2) | 50/75 лет | Приказ Росархива № 236 |
| Трудовой договор | 50/75 лет | Приказ Росархива № 236 |
| Приказы по личному составу | 50/75 лет | Приказ Росархива № 236 |
| Табели учёта рабочего времени | 5 лет | Приказ Росархива № 236 |
| Заявления на отпуск | 5 лет | Приказ Росархива № 236 |
| Данные соискателей (не принятых) | Уничтожить после завершения подбора | 152-ФЗ |
Увольнение сотрудника: что делать с данными
При увольнении работодатель обязан:
- Оставить документы, которые требуется хранить по закону (личная карточка, трудовой договор, приказы — 50/75 лет)
- Уничтожить данные, для хранения которых нет правового основания (резюме, копии документов, если согласие не предусматривает хранение после увольнения)
- Прекратить передачу данных третьим лицам (ДМС-провайдер, зарплатный банк)
- Составить акт уничтожения для уничтоженных данных
Частые нарушения, выявляемые РКН
Роскомнадзор при проверках HR-направления чаще всего фиксирует:
- Отсутствие отдельных согласий (всё включено в трудовой договор)
- Избыточный сбор данных (копии паспортов без необходимости)
- Нет приказа о допуске к ПДн
- Нет обязательств о неразглашении
- Хранение данных уволенных сотрудников без основания
- Отсутствие уведомления в РКН об обработке ПДн
- Передача данных третьим лицам без согласия (зарплатный проект)
Чек-лист для кадровой службы
- Назначен ответственный за обработку ПДн
- Разработана и размещена политика обработки ПДн
- Согласия — отдельные на каждую цель обработки
- Издан приказ о допуске сотрудников к ПДн
- Подписаны обязательства о неразглашении
- Личные дела хранятся в запирающихся шкафах
- Кадровая система защищена (пароли, логирование, шифрование)
- Определены и соблюдаются сроки хранения
- Есть процедура уничтожения данных при увольнении
- Подано уведомление в Роскомнадзор
Готовые шаблоны согласий, приказов и обязательств доступны в разделе шаблонов. Для комплексного приведения кадрового направления в соответствие с 152-ФЗ воспользуйтесь нашей услугой комплаенс.
Хотите убедиться, что кадровое делопроизводство соответствует 152-ФЗ? Пройдите экспресс-аудит за 2 минуты или обратитесь к нам — проведём полную проверку и подготовим недостающие документы.