Документы по ПДн для работодателя: кадровые процессы и хранение

Документы по ПДн для работодателя: кадровые процессы и хранение

---

Что регулируют 152‑ФЗ и ТК РФ в кадрах

В связке «152 ФЗ кадры» работодателю нужно учитывать одновременно две плоскости регулирования:

• Федеральный закон № 152‑ФЗ «О персональных данных» — базовые принципы, цели, основания, безопасность и права субъектов. Подробно о структуре и ключевых статьях см. раздел Структура и статьи 152‑ФЗ и принципы обработки.
• Трудовой кодекс РФ — регламентирует кадровые документы, допуск к персональным данным работников, порядок хранения личных дел, медосмотров, СЗВ и т. д. В поиске это часто называют «152 ФЗ трудового кодекса» или «152 ФЗ трудового кодекса РФ», хотя корректно говорить: требования 152‑ФЗ применяются в кадровых отношениях в связке с ТК РФ.

Итог: работодатель — оператор ПДн работников и кандидатов. Он обязан оформить пакет документов, выстроить HR‑процессы, обеспечить безопасность ИСПДн и соблюдать права сотрудников. Актуальные формулировки закона смотрите в тексте 152‑ФЗ и изменениях 2025.

![Диаграмма потока ПДн в HR-процессах: отклик → собеседование → медосмотр → трудовой договор → личное дело → архив]

Документы 152‑ФЗ: какие нужны работодателю

Если кратко ответить на запрос «документы 152 фз какие», базовый набор для кадров выглядит так:

• Политика оператора по обработке ПДн (доступна работникам; при наличии сайта — публикуется). См. Политика обработки ПДн.
• Положение (локальный акт) об обработке ПДн работников и кандидатов: цели, состав ПДн, категории субъектов, сроки хранения, порядок доступа, передача и др.
• Приказ о назначении ответственного за обработку ПДн и его должностная инструкция. См. Ответственный за обработку ПДн.
• Реестр процессов и категорий ПДн (перечни информационных систем, журнал учёта обращений субъектов).
• Матрица доступа и порядок разграничения прав (HR, бухгалтерия, ИТ, руководители подразделений).
• Согласия на обработку ПДн (если требуются) и на распространение (отдельно). См. Согласие на обработку ПДн и согласие на распространение.
• Формы уведомлений субъектам и порядок ответа по правам (доступ, уточнение, блокировка, удаление). См. Права субъектов ПДн и заявления и отзыв согласия.
• Договоры поручения обработки с провайдерами (медицинские организации, аутсорсинг ЗП, облака) — см. Поручение обработки ПДн.
• Положение о безопасности ПДн и модель угроз для ИСПДн; регламенты ИБ, криптографии, резервного копирования. См. Меры безопасности, уровни защищенности ИСПДн и модель угроз.
• Регламент хранения, архивирования, блокировки и уничтожения ПДн. См. Сроки хранения ПДн и уничтожение/блокировка.
• План действий при инцидентах и порядок уведомления. См. Инциденты и утечки.

Готовые шаблоны и комплект для HR доступны в разделе Пакет документов по 152‑ФЗ и Шаблоны и формы.

Кадровые процессы: прием, перевод, увольнение

Как интегрировать требования «персональные данные трудового кодекса 152 фз» в практику:

• Прием на работу: на этапе кандидата используйте основание «принятие мер по заключению договора»; после подписания — обработка по исполнению трудового договора. Не запрашивайте лишние сведения (только то, что требует ТК РФ и профильные законы).
• Перевод/допуск к иной информации: оформляйте допсоглашения, обновляйте матрицу доступа и перечни ПДн.
• Увольнение: блокируйте ПДн по целям, переводите документы в архив и уничтожайте избыточные копии по регламенту.

Полезно закрепить жизненный цикл HR‑ПДн в локальном акте: сбор → проверка → ввод в ИСПДн → использование → передача → архив → уничтожение. Основания обработки см. в обработке без согласия.

Таблица: локальные акты и формы для HR

Документ	Для чего	Кто утверждает	Пересмотр
Политика оператора по ПДн	Публичные принципы и права субъектов	Руководитель	1 раз в год/при изменениях
Положение о ПДн работников	Полные правила HR‑обработки	Руководитель	При изменениях процессов
Приказ о назначении ответственного	Ответственность и координация	Руководитель	При смене ответственного
Матрица доступа	Ограничение доступа к досье	ИТ+HR	Ежеквартально
Реестр ИСПДн и процессов	Учет систем и целей	Ответственный	При добавлении/изменении
Формы согласий/уведомлений	Законные основания, информирование	HR/Юр	При изменении целей
Регламент хранения/уничтожения	Сроки и порядок удаления	HR+Архив	Ежегодно
План реагирования на инциденты	Минимизация ущерба, уведомления	ИБ+HR	Учения 1–2 раза в год

Согласие или иные основания: что выбрать

Согласие — не универсальный инструмент. Для кадров чаще подходят иные законные основания из 152‑ФЗ:

• Исполнение трудового договора и законные обязанности работодателя (налоги, воинский учет, охрана труда). Это ключевое основание HR‑обработки; отдельное согласие обычно не нужно.
• Правомерный интерес работодателя (например, пропускной режим без биометрии) — с обязательной оценкой интересов и фиксированием в локальном акте.
• Согласие требуется, если цель не вытекает из ТК РФ или закона (публикация фото на сайте, использование личного номера телефона в корпоративном маркетинге и т. п.), а также для распространения ПДн в интернете. См. Согласие на распространение ПДн.

Подробнее о выборе основания — в разделах Обработка без согласия и Передача третьим лицам.

Ответственный, обучение, внутренний контроль

152‑ФЗ обязывает работодателя организовать внутренний контроль, обучение сотрудников и назначить ответственного:

• Назначьте ответственного и утвердите его обязанности. См. Ответственный за обработку ПДн.
• Проведите первичное и ежегодное обучение HR, бухгалтерии, ИТ. О фиксировании обучения — в Внутренний контроль и обучение.
• Введите журнал проверок, чек‑листы, тестовые обзвоны по правам субъектов, контроль доступа к личным делам.

Хранение и архив: сроки и уничтожение

В кадровых процессах действует двойной подход:

• Сроки хранения документов по трудовому праву — по архивным перечням и отраслевым нормам.
• Сроки хранения ПДн — «до достижения целей» плюс сроки исковой давности и требования контролеров. Закрепите сроки по каждой категории ПДн в локальном акте; избегайте бессрочного хранения без обоснования.

Рекомендуется:

• Описать сроки хранения по категориям ПДн: кандидат, работник, родственники, медосмотры, СИЗ, дисциплинарные материалы, записи видеонаблюдения и т. д.
• Установить триггеры блокировки/удаления: увольнение, истечение срока, отзыв согласия.
• Зафиксировать процедуры уничтожения (акт, способ, ответственное лицо). См. Сроки хранения ПДн, Уничтожение и блокировка и Прекращение обработки.

Пример визуализации: ![Схема жизненного цикла ПДн работника: сбор → использование → архив → удаление]

Доступ и безопасность: ИСПДн, уровни и меры

Любая HR‑база — это ИСПДн. Для неё определяются уровень защищенности и набор мер безопасности:

• Классифицируйте ИСПДн, учтите особенности спецкатегорий/биометрии. См. ИСПДн: определение и требования.
• Определите уровень защищенности, модель угроз, криптографические меры при передаче данных. См. Уровни защищенности, Модель угроз, Криптография.
• Ориентируйтесь на регуляторов: требования ФСТЭК и ФСБ.
• Практические меры: разграничение прав в кадровой системе, DLP для документов с паспортами, журналирование операций, двухфакторная аутентификация, резервное копирование, шифрование ноутбуков HR, запрет пересылки ПДн в открытых мессенджерах.

Передача третьим лицам и трансграничная передача

HR‑данные нередко передаются:

• В аутсорсинг: расчет зарплаты, кадровые агентства, медклиники, банки (зарплатные проекты). Здесь нужен договор поручения и контроль мер безопасности. См. Поручение обработки ПДн.
• В государственные системы и фонды — по закону (согласие не требуется).
• За пределы РФ (ритейл‑группы, облака): оформляйте трансграничную передачу, проверяйте адекватность защиты, используйте договорные механизмы. См. Трансграничная передача ПДн.

Подробности по передачам — в разделе Передача третьим лицам.

Особые категории: медданные, биометрия, дети, видео

Чувствительные случаи требуют повышенного внимания:

• Медицинские ПДн (медосмотры, вакцинация, ЛН) — специальная категория, храните раздельно, строго ограничьте доступ. См. Медицинские ПДн и специальные категории.
• Биометрия (пропуска по отпечатку/лицу) — нужна отдельная правовая модель и часто согласие. См. Биометрические ПДн.
• Несовершеннолетние (стажеры, практиканты): дополнительное информирование и согласия от законных представителей. См. Дети и ПДн.
• Видеонаблюдение в офисе — уведомление работников, цели и сроки хранения, запрет использовать записи сверх целей. См. Видеонаблюдение и 152‑ФЗ.

Роскомнадзор: уведомление, реестр, проверки

Нужно ли уведомлять Роскомнадзор о кадровой обработке? Ответ зависит от факторов:

• Классические HR‑процессы на основании ТК РФ могут подпадать под исключения, но при наличии спецкатегорий, биометрии, трансграничной передачи, систематической записи видео, использования облаков — уведомление чаще требуется. Оцените ваш кейс в разделе Уведомление Роскомнадзора и проверьте себя в Реестре операторов.
• Готовьтесь к проверкам: журналируйте доступы, храните актуальные локальные акты, протоколы обучения, договоры поручения. См. Проверки Роскомнадзора и Подготовка к проверке.
• Знайте риски: штрафы по КоАП 13.11, судебные риски, компенсация морального вреда. Подробнее — Ответственность и штрафы и Судебная практика.

Типичные ошибки HR и чек‑лист внедрения

Ошибки:

• Избыточный сбор данных кандидатов (копии СНИЛС и паспорта до оффера без необходимости).
• «Все на согласии» — запрос согласий там, где есть законное основание или наоборот, отсутствие согласия при публикации фото.
• Отсутствие матрицы доступа и журналов — любой HR видит всё, включая медкарты.
• Бессрочное хранение анкет кандидатов без обновления согласия и актуализации целей.
• Нет регламента реагирования на инциденты: утеря флешки, отправка списка сотрудников не тому адресату.

Чек‑лист внедрения:

• Провести инвентаризацию HR‑процессов и составов ПДн (кандидаты, сотрудники, родственники, медданные, видео).
• Определить основания обработки по каждой цели; выделить, где нужно согласие.
• Утвердить политику, положение, назначить ответственного, заполнить реестр ИСПДн.
• Описать сроки хранения и порядок уничтожения; согласовать с архивом.
• Внедрить меры безопасности: разграничение прав, шифрование, DLP, резервные копии.
• Оформить договоры поручения с подрядчиками и оценить трансграничные риски.
• Настроить процесс ответов на запросы субъектов и журналирование.
• Обучить HR и смежные функции; провести тестовую проверку. См. Чек‑лист по 152‑ФЗ и Аудит соответствия.

Итоги и что делать дальше

«152 ФЗ кадры» — это не про лишнюю бумагу, а про понятные правила, минимальный сбор данных и контролируемый доступ. Соберите обязательный пакет документов, впишите требования 152‑ФЗ в кадровые регламенты ТК РФ, настройте хранение и безопасность, а также регулярное обучение сотрудников.

Следующие шаги:

• Скачайте и адаптируйте готовые формы из раздела Шаблоны и формы и Пакет документов.
• Обновите политику и локальные акты с учетом изменений 2025.
• При необходимости получите помощь экспертов — консалтинг и документы под ключ или обучение и курсы.

Дополнительно: обзор закона — О 152‑ФЗ, права и обязанности — Права субъектов, Обязанности оператора.

Если у вас остались вопросы по «персональные данные трудового кодекса 152 фз» или нужен аудит, напишите нам — подготовим документы и поможем внедрить процессы, чтобы пройти любую проверку Роскомнадзора.