Обработка персональных данных сотрудников: требования и документы 2026 — ПдПро
ПдПро
Кадры
1 мин чтения·

Обработка персональных данных сотрудников: требования и документы 2026

Обработка персональных данных сотрудников: требования и документы 2026

Обработка персональных данных сотрудников регулируется одновременно Федеральным законом № 152-ФЗ «О персональных данных» и главой 14 Трудового кодекса РФ. Работодатель является оператором персональных данных в отношении своих работников и обязан соблюдать особые правила: собирать только необходимые данные, хранить их строго определённое время, ограничивать доступ к ним и уничтожать по истечении сроков хранения.

Нарушения в кадровом учёте обходятся дорого. За обработку без письменного согласия (когда оно требуется) — штраф для юридических лиц от 300 000 до 700 000 рублей (ч. 2 ст. 13.11 КоАП). За отсутствие опубликованной политики или внутреннего положения об обработке ПД — от 30 000 до 60 000 рублей (ч. 3 ст. 13.11 КоАП). Это суммы за одну проверку; нарушений, как правило, находят несколько.

Что относится к персональным данным сотрудника

По ст. 85 ТК РФ персональные данные работника — это информация, необходимая работодателю в связи с трудовыми отношениями. Закон не даёт исчерпывающего перечня, но практика кадрового учёта сформировала следующий состав:

Базовые (собираются всегда):

  • ФИО
  • Дата и место рождения
  • Паспортные данные
  • ИНН и СНИЛС
  • Адрес регистрации и фактического проживания
  • Контактный телефон и email
  • Сведения об образовании
  • Трудовой стаж и предыдущие места работы
  • Семейное положение (для льгот и вычетов)

Специальные (требуют особого обращения):

  • Сведения о состоянии здоровья (медицинские справки, больничные)
  • Сведения об инвалидности
  • Данные о воинском учёте
  • Биометрические данные (при использовании СКУД по лицу или отпечаткам)

Дополнительные (собираются при необходимости):

  • Сведения о судимостях (для отдельных должностей)
  • Сведения об иностранном гражданстве
  • Реквизиты банковской карты (для перечисления зарплаты)

Принцип минимизации данных

Статья 86 ТК РФ прямо запрещает:

  • Получать данные о сотруднике у третьих лиц без его ведома
  • Собирать данные, не необходимые для трудовой деятельности
  • Требовать данные о политических, религиозных убеждениях и частной жизни (если это не влияет на трудовые отношения)

Пример: работодатель не вправе требовать справку о том, что сотрудник не состоит на учёте в психиатрическом диспансере, если должность этого не требует по закону.

Когда нужно согласие сотрудника

Распространённое заблуждение: «На кадровую обработку согласие всегда нужно». Это не так.

Согласие НЕ нужно, если основание — закон или договор

Большинство кадровых операций имеют основания в ТК РФ, НК РФ, ФЗ «Об обязательном пенсионном страховании» и других законах:

  • Ведение трудовой книжки (или ЭТК)
  • Подача отчётности в ФНС, ПФР/СФР, ФСС
  • Ведение табеля учёта рабочего времени
  • Выплата заработной платы
  • Перечисление зарплаты на банковскую карту — основание трудовой договор (ст. 6 ч. 1 п. 5 152-ФЗ); отдельное согласие не требуется

Согласие НУЖНО для

Ситуация Пояснение
Публикация фото сотрудника на сайте Обработка изображения требует согласия
Обращение в медицинскую организацию за сведениями о здоровье Медданные — специальная категория
Использование биометрических данных (СКУД по лицу) Ст. 11 152-ФЗ, требует письменного согласия
Передача данных третьим лицам, не предусмотренная законом Например, партнёру для корпоративного обучения
Рекомендательное письмо или публикация в СМИ Выходит за рамки трудовых отношений

Важно: Роскомнадзор указывал, что работник находится в зависимом положении от работодателя. Поэтому согласие сотрудника, которое является условием трудоустройства, может быть признано недействительным как данное под принуждением. Если обработка необходима для трудовых отношений — используйте законное основание, а не согласие.

С 1 сентября 2025 года согласие должно оформляться отдельным документом — не включаться в трудовой договор или иные формы (156-ФЗ от 24.06.2025).

Обязательные кадровые документы по защите ПД

1. Положение об обработке персональных данных работников

Обязательный документ — основание: ст. 87 ТК РФ (порядок хранения и использования ПД) и ст. 86 п. 8 ТК РФ (ознакомление работников с документами, устанавливающими порядок обработки, под роспись). Должен содержать:

  • Перечень обрабатываемых данных
  • Цели и основания обработки
  • Порядок хранения и защиты
  • Права работников в отношении своих данных
  • Порядок обращений и жалоб

Утверждается приказом руководителя. Работник обязан быть ознакомлен с Положением под роспись до подписания трудового договора (ст. 86 п. 8 ТК РФ). Отсутствие такого документа или неознакомление работника — самостоятельное нарушение с штрафом по ч. 3 ст. 13.11 КоАП: юрлицам 30 000–60 000 рублей.

2. Лист ознакомления с Положением

Фиксирует факт ознакомления работника под роспись. Без него при проверке невозможно доказать соблюдение требования ст. 86 п. 8 ТК РФ.

3. Обязательство о неразглашении ПД (NDA)

Сотрудники, имеющие доступ к персональным данным коллег (кадровики, бухгалтеры, секретари, системные администраторы), должны подписать обязательство о неразглашении.

4. Приказ об организации обработки ПД

Назначает ответственного за организацию обработки ПД и регламентирует права доступа к данным.

5. Журнал учёта обращений субъектов

Фиксирует запросы работников о предоставлении информации, исправлении данных, блокировании.

6. Согласия (там, где требуются)

Оформляются на отдельных бланках для каждого конкретного случая — биометрия, фото на сайте и т.д. С 01.09.2025 — обязательно отдельным документом.

Передача данных сотрудников третьим лицам

Разрешена без согласия

По закону работодатель обязан передавать данные:

  • В ФНС — НДФЛ, справки 2-НДФЛ
  • В СФР (ПФР/ФСС) — персонифицированный учёт, больничные
  • В военкомат — воинский учёт
  • В прокуратуру, суд, следствие — по запросу
  • В банк — реквизиты для перечисления зарплаты (основание — трудовой договор, ст. 6 ч. 1 п. 5 152-ФЗ; отдельное согласие не требуется)
  • В профсоюз — если предусмотрено коллективным договором

Требует согласия

  • Страховой компании — для ДМС (если передаются данные о здоровье)
  • Образовательным организациям — для обучения по направлению работодателя
  • Третьим работодателям — рекомендации, справки

Запрещена

  • Продажа данных сотрудников
  • Передача персональных данных без законного основания и согласия
  • Сообщение данных родственникам без согласия самого работника (за исключением случаев угрозы жизни)

Хранение персональных данных сотрудников: сроки

Сроки хранения определяются Перечнем типовых документов (Приказ Росархива № 236 от 20.12.2019) и ст. 22.1 125-ФЗ «Об архивном деле»:

Документ Срок хранения
Личное дело сотрудника 50 лет (для принятых на работу с 01.01.2003, ст. 22.1 125-ФЗ)
Трудовой договор 50 лет
Приказы о приёме, переводе, увольнении 50 лет
Расчётные листки, ведомости по зарплате 6 лет
Документы о командировках 5 лет
Журналы учёта рабочего времени 5 лет
Медицинские справки (не специальная оценка) 5 лет
Согласия на обработку ПД В течение срока хранения данных + 3 года

Важно: срок хранения в 50 лет применяется к документам, включённым в состав архивного фонда (документы о трудовой деятельности). Для электронных систем (HRMS, CRM) действуют те же сроки.

Уничтожение данных сотрудников после увольнения

После увольнения сотрудника:

  1. Данные не уничтожаются сразу — хранятся по установленным срокам (50 лет — личное дело)
  2. Данные, не подпадающие под архивные сроки (например, cookie, аналитика) — уничтожаются
  3. По истечении сроков составляется акт об уничтожении документов

Уничтожение электронных данных означает безвозвратное удаление — не перемещение в корзину, а применение специальных методов (перезапись, физическое уничтожение носителя).

Права сотрудника и сроки ответа работодателя

По ст. 89 ТК РФ и ст. 14 152-ФЗ работник вправе:

  • Получить бесплатный доступ к своим данным, хранящимся у работодателя
  • Потребовать исправления неверных данных
  • Потребовать уничтожения данных по истечении срока или при отзыве согласия
  • Обратиться в Роскомнадзор с жалобой на неправомерную обработку
  • Требовать возмещения убытков и морального вреда при нарушении своих прав

Срок ответа на запрос работника — 10 рабочих дней (ст. 14 ч. 3 152-ФЗ). Этот срок может быть продлён ещё на 5 рабочих дней при направлении работнику мотивированного уведомления о причинах продления.

Отдельный срок: если работник отозвал согласие на обработку и данные более не нужны для иных целей — оператор обязан прекратить обработку и уничтожить данные в течение 30 дней с даты получения отзыва (ст. 21 ч. 5 152-ФЗ). Эти 30 дней — не срок ответа на запрос, а срок фактического уничтожения данных после отзыва согласия.

Штрафы за нарушения при кадровом учёте ПД

Санкции по ст. 13.11 КоАП РФ (в ред. 420-ФЗ от 30.11.2024, действует с 30.05.2025):

Нарушение Статья Юрлица
Обработка без письменного согласия (когда оно обязательно) ч. 2 300 000 — 700 000 руб.
Повторное нарушение ч. 2 ч. 2.1 1 000 000 — 1 500 000 руб.
Нет политики/положения или нет публичного доступа к ним ч. 3 30 000 — 60 000 руб.
Непредоставление информации субъекту по его запросу ч. 4 40 000 — 80 000 руб.
Нарушение сроков исправления/уничтожения данных по требованию ч. 5 50 000 — 90 000 руб.
Обработка без оснований (общий состав) ч. 1 150 000 — 300 000 руб.

Скидка 50% при оплате штрафа по ст. 13.11 не предусмотрена (примечание к статье).

Практика: при плановой проверке Роскомнадзор нередко фиксирует несколько нарушений одновременно. Даже минимальный набор — нет положения о ПД работников + нет листа ознакомления + биометрия без согласия — может суммироваться в сотни тысяч рублей штрафов.

Типичные нарушения в кадровом учёте

1. Отсутствие Положения об обработке ПД работников Часто есть только Политика конфиденциальности для сайта, но нет внутреннего Положения — нарушение ст. 87 ТК РФ и ст. 86 п. 8 ТК РФ (ч. 3 ст. 13.11 КоАП: юрлицам 30 000–60 000 руб.).

2. Сотрудники не ознакомлены с Положением Документ есть, но подпись работника не собрана до подписания трудового договора. Нарушение требования ст. 86 п. 8 ТК РФ.

3. Неограниченный доступ к данным К личным делам имеют доступ все сотрудники офиса, а не только уполномоченные лица.

4. Данные хранятся в общедоступных папках На корпоративных дисках нет разграничения прав доступа к папкам с ПД.

5. Биометрия без согласия СКУД с распознаванием лица установлена, но письменные согласия сотрудников не получены (ч. 2 ст. 13.11 КоАП: 300 000–700 000 руб.).

6. Передача данных без оснований Менеджер по персоналу по телефону сообщает информацию о сотруднике, не проверив личность и права запрашивающего.

Практические рекомендации

  1. Разработайте и внедрите Положение об обработке ПД работников до приёма следующего сотрудника — это базовый документ, требуемый ст. 86 п. 8 и ст. 87 ТК РФ
  2. Собирайте листы ознакомления — без подписи работника факт ознакомления не доказать при проверке
  3. Проведите инвентаризацию — где хранятся данные, кто имеет доступ
  4. Ограничьте доступ — принцип наименьших привилегий: кадровик видит личные дела, бухгалтер — платёжные данные, остальные — только необходимое
  5. Уничтожайте по расписанию — создайте регламент плановой очистки устаревших данных
  6. Обучите ответственных — особенно новых кадровых сотрудников

Готовые документы для кадрового блока 152-ФЗ

Разрабатывать Положение об обработке ПД работников с нуля — несколько часов юридической работы. В ПдПро кадровый блок документов формируется за ~10 минут через мастер: вы отвечаете на вопросы о компании, система определяет нужный состав документов и генерирует готовые файлы Word.

Кадровый блок ПдПро включает:

  • Положение об обработке персональных данных работников (ст. 86 п. 8, ст. 87 ТК РФ)
  • Согласие сотрудника на обработку ПД (для случаев, где оно обязательно)
  • Лист ознакомления с Положением
  • Обязательство о неразглашении ПД (NDA) для сотрудников с доступом к данным

Всего в ПдПро — до 38 документов по 152-ФЗ. Тариф: 2 990 руб. на 6 месяцев или 4 990 руб. навсегда. Повторная генерация при изменениях — без доплат.

Сформировать кадровые документы — pd-pro.ru/wizard

Нужны документы по 152-ФЗ?

Проверьте свой бизнес бесплатно — узнайте какие документы нужны

Мы используем cookie для работы сервиса и аналитики. Подробнее