Как организовать работу с персональными данными в компании

Организации, ИП и самозанятые, которые собирают и обрабатывают персональные данные, должны собирать согласия на обработку данных и отчитываться в Роскомнадзор. Если не выполнить требования, можно нарваться на серьёзные штрафы.

О том, что относится к персональным данным и как организовать работу с персональными данными в компании в 2025 году, рассказываем в материале.

Что относится к персональным данным

Отношения, связанные с персональными данными, регулирует Федеральный закон от 27 июля 2006 № 152-ФЗ.

Различают несколько категорий ПДн (таблица 1).

Таблица 1. Категории персональных данных

От категории ПДн зависит их уровень защиты. Требования и средства защиты изложены в документах:

• Постановлении Правительства РФ от 1 ноября 2012 № 1119;
• Приказе ФСБ России от 10 июля 2014 № 378;
• Приказе ФСТЭК России от 18.02.2013 № 21;
• Постановлении Правительства РФ от 6 июля 2008 № 512.

ПДн – это информация о человеке в совокупности, позволяющая его идентифицировать. Например, к персональным данным относятся персональные фотографии, ФИО и прописка или место работы, имя и номер телефона или адрес электронной почты.

Просто имя и фамилия человека — это ещё не персональные данные, а вот в совокупности с пропиской или номером телефона – это уже ПДн.

Когда лицо становится оператором ПДн

Если организация, ИП или физлицо работает с персональными данными, он считается оператором ПДн.

По умолчанию оператором ПДн является любой работодатель, поскольку он собирает информацию о сотрудниках.

Если компания предлагает клиентам подписаться на рассылку, заполнив форму, где нужно указать имя и контакты, она обрабатывает персональные данные.

Физлицо может выступать в роли ОПД, например, в случае составления реестра с данными, которые можно использовать для коммерческой деятельности.

Если ПДн раскрывают неопределённому кругу лиц, такие действия называют распространением персональных данных.

Что обязан сделать ОПД:

• получить согласие на обработку ПДн;
• обеспечить конфиденциальность ПДн;
• уведомить о намерении обрабатывать ПДн Роскомнадзор, единожды подав в ведомство соответствующую заявку.

Обработка ПДн может быть неавтоматизированной, когда все персональные данные на бумажных носителях, и автоматизированной, когда данные в электронном виде. Всё зависит от особенностей документооборота в компании.

Как организовать обработку ПДн в компании: алгоритм

Чтобы организовать обработку ПДн в компании, придерживайтесь несложного алгоритма.

1. Разработайте и утвердите внутреннюю политику в области обработки ПДн

Оператору ПДн следует разработать политику обработки и защиты персональных данных и положение о работе с ПДн. Установить источники обработки данных, разработать и утвердить регулирующие обработку ПДн локальные акты, ознакомить с этими документами сотрудников.

Политика обработки и защиты ПДн должна находиться в свободном доступе. Например, её можно разместить на сайте компании. В документе нужно описать все тонкости обработки ПДн: какую информацию вы храните, с какой целью, как её защищаете.

Что можно изложить в политике:

• правила обработки, хранения и использования ПДн физлиц;
• перечень документов, которые содержат ПДн и требуют защиты;
• процедуры передачи перепроверенных данных внутри организации и третьим лицам;
• список лиц, имеющих доступ к персональной информации сотрудников;
• ответственность за нарушения правил, регулирующих обработку ПДн, включая дисциплинарные, финансовые, административные, гражданско-правовые и уголовные последствия.

В положение о работе с ПДн нужно описать правила, в соответствии с которыми сотрудники компании обрабатывают и хранят данные. В документе описывают особенности работы с персональными данными клиентов или сотрудников:

• цели положения; состав ПДн; документы, которые содержат такие данные;
• особенности каждой операции с данными: получение, хранение, использования, распространение;
• гарантии конфиденциальности.

2. Назначьте ответственных за сбор и обработку ПДн

Нужно выбрать сотрудника, который возьмёт на себя ответственность по надзору за управлением ПДН внутри компании в соответствии с ч.1 ст. 18.1 и ч.1 ст. 22.1 Закона № 152-ФЗ.

Функции можно возложить, например, на руководителя кадровой службы, начальника отдела безопасности, заместителя генерального директора или кого-то ещё из высшего руководства. Для управления обработкой данных в автоматизированных системах управления и контроля доступа можно назначить руководителя IT-отдела.

3. Определите круг лиц, имеющих доступ к ПДн

Обработка ПДн для некоторых сотрудников — каждодневная функция.  Например, hr-специалисты и кадровики, которые принимают соискателей, занимаются оформлением, сканируют личные документы при трудоустройстве. 

Для таких сотрудников нужно открыть доступ и чётко регламентировать круг полномочий (абз. 6 ст. 88 ТК РФ). 

В зависимости от своего положения и должностных обязанностей сотрудники получают разный уровень доступа. Например, бухгалтеры работают со сведениями о зарплате, больничными листами, руководители подразделений могут владеть сведениями только о своих подчинённых.

С каждого сотрудника, допущенного к ПДн, следует взять Обязательство о неразглашении — односторонний документ, в котором работник обязуется не разглашать, не передавать третьим лицам, не использовать личную информацию коллег с целью получения выгоды, а кроме того, фиксирует, что предупреждён об ответственности по ст. 90 ТК РФ.

4. Обеспечьте безопасное хранение ПДн

Способ хранения зависит от особенностей обработки ПДн. В полностью автоматизированной системе меры безопасности должны соответствовать приказу ФСТЭК от 18 февраля 2013 № 21, включая:

• ограничение доступа к электронным базам данных и индивидуальной информации для различных категорий сотрудников;
• внедрение двухуровневой схемы паролей на уровне локальной сети и базы данных;
• периодическую смену паролей (обычно раз в месяц);
• предоставление ключей исключительно авторизованному персоналу.

Для неавтоматизированной обработки, когда персональные данные хранятся на бумажных носителях, необходимо:

• определить места хранения физических носителей и обеспечить персонализированный доступ;
• составить список лиц, которым разрешён доступ к хранилищу;
• при необходимости оборудовать помещения системами видеонаблюдения и сигнализации.

Документы, требующие защиты, включают личные карточки, анкеты для собеседования с кандидатами, копии паспортов и СНИЛС, бумажные трудовые книжки, документы о воинском учёте, документы об образовании и квалификации, информацию об опыте работы и предыдущих местах работы, свидетельства о браке и рождении ребёнка, справки о доходах и суммах налогов, трудовые договоры, дополнительные соглашения, приказы и их копии, а также локальные акты, уточняющие ПДн о конкретных работниках.

5. Получите согласие на обработку и распространение ПДн

Просто так собирать и работать с ПДн нельзя, необходимо получить согласие. Разработайте унифицированные формы согласий на обработку ПДн и журналы ознакомления. Так ОПД может быть уверен в том, что согласие субъекта соответствует всем требованиям и сможет подтвердить факт ознакомления сотрудников с локальными актами.

Внутри компании информация, которая стала известна работодателю:

• при оформлении в штат нового сотрудника из документов (паспорт, трудовая книжка, военный билет, диплом, СНИЛС);
• из резюме;
• на основании обязательных медицинских осмотров,

не требует получения согласия сотрудника. 

Но многие компании предпочитают получать её при приёме на работу в качестве меры предосторожности, чтобы перестраховаться и защититься от штрафов.

К распространению можно причислить, например:

• публикацию информации об образовании и опыте работы специалиста на корпоративном веб-сайте;
• в журналах или газетах;
• на рекламных буклетах;
• визитных карточках и т.п.

6. Проинформируйте субъектов ПДн о сборе персональных данных на сайте

Проведите детальный анализ корпоративных сайтов, договоров с контрагентами и других источников получения и передачи ПДн субъектов, не являющихся работниками компании.

Под всеми формами сбора персональных данных на сайте разместите документ, который будет служить основанием для обработки ПДн в соответствии с требованиями законодательства. На всех страницах сайта, где осуществляется сбор ПДн, следует разместить политику конфиденциальности ОПД.

Для сбора email-адресов, телефонов и других данных прикрепите к форме сбора заявок чекбокс, с помощью которого пользователь сможет дать согласие на обработку данных (например, поставить галочку).

Добавьте уведомление о сборе cookie-файлов. В документ, определяющий политику по обработке ПДн, включите информацию об используемых сервисах веб-аналитики.

7. Уведомьте о начале обработки персональных данных Роскомнадзор

До начала обработки ПДн в Роскомнадзор нужно направить соответствующее уведомление.

Уведомить РКН можно следующими способами:

• оправить в местное отделение Роскомнадзора распечатанный и заполненный бланк;
• заполнить, подписать и отправить документ непосредственно на сайте РКН;
• заполнить и отправить форму на «Госуслугах».

Уведомление должно содержать:

• наименование и адрес оператора;
• цель обработки;
• категории ПДн;
• категории субъектов ПДн;
• правовое основание обработки;
• описание способов обработки;
• перечень принятых мер по безопасности обработки;
• дата начала и срок (условие) прекращения обработки;
• подпись уполномоченного лица. 

Сведения по конкретному оператору регулятор внесёт в реестр в течение 30 дней с момента отправки уведомления.

Если в процессе отправки данных появятся изменения, необходимо также передать информацию в РКН.

Как накажут за нарушение закона о ПДн

Меры ответственности за нарушение Закона № 152-ФЗ установлены в ст. 13.11 КоАП. Санкции за неправильную обработку персональных данных периодически ужесточаются, вводятся новые штрафы и правила защиты. Подробнее о новых штрафах 2025 года можно узнать из нашего материала.