Документы по ПДн для работодателя: кадровые процессы и хранение
Table of contents
- Что регулируют 152‑ФЗ и ТК РФ в кадрах
- Документы 152‑ФЗ: какие нужны работодателю
- Кадровые процессы: прием, перевод, увольнение
- Таблица: локальные акты и формы для HR
- Согласие или иные основания: что выбрать
- Ответственный, обучение, внутренний контроль
- Хранение и архив: сроки и уничтожение
- Доступ и безопасность: ИСПДн, уровни и меры
- Передача третьим лицам и трансграничная передача
- Особые категории: медданные, биометрия, дети, видео
- Роскомнадзор: уведомление, реестр, проверки
- Типичные ошибки HR и чек‑лист внедрения
- Итоги и что делать дальше
Что регулируют 152‑ФЗ и ТК РФ в кадрах
В связке «152 ФЗ кадры» работодателю нужно учитывать одновременно две плоскости регулирования:
- Федеральный закон № 152‑ФЗ «О персональных данных» — базовые принципы, цели, основания, безопасность и права субъектов. Подробно о структуре и ключевых статьях см. раздел Структура и статьи 152‑ФЗ и принципы обработки.
- Трудовой кодекс РФ — регламентирует кадровые документы, допуск к персональным данным работников, порядок хранения личных дел, медосмотров, СЗВ и т. д. В поиске это часто называют «152 ФЗ трудового кодекса» или «152 ФЗ трудового кодекса РФ», хотя корректно говорить: требования 152‑ФЗ применяются в кадровых отношениях в связке с ТК РФ.
Итог: работодатель — оператор ПДн работников и кандидатов. Он обязан оформить пакет документов, выстроить HR‑процессы, обеспечить безопасность ИСПДн и соблюдать права сотрудников. Актуальные формулировки закона смотрите в тексте 152‑ФЗ и изменениях 2025.
![Диаграмма потока ПДн в HR-процессах: отклик → собеседование → медосмотр → трудовой договор → личное дело → архив]
Документы 152‑ФЗ: какие нужны работодателю
Если кратко ответить на запрос «документы 152 фз какие», базовый набор для кадров выглядит так:
- Политика оператора по обработке ПДн (доступна работникам; при наличии сайта — публикуется). См. Политика обработки ПДн.
- Положение (локальный акт) об обработке ПДн работников и кандидатов: цели, состав ПДн, категории субъектов, сроки хранения, порядок доступа, передача и др.
- Приказ о назначении ответственного за обработку ПДн и его должностная инструкция. См. Ответственный за обработку ПДн.
- Реестр процессов и категорий ПДн (перечни информационных систем, журнал учёта обращений субъектов).
- Матрица доступа и порядок разграничения прав (HR, бухгалтерия, ИТ, руководители подразделений).
- Согласия на обработку ПДн (если требуются) и на распространение (отдельно). См. Согласие на обработку ПДн и согласие на распространение.
- Формы уведомлений субъектам и порядок ответа по правам (доступ, уточнение, блокировка, удаление). См. Права субъектов ПДн и заявления и отзыв согласия.
- Договоры поручения обработки с провайдерами (медицинские организации, аутсорсинг ЗП, облака) — см. Поручение обработки ПДн.
- Положение о безопасности ПДн и модель угроз для ИСПДн; регламенты ИБ, криптографии, резервного копирования. См. Меры безопасности, уровни защищенности ИСПДн и модель угроз.
- Регламент хранения, архивирования, блокировки и уничтожения ПДн. См. Сроки хранения ПДн и уничтожение/блокировка.
- План действий при инцидентах и порядок уведомления. См. Инциденты и утечки.
Готовые шаблоны и комплект для HR доступны в разделе Пакет документов по 152‑ФЗ и Шаблоны и формы.
Кадровые процессы: прием, перевод, увольнение
Как интегрировать требования «персональные данные трудового кодекса 152 фз» в практику:
- Прием на работу: на этапе кандидата используйте основание «принятие мер по заключению договора»; после подписания — обработка по исполнению трудового договора. Не запрашивайте лишние сведения (только то, что требует ТК РФ и профильные законы).
- Перевод/допуск к иной информации: оформляйте допсоглашения, обновляйте матрицу доступа и перечни ПДн.
- Увольнение: блокируйте ПДн по целям, переводите документы в архив и уничтожайте избыточные копии по регламенту.
Полезно закрепить жизненный цикл HR‑ПДн в локальном акте: сбор → проверка → ввод в ИСПДн → использование → передача → архив → уничтожение. Основания обработки см. в обработке без согласия.
Таблица: локальные акты и формы для HR
| Документ |
Для чего |
Кто утверждает |
Пересмотр |
| Политика оператора по ПДн |
Публичные принципы и права субъектов |
Руководитель |
1 раз в год/при изменениях |
| Положение о ПДн работников |
Полные правила HR‑обработки |
Руководитель |
При изменениях процессов |
| Приказ о назначении ответственного |
Ответственность и координация |
Руководитель |
При смене ответственного |
| Матрица доступа |
Ограничение доступа к досье |
ИТ+HR |
Ежеквартально |
| Реестр ИСПДн и процессов |
Учет систем и целей |
Ответственный |
При добавлении/изменении |
| Формы согласий/уведомлений |
Законные основания, информирование |
HR/Юр |
При изменении целей |
| Регламент хранения/уничтожения |
Сроки и порядок удаления |
HR+Архив |
Ежегодно |
| План реагирования на инциденты |
Минимизация ущерба, уведомления |
ИБ+HR |
Учения 1–2 раза в год |
Согласие или иные основания: что выбрать
Согласие — не универсальный инструмент. Для кадров чаще подходят иные законные основания из 152‑ФЗ:
- Исполнение трудового договора и законные обязанности работодателя (налоги, воинский учет, охрана труда). Это ключевое основание HR‑обработки; отдельное согласие обычно не нужно.
- Правомерный интерес работодателя (например, пропускной режим без биометрии) — с обязательной оценкой интересов и фиксированием в локальном акте.
- Согласие требуется, если цель не вытекает из ТК РФ или закона (публикация фото на сайте, использование личного номера телефона в корпоративном маркетинге и т. п.), а также для распространения ПДн в интернете. См. Согласие на распространение ПДн.
Подробнее о выборе основания — в разделах Обработка без согласия и Передача третьим лицам.
Ответственный, обучение, внутренний контроль
152‑ФЗ обязывает работодателя организовать внутренний контроль, обучение сотрудников и назначить ответственного:
- Назначьте ответственного и утвердите его обязанности. См. Ответственный за обработку ПДн.
- Проведите первичное и ежегодное обучение HR, бухгалтерии, ИТ. О фиксировании обучения — в Внутренний контроль и обучение.
- Введите журнал проверок, чек‑листы, тестовые обзвоны по правам субъектов, контроль доступа к личным делам.
Хранение и архив: сроки и уничтожение
В кадровых процессах действует двойной подход:
- Сроки хранения документов по трудовому праву — по архивным перечням и отраслевым нормам.
- Сроки хранения ПДн — «до достижения целей» плюс сроки исковой давности и требования контролеров. Закрепите сроки по каждой категории ПДн в локальном акте; избегайте бессрочного хранения без обоснования.
Рекомендуется:
- Описать сроки хранения по категориям ПДн: кандидат, работник, родственники, медосмотры, СИЗ, дисциплинарные материалы, записи видеонаблюдения и т. д.
- Установить триггеры блокировки/удаления: увольнение, истечение срока, отзыв согласия.
- Зафиксировать процедуры уничтожения (акт, способ, ответственное лицо). См. Сроки хранения ПДн, Уничтожение и блокировка и Прекращение обработки.
Пример визуализации: ![Схема жизненного цикла ПДн работника: сбор → использование → архив → удаление]
Доступ и безопасность: ИСПДн, уровни и меры
Любая HR‑база — это ИСПДн. Для неё определяются уровень защищенности и набор мер безопасности:
- Классифицируйте ИСПДн, учтите особенности спецкатегорий/биометрии. См. ИСПДн: определение и требования.
- Определите уровень защищенности, модель угроз, криптографические меры при передаче данных. См. Уровни защищенности, Модель угроз, Криптография.
- Ориентируйтесь на регуляторов: требования ФСТЭК и ФСБ.
- Практические меры: разграничение прав в кадровой системе, DLP для документов с паспортами, журналирование операций, двухфакторная аутентификация, резервное копирование, шифрование ноутбуков HR, запрет пересылки ПДн в открытых мессенджерах.
Передача третьим лицам и трансграничная передача
HR‑данные нередко передаются:
- В аутсорсинг: расчет зарплаты, кадровые агентства, медклиники, банки (зарплатные проекты). Здесь нужен договор поручения и контроль мер безопасности. См. Поручение обработки ПДн.
- В государственные системы и фонды — по закону (согласие не требуется).
- За пределы РФ (ритейл‑группы, облака): оформляйте трансграничную передачу, проверяйте адекватность защиты, используйте договорные механизмы. См. Трансграничная передача ПДн.
Подробности по передачам — в разделе Передача третьим лицам.
Особые категории: медданные, биометрия, дети, видео
Чувствительные случаи требуют повышенного внимания:
- Медицинские ПДн (медосмотры, вакцинация, ЛН) — специальная категория, храните раздельно, строго ограничьте доступ. См. Медицинские ПДн и специальные категории.
- Биометрия (пропуска по отпечатку/лицу) — нужна отдельная правовая модель и часто согласие. См. Биометрические ПДн.
- Несовершеннолетние (стажеры, практиканты): дополнительное информирование и согласия от законных представителей. См. Дети и ПДн.
- Видеонаблюдение в офисе — уведомление работников, цели и сроки хранения, запрет использовать записи сверх целей. См. Видеонаблюдение и 152‑ФЗ.
Роскомнадзор: уведомление, реестр, проверки
Нужно ли уведомлять Роскомнадзор о кадровой обработке? Ответ зависит от факторов:
- Классические HR‑процессы на основании ТК РФ могут подпадать под исключения, но при наличии спецкатегорий, биометрии, трансграничной передачи, систематической записи видео, использования облаков — уведомление чаще требуется. Оцените ваш кейс в разделе Уведомление Роскомнадзора и проверьте себя в Реестре операторов.
- Готовьтесь к проверкам: журналируйте доступы, храните актуальные локальные акты, протоколы обучения, договоры поручения. См. Проверки Роскомнадзора и Подготовка к проверке.
- Знайте риски: штрафы по КоАП 13.11, судебные риски, компенсация морального вреда. Подробнее — Ответственность и штрафы и Судебная практика.
Типичные ошибки HR и чек‑лист внедрения
Ошибки:
- Избыточный сбор данных кандидатов (копии СНИЛС и паспорта до оффера без необходимости).
- «Все на согласии» — запрос согласий там, где есть законное основание или наоборот, отсутствие согласия при публикации фото.
- Отсутствие матрицы доступа и журналов — любой HR видит всё, включая медкарты.
- Бессрочное хранение анкет кандидатов без обновления согласия и актуализации целей.
- Нет регламента реагирования на инциденты: утеря флешки, отправка списка сотрудников не тому адресату.
Чек‑лист внедрения:
- Провести инвентаризацию HR‑процессов и составов ПДн (кандидаты, сотрудники, родственники, медданные, видео).
- Определить основания обработки по каждой цели; выделить, где нужно согласие.
- Утвердить политику, положение, назначить ответственного, заполнить реестр ИСПДн.
- Описать сроки хранения и порядок уничтожения; согласовать с архивом.
- Внедрить меры безопасности: разграничение прав, шифрование, DLP, резервные копии.
- Оформить договоры поручения с подрядчиками и оценить трансграничные риски.
- Настроить процесс ответов на запросы субъектов и журналирование.
- Обучить HR и смежные функции; провести тестовую проверку. См. Чек‑лист по 152‑ФЗ и Аудит соответствия.
Итоги и что делать дальше
«152 ФЗ кадры» — это не про лишнюю бумагу, а про понятные правила, минимальный сбор данных и контролируемый доступ. Соберите обязательный пакет документов, впишите требования 152‑ФЗ в кадровые регламенты ТК РФ, настройте хранение и безопасность, а также регулярное обучение сотрудников.
Следующие шаги:
Дополнительно: обзор закона — О 152‑ФЗ, права и обязанности — Права субъектов, Обязанности оператора.
Если у вас остались вопросы по «персональные данные трудового кодекса 152 фз» или нужен аудит, напишите нам — подготовим документы и поможем внедрить процессы, чтобы пройти любую проверку Роскомнадзора.