Персональные данные сотрудников: 152-ФЗ для работодателя

Когда предприниматель нанимает первого сотрудника, он автоматически становится оператором персональных данных — со всеми вытекающими обязанностями по закону. Это не абстрактный юридический статус: с момента подписания трудового договора вы собираете, храните и обрабатываете личную информацию человека — паспортные данные, СНИЛС, ИНН, сведения о здоровье, семейном положении, банковские реквизиты. Всё это подпадает под действие Федерального закона № 152-ФЗ «О персональных данных», и незнание его требований не освобождает от ответственности.

На практике большинство владельцев малого бизнеса узнают о своих обязанностях в области защиты персональных данных только после первой проверки Роскомнадзора или жалобы уволенного сотрудника. К тому моменту отсутствие нужных документов — политики, положения, приказов — уже превращается в административные штрафы. Причём с 2023 года санкции существенно выросли: за отдельные нарушения юридическому лицу грозит до 6 миллионов рублей.

Эта статья написана для предпринимателей и руководителей малого бизнеса, которые хотят разобраться в требованиях 152-ФЗ применительно к трудовым отношениям: какие документы нужно составить, как правильно получить согласие работника, что проверяет инспекция и как избежать типичных ошибок.

---

Кто такой оператор персональных данных и почему это касается каждого работодателя

Оператор персональных данных — это любое лицо (физическое, юридическое, государственный орган), которое самостоятельно или совместно с другими определяет цели и способы обработки персональных данных. Если вы нанимаете людей по трудовому договору, вы автоматически становитесь оператором — независимо от размера бизнеса, организационно-правовой формы и количества сотрудников.

📎 Ст. 3 Федерального закона № 152-ФЗ: определяет понятие «оператор» — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных.

Важно понимать, что обработка персональных данных — это не только хранение личного дела в папке. Закон относит к обработке любые действия: сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление и уничтожение. Когда вы вносите данные сотрудника в 1С, отправляете копию его паспорта в банк для зарплатного проекта или передаёте сведения в СФР — это всё обработка.

Обязанности оператора распространяются не только на сведения о работниках. Если вы обрабатываете данные клиентов, контрагентов, посетителей сайта — требования 152-ФЗ применяются и там. Однако в части трудовых отношений закон имеет чёткую связку с Трудовым кодексом РФ: работодатель обязан соблюдать режим конфиденциальности персональных данных работника и не вправе сообщать их третьим лицам без его письменного согласия.

📎 Ст. 88 ТК РФ: устанавливает требования к передаче персональных данных работника — в том числе запрет на их передачу в коммерческих целях без письменного согласия работника.

---

Обязательные документы: политика, положение и приказы

Требования 152-ФЗ к документационному обеспечению делятся на несколько уровней. Разберём каждый из них.

Политика в отношении обработки персональных данных

Политика конфиденциальности (или политика в отношении обработки персональных данных) — публичный документ, обязательный для всех операторов. Если у вас есть сайт, политика должна быть размещена на нём в свободном доступе. Если сайта нет — документ всё равно должен существовать и быть доступен любому обратившемуся лицу.

Что должна содержать политика:

• наименование и контактные данные оператора;
• цели обработки персональных данных;
• правовые основания обработки (согласие, договор, закон);
• категории субъектов и перечень обрабатываемых данных;
• порядок и условия обработки;
• права субъектов персональных данных;
• сведения о передаче данных третьим лицам;
• срок обработки и хранения данных;
• порядок уничтожения данных.

⚠️ Важно: Отсутствие политики на сайте является самостоятельным основанием для привлечения к ответственности по ч. 3 ст. 13.11 КоАП РФ. Штраф для юридических лиц — до 60 000 рублей.

Положение о защите персональных данных работников

Это внутренний локальный нормативный акт, регулирующий порядок работы с данными сотрудников внутри организации. Его наличие прямо предусмотрено ст. 87 ТК РФ: порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований Трудового кодекса и иных федеральных законов.

Положение о персональных данных должно охватывать:

• перечень персональных данных, необходимых для трудовых отношений;
• порядок получения, хранения и передачи данных;
• список должностных лиц, имеющих доступ к персональным данным;
• права работника в отношении своих данных;
• ответственность за нарушение режима защиты;
• порядок уничтожения данных после прекращения трудовых отношений.

С Положением каждый работник должен быть ознакомлен под подпись до подписания трудового договора — это требование ст. 68 ТК РФ.

Приказы как инструмент управления защитой данных

Помимо политики и положения, в организации должен быть комплект приказов, регулирующих конкретные процедуры:

1. Приказ о назначении ответственного за обработку персональных данных — обязателен согласно ст. 18.1 152-ФЗ. В малом бизнесе ответственным нередко назначают самого руководителя или бухгалтера.
2. Приказ об утверждении перечня лиц, допущенных к обработке персональных данных — определяет, кто именно и к каким данным имеет доступ.
3. Приказ об утверждении Положения о персональных данных — вводит локальный акт в действие.
4. Приказ об организации обработки персональных данных — описывает технические и организационные меры защиты.

---

Согласие работника на обработку персональных данных: когда нужно и как оформить

Один из самых распространённых вопросов: нужно ли брать согласие сотрудника на обработку его данных? Ответ неоднозначный.

Согласие не требуется, если обработка персональных данных необходима для исполнения трудового договора. Это прямо предусмотрено п. 5 ч. 1 ст. 6 и п. 2 ч. 2 ст. 10 152-ФЗ. Базовые кадровые сведения (ФИО, паспортные данные, СНИЛС, ИНН, сведения об образовании, стаж) — всё это обрабатывается без отдельного согласия, поскольку без них невозможно оформить трудовые отношения, начислить зарплату, сдать отчётность.

Согласие обязательно, когда:

• данные работника передаются третьим лицам в целях, не связанных напрямую с трудовым договором (например, публикация фото сотрудника в рекламных материалах);
• обрабатываются специальные категории данных — сведения о состоянии здоровья (если это не обусловлено специальными нормами закона), биометрические данные;
• работник включается в общедоступные источники (корпоративный сайт, справочник).

📋 Пример: Работодатель хочет разместить фотографию нового менеджера на сайте компании. Это коммерческое использование изображения, которое является персональными данными. Без письменного согласия работника — нарушение 152-ФЗ.

Требования к согласию (ст. 9 152-ФЗ): документ должен быть конкретным, информированным, сознательным и однозначным. В нём указываются: оператор, цель обработки, перечень данных, срок действия согласия, порядок его отзыва. Расплывчатые формулировки типа «согласен на любую обработку моих данных» юридически уязвимы.

⚠️ Важно: Работник вправе в любой момент отозвать согласие на обработку персональных данных. После отзыва оператор обязан прекратить обработку и уничтожить данные в течение 30 дней, если иное не предусмотрено законом или договором.

---

Уведомление Роскомнадзора: кто обязан подавать и как это сделать

До начала обработки персональных данных оператор обязан уведомить Роскомнадзор — федеральный орган, осуществляющий надзор в сфере персональных данных. Это требование закреплено в ст. 22 152-ФЗ.

Однако законом предусмотрен ряд исключений, когда уведомление не требуется:

• данные обрабатываются исключительно в связи с трудовыми отношениями;
• данные получены в рамках договора, стороной которого является субъект (при условии, что они не передаются третьим лицам);
• обрабатываются данные членов (участников) организации без передачи третьим лицам;
• данные относятся к общедоступным источникам.

На практике большинство небольших работодателей подпадают под исключение — их деятельность ограничена обработкой данных своих сотрудников для целей трудовых отношений. Однако как только появляется сайт с формой обратной связи, база данных клиентов или маркетинговая рассылка — уведомление становится обязательным.

Подача уведомления осуществляется через портал Роскомнадзора. После регистрации организация вносится в Реестр операторов персональных данных. Важно: при изменении сведений (новые цели обработки, новые категории данных) оператор обязан уведомить Роскомнадзор об изменениях в течение 10 рабочих дней.

---

Технические и организационные меры защиты данных

152-ФЗ обязывает операторов принимать необходимые правовые, организационные и технические меры для защиты персональных данных от несанкционированного доступа, изменения, раскрытия или уничтожения (ст. 19 закона).

Для малого бизнеса это означает как минимум:

Организационные меры:

• утверждённый перечень лиц, имеющих доступ к данным;
• инструктаж сотрудников по вопросам защиты информации;
• режим конфиденциальности для работников, работающих с персональными данными;
• порядок уничтожения документов, содержащих персональные данные (акт об уничтожении).

Технические меры:

• разграничение прав доступа в информационных системах;
• использование паролей и шифрования;
• антивирусная защита рабочих станций;
• резервное копирование данных;
• журналирование событий безопасности.

Уровень технических мер определяется уровнем защищённости информационной системы персональных данных (ИСПДн) согласно Постановлению Правительства РФ № 1119 от 01.11.2012. Малый бизнес, как правило, работает с данными невысокого уровня защищённости, однако это не отменяет базовых требований.

⚠️ Важно: Если вы пользуетесь облачными сервисами или передаёте данные сотрудников сторонним организациям (например, аутсорсинговой бухгалтерии), с каждым таким контрагентом должен быть заключён договор на обработку персональных данных, предусматривающий их обязательства по защите информации.

Платформа Bejure устроена так, что весь кадровый документооборот ведётся внутри защищённой системы: данные сотрудников не уходят третьим лицам, электронная подпись работает только внутри экосистемы, а архив документов доступен в любой момент — в том числе при проверке или трудовом споре.

---

Ответственность за нарушение 152-ФЗ: актуальные штрафы

С 2023 года административная ответственность в области персональных данных была существенно ужесточена. Статья 13.11 КоАП РФ теперь содержит несколько самостоятельных составов с дифференцированными санкциями.

Нарушение	Штраф для ИП	Штраф для юрлица
Обработка данных без законного основания (ч. 1)	до 100 000 ₽	до 300 000 ₽
Обработка данных без согласия (ч. 2)	до 300 000 ₽	до 700 000 ₽
Отсутствие политики на сайте (ч. 3)	до 30 000 ₽	до 60 000 ₽
Непредоставление информации субъекту (ч. 4)	до 80 000 ₽	до 160 000 ₽
Нарушение требований к хранению данных на территории РФ (ч. 8)	до 500 000 ₽	до 6 000 000 ₽
Повторное нарушение требований к хранению (ч. 9)	до 1 000 000 ₽	до 18 000 000 ₽

Помимо административной, возможна уголовная ответственность по ст. 137 УК РФ (нарушение неприкосновенности частной жизни) — если нарушение связано с незаконным распространением персональных данных, причинившим вред работнику.

📋 Пример: Работодатель сообщил банку-кредитору сведения о заработной плате сотрудника без его письменного согласия. Это нарушение ст. 88 ТК РФ и ст. 7 152-ФЗ. Роскомнадзор вправе составить протокол об административном правонарушении, а работник — обратиться в суд за компенсацией морального вреда.

Проверки Роскомнадзора могут быть плановыми и внеплановыми. Основание для внеплановой проверки — жалоба субъекта персональных данных. Учитывая, что сотрудники всё лучше осведомлены о своих правах, такие жалобы перестали быть редкостью.

---

Права работника как субъекта персональных данных

Закон наделяет каждого субъекта персональных данных широким спектром прав, которые работодатель обязан соблюдать и обеспечивать.

Основные права работника:

• Право на получение информации — работник вправе запросить у работодателя сведения о том, какие его данные обрабатываются, с какой целью, кому передаются (ст. 14 152-ФЗ). Ответить нужно в течение 10 рабочих дней.
• Право на исправление — если данные неточны или устарели, работник вправе потребовать их исправления. Работодатель обязан это сделать в течение 7 рабочих дней.
• Право на уничтожение — при прекращении трудовых отношений работник вправе потребовать удаления данных, обработка которых больше не имеет законного основания.
• Право на отзыв согласия — в любой момент и без объяснения причин.
• Право на обжалование — работник вправе обратиться в Роскомнадзор или суд, если считает, что его права нарушены.

📎 Ст. 86 ТК РФ: устанавливает общие требования при обработке персональных данных работника — в частности, что работник должен быть проинформирован под роспись о целях, предполагаемых источниках и способах получения персональных данных.

Практическое значение этих прав велико: если работник уволился и потребовал удалить свои данные, работодатель не может просто проигнорировать такое требование. Вместе с тем закон устанавливает ряд исключений — например, если хранение данных необходимо для выполнения требований налогового или трудового законодательства (бухгалтерские документы хранятся 5 лет, кадровые — 50–75 лет в зависимости от вида).

Для систематизации работы с запросами субъектов персональных данных рекомендуется разработать внутреннюю процедуру с фиксированными сроками и ответственными лицами — и закрепить её в Положении о персональных данных. Платформы вроде Bejure позволяют вести весь документооборот в одном месте: нужный документ можно найти и предъявить за считанные секунды, что особенно важно при проверке или судебном споре.

---

Часто задаваемые вопросы

Нужно ли ИП уведомлять Роскомнадзор, если у него один наёмный работник?

Если индивидуальный предприниматель обрабатывает персональные данные исключительно в целях исполнения трудового договора и не передаёт их третьим лицам сверх необходимого — уведомление Роскомнадзора не требуется. Это исключение прямо предусмотрено п. 1 ч. 2 ст. 22 152-ФЗ. Однако обязанность вести кадровую документацию, разработать Положение о персональных данных и получать согласие в предусмотренных законом случаях сохраняется в полном объёме.

Можно ли использовать готовый шаблон политики конфиденциальности, скачанный в интернете?

Формально — можно, но крайне рискованно. Большинство шаблонов в открытом доступе не адаптированы под конкретный вид деятельности, устарели или содержат юридически некорректные формулировки. Политика должна отражать реальные процессы вашей организации: какие данные собираются, с какой целью, кому передаются. Несоответствие политики фактической деятельности — самостоятельное нарушение, которое выявляется при проверке.

Как долго нужно хранить персональные данные уволенных сотрудников?

Срок хранения зависит от вида документа. Трудовые договоры и личные карточки работников хранятся 50 лет (для документов, созданных с 2003 года) согласно Приказу Росархива № 236 от 20.12.2019. Документы по начислению заработной платы — 6 лет. Согласия на обработку персональных данных — в течение срока обработки данных плюс 3 года (срок исковой давности). После истечения установленных сроков документы уничтожаются с составлением акта.

Что будет, если работник отзовёт согласие на обработку персональных данных в период работы?

Отзыв согласия не прекращает трудовой договор и не освобождает работодателя от обязанности обрабатывать данные, необходимые для исполнения этого договора. Согласие как правовое основание используется лишь там, где оно обязательно (реклама, биометрия, общедоступные источники). Для базовых кадровых нужд правовым основанием служит сам договор и требования законодательства — и здесь отзыв согласия правовых последствий не влечёт.

Какие документы проверяет Роскомнадзор в первую очередь?

При плановой проверке инспекторы запрашивают: политику в отношении обработки персональных данных, Положение о персональных данных работников, приказ о назначении ответственного лица, журнал учёта обращений субъектов, образцы согласий, договоры с контрагентами, которым передаются данные. Отсутствие любого из этих документов фиксируется как нарушение и является основанием для штрафа.

---

Заключение

Требования 152-ФЗ — это не бюрократия ради бюрократии, а реальная система защиты персональных данных, за нарушение которой предусмотрены серьёзные санкции. Для работодателя минимальный комплект документов включает политику конфиденциальности, положение о персональных данных работников и пакет приказов — о назначении ответственного, об утверждении локальных актов и о допуске к данным. Каждый из этих документов должен отражать реальные процессы в вашей организации.

Самое частое заблуждение малого бизнеса: «У меня три человека в штате — меня это не касается». Касается. Роскомнадзор проверяет компании любого размера, а поводом для внеплановой проверки может стать жалоба одного-единственного сотрудника. При этом штрафы для ИП и юридических лиц достигают сотен тысяч рублей по каждому составу нарушения.

Выстроить корректный документооборот в области персональных данных — задача решаемая. Главное — сделать это системно: не ограничиваться одним документом, а создать связанный комплект, соответствующий актуальным требованиям закона. Платформы автоматизации кадровых процессов, такие как Bejure, позволяют получить актуальные шаблоны документов, разработанные с учётом действующего законодательства, и вести весь документооборот в одном защищённом месте — без риска потерять нужный документ в момент проверки.