Персональные данные работников в 2025: как избежать штрафов до 700 000 рублей и защитить компанию

Что такое персональные данные работника и почему это касается вас?

Каждый работодатель, независимо от размера компании и формы собственности, является оператором персональных данных (ПДн) своих сотрудников. Это не просто формальность, а серьезная ответственность, регулируемая Федеральным законом № 152-ФЗ "О персональных данных" и Трудовым кодексом РФ (Глава 14).

Что же относится к ПДн работника? Практически любая информация, которая позволяет прямо или косвенно идентифицировать человека:

• Ф.И.О., дата и место рождения, паспортные данные, адрес регистрации и проживания;
• Номера ИНН и СНИЛС;
• Контактные данные: номер телефона, email;
• Сведения об образовании, квалификации, предыдущих местах работы;
• Информация о зарплате, банковских реквизитах для ее перечисления;
• Данные о семейном положении, составе семьи (если это необходимо для целей трудовых отношений, например, для предоставления льгот);
• Сведения воинского учета;
• Даже фотография сотрудника (например, для пропуска или личного дела) или видеозапись с его участием считаются биометрическими ПДн, работа с которыми требует особого внимания (согласно Письму Роскомнадзора от 10.02.2020 № 08АП-6782).

См. также Методические рекомендации для общеобразовательных организаций по вопросам обработки персональных данных (письмо Минкомсвязи России от 28.08.2020 № ЛБ-С-074-24059). Они подготовлены для общеобразовательных организаций, но могут быть использованы при организации обработки персональных данных несовершеннолетних в иных образовательных, медицинских, социальных и иных организациях.

Первые шаги: Уведомление Роскомнадзора и базовые документы

Прежде чем начать обрабатывать ПДн (а по факту, вы начинаете это делать уже на этапе собеседования), необходимо выполнить несколько обязательных шагов:

1. Уведомить Роскомнадзор: Большинство работодателей обязаны подать уведомление о намерении осуществлять обработку персональных данных. Это можно сделать через специальный портал Роскомнадзора (ст. 22 Закона № 152-ФЗ). Есть исключения, но лучше проверить, относитесь ли вы к ним.
2. Разработать и утвердить локальные нормативные акты: Это фундамент вашей системы защиты ПДн. Как минимум, у вас должны быть:
• Политика обработки персональных данных: Документ, который описывает общие принципы и подходы к обработке ПДн в вашей компании. Важно: Политика должна быть общедоступной – обычно ее размещают на сайте компании (п. 2 ст. 18.1 Закона № 152-ФЗ).
• Положение о защите (или обработке) персональных данных работников: Более детальный внутренний документ. Он регламентирует порядок сбора, хранения, использования, передачи и уничтожения ПДн именно сотрудников, определяет ответственных лиц, меры защиты и т.д. С этим документом нужно ознакомить всех работников под подпись (ст. 88 ТК РФ).

Ключевые документы для работы с персональными данными

Правильно оформленные документы – ваша главная защита при проверках. Рассмотрим основные из них.

Положение о защите персональных данных работников

Этот документ устанавливает внутренние правила игры. В нем нужно прописать:

• Категории обрабатываемых ПДн и цели обработки.
• Порядок получения ПДн (у самого работника или у третьих лиц).
• Порядок хранения ПДн (где, как, сроки).
• Способы защиты (технические, организационные).
• Порядок передачи ПДн.
• Права работников и обязанности работодателя.
• Порядок уничтожения ПДн.
• Ответственность за нарушения.

Положение утверждается приказом руководителя. Вот пример такого приказа и структуры самого Положения:

Пример: Приказ об утверждении Положения о защите персональных данных

ООО "ЮНИКОМС"

Приказ № 4

г. Москва 13.01.2025

об утверждении Положения о защите персональных данных работников

На основании главы 14 Трудового кодекса РФ и Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных":

1. Утвердить Положение о защите персональных данных работников ООО "ЮНИКОМС" (Приложение 1) и ввести его в действие с 13.01.2025.
2. Утвердить перечень лиц, имеющих право доступа к персональным данным работников (Приложение 2).
3. Начальнику отдела кадров Петрову Н.С. в срок до 20.01.2025:
   • Ознакомить всех работников с Положением о защите персональных данных под подпись.
   • Оформить с лицами, указанными в Приложении 2, письменные обязательства о неразглашении персональных данных работников.

Генеральный директор   Иванов   /И.И. Иванов/

С приказом ознакомлен:

Начальник отдела кадров   Петров   /Н.С. Петров/

13.01.2025

Пример: Структура Положения о защите персональных данных работников (ООО "ЮНИКОМС")

Положение о защите персональных данных работников

1. ОБЩИЕ ПОЛОЖЕНИЯ (цели, законодательная база)
2. ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ (какие данные собираем)
3. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ (зачем собираем)
4. ПОРЯДОК ПОЛУЧЕНИЯ И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ (с согласия, без согласия, способы обработки)
5. ПОРЯДОК ХРАНЕНИЯ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ (бумажные, электронные носители, доступ, меры защиты)
6. ПОРЯДОК ПЕРЕДАЧИ ПЕРСОНАЛЬНЫХ ДАННЫХ (внутренняя, внешняя передача)
7. ПРАВА РАБОТНИКА (доступ, уточнение, блокирование, уничтожение)
8. ОБЯЗАННОСТИ РАБОТОДАТЕЛЯ
9. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПДН
10. ПОРЯДОК УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

(Примечание: Полный текст Положения из исходного документа здесь не приводится для краткости, но его структура отражает основные разделы, которые должны быть включены.)

Ответственный и допущенные лица

В компании обязательно должен быть назначен сотрудник, ответственный за организацию обработки персональных данных. Обычно это HR-специалист, юрист или руководитель. Его назначают приказом.

Также отдельным приказом (или приложением к Положению) утверждается перечень должностей (или конкретных лиц), которым для выполнения их трудовых обязанностей необходим доступ к ПДн работников (например, бухгалтеры для начисления зарплаты, кадровики для ведения учета).

Пример: Приказ о назначении ответственного за обработку ПДн

ООО "ЮНИКОМС"

Приказ № 5

г. Москва 13.01.2025

о назначении ответственного за организацию обработки персональных данных

В соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных",

ПРИКАЗЫВАЮ:

Назначить ответственным за организацию обработки персональных данных в ООО "ЮНИКОМС" начальника отдела кадров Петрова Николая Сергеевича.

Генеральный директор   Иванов   /И.И. Иванов/

С приказом ознакомлен:   Петров  /Н.С. Петров/

13.01.2025

Пример: Приказ об утверждении перечня лиц, имеющих доступ к ПДн

ООО "ЮНИКОМС"

Приказ № 6

г. Москва 13.01.2025

об утверждении перечня лиц, имеющих доступ к персональным данным работников

В целях обеспечения защиты персональных данных работников и во исполнение Положения о защите персональных данных работников ООО "ЮНИКОМС",

ПРИКАЗЫВАЮ:

1. Утвердить следующий перечень должностей сотрудников, имеющих доступ к персональным данным работников в объеме, необходимом для выполнения трудовых обязанностей:

• Генеральный директор
• Главный бухгалтер
• Начальник отдела кадров
• Специалист по кадрам
• Бухгалтер по расчету заработной платы
• Системный администратор (в части доступа к информационным системам)
• (Другие должности по необходимости)

2. Начальнику отдела кадров Петрову Н.С. ознакомить с настоящим приказом под подпись сотрудников, занимающих указанные должности, и оформить с ними обязательства о неразглашении персональных данных.

Генеральный директор   Иванов   /И.И. Иванов/

С приказом ознакомлены: (Подписи сотрудников)

Обязательство о неразглашении

Каждый сотрудник, имеющий доступ к ПДн других работников, должен подписать обязательство о неразглашении этой информации. Это документ, подтверждающий, что сотрудник осознает конфиденциальность данных и ответственность за их разглашение.

Пример: Обязательство о неразглашении персональных данных

Обязательство о неразглашении персональных данных

Я, ___________________________________ (Ф.И.О. полностью), занимающий(ая) должность ___________________________ в ООО "ЮНИКОМС", паспорт серии ____ № ________, выдан _________________________________ "__" ________ ____ г., зарегистрированный(ая) по адресу: ______________________________________________,

в соответствии со ст. 88 Трудового кодекса РФ и ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", в связи с исполнением своих трудовых обязанностей получаю доступ к персональным данным работников ООО "ЮНИКОМС".

Я понимаю, что персональные данные являются конфиденциальной информацией, и обязуюсь:

• Не разглашать персональные данные работников, ставшие мне известными в связи с исполнением трудовых обязанностей, как в период работы в ООО "ЮНИКОМС", так и после увольнения.
• Не использовать персональные данные работников в личных целях или целях, не связанных с исполнением трудовых обязанностей.
• Соблюдать установленный в ООО "ЮНИКОМС" порядок обработки и защиты персональных данных.
• Немедленно сообщать непосредственному руководителю и/или лицу, ответственному за организацию обработки персональных данных, о любых фактах или попытках несанкционированного доступа или разглашения персональных данных.

Я ознакомлен(а) с Положением о защите персональных данных работников ООО "ЮНИКОМС", а также предупрежден(а) о том, что в случае нарушения данного обязательства могу быть привлечен(а) к дисциплинарной, административной, гражданско-правовой или уголовной ответственности в соответствии с законодательством Российской Федерации.

Дата: "__" _________ 20__ г.

Подпись: ____________ / Ф.И.О. /

Согласие на обработку персональных данных

Это один из самых важных документов. По общему правилу (ст. 9 Закона № 152-ФЗ, ст. 86 ТК РФ), обрабатывать ПДн работника можно только с его письменного согласия. Есть исключения (например, когда обработка необходима для исполнения трудового договора или требований закона), но во многих случаях без согласия не обойтись.

Согласие должно быть:

• Конкретным: Четко указано, на какие действия с какими данными дается согласие.
• Информированным: Работник должен понимать, кому, зачем и какие данные он доверяет.
• Сознательным: Дано добровольно.

В тексте согласия обязательно указываются (ч. 4 ст. 9 Закона № 152-ФЗ):

• Ф.И.О., адрес, паспортные данные работника.
• Наименование и адрес работодателя (оператора).
• Цель обработки ПДн.
• Перечень ПДн, на обработку которых дается согласие.
• Перечень действий с ПДн (сбор, запись, хранение, использование, передача и т.д.).
• Срок действия согласия и способ его отзыва.

Особое внимание – биометрическим данным (фото, видео). Если вы планируете их использовать (например, фото на пропуск), это должно быть прямо указано в согласии.

Работник в любой момент может отозвать свое согласие, подав письменное заявление. После этого вы должны прекратить обработку его ПДн, если для нее нет иных законных оснований (например, обязанности хранить документы по закону).

Пример: Согласие на обработку персональных данных

Генеральному директору ООО "ЮНИКОМС"
Иванову И.И.
от _________________________ (ФИО работника)
паспорт: серия ____ № _______ выдан _______________
адрес регистрации: _________________________

СОГЛАСИЕ
на обработку персональных данных

Я, ___________________________________ (Ф.И.О. полностью), в соответствии со статьей 9 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", свободно, своей волей и в своем интересе даю согласие Обществу с ограниченной ответственностью "ЮНИКОМС" (ООО "ЮНИКОМС"), расположенному по адресу: _______________________________ (адрес работодателя), ОГРН _______________, ИНН _______________ (далее – Оператор), на обработку моих персональных данных.

1. Цели обработки: обеспечение соблюдения трудового законодательства и иных нормативных правовых актов; содействие в трудоустройстве, обучении и продвижении по службе; обеспечение личной безопасности; контроль количества и качества выполняемой работы; обеспечение сохранности имущества; расчет и выплата заработной платы; предоставление установленных законодательством льгот и компенсаций; открытие банковского счета и перечисление выплат; оформление полиса ДМС (если применимо); ведение кадрового и бухгалтерского учета; представление отчетности в государственные органы (СФР, ФНС, Росстат, военкоматы); оформление пропуска; выполнение иных обязательств, предусмотренных трудовым договором и законодательством РФ.

2. Перечень персональных данных: фамилия, имя, отчество; дата и место рождения; пол; гражданство; паспортные данные; адрес регистрации и фактического проживания; контактные телефоны; адрес электронной почты; ИНН; СНИЛС; сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации; сведения о трудовой деятельности (включая предыдущие места работы); сведения о воинском учете; сведения о семейном положении и составе семьи (в случаях, предусмотренных законодательством); фотография (биометрические ПДн); сведения о заработной плате и иных доходах; реквизиты банковского счета/карты; сведения о состоянии здоровья (только в части определения возможности выполнения трудовой функции); (иные данные при необходимости).

3. Перечень действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение – только в случаях, предусмотренных законом или с отдельного согласия; предоставление; доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Обработка может осуществляться как с использованием средств автоматизации, так и без их использования.

4. Срок действия согласия: Настоящее согласие действует со дня его подписания и до достижения целей обработки или до дня отзыва мною настоящего согласия в письменной форме.

Я уведомлен(а) о праве отозвать настоящее согласие путем подачи Оператору письменного заявления. В случае отзыва согласия Оператор вправе продолжить обработку моих персональных данных без моего согласия только при наличии оснований, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона № 152-ФЗ.

Дата: "__" _________ 20__ г.

Подпись: ____________ / Ф.И.О. /

Пример: Заявление об отзыве согласия на обработку ПДн

Генеральному директору ООО "ЮНИКОМС"
Иванову И.И.
от _________________________ (ФИО работника)
адрес: _________________________

ЗАЯВЛЕНИЕ
об отзыве согласия на обработку персональных данных

В соответствии с частью 2 статьи 9 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" я, ___________________________________ (Ф.И.О. полностью), отзываю свое согласие на обработку моих персональных данных, ранее предоставленное ООО "ЮНИКОМС".

Прошу прекратить обработку моих персональных данных и уничтожить их, за исключением случаев, когда обработка и хранение данных необходимы в соответствии с требованиями законодательства РФ.

Дата: "__" _________ 20__ г.

Подпись: ____________ / Ф.И.О. /

Обработка, хранение и обновление данных

Работа с ПДн не заканчивается на сборе согласий. Важно обеспечить:

• Законность и справедливость: Обрабатывайте только те данные, которые необходимы для заявленных целей.
• Актуальность: Своевременно вносите изменения в ПДн по заявлению работника или на основании подтверждающих документов (смена фамилии, паспорта, адреса). Эти изменения отражаются в личной карточке (если ведется), трудовой книжке (в установленных случаях, см. п. 7, 8 Порядка ведения трудовых книжек, утв. Приказом Минтруда России от 19.05.2021 № 320н), и других учетных документах.
• Безопасное хранение: Бумажные документы храните в запираемых шкафах или сейфах. Доступ к электронным базам данных должен быть защищен паролями, разграничен по ролям.
• Соблюдение сроков хранения: Храните документы с ПДн столько, сколько требует закон (например, сроки установлены Законом об архивном деле № 125-ФЗ и Перечнем, утв. Приказом Росархива от 20.12.2019 № 236). После истечения срока хранения или достижения целей обработки документы подлежат уничтожению с составлением акта.

Передача персональных данных третьим лицам

Передавать ПДн работников кому-либо за пределы организации (например, банку для зарплатного проекта, страховой компании для ДМС, учебному центру, потенциальному новому работодателю по запросу) можно только с отдельного письменного согласия работника на передачу данных (ст. 88 ТК РФ).

Исключения – случаи, прямо предусмотренные законом: передача данных в СФР, налоговую инспекцию, военкомат, суд, правоохранительные органы по их законному запросу. В этих ситуациях согласие работника не требуется.

Согласие на передачу ПДн должно быть таким же конкретным и информированным, как и общее согласие на обработку: кому передаются данные, с какой целью, какой объем данных.

Пример: Согласие на передачу персональных данных

Генеральному директору ООО "ЮНИКОМС"
Иванову И.И.
от _________________________ (ФИО, должность работника)
паспорт: серия ____ № _______ выдан _______________
адрес регистрации: _________________________

СОГЛАСИЕ
на передачу персональных данных третьему лицу

Я, ___________________________________ (Ф.И.О. полностью), в соответствии со статьей 88 Трудового кодекса РФ и статьей 9 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", даю согласие ООО "ЮНИКОМС" (адрес: _______________________________) на передачу моих персональных данных следующему третьему лицу:

Наименование третьего лица: _________________________________________ (например, ПАО "Сбербанк России")
Адрес третьего лица: _________________________________________

Цель передачи: _________________________________________ (например, для рассмотрения вопроса о выдаче кредита / для оформления зарплатной карты / для заключения договора ДМС).

Перечень передаваемых персональных данных: _________________________________________ (например, Ф.И.О., дата рождения, паспортные данные, адрес регистрации, должность, размер среднемесячного заработка, стаж работы в ООО "ЮНИКОМС").

Настоящее согласие действует с момента подписания и до _______________ (указать срок или событие, например, до момента принятия банком решения по кредиту).

Я уведомлен(а) о праве отозвать настоящее согласие путем подачи Оператору письменного заявления.

Дата: "__" _________ 20__ г.

Подпись: ____________ / Ф.И.О. /

Ответственность за нарушения: Цена ошибки в 2025 году

Несоблюдение правил работы с ПДн может очень дорого обойтись компании. Роскомнадзор активно проводит проверки и налагает штрафы. Согласно статье 13.11 Кодекса РФ об административных правонарушениях (КоАП РФ), за различные нарушения предусмотрены следующие санкции (актуально на 2025 год):

• Обработка ПДн без письменного согласия работника (когда оно требуется) или с нарушением требований к согласию:
  • Для должностных лиц: от 100 000 до 300 000 руб.
  • Для юридических лиц: от 300 000 до 700 000 руб.
  • Для малых и микропредприятий (согласно ст. 4.1.2 КоАП РФ штраф может быть заменен на предупреждение или снижен): от 150 000 до 350 000 руб.
• Обработка ПДн без согласия в случаях, не предусмотренных законом:
  • Для должностных лиц: от 100 000 до 300 000 руб.
  • Для юридических лиц: от 300 000 до 700 000 руб.
• Невыполнение обязанности по опубликованию или обеспечению доступа к Политике обработки ПДн:
  • Для должностных лиц: от 6 000 до 12 000 руб.
  • Для юридических лиц: от 30 000 до 60 000 руб.
• Непредоставление работнику информации, касающейся обработки его ПДн:
  • Для должностных лиц: от 8 000 до 12 000 руб.
  • Для юридических лиц: от 40 000 до 80 000 руб.
• Повторное совершение некоторых нарушений (например, обработка без согласия) влечет еще более крупные штрафы!

Внимание! Штрафы за нарушения в области персональных данных очень существенны и могут суммироваться за каждое отдельное нарушение. Проверьте свои процессы, чтобы избежать финансовых потерь и репутационного ущерба.

Как убедиться, что у вас все в порядке? Чек-лист

Чтобы минимизировать риски, регулярно проверяйте:

1. Подано ли уведомление в Роскомнадзор (и актуализировано ли оно при изменениях)?
2. Разработаны, утверждены и актуальны ли Политика обработки ПДн и Положение о защите ПДн работников?
3. Обеспечен ли доступ к Политике (например, на сайте)?
4. Ознакомлены ли все работники с Положением под подпись?
5. Назначен ли приказом ответственный за обработку ПДн?
6. Определен ли приказом круг лиц, допущенных к ПДн?
7. Подписали ли все допущенные лица обязательства о неразглашении?
8. Получены ли письменные согласия на обработку ПДн от всех работников (где это необходимо)?
9. Соответствуют ли формы согласий требованиям ст. 9 Закона № 152-ФЗ?
10. Получены ли отдельные согласия на обработку биометрических ПДн (если используются фото, видео)?
11. Получены ли отдельные согласия на передачу ПДн третьим лицам (банкам, страховым и т.д.)?
12. Обеспечены ли надлежащие меры по защите ПДн (сейфы, пароли, антивирусы)?
13. Соблюдаются ли сроки хранения документов и порядок их уничтожения?

Работа с персональными данными требует постоянного внимания и аккуратности. Своевременное приведение документов и процессов в соответствие с законом – лучшая инвестиция в спокойствие и безопасность вашего бизнеса.

Примечание: Данная статья носит информационный характер. Для получения конкретных рекомендаций по вашей ситуации обратитесь к юристам или специалистам по кадровому делопроизводству. Информация актуальна на апрель 2025 года.