Добавить в корзинуПозвонить
Найти в Дзене
Зарплата.ру

Как работать с персональными данными сотрудников и соискателей: основные правила и частые ошибки работодателей

Еще при первом касании с будущим сотрудником, компания получает от него чувствительную информацию, которую обязана оберегать от утечки. В статье разберемся, как работодателю не допустить «прокола» и не получить крупные штрафы. На основании ФЗ №152 «О персональных данных» можно выделить три категории: На вопрос, какие именно данные и как можно обрабатывать, отвечает Трудовой кодекс Российской Федерации. Обработка  ПДн работника допускается в целях выполнения положений трудового законодательства или исполнения трудового договора. Обработка персональных данных может быть как законной, так и нет. Например, без отдельного согласия работника нельзя запрашивать и хранить сведения о его здоровье. Но если работа требует прохождения медосмотра, то работодатель заводит паспорт здоровья работника, куда вносит сведения о результатах осмотров от медорганизации. Согласие работника в таком случае не обязательно. Для начисления и выплаты заработной платы, удержания налогов и подачи отчетности в государ
Оглавление

Еще при первом касании с будущим сотрудником, компания получает от него чувствительную информацию, которую обязана оберегать от утечки. В статье разберемся, как работодателю не допустить «прокола» и не получить крупные штрафы.

Какими бывают персональные данные

На основании ФЗ №152 «О персональных данных» можно выделить три категории:

  • Обычные. Это ФИО, дата и место рождения, адрес, номер паспорта, ИНН, СНИЛС и других документов, контакты — телефон, электронная почта и др, семейное положение. Также сюда относятся сведения об имущественном положении — кредитная история, банковские реквизиты, сведения о том, чем владеет человек. В общем, это все персональные данные (ПДн), которые не относятся к двум другим категориям.
  • Специальные (ст. 10 ФЗ №152). Это особо чувствительная информация: расовая и национальная принадлежность, политические, религиозные и иные убеждения, сведения об интимной жизни и состоянии здоровья.
  • Биометрические (ст. 11 ФЗ №152). Биологические и физиологические особенности, по которым можно идентифицировать человека. Это отпечатки пальцев, скан сетчатки глаза и т. п. Фотография считается биометрическими данными, если ее используют для идентификации. Например, если фото сотрудника загружено в систему распознавания лиц для допуска к рабочему месту.

Как хранить и обрабатывать персональные данные сотрудников

На вопрос, какие именно данные и как можно обрабатывать, отвечает Трудовой кодекс Российской Федерации. Обработка  ПДн работника допускается в целях выполнения положений трудового законодательства или исполнения трудового договора. Обработка персональных данных может быть как законной, так и нет. Например, без отдельного согласия работника нельзя запрашивать и хранить сведения о его здоровье. Но если работа требует прохождения медосмотра, то работодатель заводит паспорт здоровья работника, куда вносит сведения о результатах осмотров от медорганизации. Согласие работника в таком случае не обязательно.

Для начисления и выплаты заработной платы, удержания налогов и подачи отчетности в государственные фонды отдельное согласие работника не нужно. Но некоторые действия работодателя его требуют, так как основаны не на прямом указании закона, а на договоренности сторон. Например, вы направляете сотрудника на конференцию, оформляете зарплатную карту или изготавливаете визитки. Все это предполагает передачу персональных данных третьим лицам и требует согласия работника.

Согласие на обработку персональных данных нужно оформлять как самостоятельный документ. Его нельзя «встраивать» в текст трудового или иного договора. Также важно документально подтвердить, что работник ознакомлен с локальными нормативными актами по обработке персональных данных.
Наталья Кухтарова, Руководитель практики юридического аутсорсинга Bellerage
Наталья Кухтарова, Руководитель практики юридического аутсорсинга Bellerage

Поэтому, чтобы выполнить требования закона , в компании должны быть четкие правила и процедуры — положение о хранении и обработке персональных данных, типовые формы согласия для сотрудников и соискателей.

Биометрические данные работодатель может собирать и использовать только с письменного согласия работника. Поэтому нельзя, например, обязать работника сдавать отпечатки пальцев для контрольно-пропускной системы. Если в компании действует такая система, то работодатель обязан предоставить альтернативу, например, пропуск по магнитной карте, или получить от работника письменное согласие на обработку биометрических данных.

-3

Найти работу / Найти сотрудника

Все персональные данные нужно получать от самого работника. Чтобы собирать данные из других мест, нужно получить у сотрудника или кандидата письменное согласие. Например, если проверяете кредитную историю.

Работодатель обязан самостоятельно и за свой счет обеспечить сохранность данных и их защиту от утечки. Если данные окажутся в открытом доступе или попадут к третьим лицам, ответственность полностью ляжет на работодателя. Так в 2026 году Минтруд России получил штраф 100 тыс. рублей за то, что допустил утечку данных своих сотрудников и их родственников (Постановление Верховного Суда РФ от 20 января 2026 г., дело № 5-АД25-119-К2). ВС указал, что работодатель, будучи оператором персональных данных обязан принимать правовые, организационные и технические меры для защиты ПДн. Довод о том, что доступ произошел через инфраструктуру подрядной организации, не освобождает организацию от ответственности.

Если работодатель использует внешние облачные решения для хранения ПДн работников, он же несет ответственность за сохранность этих данных. Поэтому важно в договоре с провайдерами предусмотреть меры договорной ответственности, чтобы можно было возместить убытки, если утечка произойдет  по вине провайдера.
Альбина Песцова, Консультант по защите персональных данных компании Б-152
Альбина Песцова, Консультант по защите персональных данных компании Б-152

Материал по теме: Какие ошибки в документах приводят компании к искам на крупные суммы

Как хранить и обрабатывать персональные данные соискателей

В некоторых компаниях принято считать, что никаких обязательств перед кандидатами нет, пока им не сделали оффер. Но в процессе отбора работодатель собирает много персональных данных — ФИО, контакты, сведения об образовании и т. д. В случае утечки все это могут использовать мошенники и недобросовестные рекламодатели.

Собирая данные от соискателей, даже если это только электронная почта, компания становится оператором персональных данных согласно ФЗ №152. А значит обязана:

  • Получить согласие. Работные сайты предоставляют ПДн работодателям на основании заключенных с ними пользовательских соглашений . Но если собираете отклики в других каналах, то придется позаботиться об этом самостоятельно. Например, добавлять ссылку на форму согласия в анкету или подписывать его на бумаге, если собеседуете кандидатов вживую.
  • Обеспечить защиту данных от утечки. Доступ к ним должен быть только у сотрудников, которые участвуют в подборе — рекрутер, нанимающий менеджер, специалист по КДП и т. д. Бумажные носители должны храниться под замком, а электронные — защищены паролями и уровнями доступа.
  • Собирать только то, что необходимо для решения о найме. Пока кандидату не сделали оффер, не стоит собирать номера паспорта, СНИЛС, ИНН, сведения о семейном положении и месте жительства. Как и специальные данные — о политических взглядах, вероисповедании, здоровье — если только они не относятся напрямую к работе или это предусмотрено законом. Здесь есть риск нарушить не только закон о персональных данных, но и допустить дискриминацию.
  • Вовремя удалять данные. Нельзя хранить анкеты и резюме «на всякий случай». В согласии, которое подписывает кандидат, должен быть указан срок, на который резюме сохраняется в кадровом резерве, и процедура удаления. Ответственный за подбор сотрудник должен регулярно обновлять базу и удалять данные тех, чье согласие истекло.

Рискованные ситуации могут быть связаны не с крупными утечками, а с бытовыми нарушениями работодателей, отмечает Татьяна Звенигородская, юрист по международному и корпоративному праву. Например:

  • резюме лежат на столе, а не в закрытом шкафу или сейфе
  • анкеты пересылают в мессенджерах
  • доступ к базе кандидатов есть у сотрудников, которые не участвуют в подборе
  • данные соискателей хранят «на будущее», без срока и понятной цели
Показательный кейс: кандидат пришел на собеседование и увидел на столе у HR-специалиста стопку распечатанных резюме других соискателей. Пока он ждал встречи, смог рассмотреть ФИО, телефоны, места работы и иные сведения кандидатов. Соискатель возмутился: если он видит чужие данные, значит, и его резюме может быть доступно посторонним.

Еще одна типичная ошибка — неполное уведомление Роскомнадзора. Работодатели часто указывают цели, связанные с работниками, но забывают про обработку данных кандидатов. В итоге заявленные цели обработки не совпадают с реальной практикой, что может вызвать претензии надзорного органа.
Татьяна Звенигородская, Юрист по международному и корпоративному праву
Татьяна Звенигородская, Юрист по международному и корпоративному праву

Материал по теме: Как навести порядок на «скамейке запасных»: чек-лист для рекрутера

Частые ошибки при работе с персональными данными и ответственность за них

В статье 13.11 КоАП РФ перечислены действия, за которые компании может «прилететь». Альбина Песцова перечисляет самые распространенные нарушения работодателей:

  • Обработка без правового основания или без информированного согласия, когда оно нужно. Штраф 300-700 тыс. рублей.
  • Сбор избыточных данных. Запрашивают больше сведений, чем нужно для трудовых отношений. Например, копии паспортов, информацию о семье и т. п. Штраф 100-300 тыс. рублей.
  • Неправомерно передали данные третьим лицам. Штраф до 15 млн рублей, в зависимости от количества ПДн .
  • Запросы сотрудников и соискателей игнорируют. Это может быть запрос на доступ, исправление, удаление  данных (ст. 14 ФЗ №152). Если такие запросы остаются без ответа или работодатель отвечает несвоевременно, то компания может получить штраф 40-90 тыс. рублей.

Татьяна Звенигородская, Юрист по международному и корпоративному праву:

Из правовой практики видно, что суды и контролирующие органы оценивают не только наличие согласия, но и режим доступа к данным. В спорах значение имеют скриншоты, переписка, свидетельские показания и факт доступа неопределенного круга лиц к документам или базам. Данные не обязательно должны попасть в интернет, чтобы работодатель получил претензию. Достаточно того, что они стали доступны кому-то, кто не должен был их видеть.

Материал по теме: Как оформить сокращение сотрудника: пять распространенных ошибок и судебная практика

Поставьте 👍 и поделитесь статьей с коллегами, если было полезно!