В статье рассказали, как по новым правилам работать с персданными, чтобы не допустить их утечку и избежать ответственности.
В компании должны быть локальные акты по обработке персданных и ответственные лица, например, кадровики. Собирать и хранить сведения о сотрудниках можно только на законных основаниях. Для защиты данных от утечки в компании организуют специальные условия для хранения бумажных документов и электронных баз данных.
Оглавление
С 30 мая 2025 года выросли штрафы за нарушение правил работы с персональными данными. Теперь за нарушение правил обработки персданных компания может заплатить до 500 млн ₽. Для директоров установили уголовную ответственность, а в отношении сотрудников появились первые уголовные дела за разглашение персданных.
Рассмотрим, как в компании работать с персданными, чтобы не нарушать закон. В конце статьи — таблица со всеми актуальными штрафами.
Уведомлять Роскомнадзор о работе с персданными
Прежде чем начать работу с персданными, компания должна уведомить Роскомнадзор. Ведомство внесет организацию в Реестр операторов персданных. Еще нужно разработать локальные акты и назначить ответственного. После этого можно получать, передавать, хранить и уничтожать персданные.
Обязанность уведомлять РКН была и раньше, но сейчас за неисполнение добавили отдельный штраф:
— до 50 000 ₽ ответственному за обработку персданных;
— до 300 000 ₽ — юрлицу.
Компания должна сообщить о себе как об операторе персональных данных, даже если работает только с данными сотрудников (ст. 22.2 Закона от 27.07.2006 № 152-ФЗ). Чтобы проверить, выполнила ли компания данное требование, нужно найти ее в Реестре операторов персданных pd.rkn.gov.ru. Если организацию там не нашли, направьте в Роскомнадзор уведомление по форме из приложения № 1 к приказу Роскомнадзора от 28.10.2022 № 180. Скорректировать сведения о юрлице в Реестре можно по форме из приложения № 2 к приказу. Заполненные образцы этих уведомлений есть на сайте ведомства.
Как работать с персданными самозанятых, читайте в статье.
Обрабатывать персданные только на законных основаниях
Работодатель вправе обрабатывать данные о сотруднике только в целях, которые определяет закон. Поэтому для каждого случая обработки нужно найти подходящее правовое основание. В трудовых отношениях персданные обычно обрабатывают на основании:
— ТК, бухгалтерского, налогового и социального законодательства;
— трудового договора и других соглашений, по которым сотрудник является стороной или выгодоприобретателем;
— согласия сотрудника на обработку персданных.
Персданные, которые можно обрабатывать, чтобы выполнить требования закона:
фамилия, имя, отчество;
дата рождения;
семейное положение;
пол;
адрес места жительства;
СНИЛС;
ИНН;
гражданство;
данные документа, удостоверяющего личность;
должность;
сведения о трудовой деятельности, в том числе стаж работы, данные о трудовой занятости на текущее время;
отношение к воинской обязанности, сведения о воинском учете;
сведения об образовании;
сведения о здоровье, если это необходимо для выполнения работы.
Если нет реальной необходимости, нельзя собирать и хранить данные «на всякий случай». Закон запрещает хранить копии личных документов, которые сотрудники предоставляют при трудоустройстве. Если такие копии потребовались для конкретной цели — например, чтобы оформить сотруднику ЭЦП — их нужно уничтожить сразу после использования.
Персданные из документов сотрудника
Работодатель получает персданные сотрудника при его трудоустройстве и во время работы. При приеме на работу кадровик берет персданные из документов, которые предоставил сотрудник: из паспорта, военного билета, трудовой книжки, СНИЛС. Во время работы в компании персональные данные получают из его личной карточки по форме № Т-2, трудового договора, приказов (ст. 65, ст. 86 ТК). Письменное согласие сотрудника на обработку таких данных не нужно. Компания обрабатываете сведения, чтобы исполнить свои обязательства по трудовому договору и соблюсти требования законодательства (ст. 6 Закона от 27.07.2006 № 152-ФЗ, ст. 86, 88 ТК).
Кадровик не должен копировать личные документы сотрудника и хранить копии. Эти данные собирают и обрабатывают только для того, чтобы оформить трудовые отношения, предоставить льготы или направить данные в госорганы, например в военкомат. Работник только показывает оригиналы документов, а кадровик проверяет их, вносит данные в трудовой договор, личную карточку, форму № 10 для военнообязанных. Затем возвращает документы сотруднику.
Персданные по письменному согласию
С 1 сентября 2025 года изменились требования к согласию на обработку персональных данных. Теперь любое согласие нужно оформлять отдельно от других документов, которые подписывает работник. Нельзя включать согласие в текст трудового договора, соглашения или других кадровых документов, объединять несколько разных согласий в одно (ст. 9 Закона от 27.07.2006 № 152-ФЗ).
Еще одно требование: согласие сотрудника на обработку должно быть конкретным, информированным, сознательным, предметным и однозначным. Это значит, что в нем нужно указать:
— конкретную цель обработки;
— перечень данных, которые обрабатывает компания;
— чьи персданные обрабатывают и кто выступает оператором обработки.
Если компания собирает биометрические персональные данные сотрудников, например, для пропуска на территорию, — их нужно включить в согласие. В противном случае придется составлять отдельное согласие на обработку биометрии.
Обратите внимание, что речь только о согласии на обработку данных. Если необходимо передавать или раскрывать персданные, придется разрабатывать специальное согласие.
Защищать данные от утечек
Как сказали в начале, максимальные штрафы теперь грозят за утечку персданных. Размеры будут зависеть от того, данные скольких субъектов утрачены. Минимальный штраф для юрлица — 3 млн ₽, максимальный — 500 млн ₽.
Чтобы защитить данные от утечки, нужны специальные условия хранения — для бумажных и электронных сведений. Порядок хранения персональных данных и требования к местам хранения закрепляют в локальном акте. Перечень мест, где хранят персональные данные, утверждают приказом.
Персданные на физических носителях
Бумажные документы с персданными нужно хранить в сейфах, металлических шкафах или специальных помещениях. Документы воинского учета хранят только в металлических шкафах — это требование Минобороны.
Отдельно друг от друга нужно хранить персданные, которые обрабатывают в разных целях. Например, данные для оформления льгот содержат отдельно от документов по личной безопасности сотрудников.
В помещение, где хранятся персданные, должен быть специальный режим доступа. Работодатель утверждает перечень лиц, которые обрабатывают персданные и имеют доступ к документам. Каждый из таких сотрудников подписывает обязательство о неразглашении персданных.
Требований к охране помещения нет — работодатель решает сам, каким способом охранять кабинет с персданными. Это может быть доступ по пропускам, сигнализация, металлические самозакрывающиеся двери.
Персданные в электронном виде
Персональные данные сотрудников можно хранить только на российских серверах (п. 5 ст. 18 Закона от 27.07.2006 № 152-ФЗ). Электронные документы с персданными размещают на сервере оператора или в электронных архивах: в облаке или других дата-центрах, где есть резервное копирование файлов.
Запрещено хранить электронные копии личных документов сотрудников. Роскомнадзор оштрафует компанию за сканы паспортов, ИНН и военных билетов.
Доступ к электронной базе персданных должны иметь только сотрудники с правом обрабатывать персональные данные. Каждый из них заходит в базу с помощью личного логина и пароля. Программа базы данных должны сохранять информацию о том, кто и когда обрабатывал персданные.
Если избежать утечки данных не удалось, компания должна уведомить Роскомнадзор в течение 24 часов. Если этого не сделать — снова штраф: до 800 000 ₽ на ответственного и до 3 млн ₽ на компанию. В течение 72 часов нужно отчитаться о результатах внутреннего расследования по факту утечки.
При повторной утечке Роскомнадзор может снизить штраф. Для этого нужно выполнить три условия:
Инвестиции компании в информационную безопасность на протяжении трех лет должны составлять не менее 0,1% от выручки. Мероприятия по обеспечению информационной безопасности должна проводить организация с лицензией на деятельность по технической защите конфиденциальной информации или криптографии.
Компания должна соблюдать все требования к защите данных.
У компании не должно быть штрафов за другие нарушения с персданными, кроме первой утечки. Это условие должно выполняться в течение года до повторной утечки.
Ответственность за нарушение работы с персданными
Популярное по теме за месяц
Самозанятость в цифрах: статистика, тренды и прогнозы на второе полугодие 2025 года
Нужно ли вести воинский учет исполнителей
Иностранные мессенджеры под запретом: как бизнесу легально общаться с клиентами
