Найти в Дзене
Защита Бизнеса | Онлайн услуги 24
216 подписчиков

Обработка персональных данных сотрудников: какие документы обязательны

3 мин
У большинства компаний и ИП кадровый контур — главный источник рисков по ФЗ-152: паспорта, СНИЛС/ИНН, адреса, зарплата, больничные, иногда фото и медсправки. Работодатель = оператор персональных данных, а на проверке Роскомнадзор (РКН) смотрит не «одну политику», а систему документов и реальных процедур. 👉 Хотите быстро понять, нужно ли вам уведомление в РКН и какие документы “добрать” под вашу ситуацию? Получить консультацию по соблюдению обязанности. По ст. 22 ФЗ-152 оператор уведомляет РКН до начала обработки. Исключения в действующей редакции фактически три: госинфосистемы для безопасности/порядка, обработка только без средств автоматизации, транспортная безопасность.
Если у вас 1С/Excel/сканы в сетевых папках — это обычно не «исключительно без автоматизации», значит уведомление чаще всего нужно. Штраф за неподачу/несвоевременную подачу уведомления: для организации 100 000–300 000 ₽ (ч. 10 ст. 13.11 КоАП РФ).
Отдельно выделю риск по инцидентам: за неуведомление РКН при неправоме
Оглавление

У большинства компаний и ИП кадровый контур — главный источник рисков по ФЗ-152: паспорта, СНИЛС/ИНН, адреса, зарплата, больничные, иногда фото и медсправки. Работодатель = оператор персональных данных, а на проверке Роскомнадзор (РКН) смотрит не «одну политику», а систему документов и реальных процедур.

👉 Хотите быстро понять, нужно ли вам уведомление в РКН и какие документы “добрать” под вашу ситуацию?

Получить консультацию по соблюдению обязанности.

Ключевые риски для бизнеса

  • автоматизированная обработка (1С, почта, облака) → выше требования к защите;
  • лишний сбор данных «про запас» → нарушение принципа минимизации;
  • нет регламентов доступа/уничтожения → типовой триггер предписаний и штрафов.

Закон и практика: где чаще всего ошибаются

Уведомление в Роскомнадзор

По ст. 22 ФЗ-152 оператор уведомляет РКН до начала обработки. Исключения в действующей редакции фактически три: госинфосистемы для безопасности/порядка, обработка только без средств автоматизации, транспортная безопасность.

Если у вас 1С/Excel/сканы в сетевых папках — это обычно не «исключительно без автоматизации», значит уведомление чаще всего нужно.

Штраф за неподачу/несвоевременную подачу уведомления: для организации 100 000–300 000 ₽ (ч. 10 ст. 13.11 КоАП РФ).

Отдельно выделю риск по инцидентам: за неуведомление РКН при неправомерной передаче/доступе санкции существенно выше.

Согласие сотрудника — не «универсальная таблетка»

Для большинства кадровых операций основание — трудовое законодательство и обязанность работодателя, а согласие нужно точечно: фото/видео для публикаций, биометрия, «необязательные» сервисы и маркетинг, отдельные передачи третьим лицам.

Какие документы обязательны работодателю-оператору ПД

Ниже — минимальный набор, который обычно запрашивают при проверках.

1) Локальные акты (ЛНА)

  • Политика обработки персональных данных (в т.ч. для сайта).
  • Положение об обработке и защите ПД работников: цели, состав данных, сроки хранения, передачи, ответственность.
  • Процедуры по правам субъектов (ст. 14 ФЗ-152): как выдаете сведения, уточняете, прекращаете обработку.
  • Порядок уничтожения/обезличивания ПД + формы актов/журналов.

2) Приказы и “назначения”

  • назначение ответственного за организацию обработки ПД;
  • перечень лиц с доступом к ПД и уровни доступа;
  • перечень ИСПДн и мест хранения (ПК/сервер/облако/архив).

3) Согласия и формы (по ситуации)

  • согласие на фото/видео, биометрию (если есть), публикации на сайте;
  • формы отзыва согласия;
  • шаблоны ответов на запросы сотрудников.

4) Подрядчики и поручение обработки

Если кадры/зарплата/хранение в облаке у внешнего провайдера — оформляйте поручение обработки ПД и фиксируйте меры защиты у подрядчика.

👉 Чтобы закрыть документы “под ключ” и не собирать шаблоны по кускам, чаще всего выгоднее собрать единый пакет под вашу оргструктуру и процессы.

Заказать разработку индивидуального пакета документов по 152-ФЗ.

Пошаговая инструкция (7 шагов)

  1. Опишите, где используются ПД сотрудников (кадры, ЗП, пропуска, командировки).
  2. Зафиксируйте цели и состав данных (уберите лишнее).
  3. Определите основания: закон/договор/согласие (точечно).
  4. Проверьте обязанность уведомления РКН и актуальность сведений.
  5. Утвердите ЛНА и приказы, настройте доступы.
  6. Оформите поручения обработки подрядчикам, проверьте облака/хранилища.
  7. Настройте сроки хранения и уничтожение (акты/журналы), процесс работы с запросами.

🎁 Для сверки требований на 2026 год:

Скачать чек-лист «Требования Роскомнадзора к операторам ПД в 2026».

Частые ошибки на проверке Роскомнадзора

  • Политика есть, но нет положения по работникам и приказов о доступе.
  • В уведомлении в РКН указана одна цель, а в реальности целей и систем больше.
  • «Согласие на всё» одним листом (без целей/сроков) или отсутствие согласий на фото/публикации.
  • Нет поручений обработки с подрядчиками (бухгалтерия/HR-сервис/облако).
  • Нет порядка уничтожения и актов — данные хранятся годами без оснований.

Важно: по ряду составов ст. 13.11 КоАП РФ (в т.ч. по ч. 10 об уведомлении) ИП несут ответственность как юридические лица, поэтому штраф 100 000–300 000 ₽ может применяться и к ИП.

Что делать бизнесу прямо сейчас

Если кадровый учет ведется в 1С/облаке и нет «живого» комплекта ЛНА и приказов — начните с аудита: он быстро показывает, какие документы обязательны именно вам, где провал по уведомлению/доступам/подрядчикам и что исправить до проверки РКН. 🔍

✅ Рекомендация: пройти аудит и получить дорожную карту внедрения.

Провести аудит сайта на соответствие требованиям Роскомнадзора.

Практический чек-лист (минимум)

  • Уведомление РКН подано или подтверждено исключение по ст. 22 ФЗ-152
  • Политика + Положение по ПД работников утверждены и актуальны
  • Назначен ответственный, утверждены перечни допущенных лиц/ИСПДн
  • Согласия собраны только там, где они реально нужны
  • Поручения обработки оформлены с подрядчиками/облаками
  • Установлены сроки хранения и порядок уничтожения, есть акты/журналы