Как выполнить требования к обработке персональных данных сотрудников в 2026 году: гайд для работодателя

Сведения о сотрудниках и соискателях — это их персональные данные. Закон № 152-ФЗ устанавливает требования к их сбору и хранению. В 2025 году начали действовать новые требования к получению согласий на обработку персональных данных и IT-инфраструктуре компаний, выросли штрафы. Рассказываем, какие требования нужно соблюдать работодателям

Какие данные сотрудников относятся к персональным

Закон от 27.07.2006 № 152-ФЗ устанавливает правила и порядок обработки персональных данных. Они в том числе относятся к работодателям, которые собирают данные соискателей, сотрудников, а также хранят архивы со сведениями бывших сотрудников.

Персональные данные — это информация о физическом лице, по которой прямо или косвенно можно установить его личность.

Какие данные позволяют напрямую идентифицировать человека. Это ФИО, паспортные данные, ИНН, СНИЛС, ДНК, физиологические особенности (форма носа, цвет глаз, геометрия лица).

Какие данные косвенно относятся к физическому лицу. Это адрес регистрации, email, образование, трудовой стаж и другие. Со временем эта информация может измениться.

Виды персональных данных

Общие — это стандартный набор данных, которые собирают HR-специалисты о кандидатах и для трудоустройства новых сотрудников. Сюда входят ФИО, данные паспорта, ИНН, адрес электронной почты, номер телефона.

Специальные — это сведения о здоровье, религии, политических убеждениях. Например, школы и заведения общепита отправляют своих сотрудников на медкомиссию — в этом случае нужно иметь законное основание на обработку сведений о состоянии здоровья.

Биометрические — это уникальные данные человека, его физиологические особенности: отпечатки пальцев, ДНК, видеозапись, фото, форма лица.

Для заключения трудового договора HR и кадровые специалисты собирают общие персональные данные. Бухгалтерам нужны данные сотрудника и его банковские реквизиты для начисления зарплаты. Биометрические и специальные данные разрешено обрабатывать только с письменного согласия человека или в установленных законом случаях (статьи 10 и 11 закона № 152-ФЗ).

Кого касаются правила обработки персональных данных

Требования закона относятся не только к основному работодателю — ИП или собственнику компании, но и к специалистам, которые непосредственно работают с данными физических лиц:

Делопроизводители, HR, кадровые специалисты, бухгалтеры. Они собирают первичную информацию, оформляют документы по трудоустройству и увольнению, вносят сведения в учетную систему.
Руководители отделов. Они имеют доступ к данным сотрудников и должны исполнять законодательные требования по хранению и передаче сведений.
Третьи лица. Работодатели могут передавать данные сотрудников банкам (для открытия зарплатных карт), страховым компаниям (для оформления ОМС), экспертам (для получения консультаций). Такая передача допускается только с согласия владельца данных.

Закон распространяется не только на данные кандидатов и действующих сотрудников, но и уволенных работников. Архивы с информацией о них нужно хранить в защищенном от несанкционированного доступа пространстве.

В случае нарушений ответственность несет не только собственник, но и должностное лицо. Оступиться можно на любом этапе — от некорректного сбора анкет и резюме соискателей до неправильного уничтожения сведений.

В каких случаях нужно получать согласие на обработку персональных данных соискателя

Кандидаты заполняют анкеты, резюме и передают их работодателю. Независимо от формы подачи сведений — лично на бумаге или через сайт компании — работодатель становится оператором персональных данных.

Когда нужно согласие от кандидата:

Обработка данных по результатам собеседования. Согласие на получение резюме обычно не требуется, если оно размещено в открытом доступе, рекрутер может свободно его посмотреть (например, на сайте HH.ru). На собеседовании кандидаты обычно рассказывают о себе подробнее — в этом случае нужно получить согласие.
Хранение данных. По итогам собеседования соискателя могут не взять на работу, но сохранить его данные «на будущее». Например, сведения пригодятся для рассмотрения кандидатуры через время на другие должности (кадровый резерв).
Передача третьим лицам. HR может передавать данные заинтересованным лицам в другую организацию группы компаний — по закону такая передача допускается с согласия физического лица.
Обработка специальных категорий данных. Иногда работодатели запрашивают справки об отсутствии судимости, результаты медкомиссий — для их обработки требуется согласие в письменной форме.

С 1 сентября 2025 года согласие нужно оформлять в виде самостоятельного (отдельного) документа. Запрещено включать его в текст трудовых договоров, заявлений, подписываемых анкет и т.п. Человек должен подписывать согласие отдельно!
Рекомендация: пересмотрите согласия, оформленные до 1 сентября. При необходимости — возьмите их у сотрудников еще раз, но уже по новым правилам/

Как хранить персональные данные бумажного и электронного формата

Работодатель вправе обрабатывать персональные данные с помощью средств автоматизации или без их использования.

Автоматизированные средства — это компьютер, ПО, облачные хранилища, корпоративный сервер. Работодатель должен обеспечить к ним доступ только уполномоченных сотрудников через пароли и двухфакторную аутентификацию. Для этого используют ролевую модель — например, бухгалтер получает доступ к зарплатным ведомостям, а для менеджеров по продажам и HR этот участок закрыт.

Неавтоматизированные средства — это бумажные архивы. Их хранят в закрытых сейфах и специально оборудованных помещениях. Доступ к ним также должны иметь только уполномоченные сотрудники. Например, HR и кадровые специалисты имеют доступ к шкафам с анкетами кандидатов.

С 1 июля 2025 года действуют новые правила «локализации» при обработке персональных данных (ч. 5 ст. 18 закона № 152-ФЗ). Операторам запрещено использовать ПО, учетные системы, серверы, базы данных, расположенные за рубежом, если они нарушают правила российского законодательства. Данные физических лиц должны первично обрабатываться в России.
За нарушение правил локализации штрафы на организацию и ИП могут достигать 6 млн руб. , а при повторном нарушении — до 18 млн руб.

С чего начать обработку персональных данных сотрудников

Обязательные этапы, без которых по закону № 152-ФЗ обрабатывать персональные данные нельзя:

1. Составьте политику обработки персональных данных

Политика — это основной документ, в котором указывают ключевые сведения: данные оператора, цели обработки, категории персональных данных, категории субъектов персональных данных.

Иногда на практике HR собирают данные соискателей, которые не соответствуют закрепленным в политике пунктам. Задача руководителя — проинформировать специалистов об ответственности и пресекать подобные ситуации.

2. Направьте уведомление в Роскомнадзор

Работодатель указывает в документе наименование компании (для ИП — ФИО), цели и дату начала обработки, сроки и условия прекращения обработки.

Подать документ можно на бумаге — заказным письмом по почте или лично в отделении Роскомнадзора, а также онлайн — на сайте ведомства с использованием профиля «Госуслуг». Срок рассмотрения уведомления — 30 календарных дней. Если у ведомства не возникнет дополнительных вопросов, компанию внесут в реестр операторов.

Рекомендация. Если вы включены в реестр операторов, проверьте актуальность данных. При необходимости подайте уведомление об изменении сведений — по аналогии с вышеназванными способами. Сделать это нужно не позднее 15 числа следующего месяца после возникновения изменений.

3. Назначьте ответственного

Это сотрудник, который в компании занимается организацией обработки персональных данных. Он контролирует соблюдение норм закона № 152-ФЗ, информирует сотрудников об изменениях в нормативных правовых актах, обеспечивает корректную работу с обращениями граждан, взаимодействует с надзорными органами.

Ответственного назначают приказом — это может быть как сотрудник организации, так и сам руководитель.

4. Придерживайтесь правил получения согласия на обработку

Согласие можно получать в письменной или электронной форме. При устройстве на работу нового сотрудника обычно берут согласие на обработку персональных данных (ст. 6 закона № 152-ФЗ, ст. 86 ТК РФ).

С 1 сентября 2025 года согласие должно быть оформлено отдельно от трудовых договоров и других документов. Кроме того, самостоятельными должны быть и другие виды согласий — на рекламные (информационные) рассылки и распространение данных (ст. 10.1 закона № 152-ФЗ).

Какие документы подготовить для работы с персональными данными

Количество документов находится в диапазоне от 30 до 120 — окончательный состав пакета зависит от специфики деятельности конкретного работодателя. Вот основные из них:

Политика обработки персональных данных — главный документ организации, который находится в открытом доступе (на сайте или в уголке потребителя) (п. 2 ч. 1 ст. 18.1 закона № 152-ФЗ).
Приказ об ответственном за организацию обработки персональных данных. В нем указывают уполномоченного сотрудника, а при необходимости — специалиста, который заменит ответственного на время отпуска, командировки или больничного.
Положение о персональных данных — локальный документ, в котором, например, прописывают правила доступа к личным делам сотрудников и резюме соискателей.
Перечень лиц, допущенных к обработке персональных данных. В документе перечисляют всех лиц и открытые для них участки базы данных (HR, кадровых специалистов, бухгалтеров, менеджеров по продажам и т.д).
Перечень мест хранения материальных носителей. Бумажные архивы хранятся в специально оборудованных комнатах, сейфах. Доступ к ним ограничен.
Должностные инструкции — определяют область задач конкретных специалистов.
Другие приказы, положения, инструкции и журналы.

Это базовый комплект документов — организация может составить их сама или обратиться к компетентным специалистам.

Административная ответственность работодателей

Штрафы в области персональных данных значительно выросли с 30 мая 2025 года.

1. Отсутствие уведомления в Роскомнадзор

Без уведомления операторы не могут обрабатывать резюме и анкеты соискателей, данные сотрудников. Штрафы на должностных лиц достигают 50 тыс. руб. , на организации и ИП — до 300 тыс. руб.

Кроме того, работодатели должны информировать Роскомнадзор о фактах утечки данных в течение 24 часов после инцидента. За несоблюдение этого требования должностному лицу грозит штраф до 800 тыс. руб. , организации и ИП — до 3 млн рублей.

Основание — части 10 и 11 ст. 13.11 КоАП.

2. Обработка данных без согласия физического лица

Действия с данными физического лица запрещены без его согласия, если закон не устанавливает другие случаи. Первичное нарушение влечет штрафы на должностных лиц до 300 тыс. руб. , на организации — до 700 тыс. рублей. За повторное нарушение суммы значительно выше — до 1,5 млн руб. на организации.

Основание — части 2 и 2.1 ст. 13.11 КоАП.

3. Утечка персональных данных

Штрафы за утечку персональных данных зависят от количества пострадавших физических лиц и категории персональных данных. Самые высокие санкции — за утечку биометрических данных. Наказать организации и ИП могут на сумму до 20 млн рублей.

За повторные нарушения размер штрафа рассчитывается от совокупного дохода за календарный год (от 1 до 3%), который оператор получил от реализации товаров, работ, услуг, но не менее 20 млн руб. Максимальный штраф на организацию и ИП — 500 млн рублей.

Основание — части 12–18 ст. 13.11 КоАП.

Шпаргалка по персональным данным для работодателя — 2026

В таблице — основные этапы и рекомендации:

№	Этап	Примечания
1	Подайте уведомление в Роскомнадзор	На сайте https://pd.rkn.gov.ru, через Госуслуги или в отделении на бумаге. Если включены в реестр — проверьте актуальность сведений
2	Подготовьте пакет документов	Политика обработки персональных данных, положение об обработке персональных данных, формы согласий, приказ о назначении ответственного, журнал учета паролей ИСПД и т. д.
3	Собирайте и обрабатывайте персональные данные с согласия их владельцев	Получить согласие можно в письменной или электронной форме. Проверьте, что все согласия приведены в соответствие с требованиями от 1 сентября 2025 года и оформлены как самостоятельные документы
4	Обеспечьте хранение персональных данных	Для хранения персональных данных в электронной форме используйте российские IT-решения — ПО, облака, серверы. Установите пароли и двухфакторную аутентификацию. Бумажные носители храните в закрытых помещениях и сейфах. Доступ к ним должен быть только у уполномоченных специалистов (HR, бухгалтеров, кадровых специалистов)
5	Обрабатывайте данные в соответствии с собственными целями	Запрещено запрашивать лишнюю информацию у соискателей и сотрудников. Убедитесь, что HR и рекрутеры не злоупотребляют своими обязанностями, проинформируйте их об ответственности

Нужна помощь в области обработки персональных данных? Специалисты «Центра безопасности данных» подключатся на любом этапе и помогут законно избежать штрафов и предписаний от Роскомнадзора. Обращайтесь с локальной задачей — провести экспресс-анализ, оценить эффективность существующей защиты, подготовить пакет документов. Или доверьте профессионалам создание системы защиты в вашей организации «под ключ» в соответствии с 152-ФЗ.

Наши услуги

Аудит процессов обработки персональных данных

Профессиональное выявление и описание процессов обработки персональных данных для компаний в соответствии с требованиями 152-ФЗ

Разработка документации

Приведение в соответствие требованиям 152-ФЗ. Разработка и внедрение организационных мер и пакета локальной документации по вопросам обработки и защиты персональных данных