Персональные данные сотрудников: как хранить и обрабатывать по 152-ФЗ

HR-специалист оформляет нового сотрудника: копирует паспорт, заносит СНИЛС в таблицу, сохраняет фотографию для пропуска, записывает домашний адрес в карточку Т-2. За один день он обрабатывает десятки персональных данных — и каждое из этих действий регулируется Федеральным законом № 152-ФЗ «О персональных данных». Нарушение — не абстрактный риск: с 2024 года штрафы за утечки и несоблюдение порядка обработки выросли до 18 млн рублей, а повторные нарушения грозят оборотными штрафами.

При этом большинство HR-отделов обрабатывают персональные данные по инерции — так, как привыкли, а не так, как требует закон. Копии паспортов хранятся в незапертых шкафах, согласия на обработку подписаны «для галочки» без конкретных целей, а политика обработки персональных данных существует только в виде шаблона, скачанного из интернета пять лет назад. Всё это — прямой путь к штрафам и репутационным потерям.

Что относится к персональным данным сотрудников

152-ФЗ определяет персональные данные максимально широко: любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту персональных данных). Для HR-контекста это означает, что практически вся информация о сотруднике, которую компания собирает и хранит, попадает под регулирование.

Идентификационные данные. ФИО, дата и место рождения, пол, гражданство. Базовые сведения, которые содержатся в любом трудовом договоре и кадровой карточке.

Документы. Паспортные данные, СНИЛС, ИНН, военный билет, документы об образовании, водительское удостоверение. Каждая копия документа в личном деле — это персональные данные.

Контактная информация. Домашний адрес, телефон, электронная почта. Даже личный номер телефона, записанный HR-специалистом «на всякий случай», подпадает под 152-ФЗ.

Сведения о трудовой деятельности. Должность, подразделение, оклад, стаж, результаты аттестации, дисциплинарные взыскания. Эти данные обрабатываются на основании трудового договора, но всё равно требуют защиты.

Фотографии. Фото для пропуска, корпоративного портала, внутренней CRM. Фотография — персональные данные, а в ряде случаев (если используется для идентификации) — биометрические данные.

Биометрические данные. Отпечатки пальцев для СКУД, фото для системы распознавания лиц, образцы голоса. Биометрия — отдельная категория с повышенными требованиями к защите.

Специальные категории. Состояние здоровья (медицинские заключения при приёме, больничные листы), сведения о судимости (для отдельных должностей), расовая и национальная принадлежность, политические и религиозные убеждения. Обработка этих данных допускается только в исключительных случаях.

Ключевой принцип: если информация позволяет идентифицировать конкретного человека — это персональные данные, и на них распространяется 152-ФЗ. Табельный номер сам по себе — нет, но табельный номер в сочетании с ФИО — да.

Правовые основания для обработки: статьи 6 и 9 152-ФЗ

Обработка персональных данных без правового основания — незаконна. Статья 6 152-ФЗ содержит исчерпывающий перечень оснований, и для HR-деятельности релевантны несколько из них.

Исполнение трудового договора (п. 5 ч. 1 ст. 6). Основное основание для обработки данных сотрудников. Работодатель обрабатывает ФИО, паспортные данные, адрес, ИНН, СНИЛС, сведения об образовании и квалификации для заключения и исполнения трудового договора. Согласие работника для этого не требуется — основанием служит сам договор.

Исполнение обязанностей, возложенных законом (п. 2 ч. 1 ст. 6). Работодатель обязан передавать данные в ФНС (НДФЛ), СФР (страховые взносы, сведения о трудовой деятельности), военкоматы (воинский учёт). Для этих целей отдельное согласие также не нужно.

Согласие субъекта (ст. 9). Требуется для обработки данных, которая выходит за рамки трудового договора и законных обязанностей: размещение фото на корпоративном сайте, передача данных контрагентам для оформления ДМС, обработка данных родственников для социальных выплат, использование биометрии для СКУД.

Распространённая ошибка — получать «универсальное» согласие на обработку всех данных для всех целей. Роскомнадзор считает такое согласие ничтожным: субъект должен понимать, какие именно данные, для каких целей и кому он разрешает обрабатывать. Согласие должно быть конкретным, информированным и сознательным.

Три категории персональных данных и уровни защиты

152-ФЗ и подзаконные акты (в частности, Постановление Правительства № 1119) разделяют персональные данные на категории, для каждой из которых установлен свой уровень защищённости.

Общие (иные) персональные данные. ФИО, дата рождения, адрес, телефон, образование, профессия, место работы. Это основной массив данных, с которым работает HR. Требования к защите — базовые, но обязательные: ограничение доступа, учёт операций, организационные и технические меры.

Специальные категории. Состояние здоровья, сведения о судимости, расовая и национальная принадлежность, политические взгляды, религиозные убеждения, интимная жизнь. В HR-контексте чаще всего встречаются медицинские данные (результаты предварительных и периодических медосмотров, справки о нетрудоспособности) и сведения о судимости (для педагогов, сотрудников правоохранительных органов, транспорта). Обработка допускается только при наличии оснований, прямо предусмотренных ст. 10 152-ФЗ.

Биометрические данные. Физиологические и биологические характеристики, используемые для идентификации: отпечатки пальцев, изображение лица, рисунок радужной оболочки. Статья 11 152-ФЗ требует письменного согласия на обработку биометрии, за исключением случаев, связанных с обороной, безопасностью и правосудием. Если компания использует систему контроля доступа на основе отпечатков пальцев — каждый сотрудник подписывает отдельное согласие на обработку биометрических данных.

Категория определяет уровень защищённости информационной системы (УЗ-1 — максимальный, УЗ-4 — минимальный) и набор технических мер. Для большинства HR-систем, обрабатывающих общие данные до 100 000 субъектов, достаточно УЗ-3 или УЗ-4. Но если система хранит медицинские заключения — требуется УЗ-2, а это другие средства защиты и другие затраты.

Согласие на обработку: требования и форма

Статья 9 152-ФЗ устанавливает требования к согласию. Оно должно быть конкретным, информированным, сознательным и может быть отозвано субъектом в любое время.

Обязательные реквизиты письменного согласия (ч. 4 ст. 9):

• ФИО, адрес субъекта, реквизиты документа, удостоверяющего личность;
• наименование и адрес оператора, получающего согласие;
• цель обработки персональных данных;
• перечень персональных данных, на обработку которых даётся согласие;
• перечень действий с персональными данными, на совершение которых даётся согласие;
• срок действия согласия и способ его отзыва;
• подпись субъекта.

На практике это означает: одно согласие — одна цель. Нельзя в одном документе совместить согласие на размещение фото на сайте, передачу данных страховой компании и обработку биометрии для СКУД. Каждая цель — отдельное согласие с отдельным перечнем данных.

Для обработки данных в рамках трудового договора — передачи в ФНС, СФР, ведения кадрового учёта — согласие не нужно. Но если HR-отдел передаёт данные сотрудников в страховую для ДМС, в банк для зарплатного проекта, провайдеру корпоративного обучения — на каждую передачу нужно отдельное основание: либо согласие, либо прямое указание закона.

Обязанности оператора персональных данных

Каждый работодатель — оператор персональных данных. 152-ФЗ возлагает на оператора ряд обязанностей, невыполнение которых является самостоятельным основанием для штрафа.

Политика обработки персональных данных. Оператор обязан разработать и опубликовать документ, определяющий политику в отношении обработки персональных данных. Политика должна быть доступна неограниченному кругу лиц — как минимум размещена на сайте компании. Документ описывает цели обработки, категории данных, правовые основания, меры защиты, порядок реализации прав субъектов.

Уведомление Роскомнадзора. До начала обработки персональных данных оператор обязан направить уведомление в Роскомнадзор (ст. 22 152-ФЗ). Исключение — обработка исключительно в рамках трудового законодательства, но на практике HR-отдел почти всегда обрабатывает данные и для целей, выходящих за эти рамки (ДМС, зарплатный проект, обучение у внешних провайдеров). Поэтому подавляющее большинство работодателей обязаны подать уведомление. Это делается один раз, через портал Роскомнадзора, но при изменении целей или категорий данных необходимо подать обновление.

Назначение ответственного лица. Оператор назначает лицо, ответственное за организацию обработки персональных данных. В крупных компаниях это отдельная позиция (DPO — Data Protection Officer), в средних — часто совмещение: юрист, HR-директор или специалист по информационной безопасности.

Внутренние документы. Помимо политики, оператор обязан утвердить: приказ о назначении ответственного, перечень лиц, допущенных к обработке, перечень информационных систем, модель угроз безопасности, регламент реагирования на инциденты. Формально звучит громоздко, но без этих документов проверка Роскомнадзора заканчивается штрафом.

Оценка вреда субъекту. С 2022 года оператор обязан проводить оценку вреда, который может быть причинён субъекту при нарушении 152-ФЗ. Результаты оценки фиксируются документально и учитываются при определении мер защиты.

Хранение и технические меры защиты

Персональные данные должны храниться в форме, позволяющей определить субъекта, не дольше, чем этого требуют цели обработки. Закон не диктует конкретные технические решения, но устанавливает принципы, а подзаконные акты — уровни защищённости.

Ограничение доступа. Доступ к персональным данным — только у сотрудников, которым он необходим для выполнения служебных обязанностей. HR-специалист видит данные своего подразделения, руководитель — своей команды, бухгалтер — данные для расчёта зарплаты. Никаких общих папок на сетевом диске с паспортами всех сотрудников.

Разграничение прав. Информационные системы должны поддерживать ролевую модель доступа: кто может просматривать, кто — редактировать, кто — выгружать. Журнал действий фиксирует каждое обращение к данным. Современные HR-платформы реализуют это через настраиваемые роли и права, что критически важно для compliance.

Шифрование. Данные в состоянии покоя и при передаче должны быть защищены криптографическими средствами. Для УЗ-3 и выше — сертифицированные средства криптографической защиты информации (СКЗИ).

Резервное копирование. Регулярное создание резервных копий с тем же уровнем защиты, что и у оригинала. Бэкап на незашифрованном внешнем диске — нарушение.

Локализация данных. Статья 18 152-ФЗ требует, чтобы при сборе персональных данных граждан РФ запись, систематизация, накопление, хранение и обновление осуществлялись с использованием баз данных, расположенных на территории России. Это не запрещает трансграничную передачу, но первичная база должна быть в РФ. Для компаний, выбирающих облачные HR-системы, это означает: дата-центр провайдера — в России.

Права работников как субъектов персональных данных

Сотрудник — субъект персональных данных, и 152-ФЗ наделяет его конкретными правами, которые работодатель обязан обеспечить.

Право на доступ (ст. 14). Работник вправе получить информацию о том, какие его данные обрабатываются, с какой целью, кому передаются. Работодатель обязан предоставить ответ в течение 10 рабочих дней (с 2025 года — в более короткие сроки по отдельным категориям запросов).

Право на уточнение. Если данные неактуальны или неточны, субъект вправе потребовать их обновления. Сменил адрес, фамилию, паспорт — работодатель обязан внести изменения незамедлительно.

Право на отзыв согласия. Субъект может отозвать согласие на обработку в любое время. После отзыва оператор обязан прекратить обработку и уничтожить данные в течение 30 дней — если нет иного правового основания для их хранения. Например, если сотрудник отзывает согласие на размещение фото на сайте — фото удаляется, но его кадровые данные продолжают обрабатываться на основании трудового договора.

Право на удаление. После увольнения и истечения обязательных сроков хранения работник вправе потребовать уничтожения всех его данных. На практике это сложно реализовать, если данные разбросаны по десяткам систем и файлов, — ещё один аргумент в пользу централизованной HR-платформы.

Организовать реализацию прав субъектов проще, когда данные о сотрудниках собраны в единой системе с журналом операций. Аналитический модуль позволяет отслеживать, какие данные обрабатываются, в каких процессах и на каком основании.

Передача персональных данных третьим лицам

Передача данных — одна из самых частых точек нарушения. HR-отдел регулярно передаёт данные сотрудников: в банк (зарплатный проект), страховую (ДМС), провайдерам обучения, аутсорсинговым бухгалтериям, контрагентам (для оформления пропусков на объекты клиента).

Для каждой передачи необходимо правовое основание: согласие субъекта, требование закона или договор, стороной которого является субъект. Кроме того, необходимо заключить с получателем данных поручение на обработку (ч. 3 ст. 6 152-ФЗ), определяющее перечень данных, цели обработки, обязанности по защите и ответственность.

Трансграничная передача. Если данные передаются в другую страну (например, головной офис за рубежом использует глобальную HR-систему), применяются требования ст. 12 152-ФЗ: страна-получатель должна обеспечивать адекватный уровень защиты. Перечень таких стран определяется Роскомнадзором. При передаче в страну, не обеспечивающую адекватную защиту, требуется письменное согласие субъекта.

При переходе на электронный кадровый документооборот (КЭДО) вопрос передачи данных провайдеру платформы решается через поручение на обработку — это стандартная практика для всех облачных сервисов.

Сроки хранения и уничтожение данных

152-ФЗ устанавливает принцип: персональные данные хранятся не дольше, чем этого требуют цели обработки. Для HR это означает целый спектр сроков, определённых разными нормативными актами.

В период трудовых отношений. Все данные, необходимые для исполнения трудового договора, хранятся на протяжении всего срока его действия.

После увольнения. Личная карточка (Т-2), трудовой договор, приказы о приёме и увольнении — 50 лет (для документов, созданных после 2003 года) или 75 лет (для более ранних), согласно Приказу Росархива № 236. Документы по начислению заработной платы — 6 лет. Табели учёта рабочего времени — 5 лет (50 лет при вредных условиях). Графики отпусков — 3 года. Документы о командировках — 5 лет.

Согласия на обработку. Хранятся в течение срока действия согласия плюс 3 года после его отзыва или прекращения обработки (для подтверждения законности обработки в случае проверки).

Уничтожение. По истечении срока хранения оператор обязан уничтожить данные в течение 30 дней. Уничтожение оформляется актом с указанием перечня уничтоженных данных, способа уничтожения и даты. Бумажные документы — шредер, электронные — гарантированное удаление с невозможностью восстановления.

Типичная ошибка — хранить «на всякий случай» всё и всегда. Роскомнадзор расценивает хранение данных сверх установленных сроков как нарушение: раз цель обработки достигнута — данные подлежат уничтожению.

Штрафы: что изменилось с 2024 года

До 2024 года штрафы по 152-ФЗ были относительно мягкими — до 100 000 ₽ для юридических лиц. Федеральный закон № 420-ФЗ от 12.12.2023 радикально ужесточил ответственность.

Обработка без правового основания или с нарушением требований. Штраф для юридических лиц — от 300 000 до 700 000 ₽ (первичное нарушение). При повторном — от 1 млн до 1,5 млн ₽.

Утечка персональных данных. Новый состав, введённый в 2024 году. Штраф зависит от количества пострадавших субъектов: от 3 до 5 млн ₽ при утечке данных 1 000–10 000 человек, от 5 до 10 млн ₽ — при 10 000–100 000 человек, до 15 млн ₽ — свыше 100 000 человек. При повторной утечке — оборотный штраф от 1 % до 3 % выручки за предшествующий год, но не менее 20 млн ₽ и не более 500 млн ₽.

Непредоставление ответа субъекту. Штраф от 40 000 до 80 000 ₽ для юридических лиц. Кажется незначительным — до первой массовой жалобы.

Необеспечение локализации данных в РФ. От 1 до 6 млн ₽ при первичном нарушении, от 6 до 18 млн ₽ при повторном.

Суммарная экспозиция крупного работодателя, нарушающего несколько требований одновременно, легко достигает десятков миллионов рублей. Для компании с распределённой командой и десятками HR-процессов обеспечение безопасности данных — не факультатив, а базовое требование.

Как HR-tech платформы обеспечивают соответствие 152-ФЗ

Ручное соблюдение 152-ФЗ возможно, но масштабируется плохо. Чем больше сотрудников, процессов и систем — тем выше вероятность пробелов. Современные HR-платформы закрывают ключевые требования закона на уровне архитектуры.

Ролевая модель доступа. Каждый пользователь видит только те данные, которые необходимы для его роли. HR-специалист — кадровые данные, руководитель — результаты оценки своей команды, бухгалтер — расчётные сведения. Настройка прав занимает минуты, а не дни согласований.

Журналирование. Каждое действие с персональными данными фиксируется: кто, когда, какие данные просматривал, редактировал, выгружал. При проверке Роскомнадзора журнал доступа — доказательство контроля.

Шифрование и локализация. Данные шифруются при хранении и передаче. Серверы — на территории РФ. Соответствие требованиям локализации подтверждается документально.

Управление согласиями. Платформа хранит электронные согласия с фиксацией даты, версии и содержания. При отзыве согласия система блокирует обработку соответствующих данных.

Автоматическое уничтожение. Настраиваемые политики ретенции: по истечении срока хранения данные удаляются автоматически с формированием акта уничтожения.

Управление поручениями на обработку. Передача данных третьим лицам фиксируется: кому, какие данные, на каком основании, до какого срока. При расторжении договора с контрагентом — автоматическое уведомление о необходимости уничтожения данных.

Цифровая трансформация HR неизбежно включает централизацию данных — и это одновременно повышает и удобство, и защищённость. Разрозненные Excel-файлы невозможно контролировать, единая платформа — можно.

Чек-лист соответствия 152-ФЗ для HR

Ниже — перечень действий, которые должен выполнить каждый работодатель. Используйте как инструмент самопроверки.

Документы и регламенты:

• Разработана и опубликована на сайте Политика обработки персональных данных.
• Направлено уведомление в Роскомнадзор (или подтверждено отсутствие такой обязанности).
• Назначено ответственное лицо за организацию обработки (приказ).
• Утверждён перечень лиц, допущенных к обработке персональных данных.
• Составлен перечень информационных систем, обрабатывающих персональные данные.
• Разработана модель угроз безопасности.
• Определён уровень защищённости для каждой информационной системы.
• Утверждён регламент реагирования на инциденты (утечки, несанкционированный доступ).

Согласия и основания:

• Для каждой цели обработки определено правовое основание.
• Согласия оформлены с указанием конкретных целей, перечня данных и действий.
• Отдельные согласия получены для биометрических и специальных категорий данных.
• Согласия хранятся в доступном для проверки виде.

Технические меры:

• Реализована ролевая модель доступа к данным.
• Данные шифруются при хранении и передаче.
• Ведётся журнал действий с персональными данными.
• Базы данных расположены на территории РФ.
• Настроено регулярное резервное копирование с защитой.

Права субъектов:

• Определён порядок реагирования на запросы субъектов (доступ, уточнение, удаление).
• Обеспечена возможность отзыва согласия с прекращением обработки в 30-дневный срок.
• Работники проинформированы о своих правах.

Передача и уничтожение:

• С каждым получателем данных заключено поручение на обработку.
• Определены сроки хранения для каждой категории документов.
• Настроен процесс уничтожения данных по истечении сроков хранения (с оформлением актов).

Регулярный аудит по этому чек-листу — раз в полгода — позволяет выявлять пробелы до того, как их найдёт Роскомнадзор. Для компаний с развитой HR-аналитикой аудит compliance становится частью регулярного управленческого цикла, а не авральным мероприятием перед проверкой.

Заключение

152-ФЗ — не формальность и не бюрократическая нагрузка. Это базовое требование к любому работодателю, обрабатывающему данные хотя бы одного сотрудника. Штрафы за нарушение растут с каждым годом, а проверки Роскомнадзора становятся системными — особенно после резонансных утечек.

Начните с аудита текущего состояния: какие данные вы собираете, на каком основании, кто имеет доступ, где они хранятся и когда уничтожаются. Приведите в порядок документы — политику, согласия, перечни, приказы. Затем закройте технические требования: ограничение доступа, шифрование, журналирование.

Для компаний, которые обрабатывают данные сотен или тысяч сотрудников, ручной контроль неизбежно даёт сбои. Централизованная HR-платформа с встроенными механизмами защиты данных — не дополнительная трата, а инструмент управления рисками, который окупается при первой же предотвращённой утечке или успешно пройденной проверке.