Работа с персональными данными – неотъемлемая часть деятельности HR-специалистов и работодателей. Анкеты кандидатов, копии документов, резюме – все это содержит личную информацию, с которой нужно правильно обращаться. Ошибки при обработке персональных данных могут привести к штрафам и уголовной ответственности.
В этом материале разберем инструкцию для HR о том, как правильно организовать каждый этап жизненного цикла данных в компании: от получения согласия до хранения и последующего уничтожения.
Что такое «обработка персональных данных» в работе HR?
Обработка персональных данных – это практически любое действие с информацией о человеке согласно закону №152-ФЗ «О персональных данных». Она охватывает весь цикл работы с информацией о сотруднике как с использованием цифровых систем, так и при ручной обработке.
Прежде чем говорить об обработке, важно понимать, что именно относится к персональным данным работника. Мы подробно разобрали это в нашем главном гайде.
Какие существуют виды обработки персональных данных в работе эйчаров и специалистов по КДП:
|
Действие с персданными |
Пример в практике HR и кадровиков |
|
Сбор |
Получение резюме кандидата через сайт или на почту |
|
Запись |
Внесение данных в электронную базу или таблицу Excel |
|
Систематизация |
Сортировка резюме по должностям или датам |
|
Накопление |
Хранение личных дел сотрудников в архиве отдела кадров |
|
Хранение |
Поддержание базы данных кандидатов на корпоративном сервере |
|
Уточнение |
Внесение новой информации о сотруднике, например, при смене фамилии |
|
Извлечение |
Поиск личного дела сотрудника по запросу |
|
Использование |
Оформление приказа о приеме на работу |
|
Передача |
Отправка данных в бухгалтерию для начисления зарплаты |
|
Обезличивание |
Использование обезличенной статистики для HR-аналитики (например, по возрасту и полу сотрудников без имен) |
|
Блокировка |
Временное ограничение доступа к базе кандидатов |
|
Удаление |
Удаление резюме кандидата из базы после отказа в приеме на работу |
|
Уничтожение |
Полное уничтожение бумажных копий паспортов после окончания хранения |
|
Автоматизированная обработка |
Использование персональных данных в HRM-системах, которые сами формируют отчеты |
|
Распространение |
Публикация списка сотрудников на корпоративном сайте (требует особого согласия) |
|
Предоставление |
Выдача информации по официальному запросу налоговой |
|
Трансграничная передача |
Отправка данных в иностранный офис компании |
Любое действие с резюме, анкетами или личными делами – это уже обработка персональных данных и требует от HR-специалиста соблюдения закона.
Согласие на обработку: когда и как его получать
С 1 сентября 2025 года изменились правила получения согласия на обработку персональных данных. Теперь оно должно оформляться отдельно от любых других документов, которые подписывает человек.
Работодателям и компаниям придется убрать блоки о согласии на обработку персональных данных из:
- трудовых договоров и договоров ГПХ;
- потребительских договоров (на услуги, товары, работы);
- анкет, опросников и других стандартных форм.
Для таких случаев потребуется отдельный документ – согласие на обработку персональных данных сотрудника. Исключение составляют случаи, когда обработка необходима по закону. В остальных ситуациях HR обязан запросить согласие.
Форма согласия может быть разной:
- письменное заявление – подписывается лично при приеме на работу;
- электронная форма.
Установленного образца согласия нет, но законодательство закрепило пункты, которые обязательно должны быть в документе. Согласие работника на обработку персональных данных составляется либо в свободной форме, либо на бланке компании.
Что обязательно нужно указывать в согласии ( Федеральный закон №152-ФЗ ст. 9):
- Сведения о работодателе и сотруднике.
В документе указываются ФИО, паспортные данные и контактные данные сотрудника, а также название и адрес работодателя.
- Цель обработки персональных данных.
Целью может быть подбор персонала, оформление документов, расчет зарплаты и т.д.
Целью обработки может быть также проверка благонадежности сотрудника или кандидата, в том числе при использовании специальных сервисов, например, инструмента от компании SpectrumData.
Он позволяет безопасно и быстро получать информацию о долгах, участии в судебных делах, наличии ИП, судимости и других деталях биографии соискателя. Сервис работает только с официальными базами данных и помогает HR минимизировать риски при найме.
Попробуйте комплексную проверку соискателей и сотрудников бесплатно
Оставьте заявку на демонстрацию сервиса и получите тестовые проверки
проверка соискателя
- Перечень персданных.
В согласии перечисляют персональные данные, которыми работодатель сможет воспользоваться. Например, ФИО, паспортные данные, контакты, сведения о семье, образовании, квалификации.
- Способы обработки.
Хранение, передача в бухгалтерию, использование в кадровом документообороте – все это нужно перечислить в документе, если вы собираетесь использовать персданные для обработки.
- Срок действия согласия.
Необходимо указывать, сколько будет действовать согласие и место и время его заключения. Обычно срок действия совпадает со сроком хранения данных или длится вплоть до его отзыва работником.
Сроки и правила хранения персональных данных
HR-специалисты обязаны не только собирать и использовать персональные данные, но и правильно хранить их.
Правила хранения кадровых документов:
- бумажные версии документов должны храниться в закрытых шкафах, сейфах с ограниченным доступом или специальных помещениях;
- электронные базы нужно хранить на защищенных серверах;
- к охраняемым данным доступ должен быть только у тех специалистов, которым это необходимо по работе.
Также HR должен вести учет срока хранения документов, чтобы своевременно уничтожать устаревшие бумаги. Сроки хранения персональных данных работников определяются законодательством РФ и зависят от вида документа.
Основные сроки хранения персональных данных работников:
|
Документ |
Срок хранения |
|
Трудовой договор, личные карточки сотрудников |
50 лет (75 лет – для документов до 2003 года) |
|
Личные дела |
|
|
Приказы и распоряжения по личному составу (о приеме, переводе, увольнении, совмещении и пр.) |
|
|
Приказы об оплачиваемом отпуске, о направлении в командировку |
5 лет |
|
Документы кандидата, которого не взяли на работу |
30 дней |
|
Согласие на обработку персданных |
3 года после окончания действия (30 дней, если человек отозвал согласие) |
Уничтожение и обезличивание данных: как завершить цикл
Работа с персональными данными заканчивается не на хранении. Когда цель достигнута или срок документа истек, данные нужно либо уничтожить, либо обезличить.
Пошаговая процедура уничтожения для HR
Уничтожение персональных данных – это обязанность работодателя удалить данные сотрудника, чтобы их невозможно было восстановить.
Когда нужно уничтожать персональные данные:
- цель обработки достигнута;
- истек срок хранения;
- сотрудник отозвал согласие на обработку (уничтожить данные нужно в течение 30 дней).
Как уничтожить персональные данные:
Шаг 1. Издайте приказ.
Руководитель компании оформляет приказ об уничтожении данных и назначает комиссию. В комиссию обязательно включают ответственного за обработку персональных данных.
Шаг 2. Определите данные для уничтожения и выберите способ.
Комиссия составляет перечень документов и носителей: бумажные дела, электронные файлы, резервные копии.
Далее выбирается способ уничтожения данных:
- для бумажных носителей – шредер, разрыв, сжигание или утилизация подрядчиком;
- для электронных носителей – безопасное удаление или физическое разрушение носителя.
Шаг 3. Проведите уничтожение
Комиссия организует процесс и фиксирует дату, объем и примененный способ.
Важно! Персональные данные после уничтожения должно быть невозможно восстановить (так, уничтожить нужно и резервные копии).
Шаг 4. Оформите акт
Акт подтверждает факт уничтожения и может быть предъявлен в случае проверки или судебного разбирательства.
Скачать образец акта об уничтожении ПДн
Обезличивание: что это и зачем HR
Обезличивание персональных данных – это действия, в результате которых невозможно определить, к какому человеку относится информация. После этого сведения перестают считаться персональными и могут безопасно использоваться для аналитики или статистики.
Как организовать обезличивание данных сотрудников:
Шаг 1. Закрепите правила.
Во внутренних документах компании пропишите, какие категории персональных данных вы собираете, каким образом они используются и какими методами их можно обезличить.
Шаг 2. Назначьте ответственного или создайте комиссию.
Комиссия выявляет системы и документы с персданными и определяет, какие устарели и не имеют правового основания для хранения.
Шаг 3. Издайте приказ.
Распоряжение составляется в свободной форме. В нем фиксируются ФИО, должность и табельный номер ответственного, а также выбранный метод обезличивания.
Методы обезличивания данных, которые привел Роскомнадзор в приказе от 19.06.2025 № 140:
- замена идентификаторами: реальные данные заменяются кодами (например, вместо ФИО указывается «Сотрудник_23»);
- изменение состава сведений: лишние элементы удаляются или обобщаются (вместо полного адреса оставляют только город);
- декомпозиция: информация разделяется на несвязанные блоки, которые невозможно использовать по отдельности;
- перемешивание: внутри базы случайным образом меняются местами телефоны, даты рождения или e-mail;
- преобразование: сведения обобщаются, чтобы убрать индивидуальные характеристики.
Шаг 4. Проведите обезличивание и зафиксируйте результаты.
Примените выбранные методы обезличивания и удалите все идентифицирующие данные сотрудника. После завершения оформите акт об обезличивании и укажите, какие данные были обработаны и каким способом.
Скачать образец акта об обезличивании персданных
Уведомление Роскомнадзора об обработке ПДн
Компания, которая планирует собирать и использовать персональные сведения сотрудников, должна заранее уведомить об этом Роскомнадзор.
Как можно подать уведомление:
- Лично или почтой.
Заполненный бланк распечатывается и передается в региональное управление Роскомнадзора по месту регистрации компании.
- Через сайт Роскомнадзора.
Форма подается онлайн и заверяется усиленной квалифицированной электронной подписью (УКЭП).
- На портале Госуслуг.
Для этого нужна подтвержденная учетная запись, привязанная к юридическому лицу или ИП.
После поступления документов в течение 30 дней РКН включает компанию в реестр операторов персональных данных. Бланк уведомления утвержден Роскомнадзором, и его можно найти на официальном ресурсе ведомства.
Закон предусматривает ситуации, когда уведомление для обработки данных можно не подавать:
- работодатель ведет кадровые документы вручную, без средств автоматизации;
- персональные данные входят в государственные информационные системы (например, ФНС, Госуслуги);
- данные обрабатываются в рамках обеспечения транспортной безопасности.
В остальных случаях уведомление обязательно и подается один раз. Если компания уже включена в реестр, повторно отправлять документы не нужно.
Часто задаваемые вопросы
В чем разница между «сбором» и «записью» персональных данных?
И сбор, и запись относятся к видам обработки персональных данных. Однако сбор персданных – это первоначальное получение сведений от самого человека. Например, когда кандидат отправляет резюме по почте или заполняет анкету. А внесение этой информации в таблицы или HRM-систему – запись.
Что такое «трансграничная передача» и когда HR с ней сталкивается?
Трансграничная передача подразумевает отправку персональных данных за пределы РФ.
Для HR это актуально, если компания:
- имеет зарубежный офис;
- использует облачный сервис с серверами в другой стране;
- нанимает иностранца, который еще не въехал в Россию.
Какую «цель обработки» указать для кандидата в кадровый резерв?
Для законного хранения данных кандидата в кадровом резерве нужно указать новую цель обработки. Если сначала данные собирались «для рассмотрения на вакансию», эта цель считается завершенной после закрытия вакансии. Поэтому необходимо получить от кандидата новое согласие с целью «формирование кадрового резерва» и обозначить новый срок хранения, например, 1 год.
Автор: Дилара Ильясова
Спасибо!
Проверьте почту, мы отправили вам первое письмо с просьбой подтвердить подписку
Не удалось подписаться
Пожалуйста, попробуйте еще раз
Оставьте заявку на консультацию
Спасибо! Заявка отправлена
Наши специалисты свяжутся с вами в ближайшее время
Не удалось отправить заявку
Пожалуйста, попробуйте еще раз или свяжитесь с нами по телефону