Нужно ли согласие на обработку, если данные я обрабатываю для исполнения трудового договора?

Для исполнения трудового договора прямое согласие не требуется — основанием служит п. 5 ч. 1 ст. 6 ФЗ-152 и ст. 86 ТК РФ. Согласие нужно отдельно на действия за рамками трудового договора: передачу банку, страховщику ДМС, обработку биометрии для пропуска, размещение фото на сайте, передачу в учебный центр. На практике большинство работодателей оформляют общее согласие при приёме, перечисляя все цели с разбивкой.

Можно ли хранить копии паспортов работников?

Можно при наличии законной цели и согласия работника. Минцифры и Роскомнадзор неоднократно указывали, что массовое снятие копий паспортов «на всякий случай» — нарушение принципа минимизации. Достаточно внести реквизиты в личную карточку. Копию хранят, если она прямо требуется по закону (например, для воинского учёта) или для конкретной цели, указанной в согласии.

Что считается утечкой персональных данных для целей штрафа?

Любое неправомерное раскрытие данных третьим лицам — публикация в открытом доступе, направление по ошибочному адресу, взлом ИС, утеря флешки, доступ уволенного работника к корпоративной почте. Размер штрафа зависит от количества затронутых субъектов и категорий данных. Уведомление Роскомнадзора об инциденте в течение 24 часов смягчает санкции — за неуведомление накладывается отдельный штраф до 3 000 000 ₽.

Обязательно ли назначать ответственного за обработку персональных данных?

Да. Ст. 22.1 ФЗ-152 требует назначения ответственного приказом или иным организационно-распорядительным документом. У ответственного должны быть прописаны полномочия: контроль соблюдения, обучение работников, организация ответов на запросы субъектов, взаимодействие с Роскомнадзором. В малых организациях ответственным часто выступает руководитель кадровой службы или лично директор.

Как уничтожить персональные данные после увольнения?

Только те данные, обработка которых прекращена по основаниям ст. 21 ФЗ-152 и срок хранения которых истёк. Документы по личному составу хранятся 50 лет — их уничтожают не ранее истечения этого срока. Уничтожение оформляют актом с описью документов и носителей, бумажные дела измельчают шредером, электронные — гарантированно перезаписывают или физически разрушают носитель. Акт хранится постоянно.

Положение о персональных данных работников

Образец положения о работе с персональными данными работников 2026 — цели обработки, согласие, защита, передача третьим лицам, права работника, ст. 86-90 ТК РФ

персональные данныеФЗ-152согласиеконфиденциальность

Обновлено: 2026-02-16

Положение о работе с персональными данными работников — обязательный локальный нормативный акт, в котором работодатель закрепляет порядок сбора, хранения, использования и уничтожения сведений о персонале. Документ требует ст. 86 ТК РФ и одновременно служит исполнением обязанностей оператора по Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных».

Положение принимают приказом руководителя с учётом мнения профсоюза, если он создан, и знакомят с ним каждого работника под подпись до подписания трудового договора. Без действующего положения работодатель не вправе обрабатывать персональные данные сотрудников — даже фамилию, паспортные реквизиты и СНИЛС, необходимые для оформления приёма.

Цели обработки и состав данных

К персональным данным работника относятся любые сведения, прямо или косвенно его идентифицирующие. В кадровом учёте это типовой набор: ФИО, дата и место рождения, паспортные данные, ИНН, СНИЛС, адрес регистрации и фактического проживания, телефон, сведения об образовании и предыдущих местах работы, состав семьи, реквизиты счёта для зарплаты, данные о здоровье в части, необходимой для допуска к работе.

Цели обработки в положении формулируют исчерпывающе и без размытых «иных кадровых целей». Допустимые цели для кадров:

оформление трудовых отношений и ведение кадрового учёта;
начисление и выплата заработной платы, исчисление налогов и взносов;
формирование отчётности в СФР, ФНС, Росстат, военкоматы;
обеспечение установленных законом гарантий и компенсаций;
организация пропускного режима и охраны труда;
проведение обучения, аттестации, медосмотров;
ведение воинского учёта;
разрешение трудовых споров и подтверждение стажа.

Под каждую цель работодатель определяет правовое основание: трудовой договор, требование закона, согласие работника, защита жизненно важных интересов. Принципы минимизации (только необходимый объём) и срочности обработки закреплены ст. 5 ФЗ-152 — лишние сведения собирать нельзя даже с согласия работника.

Биометрия и спецкатегории — отдельный режим

Сведения о здоровье, расовой и национальной принадлежности, политических взглядах, религиозных убеждениях, членстве в общественных объединениях и судимости относятся к специальным категориям. Их обработка допустима лишь по основаниям ст. 10 ФЗ-152 — в том числе с письменного согласия работника. Биометрические данные (фото для пропуска, отпечатки пальцев для СКУД) обрабатывают только с письменного согласия и при условии передачи в Единую биометрическую систему по правилам ФЗ-572.

Согласие работника и его форма

Согласие на обработку оформляют в письменной форме — отдельным документом, подписанным работником собственноручно либо усиленной квалифицированной (квалифицированной неквалифицированной) электронной подписью. Минимальные реквизиты согласия закреплены ст. 9 ФЗ-152: ФИО работника, паспортные данные, наименование и адрес работодателя, цели обработки, перечень данных, перечень действий с данными, срок действия согласия, порядок отзыва, подпись.

Один шаблон «согласия на всё» — типичная ошибка. На каждую самостоятельную цель оформляют отдельное согласие либо явно перечисляют их в одном документе. Согласие на передачу данных третьим лицам (банк для зарплатного проекта, страховщик ДМС, оператор электронных трудовых книжек, провайдер ЭКДО) — отдельный пункт с указанием получателя и объёма передаваемых сведений.

Работник вправе в любой момент отозвать согласие. Работодатель обязан прекратить обработку и уничтожить данные в течение 30 дней, кроме сведений, которые он хранит по требованию закона (трудовая книжка, отчётность, налоговые регистры). После увольнения часть данных переходит в архивное хранение по срокам Приказа Росархива от 20.12.2019 № 236.

Защита данных и передача третьим лицам

Работодатель — оператор по смыслу ФЗ-152, поэтому обязан выполнять полный набор требований оператора. В положении описывают применяемые меры защиты:

назначение ответственного за организацию обработки персональных данных (приказом, с описанием полномочий);
утверждение перечня лиц, допущенных к обработке, под подпись о неразглашении;
разграничение прав доступа к кадровым системам;
организационно-технические меры: парольная защита, шифрование при передаче по открытым каналам, антивирус, резервное копирование;
порядок реагирования на инциденты — уведомление Роскомнадзора в течение 24 часов о факте инцидента и в течение 72 часов о результатах расследования (требование ФЗ-152 в редакции с 30.05.2025);
проведение оценки вреда субъектам и периодический аудит соблюдения.

Передача данных третьим лицам без согласия работника допускается только по основаниям закона: в СФР, ФНС, военкомат, суд, правоохранительные органы по их запросу. Передача в банк для перечисления зарплаты, в страховую компанию по полису ДМС, в учебный центр для обучения — только с согласия работника либо при заключённом договоре поручения на обработку по ст. 6 ФЗ-152, где работодатель остаётся ответственным за действия поручателя.

Уведомление в Роскомнадзор обязательно

До начала обработки персональных данных работодатель подаёт уведомление в Роскомнадзор по форме, утверждённой Приказом РКН от 24.02.2021 № 18. С 01.09.2022 исключений для работодателей-операторов фактически нет — даже обработка данных собственных работников требует уведомления. Подача — через портал персданных или Госуслуги, госпошлины нет.

Права работника и ответственность работодателя

Работник имеет право знать, кто и в каких целях обрабатывает его данные, получать копии своих данных, требовать уточнения неточных сведений, блокирования или уничтожения данных при отзыве согласия, обжаловать действия работодателя в Роскомнадзор и суд. Запрос работника о составе данных и целях обработки рассматривают не позднее десяти рабочих дней с возможностью продления ещё на пять рабочих дней.

Работодатель не вправе принимать решения, затрагивающие интересы работника, исключительно на основании автоматизированной обработки (ст. 86 ТК РФ). Любое автоматическое решение — отказ в приёме, понижение, увольнение — требует подтверждения уполномоченным должностным лицом.

С 30 мая 2025 года штрафы по ст. 13.11 КоАП РФ ужесточены. На 2026 год действуют такие санкции для юрлиц:

обработка без согласия — от 300 000 до 700 000 ₽, при повторе — от 1 000 000 до 1 500 000 ₽;
неуведомление об инциденте — от 1 000 000 до 3 000 000 ₽;
утечка данных от 1 до 10 тысяч субъектов — от 5 000 000 до 10 000 000 ₽;
утечка свыше 100 тысяч субъектов или специальных категорий — от 15 000 000 до 18 000 000 ₽;
невыполнение обязанности по локализации баз данных в РФ — от 1 000 000 до 6 000 000 ₽, при повторе — от 6 000 000 до 18 000 000 ₽.

Дисциплинарная ответственность работников за разглашение персональных данных коллег — отдельный сюжет: см. Навигатор по дисциплинарным взысканиям. Связь положения с трудовым договором — на странице Трудовой договор: образец 2026, оформление приёма — в Приказе о приёме на работу.

После увольнения часть данных хранят по нормативным срокам: трудовой договор и приказы по личному составу — 50 лет (для документов после 2003 года) или 75 лет (до 2003), личная карточка — 50/75 лет, документы о начислении зарплаты — 5 или 50/75 лет в зависимости от наличия лицевых счетов. По истечении срока документы уничтожают по акту, электронные базы — гарантированной перезаписью, бумажные — измельчением.