Обработка персональных данных сотрудников - одна из самых сложных и рискованных областей применения 152-ФЗ. С 1 сентября 2025 года вступают в силу новые требования к работодателям, нарушение которых грозит штрафами до 1 миллиона рублей. В этой статье разберем, как легально обрабатывать данные сотрудников в новых условиях.
Пример из практики: Крупная торговая компания была оштрафована на 500 000 рублей за то, что не ознакомила сотрудников с положением об обработке ПДн под подпись. При этом все необходимые документы в компании были разработаны, но формальность ознакомления была проигнорирована.
Особенности обработки ПДн сотрудников:
-
Обработка осуществляется без согласия на основании трудового договора
-
Требуется отдельный локальный акт - положение об обработке ПДн сотрудников
-
Обязательное ознакомление под подпись каждого работника
-
Расширенный объем обрабатываемых данных (включая специальные категории)
-
Повышенные требования к защите
Чек-лист работодателя на 2025 год:
-
Разработать и утвердить Положение об обработке ПДн сотрудников
-
Ознакомить всех сотрудников с положением под подпись
-
Определить перечень лиц, имеющих доступ к ПДн
-
Организовать безопасное хранение кадровых документов
-
Заключить договоры с обработчиками (бухгалтерия, HR-системы)
-
Назначить ответственного за обработку ПДн
Образец структуры Положения об обработке ПДн сотрудников:
-
Общие положения
-
Перечень обрабатываемых данных
-
Цели и правовые основания обработки
-
Права и обязанности сторон
-
Меры по защите данных
-
Порядок доступа к данным
-
Заключительные положения
Важно: С 1 сентября 2025 года в положении необходимо указать конкретные сроки обработки по каждому виду персональных данных.
Таблица сроков обработки данных сотрудников
| Категория данных | Срок обработки | Правовое основание |
|---|---|---|
| Данные трудового договора | 75 лет | Архивное хранение |
| Данные для расчета налогов | 5 лет | Налоговое законодательство |
| Медицинские справки | 5 лет | Трудовое законодательство |
| Данные пропускного режима | 1 год | Внутренние регламенты |
Частые ошибки работодателей:
-
Отсутствие отдельного положения об обработке ПДн
-
Формальное ознакомление сотрудников без реального понимания
-
Неразграничение доступа к персональным данным
-
Передача данных третьим лицам без договоров
-
Необеспечение безопасности при удаленной работе
Кейс: Внедрение системы защиты ПДн в распределенной компании
Задача: Компания с 500 сотрудниками в 20 городах России needed привести процессы обработки ПДн в соответствие с новыми требованиями.
Решение:
-
Разработали типовое Положение об обработке ПДн
-
Внедрили систему электронного ознакомления сотрудников
-
Настроили разграничение прав доступа в HR-системе
-
Заключили договоры с региональными офисами
-
Провели обучение ответственных лиц
Результат: Компания успешно прошла проверку Роскомнадзора без замечаний.
FAQ по обработке ПДн сотрудников
Вопрос: Нужно ли получать согласие на обработку данных у сотрудника?
Ответ: Нет, для данных, необходимых для исполнения трудового договора, согласие не требуется. Однако для обработки данных, не связанных с трудовыми отношениями (например, для корпоративных рассылок), согласие необходимо.
Вопрос: Можно ли хранить копии паспортов сотрудников в облаке?
Ответ: Да, но только при выполнении условий:
-
Используется российское облако или сервис с локализацией в РФ
-
Заключен договор с оператором облака
-
Реализованы adequate меры защиты
Вопрос: Что делать при увольнении сотрудника?
Ответ: Персональные данные подлежат уничтожению после истечения сроков хранения, установленных законодательством. Факт уничтожения должен быть документально зафиксирован.
Наша услуга «HR-комплаенс по 152-ФЗ» включает разработку полного пакета документов для работодателей, обучение сотрудников и сопровождение при проверках.