Хранение и обработка персональных данных сотрудников: руководство для работодателя

Любой работодатель получает личные данные, когда оформляет сотрудника на работу. Однако не все знают, какие именно сведения относятся к персональным данным и в каких случаях нужно брать согласие на их использование. В статье рассказали, какие правила работы с персональными данными (ПДн) существуют и как избежать штрафов за их нарушение.

Содержание:

Что закон считает персональными данными сотрудника

Законодательная база: на что опираться в работе с персональными данными

Изменения в законодательстве 2025 года

Построение системы работы с ПДн в компании: чек-лист

Согласие на обработку ПДн: ключевой документ

Жизненный цикл данных: от соискателя до уволенного сотрудника

Порядок уничтожения данных

Хранение и защита данных: как избежать утечек

Ответственность и штрафы за нарушения

Типичные ошибки, которые приводят к штрафам

Что закон считает персональными данными сотрудника

Основные документы, которые регулируют хранение и обработку персональных данных, — это Конституция РФ (ст. 24) и Федеральный закон от 27.07.2006 №152-ФЗ.

В этом разделе мы определим сам предмет разговора: что такое персональные данные (ПДн), какие они бывают и где проходит грань между личной информацией и общедоступной.

Основные понятия: ПДн и оператор

В ст. 3 Федерального закона №152-ФЗ дано общее определение персональных данных. Это любая информация, которая относится к физическому лицу и позволяет его идентифицировать.

Например, только Ф. И. О. персональными данными не являются — они могут совпадать у разных людей, и определить по ним, что речь идёт о конкретном человеке, сложно. Но если к фамилии и имени добавляется также адрес, номер телефона или даже ник в соцсетях, это уже будет являться персональными данными, так как по ним можно идентифицировать конкретного человека.

К персональным данным, например, относятся:

• фамилия, имя, отчество — в связке с email, номером телефона или паспортными данными;
• дата и место рождения — в связке с Ф. И. О.;
• адрес проживания, номер телефона, email;
• паспортные данные, ИНН, СНИЛС;
• фотографии;
• информация о семейном положении, образовании, профессии, доходах.

Согласно закону №152-ФЗ оператором персональных данных могут быть государственные или муниципальные органы, юридические или физические лица, которые осуществляют обработку персональных данных — самостоятельно или совместно с кем-либо.

Например, оператором персональных данных являются:

• Работодатели: обрабатывают персональные данные сотрудников (например, Ф. И. О., паспортные данные, сведения о заработной плате), данные контрагентов и родственников сотрудников. При этом количество сотрудников значения не имеет — каждый работодатель, даже ИП с одним сотрудником, автоматически становится оператором ПДн и несёт ответственность за хранение и обработку.
• Интернет-магазины: собирают данные клиентов для оформления заказов и доставки.
• Медицинские учреждения: хранят информацию о пациентах.
• Образовательные организации: обрабатывают данные студентов и преподавателей.

Категории персональных данных

Согласно закону №152-ФЗ и Постановлению Правительства от 1 ноября 2012 года №1119, категории персональных данных — это группы персональных данных с разными требованиями к уровню их защищённости, распространению, хранению и уничтожению.

Существует четыре категории ПДн:

• общедоступные (разрешённые для распространения);
• специальные;
• биометрические;
• иные.

Понимание этих категорий помогает избежать ошибок в работе с персональными данными, за которые можно получить штраф, — например, запроса лишней информации.

Общедоступные (разрешённые для распространения) данные

Это базовые сведения о человеке: его контактные данные, СНИЛС, ИНН, адрес, дата рождения. Доступ к ним может быть у неограниченного круга лиц при согласии субъекта персональных данных. Часто общие данные есть в открытых источниках, если человек дал согласие на их размещение.

Если гражданин не согласен с тем, что информация о нём общедоступна, он имеет право потребовать удалить её из источника — для этого нужно подать заявление оператору ПДн. Кроме того, удалить данные могут по решению государственного органа или суда.

С 1 марта 2021 года вместо общедоступных данных появилось понятие «персональные данные, разрешённые субъектом персональных данных для распространения». Это сведения, к которым человек предоставил доступ неограниченному кругу лиц. Иными словами, он дал согласие на обработку и распространение этих ПДн (ст. 3 №152-ФЗ).

Специальные данные

Категории специальных данных указаны в ст. 10 №152-ФЗ.

К ним относятся:

• сведения о состоянии здоровья физического лица;
• гендерная и расовая принадлежность;
• сведения интимного характера, включая сексуальную ориентацию и всё, что касается половой жизни;
• политические взгляды;
• религиозные убеждения;
• философские воззрения.

Такие сведения можно собирать только в исключительных случаях. Например, компания не вправе запрашивать у сотрудников сведения о состоянии здоровья, но может получить эти данные в результате медосмотра.

Для обработки специальных категорий персональных данных требуется выполнение одного из условий:

• получение письменного согласия на обработку персональных данных;
• использование сведений, опубликованных в общедоступных источниках самим гражданином;
• вступление в силу международных договорённостей;
• выполнение действий в рамках судебного производства или по решению суда;
• возникновение риска для жизни и здоровья субъекта либо окружающих людей;
• обработка информации в рамках деятельности общественной либо религиозной организации.

Биометрические данные

Это информация о физиологических и биологических особенностях человека, на основании которой можно идентифицировать человека. Например, отпечатки пальцев, рисунок радужной оболочки глаз, образцы голоса, ДНК.

Фотографии тоже могут относиться к биометрическим данным, если они используются для установления личности. То есть фото на пропуске не будет являться биометрическими данными, а вот фото для системы распознавания лиц — уже биометрия, требующая письменного согласия. Согласно п. 6 Постановлению Правительства России от 04.03.2010 №125, цветная фотография владельца паспорта также является биометрическими персональными данными владельца такого документа.

Для использования биометрических данных обязательно нужно получать письменное согласие владельцев. Документ не требуется, только если речь идёт об использовании данных в целях обеспечения государственной безопасности, работы госструктур, а также осуществлении правоохранительной деятельности.

При работе с биометрическими данными оператор должен учитывать ограничение по условиям обработки — данные разрешено собирать, дополнять, хранить только до тех пор, пока не достигнута цель обработки или не прошёл срок, который прописан в разрешении.

Иные ПНд

В законодательстве нет чёткого определения, какие сведения могут быть отнесены к этой группе. Указано только, что речь идёт о ПДн, которые не относятся к предыдущим категориям.

Например, это электронная почта или геолокация, информация о принадлежности к определённой социальной группе, стаж работы.

Что конкретно входит в состав ПДн работника

В состав персональных данных работника входят любые сведения, которые прямо или косвенно относятся к конкретному человеку. При этом должны быть два обязательных условия:

• Такая информация даёт возможность бесспорно идентифицировать их обладателя.
• Эти данные будут нужны для трудовой деятельности.

Некоторые виды персональных данных работника:

• Общие: Ф. И. О., ИНН, СНИЛС, дата рождения, образование, номер телефона, адрес проживания, электронная почта, семейное положение, информация о детях, данные о воинской обязанности.
• Специальные: информация о состоянии здоровья, наличии судимости. Их можно получать лишь при оформлении согласия работника в письменном виде.
• Биометрические: личные фотографии, цвет и структура радужки глаз, отпечатки пальцев. Также требуют наличия согласия персонала.
• Иные: сведения о заработной плате, предыдущем месте профессиональной деятельности, трудовом стаже, а также любые данные из документов (трудовой договор, тесты, резюме, трудовая книжка, свидетельства о повышении квалификации, рабочий пропуск).

Законодательная база: на что опираться в работе с персональными данными

Есть несколько ключевых документов, которые должен знать каждый специалист отдела кадров и руководитель, чтобы избежать проблем при работе с персональными данными.

• №152-ФЗ «О персональных данных». Это основной документ, который устанавливает общие правила и порядок обработки персональных данных, а также права и обязанности операторов в России.
• Глава 14 Трудового кодекса РФ. Она конкретизирует требования по работе с персональными данными для работодателей: хранение, использование и передача данных, обеспечение защиты, ответственность за нарушения.
• Постановления Правительства и приказы Роскомнадзора. Существуют подзаконные акты, которые детализируют требования закона. Например, устанавливают требования к защите данных или утверждают формы уведомлений.

Изменения в законодательстве в 2025 году

В 2025 году введено достаточно много изменений в законодательство, которое регулирует работу с персональными данными.

Оформление отдельного согласия. Сейчас оператор может получить согласие на обработку ПДн в любой форме. Например, указав его в договоре или встроив в пользовательское соглашение на сайте. Однако с 1 сентября 2025 года согласие на обработку ПДн нужно будет оформлять в виде отдельного документа.

Важно: согласия, которые были получены до 1 сентября 2025 года, продолжат действовать — переоформлять их не нужно.

Увеличение штрафов за нарушения. С 30 мая 2025 года вырос размер штрафов за нарушения в области обработки персональных данных.

• При утечке данных от 1000 до 10 000 человек: для индивидуальных предпринимателей и компаний — от 3 до 5 млн рублей.
• При утечке данных от 10 000 до 100 000 человек: для ИП и компаний — от 10 до 15 млн рублей.
• За утечку специальных категорий данных (например, биометрических) — до 15 млн рублей.
• За несвоевременное уведомление Роскомнадзора об утечке — до 3 млн рублей.

Введены новые составы правонарушений:

• непредставление уведомления о намерении обрабатывать персональные данные;
• несоблюдение требований к локализации персональных данных;
• несвоевременное уведомление об утечке персональных данных;
• действия или бездействие, повлёкшие утечку ПДн.

Ужесточение требований к локализации данных. С 1 июля 2025 года вступили в силу изменения в законе №152-ФЗ, которые уточняют требования к локализации: операторы обязаны обеспечивать запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории России. Исключения из этого правила ограничены и строго определены законом.

Трансграничная передача данных. Это передача данных на территорию иностранного государства органу власти этого государства, иностранному физическому или юридическому лицу (п. 11 ст. 3 №152-ФЗ). Например, к трансграничной передаче данных относится использование Google Analytics и других зарубежных сервисов веб-аналитики, так как сведения о пользователях в этом случае могут обрабатываться на серверах за пределами России.

Чтобы использовать эти сервисы, нужно уведомить Роскомнадзор и добавить информацию о трансграничной передаче данных в локальные документы. Уведомление можно подать через Портал персональных данных Роскомнадзора.

Пример уведомления Роскомнадзора о намерении осуществлять трансграничную передачу данных

Расширение случаев обработки данных без согласия. С 1 сентября 2025 года №519-ФЗ расширяет перечень случаев, когда обработка персональных данных возможна без согласия субъекта: это случаи, предусмотренные уголовно-процессуальным законодательством.

Новые требования к обработке биометрических данных. С 30 мая 2025 года введены дополнительные требования к обработке биометрических персональных данных:

• Компании не могут проводить идентификацию физлиц на основе биометрических данных без аккредитации. Получить аккредитацию могут организации, соответствующие требованиям ч. 2 ст. 17 Федерального закона от 29.12.2022 №572-ФЗ, а также госорганы и Банк России.

Чтобы получить аккредитацию, нужно подать заявление в Минцифры. Это можно сделать двумя способами: лично или через уполномоченных сотрудников (ФГУП «Спецсвязь»). К заявлению необходимо приложить документы, которые подтверждают выполнение требований для аккредитации.

Пример заявления на аккредитацию для организаций

• Запрещено отказывать в обслуживании клиентам, которые не предоставили биометрические данные. Нарушение этих требований влечёт штрафы до 15 млн рублей.

Новые формы согласия на обработку данных. С 1 января 2025 года обновляются формы согласия на размещение и обработку персональных данных в Единой системе идентификации и аутентификации (ЕСИА) и биометрических персональных данных в единой биометрической системе.

В обновлённом бланке теперь доступна отметка о том, что согласие на обработку данных даёт законный представитель несовершеннолетнего.

Установлены формы согласия, представляемого на бумажном носителе или в электронном виде

Установление требований к обезличиванию данных. С 1 сентября 2025 года операторы персональных данных будут обязаны предоставлять по требованию Минцифры обезличенные сведения.

В новой редакции закона будет список нужной информации и сроки её передачи. Правительство установит новые требования и методы обезличивания ПДн, то, какие данные и в какой срок нужно передавать.

Данные будут попадать в закрытую систему, доступ к которой получат российские граждане, компании, а также государственные и муниципальные органы:

• состоящие в реестре операторов;
• не находятся под контролем иностранных компаний или лиц;
• не причастные к экстремизму и терроризму;
• с достоверными сведениями в ЕГРЮЛ.

Построение системы работы с ПДн в компании: чек-лист

Работодатель, у которого есть хотя бы один сотрудник, является оператором ПДн и обязан соблюдать требования законодательства. Рассказываем, что нужно сделать, чтобы избежать штрафов за нарушения обработки персональных данных.

1. Назначьте ответственного за организацию обработки ПДн. Он будет отвечать за сбор согласий с работников и хранение данных. Ответственного назначают приказом в свободной форме, а в его должностной инструкции прописывают обязанности по работе с ПДн.

2. Разработайте и утвердите внутренние документы. Ознакомьте сотрудников с документами под подпись — это будет доказывать, что компания выполнила свою обязанность по информированию.

Необходимы следующие документы:

• Положение о защите персональных данных работников. В законе нет чётких правил по его составлению, каждый работодатель делает это сам с учётом специфики бизнеса. В Положении должна быть информация, какие данные запрашивает работодатель и кому он имеет право их передавать, как организовано хранение и защита ПДн в компании.
• Согласие на обработку персональных данных.
• Политика обработки персональных данных сотрудников или политика конфиденциальности.

3. Подайте уведомление в Роскомнадзор. Каждый новый работодатель должен уведомить Роскомнадзор, что собирается обрабатывать или передавать персональные данные сотрудников. Подать уведомление можно в сервисе ЕСИА, для этого необходимо пройти аутентификацию на Госуслугах. Кроме того, можно направить уведомление в бумажном или электронном виде с использованием усиленной КЭП.

Если вы уже заполняли уведомление ранее, часть данных можно перенести при заполнении новой формы

Есть ряд случаев, когда уведомление подавать не нужно:

• персональные данные собираются с целью заключения договора, без последующей передачи и распространения третьим лицам, также предусматривается использование персональных данных только для исполнения договора с гражданином;
• обработка персональных данных, находящихся в открытом доступе;
• сбор фамилии, имени и отчества граждан без указания телефона, email;
• сбор персональных данных проводится с целью однократного пропуска гражданина на территорию оператора, собирающего данные, или в аналогичных случаях;
• сбор, обработка и хранение персональных данных осуществляется на бумажных носителях без использования средств автоматизации.

4. Организуйте техническую и физическую защиту данных. Бумажные документы нужно хранить в сейфах и запираемых шкафах. Для защиты электронных документов — использовать антивирусы, сложные пароли, ограничение прав доступа.

Согласие на обработку ПДн: ключевой документ

От правильности составления документа зависит, насколько законными будут действия оператора по работе с ПДн.

Когда согласие обязательно, а когда можно обойтись без него

Согласие на обработку ПДн получать не нужно, когда речь идёт о данных, необходимых для заключения договора с сотрудником (п. 5 ч. 1 ст. 6 закона от 27 июля 2006 года №152-ФЗ).

Например, для оформления трудового договора нужны: паспорт, трудовая книжка, если она есть, СНИЛС, документы воинского учёта, диплом — при условии, что работа требует профильного образования. Однако, если работодателю потребуются данные, которые не нужны для трудовой деятельности, он будет обязан получить согласие сотрудника.

Письменное согласие работника необходимо, когда работодатель:

• запрашивает информацию, не связанную с заключением и исполнением договора (например, номер личного мобильного телефона или email-адрес);
• будет обрабатывать и распространять (публиковать или передавать третьим лицам) персональные данные физлица (ст. 10.1 закона №152-ФЗ, письмо Роскомнадзора от 23 сентября 2022 года №08-85970).

Требования к форме и содержанию согласия

Роскомнадзор в своих рекомендациях формулирует следующие требования к согласию на обработку персональных данных:

• Содержание согласия должно быть конкретным и информированным. То есть по информации можно сделать однозначный вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объёме обрабатываемых данных.
• Допускается оформление согласия в виде отдельного документа или в виде части текста трудового договора.
• Согласие должно отвечать требованиям, предъявляемым к его содержанию, согласно ч. 4 ст. 9 закона о персональных данных.

Получить согласие нужно письменно. Составить документ можно в свободной форме. В нём обязательно нужно прописать:

• данные работодателя — название компании или Ф. И. О. предпринимателя;
• место и дату составления документа;
• Ф. И. О. работника, его паспортные данные и сведения о месте жительства;
• какие именно персональные данные обрабатываете;
• для чего нужны данные работника — например, реквизиты карты для выплаты зарплаты;
• что будете делать с данными — хранить у себя или передавать другим;
• срок действия согласия — на какой период нужны данные.

Отдельное согласие на распространение данных

Согласно ст. 10.1 №152-ФЗ согласие на распространение ПДн оформляется отдельно от согласия субъекта на обработку его персональных данных.

В согласии нужно указать, например:

• Ф. И. О. субъекта персональных данных;
• контактную информацию: номер телефона, адрес электронной или обычной почты;
• сведения об организации — операторе персональных данных, которому человек предоставляет согласие;
• сведения об информационных ресурсах оператора, с помощью которых он распространяет персональные данные;
• цель обработки и распространения персональных данных;
• категории и перечень персональных данных, которые можно распространять;
• категории и перечень персональных данных, которые субъект запрещает распространять, и условия запрета.

Например, отдельное согласие на распространение ПДн нужно получить для публикации данных в открытом доступе (сайт, соцсети). Сотрудник сам выбирает, какие данные и где можно публиковать.

Жизненный цикл данных: от соискателя до уволенного сотрудника

Работодатель сталкивается с персональными данными уже на этапе публикации вакансии на сайте или на специализированном интернет-ресурсе по поиску работы.

Работа с кандидатами

В ответ на размещённую вакансию кандидаты отправляют свои данные, а работодатель начинает нести ответственность за их нераспространение.

Обработка резюме. Работодатель должен получить согласие на обработку данных соискателя. Его нужно оформлять на период принятия решения о приёме либо отказе в приёме на работу. В согласии нужно обязательно указать цель получения персональных данных — рассмотрение кандидата на вакантную должность. Однако, если кандидат отправил отклик на вакансию, это считается согласием на обработку данных для цели трудоустройства.

Есть исключения, когда согласие соискателя на обработку данных не требуется:

• если от имени соискателя действует кадровое агентство, с которым кандидат заключил договор;
• если кандидат самостоятельно разместил резюме в интернете.

Данные из анкеты кандидата. Работодатели часто собирают информацию о соискателях с помощью анкеты. К анкете предъявляются требования пункта 7 «Положения об особенностях обработки персональных данных, осуществляемой без применения средств автоматики», утверждённого Постановлением Правительства РФ от 15.09.2008 №687.

В анкете указывают цель обработки персональных данных, наименование оператора и перечень действий с информацией. Если используете собственную анкету, в ней должна быть строка о согласии на обработку ПДн либо к ней нужно прикладывать отдельный бланк согласия.

Запросы на предыдущие места работы. Если работодатель планирует запрашивать какие-либо сведения о сотруднике у его бывшего работодателя, сначала он должен получить письменное согласие от сотрудника. При этом незаконно просить номера личных телефонов бывших коллег и руководителя.

Что делать с данными кандидата, которому отказали. При отказе в приёме на должность или при закрытии вакансии по другим причинам, персональные данные остальных кандидатов работодатель должен удалить в течение 30 календарных дней.

Если по истечении указанного периода информация осталась в базе данных работодателя, его могут привлечь к административной ответственности. Если компания хочет оставить резюме в кадровом резерве, нужно получить отдельное согласие.

Приём на работу

При трудоустройстве будущему работнику нужно будет предоставить:

• паспорт гражданина РФ (или иной документ для подтверждения личности);
• трудовую книжку;
• ИНН и СНИЛС;
• диплом об образовании или квалификации;
• документы о воинской обязанности.

Кроме того, работодатель может запросить справку об отсутствии судимостей или отрицательный тест на употребление наркотиков.

Ввод информации из предоставленных документов в трудовой договор отдельного согласия не требует.

В процессе трудовой деятельности

Работодатель обрабатывает персональные данные сотрудника не только на этапе приёма на работу. Они нужны также в ряде других случаев: чтобы оформить зарплатную банковскую карту и пропуск, разместить фото специалиста на сайте компании или в блоге в соцсетях.

Рассмотрим эти случаи более подробно.

Оформление банковской карты для выплаты зарплаты. Для этого работодатель должен получить согласие сотрудника на передачу его данных банку.

Важно, чтобы:

• перечень персональных данных строго соответствовал тому, что передаётся в банк;
• была указана цель для получения персональных данных, а именно для оформления зарплатной карты.

Роскомнадзор определяет случаи, когда передача персональных данных работника банку для открытия зарплатных карт должна происходить без согласия:

• договор на выпуск банковской карты заключался напрямую с работником, и в его тексте прямо предусмотрены положения о передаче данных работника;
• у работодателя есть доверенность на представление интересов работника при заключении договора с банком на выпуск карты и её обслуживание;
• соответствующая форма и система оплаты труда прописана в коллективном договоре (ст. 41 ТК РФ).

Сотрудник может отказаться подписать согласие на передачу данных банку, с которым работает компания. У него могут быть открыты счета и карты в другом банке, и поэтому для него удобнее продолжать обслуживаться там. Работодатель не имеет права отказать сотруднику в праве заменить финансовую организацию, в которую будет перечисляться зарплата.

Передача данных для оформления ДМС. Если цель — оформить сотруднику ДМС, работодателю нужно получить согласие на передачу только паспортных данных. Запросить заодно медицинские справки нельзя — они не нужны для ДМС.

Оформление пропуска. Получать у сотрудника согласие на обработку персональных данных не нужно, если:

• компания самостоятельно осуществляет пропускной режим;
• если обработка соответствует порядку, предусмотренному коллективным договором, локальными актами, принятыми в соответствии со ст. 372 ТК РФ.

Если пропускной режим находится под контролем сторонней организации, согласие обязательно.

Размещение информации на доске почёта или в корпоративных СМИ. Обычно на доске почёта рядом с фотографией человека указываются его Ф. И. О. Это персональные данные, которые работодатель не имеет права распространять без согласия сотрудника.

Для этого нужно получить отдельное согласие на распространение, где чётко указано, какие данные (Ф. И. О., фото, должность) и где (сайт, стенд в холле) сотрудник разрешает публиковать.

Кадровый и бухгалтерский учёт на аутсорсе. Если работодатель решает вопросы кадрового и бухгалтерского характера при помощи аутсорса, то есть силами сторонних организаций, он должен соблюдать требования, обозначенные ч. 3 ст. 6 закона о персональных данных.

Работодателю необходимо:

1. получить от сотрудников согласие на передачу их данных конкретной аутсорсинговой компании;
2. заключить с этой компанией поручение на обработку ПДн.

Смена фамилии сотрудником. В этом случае нужно обязательно внести изменения в трудовой договор и другие кадровые документы. Для этого сотруднику нужно написать заявление и предоставить подтверждающий документ. Работодатель издаст приказ, на основании которого будут внесены изменения в кадровую документацию.

При увольнении

Данные таких сотрудников есть в бухгалтерском и налоговом учёте и в отчётности, поэтому то, что касается налоговых начислений и платежей, должно храниться в течение четырёх лет (пп. 5 п. 3 ст. 24 НК РФ).

А личные дела или личные карточки сотрудников необходимо передавать в архив для дальнейшего хранения в течение 50 или 75 лет (п. 2 ст. 22.1 Федерального закона от 22.10.2004 №125-ФЗ). При этом на саму организацию хранения в архиве и использование архивных документов с персональными данными работников закон о персональных данных не распространяется.

Порядок уничтожения данных

Федеральный закон №152-ФЗ чётко определяет обстоятельства, при которых персональные данные подлежат уничтожению.

К ним относятся следующие случаи:

• Достижение целей обработки. Обработка персональных данных должна прекращаться после выполнения целей, ради которых они собирались.
• Отзыв согласия субъекта. Согласно ст. 9 №152-ФЗ, гражданин имеет право в любое время отозвать согласие на обработку своих данных. В этом случае оператор обязан немедленно прекратить обработку и уничтожить ПДн, за исключением случаев, предусмотренных другими федеральными законами, например законодательством о бухгалтерском учёте.
• Истечение сроков обработки. В ст. 21 №152-ФЗ указано, что обработка персональных данных должна быть строго ограничена определёнными сроками. После их истечения оператор обязан удалить данные, если их дальнейшая обработка не оправдана правовыми основаниями.
• Незаконная обработка данных. Если обработка данных признана незаконной (например, по решению суда или в результате проверки Роскомнадзора), персональные данные должны быть немедленно уничтожены.

Это обязательные требования, нарушение которых влечёт административную ответственность по КоАП (ст. 13.11 КоАП РФ).

Чтобы уничтожить данные, необходимо создать комиссию и составить акт об уничтожении документов/носителей.

Хранение и защита данных: как избежать утечек

В законодательстве не прописаны чёткие требования к хранению ПДн. Главное — чтобы они не попали в руки людям без права доступа к ним.

Есть два способа хранения:

• бумажный;
• электронный.

Правила хранения бумажных документов. На каждого сотрудника заводят папку-накопитель, в которую подшивают документы с персональными данными, например трудовой договор. Бумажные документы нужно хранить в специально оборудованном помещении или сейфе под ключ, за сохранность отвечает главный бухгалтер или начальник отдела кадров.

Электронные базы данных. Работодатели могут хранить персональные данные сотрудников в электронных базах. Следить за сохранностью данных лучше поручить специалистам. Если у вас маленькая компания или вы ИП и в штате нет экспертов по безопасности, нужно как минимум установить пароли на рабочие компьютеры и регулярно их обновлять.

Вот несколько советов по обеспечению сохранности данных:

• используйте антивирусы, межсетевые экраны;
• установите на компьютеры сотрудников сложные пароли и периодически меняйте их;
• разграничьте права доступа сотрудников.

Что делать при утечке персональных данных

Утечка персональных данных — это несанкционированное раскрытие или кража данных, которые относятся к идентифицированному лицу.

1. Уведомите Роскомнадзор. Если произошла утечка ПДн, работодатель обязан уведомить Роскомнадзор об этом в течение 24 часов. Первичное уведомление включает в себя следующую информацию:

• об инциденте (дата, время, содержание ПДн) и его причинах;
• предполагаемом вреде правам субъектов ПДн;
• принятых мерах по устранению последствий;
• данные контактного лица оператора, а также сведения об операторе.

Роскомнадзор направит письмо, содержащее сведения о дате и времени передачи уведомления в информационную систему РКН, а также номер и ключ уведомления.

2. Начните внутреннее расследование. На это даётся 72 часа.

Необходимо установить:

• причины инцидента;
• виновных лиц;
• последствия.

Для проведения внутренней проверки создаётся комиссия, в которую включают специалистов безопасности, IT-специалистов, руководителя подразделения, обрабатывающего утёкшие ПДн. При необходимости можно привлечь сотрудников иных подразделений. Результат работы комиссии необходимо зафиксировать в акте.

3. Предоставьте отчёт о расследовании в Роскомнадзор. Это нужно сделать в течение трёх дней (72 часа) с даты выявления инцидента. При направлении дополнительного уведомления в электронном виде необходимо указать номер и ключ первичного уведомления.

Ответственность и штрафы за нарушения

За нарушения закона о персональных данных предусмотрены различные виды ответственности:

• дисциплинарная — выговор или увольнение виновного сотрудника;
• материальная — компенсация ущерба;
• административная — штрафы от Роскомнадзора;
• уголовная — за тяжкие последствия.

Обработка ПДн в случаях, не предусмотренных законодательством, либо обработка ПДн, несовместимая с целями их сбора

Согласно ч. 1 ст. 13.11 КоАП РФ установлены штрафы в размере:

• для должностных лиц и ИП — от 50 000 до 100 000 рублей;
• для организаций — от 150 000 до 300 000 рублей.

За повторное нарушение установлены штрафы:

• для должностных лиц — от 100 000 до 200 000 рублей;
• для организаций и ИП — от 300 000 до 500 000 рублей.

Невыполнение или несвоевременное выполнение оператором обязанности уведомлять Роскомнадзор о намерении осуществлять обработку ПДн

Согласно ч. 10 ст. 13.11 КоАП РФ установлены штрафы:

• для должностных лиц государственного или муниципального органа либо НКО — от 30 000 до 50 000 рублей;
• для организаций, которые не являются государственным или муниципальным органом или НКО, и ИП — от 100 000 до 300 000 рублей.

Если нарушение сопровождается неправомерной или случайной передачей ПДн, повлёкшей нарушение прав субъектов таких данных:

• для должностных лиц государственного или муниципального органа либо НКО — от 400 000 до 800 000 рублей;
• для организаций, которые не являются государственным или муниципальным органом или НКО, и ИП — от 1 до 3 млн рублей.

Неправомерная передача специальной категории ПДн. Согласно ч. 16 ст. 13.11 КоАП РФ) предусмотрен штраф:

• для должностных лиц государственного или муниципального органа либо НКО — от 1 до 1,3 млн рублей;
• для организаций, которые не являются государственным или муниципальным органом или НКО, и ИП — от 10 до 15 млн рублей.

Неправомерная передача биометрических ПДн. Согласно ч. 17 ст. 13.11 КоАП РФ предусмотрен штраф:

• для должностных лиц государственного или муниципального органа либо НКО — от 1,3 до 1,5 млн рублей;
• для организаций, которые не являются государственным или муниципальным органом или НКО, и ИП — от 15 до 20 млн рублей.

Типичные ошибки, которые приводят к штрафам

При работе с персональными данными чаще всего работодатели допускают следующие ошибки:

• отсутствие разработанной политики по обработке данных;
• обработка без согласия;
• сбор избыточных данных;
• хранение копий паспортов, когда они уже не нужны;
• нарушение сроков уничтожения;
• публикация фото без нужного согласия;
• игнорирование запросов сотрудников.

Автор: редакция «УБРиР для бизнеса»