Персональные данные сотрудников: согласия, кадровые документы, доступы и типовые нарушения

Полное руководство для HR-специалистов, кадровиков, юристов и руководителей в условиях ужесточения законодательства 2024–2025 годов

Почему эта тема стала критически важной именно сейчас

Долгие годы работодатели относились к теме персональных данных сотрудников как к формальности: получить подпись под согласием при приёме на работу, завести папку с документами — и забыть. Законодательство было мягким, штрафы копеечными, а проверки Роскомнадзора — редкими и предсказуемыми.

Сегодня всё изменилось кардинально. Законодатель последовательно ужесточает ответственность: если в 2022 году за типичное нарушение компания рисковала получить несколько тысяч рублей штрафа, то с 30 мая 2025 года за несообщение о факте утечки организации грозит от 1 до 3 миллионов рублей, а за саму утечку — от 3 до 500 миллионов рублей в зависимости от масштаба [3]. Параллельно введена уголовная ответственность: статья 272.1 УК РФ, вступившая в силу в декабре 2024 года, допускает лишение свободы на срок до 10 лет с крупным штрафом [21].

Фон для этих изменений удручающий. По данным аналитиков ГК InfoWatch, за 2024 год из российских организаций утекло 1,58 млрд записей персональных данных — рост составил более 30% по сравнению с 2023 годом [7]. Россия по итогам 2024 года заняла второе место в мире по числу инцидентов компрометации данных [55]. При этом каждый двенадцатый случай утечки в мире происходит именно в России [61].

Для работодателей это означает конкретные риски: административные штрафы, уголовное преследование должностных лиц, трудовые споры с сотрудниками, репутационные потери. В этой статье разберём, как правильно выстроить работу с персональными данными сотрудников — от согласий и кадровых документов до разграничения доступа и реакции на инциденты.

Что считается персональными данными сотрудника: от паспорта до зарплаты

Общие категории ПДн в кадровом контексте

Персональные данные — это любая информация, которая прямо или косвенно позволяет идентифицировать конкретного человека [1]. Применительно к трудовым отношениям это понятие охватывает значительно более широкий круг сведений, чем многие работодатели привыкли считать.

В стандартной кадровой практике к персональным данным работника относятся: фамилия, имя, отчество и дата рождения; паспортные данные и СНИЛС; ИНН; адрес регистрации и проживания; контактные телефоны и адреса электронной почты; сведения об образовании и квалификации; данные о трудовом стаже и предыдущих местах работы; сведения о составе семьи (для расчёта налоговых вычетов и больничных); размер заработной платы [38]. Письмо Роскомнадзора от 07.02.2014 №08КМ-3681 прямо указывает, что сведения о зарплате относятся к персональным данным [11].

Важно понимать: персональные данные — это не только то, что хранится в личном деле. Каждое резюме кандидата, заявление сотрудника, медицинская справка, приказ о командировке, расчётный листок — все эти документы содержат охраняемые сведения. Их неправильное хранение, передача или уничтожение влечёт ответственность.

Специальные категории: здоровье, биометрия, судимость

Законодательство выделяет особо чувствительные категории, обработка которых требует отдельного письменного согласия сотрудника либо прямого указания в специальном федеральном законе [1]:

Сведения о состоянии здоровья. Работодатель вправе запрашивать медицинскую информацию лишь в случаях, когда это прямо предусмотрено законом: при прохождении обязательного медосмотра, оформлении больничного листа, получении льгот по инвалидности. Собирать медицинские данные «на всякий случай» или передавать их в рекламных целях запрещено [1].

Биометрические персональные данные — фотографии, отпечатки пальцев, данные радужки глаза, образцы голоса. Широко используются в системах контроля доступа (СКУД), применяются при идентификации в ЕСИА/ЕБС. С 1 января 2025 года операторы, работающие с биометрией, обязаны использовать унифицированные формы согласий [37]. За повторную утечку биометрических данных минимальный штраф составляет 25 млн рублей, максимальный — 500 млн рублей [21].

Сведения о судимости относятся к специальным категориям. Работодатель не вправе запрашивать эти данные самостоятельно без согласия кандидата, кроме случаев, когда наличие или отсутствие судимости является обязательным условием допуска к работе (педагоги, медработники, государственные служащие и ряд других категорий) [32]. Запрос таких данных у кандидата без оформления письменного согласия — прямое нарушение ч.2 ст.13.11 КоАП РФ, штраф для организации составляет от 300 000 до 700 000 рублей [32].

Где живут ПДн: скрытые источники в корпоративных системах

Распространённое заблуждение — считать, что персональные данные сотрудников хранятся только в личных делах и кадровой системе. На практике ПДн «расползаются» по всему IT-ландшафту компании:

В системах 1С (зарплата, кадры, бухгалтерия) хранятся полные паспортные данные, ИНН, СНИЛС, банковские реквизиты, данные о зарплате и премиях, сведения о детях для вычетов. В корпоративной почте — персональные данные из переписки, документы с вложениями, уведомления из СЭДО. В CRM-системах — контактная информация, если в CRM заносятся сотрудники-исполнители. В Active Directory / LDAP — логины, почтовые адреса, должности, подразделения. В системах контроля доступа — биометрия, данные о перемещениях сотрудников. В облачных хранилищах и корпоративных файловых серверах — сканы документов, договоры, медицинские справки. В системах КЭДО и кадрового документооборота — полный пакет кадровых документов в электронном виде.

Каждый из этих источников является информационной системой персональных данных (ИСПДн) в терминах 152-ФЗ [8]. Для каждой из них требуется: документальное описание, включение в реестр ИСПДн, разграничение доступа, технические меры защиты.

Правовая база: ФЗ-152, ТК РФ и новые изменения 2024–2025

152-ФЗ — фундамент регулирования

Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» — основополагающий нормативный акт, регулирующий все аспекты работы с персональными данными [1]. Закон претерпел существенные изменения в 2022–2025 годах: только за 2024–2025 годы были приняты поправки федеральными законами №233-ФЗ (2024), №420-ФЗ (2024), №421-ФЗ (2024), №23-ФЗ (2025), №121-ФЗ (2025), №156-ФЗ (2025) [5].

Ключевые принципы 152-ФЗ, которые должен соблюдать каждый работодатель:

Законность и справедливость обработки — для каждого действия с ПДн должно быть одно из законных оснований, перечисленных в ст.6 закона [3]. Ограничение цели — нельзя использовать данные в целях, несовместимых с теми, для которых они собирались. Минимизация данных — обрабатываться должны только те данные, которые необходимы для достижения конкретной цели. Точность данных — необходимо обеспечивать актуальность и достоверность хранимых сведений. Ограничение хранения — данные нельзя хранить дольше, чем это необходимо для заявленной цели.

Оператор персональных данных — организация или ИП, которые организуют и (или) осуществляют обработку персональных данных [8]. Все работодатели без исключения являются операторами применительно к данным своих сотрудников [11].

Глава 14 ТК РФ — специальный режим для работодателей

Трудовой кодекс Российской Федерации устанавливает специальные требования к работе с персональными данными работников в Главе 14 (статьи 86–90) [23]. Эти нормы применяются в совокупности с 152-ФЗ и в ряде случаев устанавливают более жёсткие ограничения.

Статья 86 ТК РФ закрепляет фундаментальные принципы [30]:

Все персональные данные работника следует получать у него самого — у третьих лиц без письменного согласия работника это допустимо лишь в исключительных случаях.

Объём обрабатываемых данных должен быть минимально необходимым: сисадмину не нужны данные о воинском учёте, а бухгалтеру — личный номер телефона сотрудника для экстренной связи [8].

Работодатель не вправе получать данные о членстве работника в профсоюзах, его религиозных убеждениях, политических взглядах — кроме случаев, прямо предусмотренных законом.

Работники должны быть ознакомлены под роспись с документами, регулирующими порядок обработки их ПДн.

Статья 88 ТК РФ регулирует передачу ПДн работника третьим лицам: без письменного согласия работника передавать сведения о нём в коммерческих целях запрещено [31]. Исключения — ситуации, когда это необходимо для предотвращения угрозы жизни и здоровью работника, либо предусмотрено ТК РФ или федеральными законами.

Статья 90 ТК РФ устанавливает, что лица, виновные в нарушении норм о защите персональных данных работника, несут дисциплинарную, материальную, гражданско-правовую, административную и уголовную ответственность [27].

Что изменилось в 2024–2025 годах

2024–2025 годы стали периодом наиболее масштабных изменений в сфере защиты персональных данных за последнее десятилетие. Ключевые нововведения:

С 11 декабря 2024 года введена уголовная ответственность за незаконный оборот персональных данных — статья 272.1 УК РФ. Наказание зависит от масштаба нарушения: от штрафа до 300 тысяч рублей до лишения свободы на срок до 10 лет при наступлении тяжких последствий или совершении преступления организованной группой [21].

С 30 мая 2025 года вступили в силу новые размеры административных штрафов (Федеральный закон №420-ФЗ от 30.11.2024). Санкции выросли в несколько раз по сравнению с предыдущими значениями [12].

С 1 июля 2025 года действуют новые требования к локализации персональных данных: запрещено использовать программное обеспечение, серверы и базы данных, расположенные за рубежом, для первичной обработки ПДн российских граждан [39].

С 1 сентября 2025 года согласие на обработку персональных данных должно быть оформлено отдельным документом — включение его в текст договора или другого документа стало недопустимым [4].

С 1 марта 2025 года введена обновлённая форма уведомления в Роскомнадзор об обработке персональных данных [41].

Требование вести электронный журнал учёта обработки персональных данных (Приказ Роскомнадзора от 20.01.2025 №18) с хранением записей не менее 10 лет [34].

Обязанность уведомить Роскомнадзор об утечке в течение 24 часов после её обнаружения (предварительное уведомление), а затем в течение 72 часов — направить повторное уведомление с результатами внутреннего расследования [17].

Согласие на обработку персональных данных: когда нужно и когда нет

Когда согласие не требуется по закону

Вопреки распространённому заблуждению, работодателю далеко не всегда нужно получать согласие сотрудника на обработку его персональных данных. Статья 6 Федерального закона №152-ФЗ содержит перечень оснований, при наличии которых обработка допустима без согласия субъекта [1].

Для трудовых отношений ключевым основанием является пункт 5 части 1 статьи 6 152-ФЗ: обработка необходима для исполнения договора, стороной которого является субъект персональных данных. Это означает, что работодателю для обработки данных в рамках трудового договора (начисление зарплаты, кадровый учёт, табельный учёт, предоставление отпусков, оформление больничных) согласие работника формально не требуется [11].

Также согласие не нужно при передаче данных в государственные органы в соответствии с законодательством: в налоговую службу, Социальный фонд России, военкомат, прокуратуру по запросу [31]. Не требуется согласия и для выполнения обязанностей, прямо возложенных на работодателя федеральными законами: подача сведений в СФР, формирование трудовой книжки, направление на обязательный медосмотр.

Однако отсутствие формальной обязанности получить согласие не означает, что от его получения следует отказываться полностью. С практической точки зрения наличие подписанного согласия — дополнительная защита работодателя при возможных спорах и проверках.

Когда без согласия не обойтись

Согласие обязательно в случаях, когда обработка выходит за пределы непосредственного исполнения трудового договора:

Использование фотографии сотрудника в корпоративных материалах, на сайте компании, в рекламных публикациях — даже внутри интранета [67].

Передача персональных данных третьим лицам в коммерческих целях: банкам (для зарплатного проекта), страховым компаниям (для корпоративного ДМС), сервисам корпоративного такси и т.д. [67].

Обработка специальных категорий персональных данных: сведений о состоянии здоровья (кроме случаев, предусмотренных законом), биометрических данных [1].

Размещение персональных данных в общедоступных источниках: справочниках, корпоративном сайте, реестрах поставщиков и т.п. [1].

Работа с данными кандидата на вакансию при проверке безопасности (в том числе запрос данных о судимости) [32].

Новые требования к форме согласия с 1 сентября 2025 года

До 1 сентября 2025 года практика включения согласия в текст трудового договора, анкеты при приёме на работу или иных документов была широко распространена. После вступления в силу изменений в статью 9 Федерального закона №152-ФЗ согласие должно быть оформлено как самостоятельный документ [4].

Согласие с 1 сентября 2025 года должно содержать [4, 2]:

• полное наименование и адрес оператора;
• цель обработки персональных данных (конкретная, а не общая);
• перечень конкретных персональных данных, на обработку которых даётся согласие;
• перечень действий с персональными данными (сбор, хранение, передача и т.д.);
• срок действия согласия и порядок его отзыва;
• подпись субъекта персональных данных.

Согласие должно быть однозначным — никаких формулировок «подразумевается» или «считается полученным при регистрации» [7]. Отзыв согласия должен быть реально возможным и не влечь негативных последствий для субъекта [2].

Для организаций особую практическую значимость имеет хранение согласий: работодатель должен уметь доказать факт их получения при проверке. Согласие в электронной форме с использованием УКЭП также допустимо [34].

Типичные ошибки при получении согласий

Ошибка 1. Одно общее согласие «на всё». Нельзя получить одно согласие, которое охватывало бы всё — от расчёта зарплаты до публикации фото на сайте. Для каждой самостоятельной цели должно быть своё отдельное согласие [7].

Ошибка 2. Согласие включено в трудовой договор (недопустимо с 01.09.2025). Это прямое нарушение обновлённой редакции ст.9 152-ФЗ [4].

Ошибка 3. Согласие на обработку биометрии не выделено отдельно от иных согласий. Согласие на обработку биометрических данных должно быть самостоятельным документом [1].

Ошибка 4. Нет процедуры отзыва согласия. Если сотрудник захочет отозвать согласие, должна быть понятная процедура и механизм уничтожения данных, обработка которых основана исключительно на этом согласии [2].

Ошибка 5. Согласие взято «под давлением» — в пакете документов при приёме на работу, без реальной возможности отказаться. Такое согласие юридически уязвимо, поскольку по закону оно должно быть свободным [2].

Кадровые документы с персональными данными: полный реестр

Обязательный документальный пакет

Каждый работодатель обязан иметь комплект документов, регулирующих работу с персональными данными [62, 63]. По оценке специалистов, полный пакет включает более 60 документов: политики, регламенты, приказы, журналы, формы, акты [71]. Среди обязательных:

Политика в отношении обработки персональных данных — основополагающий документ, который должен быть размещён в открытом доступе (на сайте организации или иным образом, обеспечивающим доступность для субъектов ПДн) [63].

Положение о защите персональных данных работников (требование ст.87 ТК РФ). В нём прописываются правила получения, хранения, использования и передачи ПДн [8, 68].

Приказ о назначении ответственного за организацию обработки персональных данных (требование ст.22.1 Закона №152-ФЗ). Без такого приказа Роскомнадзор штрафует руководителя организации [38].

Приказ об утверждении перечня лиц, имеющих право доступа к персональным данным работников [64].

Матрица доступа — документ, отражающий полномочия пользователей по выполнению конкретных действий в отношении конкретных информационных ресурсов ИСПДн [47].

Обязательство о неразглашении персональных данных — подписывается каждым сотрудником, имеющим доступ к ПДн [62].

Формы согласий на обработку персональных данных (отдельные формы для разных целей) [64].

Уведомление Роскомнадзора о начале обработки персональных данных — подаётся до начала обработки данных сотрудников [66].

Кадровые документы, содержащие ПДн: трудовой договор, приказы о приёме/увольнении/переводе, личная карточка Т-2, трудовая книжка (бумажная или электронная), документы воинского учёта, листки нетрудоспособности, расчётные листки [65].

Электронный журнал учёта обработки ПДн

С принятием Приказа Роскомнадзора от 20.01.2025 №18 все работодатели обязаны вести электронный журнал учёта операций с персональными данными. Данные должны храниться не менее 10 лет и быть доступны для проверки [34].

Журнал должен фиксировать: дату и время каждой операции с ПДн; идентификатор пользователя, выполнившего операцию; вид операции (чтение, запись, передача, удаление); идентификатор субъекта ПДн, данные которого обрабатывались.

Это требование де-факто означает необходимость внедрения систем аудита и журналирования в корпоративных информационных системах, где хранятся персональные данные.

Политика обработки ПДн и локальные акты

Политика обработки персональных данных — это не просто формальный документ, который публикуется «чтобы было». Роскомнадзор при проверках анализирует её содержание и соответствие реальным практикам организации.

В политику необходимо включить: перечень категорий субъектов и категорий обрабатываемых ПДн; цели обработки для каждой категории; правовые основания обработки; перечень ИСПДн организации; сведения о трансграничной передаче данных (если есть); сроки обработки и хранения ПДн; порядок уничтожения данных; права субъектов ПДн и порядок их реализации [69].

С 2025 года особое внимание уделяется актуальности политики: если в ней указано, что данные не передаются третьим лицам, а по факту передаются сервисам расчёта зарплаты или такси — это нарушение [71].

Сроки хранения: что и сколько держать

Сроки хранения кадровых документов установлены Приказом Росархива от 20.12.2019 №236. Основные правила:

Трудовые договоры, личные карточки Т-2 — 50 лет (для документов, созданных с 2003 года) или 75 лет (для более ранних).

Документы о командировках — 5 лет.

Больничные листы и документы по оплате труда — до ликвидации организации, не менее 5 лет.

Согласия на обработку персональных данных — в течение срока действия + не менее 3 лет после его истечения.

Хранить данные дольше заявленного срока без соответствующих оснований — тоже нарушение. Штрафы за несоблюдение сроков хранения составляют для организаций от 50 000 до 100 000 рублей [34]. За преждевременное уничтожение кадровых документов предусмотрен штраф до 500 000 рублей [34].

При уничтожении носителей с ПДн составляется акт об уничтожении — этот документ должен храниться как подтверждение соблюдения требований закона [63].

Разграничение доступа к персональным данным

Принцип минимальной необходимости

Статья 86 ТК РФ закрепляет один из ключевых принципов: при определении объёма обрабатываемых данных работодатель должен руководствоваться принципом минимальной необходимости [30]. Это означает, что каждый сотрудник должен иметь доступ только к тем ПДн, которые ему нужны для выполнения конкретных должностных обязанностей.

На практике этот принцип нарушается очень часто. Типичная ситуация: сисадмин, имеющий административный доступ к базам данных 1С, фактически видит все зарплаты, паспортные данные и СНИЛС всех сотрудников — хотя для выполнения его функций это совершенно не нужно [8].

Разграничение доступа к ПДн — это не только юридическое требование, но и важнейшая мера защиты от внутренних угроз. По данным InfoWatch, в 2024 году 18,5% утечек персональных данных из российских компаний произошло по вине внутренних нарушителей [57].

Матрица доступа: что это и как составить

Матрица доступа — документ, в котором в табличной форме отражены права всех групп пользователей информационных систем на действия с персональными данными [42]. Для операторов персональных данных наличие матрицы доступа прямо предусмотрено законом, а её отсутствие при проверке может привести к штрафу [44].

Структура матрицы доступа включает: перечень информационных ресурсов (системы 1С, КЭДО, корпоративная почта, файловый сервер и т.д.); перечень ролей/должностей, которым предоставляется доступ; типы доступа для каждой роли (чтение, запись, изменение, удаление) [47].

Пример распределения доступа к ПДн сотрудников:

Кадровик — полный доступ к личным карточкам, договорам, приказам; без доступа к платёжным реквизитам и расчётным данным.

Бухгалтер — доступ к СНИЛС, ИНН, банковским реквизитам для начисления зарплаты; без доступа к медицинским данным и документам воинского учёта.

Непосредственный руководитель — доступ к табельному учёту и документам о командировках своего подразделения; без доступа к персональным данным сотрудников других подразделений.

IT-администратор — технический доступ к системам, но с ограничением на просмотр содержимого персональных данных (только работа со структурой, но не с конкретными значениями полей).

Сотрудник службы безопасности — доступ к данным о перемещениях в рамках СКУД; без доступа к медицинским данным и финансовым сведениям [43].

Матрицу доступа необходимо регулярно пересматривать. Процедура ресертификации прав доступа — проверка актуальности назначенных привилегий — рекомендуется проводить не реже одного раза в год, а также при изменении политик ИБ, реструктуризациях и кадровых перестановках [50].

Особые риски: кадровики, ИТ-администраторы, подрядчики

Три группы сотрудников заслуживают отдельного внимания с точки зрения контроля доступа к ПДн.

Кадровики и HR-специалисты по роду деятельности имеют самый широкий доступ к персональным данным. Именно их ошибки и умышленные действия — частый источник инцидентов. Необходимо: разграничить доступ между кадровиком и бухгалтером; контролировать операции с ПДн через систему аудита; ввести обязательное обучение требованиям 152-ФЗ [70].

ИТ-администраторы имеют привилегированный технический доступ к системам, который необходимо отдельно контролировать. Принцип «четырёх глаз» (двое сотрудников ИТ видят критические операции), логирование всех действий с административными правами, регулярный аудит привилегированных учётных записей — обязательные меры [50].

Подрядчики и аутсорсинговые компании — аутсорсинг бухгалтерии, IT-сопровождение, облачные провайдеры — обрабатывают ПДн работников по поручению работодателя. Для них необходимо заключать договор поручения обработки ПДн (ст.6 ч.3 152-ФЗ), в котором прописаны объём операций, обязанность соблюдения конфиденциальности и ответственность [62].

Что происходит с доступом при увольнении

Один из наиболее критических и часто упускаемых моментов — своевременное прекращение доступа к ПДн при увольнении сотрудника. Типичная картина: сотрудник уволен, но его учётная запись в 1С, корпоративной почте, КЭДО деактивирована через несколько недель или даже месяцев.

Автоматизированные системы управления доступом (IdM/IGA) решают эту проблему через автоматическую синхронизацию с кадровыми данными: при увольнении сотрудника доступ ко всем системам отзывается одновременно [51]. Без автоматизации необходим чёткий регламент: кадровик уведомляет ИТ в день увольнения, ИТ блокирует все учётные записи в течение установленного срока (рекомендуется — не позднее конца рабочего дня увольнения).

Типовые нарушения и как они выявляются

Топ-10 нарушений по данным судебной практики

Анализ судебной практики и материалов проверок Роскомнадзора позволяет выделить следующие наиболее распространённые нарушения:

1. Обработка ПДн без надлежащего правового основания или без согласия (когда оно необходимо). Штраф для организации — от 300 000 до 700 000 рублей, при повторном нарушении до 1,5 млн рублей [39].
2. Включение согласия в текст трудового договора или иных документов (с 01.09.2025 недопустимо). Штраф — те же санкции по ч.2 ст.13.11 КоАП РФ [4].
3. Запрос избыточных данных — сбор сведений, не связанных с трудовой деятельностью и не предусмотренных законом (например, данных о религиозных убеждениях или сексуальной ориентации) [30].
4. Передача ПДн работника третьим лицам без его письменного согласия — в коллекторские агентства, финансовые организации, маркетинговые компании [31].
5. Отсутствие или несоответствие законодательству Положения о персональных данных и других обязательных локальных актов [65].
6. Необеспечение конфиденциальности ПДн — хранение личных дел в незапертых шкафах, пересылка сканов паспортов по незащищённой корпоративной почте, доступные всем сотрудникам папки с документами [68].
7. Непостановка на учёт в Роскомнадзоре. С 30 мая 2025 года штраф для организации составляет от 100 000 до 300 000 рублей [12].
8. Хранение ПДн за пределами территории Российской Федерации без надлежащих оснований (с 01.07.2025 — прямой запрет) [39].
9. Непредоставление сотруднику информации о том, как обрабатываются его данные, и нарушение его права на доступ к своим ПДн [33].
10. Несообщение о факте утечки в Роскомнадзор в установленные сроки (24 часа для предварительного уведомления, 72 часа для итогового) [17].

Внутренние нарушители: статистика и причины

По данным ГК InfoWatch, в 2024 году доля инцидентов с участием внутренних нарушителей выросла до 18,5%. Практически все умышленные внутренние утечки — 98% от общего числа [57].

Почему сотрудники становятся нарушителями? Аналитики выделяют несколько ключевых причин:

Корыстный мотив — продажа баз данных конкурентам, мошенникам или через даркнет. Показательный пример: в Новосибирске трое сотрудников ФНС продали данные о 40 тысячах компаний [56].

Гибридные атаки — сотрудничество внутренних инсайдеров с внешними злоумышленниками, когда первые предоставляют доступ, а вторые проводят атаку [53].

Халатность — непреднамеренные нарушения из-за незнания требований закона, несоблюдения процедур, ошибок в настройке систем.

Мести при увольнении — бывшие сотрудники с не отозванными своевременно правами доступа.

В СБИС прямо указывают на реальный риск: кадровик, сообщающий кому-то по электронной почте о психическом заболевании работника, или айтишник, допускающий виновную утечку данных, несут уголовную ответственность по ч.2 ст.137 УК РФ — штраф до 300 тысяч рублей или лишение свободы [38].

Нарушения при передаче данных третьим лицам

Передача ПДн сотрудников третьим лицам — область с высокой концентрацией нарушений. Типичные ситуации:

Зарплатный проект в банке. Для перечисления зарплаты банку передаются ФИО, реквизиты, СНИЛС. Необходимо получить отдельное письменное согласие сотрудника с указанием конкретного банка. Изменение банка-партнёра требует нового согласия [67].

Корпоративное ДМС. Страховая компания получает данные о состоянии здоровья — специальная категория ПДн. Требуется отдельное согласие с указанием страховой компании и перечня передаваемых данных [67].

Аутсорсинговая бухгалтерия или расчёт зарплаты. Сторонняя компания, выполняющая расчёт зарплаты, — это обработчик данных по поручению. Необходим договор поручения обработки ПДн со всеми обязательными реквизитами [62].

Корпоративное такси и доставка. Передача данных сотрудника для вызова такси или доставки — передача третьему лицу, требующая согласия [67].

Проверка кандидата через HR-сервисы и базы данных. Использование сторонних сервисов для проверки кандидатов (сервисы «Контур.Фокус», сведения из судебных баз и т.п.) — обработка ПДн через третье лицо, требующая согласия кандидата [32].

Ответственность: штрафы, уголовка и трудовые меры

Административные штрафы с 30 мая 2025 года

Федеральным законом от 30.11.2024 №420-ФЗ с 30 мая 2025 года введены новые размеры административных штрафов за нарушения в области персональных данных [3, 15]. Ниже приведены основные составы:

Обработка ПДн без согласия субъекта (если оно необходимо): для должностных лиц — от 100 000 до 300 000 рублей; для организаций — от 300 000 до 700 000 рублей; при повторном нарушении — до 1,5 млн рублей для организаций [39].

Неуведомление Роскомнадзора о начале обработки ПДн: для должностных лиц — от 30 000 до 50 000 рублей; для организаций — от 100 000 до 300 000 рублей [12].

Неуведомление об утечке: для организаций — от 1 до 3 млн рублей [12].

Утечка персональных данных от 1 000 до 10 000 человек: для организаций — от 3 до 5 млн рублей [19].

Утечка от 10 000 до 100 000 человек: для организаций — от 5 до 10 млн рублей [15].

Утечка свыше 100 000 человек: для организаций — от 10 до 15 млн рублей [15].

Повторная утечка от 1 до 3% годовой выручки организации в пределах от 20 млн до 500 млн рублей [15].

Повторная утечка биометрических данных: от 25 до 500 млн рублей [21].

Нарушение требований к локализации ПДн: до 6 млн рублей, при повторном нарушении — до 18 млн рублей [39].

Уголовная ответственность по ст.272.1 УК РФ

С 11 декабря 2024 года действует статья 272.1 УК РФ «Незаконное использование, передача, сбор или хранение компьютерной информации, содержащей персональные данные» [21, 37].

За незаконный сбор, хранение или передачу ПДн с использованием компьютерной техники:

• до 4 лет лишения свободы или штраф до 700 000 рублей;

при использовании служебного положения или из корыстных побуждений:

• до 5 лет лишения свободы или штраф до 1 000 000 рублей;

при наступлении тяжких последствий или совершении организованной группой:

• до 10 лет лишения свободы со штрафом до 3 000 000 рублей [21].

Закон не распространяется на обработку ПДн физическими лицами исключительно для личных и семейных нужд [21].

Параллельно сохраняет действие статья 137 УК РФ «Нарушение неприкосновенности частной жизни» — при разглашении конфиденциальных ПДн сотрудника по ч.2 (с использованием служебного положения) предусмотрен штраф до 300 000 рублей или лишение свободы до 4 лет [38].

Ответственность конкретных сотрудников

Важно понимать: за нарушения в сфере ПДн к ответственности могут быть привлечены не только организация, но и конкретные физические лица — должностные лица и рядовые сотрудники.

Дисциплинарная ответственность (замечание, выговор, увольнение по п.6 ч.1 ст.81 ТК РФ — разглашение охраняемой законом тайны) применяется за нарушения требований внутренних локальных актов о ПДн [90 ТК РФ].

Материальная ответственность наступает при причинении прямого действительного ущерба организации в результате разглашения ПДн.

Административная ответственность как должностного лица — при нарушении любого из составов ст.13.11 КоАП РФ конкретным руководителем или ответственным сотрудником.

Уголовная ответственность — при доказанном умысле, использовании служебного положения, наступлении тяжких последствий [21].

Практический чек-лист для работодателя

Проверьте соответствие вашей организации текущим требованиям по следующим позициям:

Организационные меры:

• Назначен приказом ответственный за организацию обработки ПДн (ст.22.1 152-ФЗ).
• Разработано и актуализировано Положение о защите персональных данных работников.
• Разработана Политика обработки ПДн и размещена в открытом доступе.
• Утверждён перечень лиц, имеющих доступ к ПДн (с матрицей доступа по должностям).
• Все сотрудники, имеющие доступ к ПДн, подписали обязательство о неразглашении.
• Проведено обучение сотрудников требованиям 152-ФЗ.

Согласия:

• Согласие на обработку ПДн оформлено как отдельный документ (требование с 01.09.2025).
• Имеются отдельные согласия для каждой самостоятельной цели (публикация фото, передача в банк, страховая компания и т.д.).
• Для кандидатов получены согласия до начала проверки их данных.

Уведомление Роскомнадзора:

• Организация внесена в реестр операторов ПДн (уведомление подано по форме от 01.03.2025).
• При изменении условий обработки своевременно подаётся обновлённое уведомление.

Технические меры:

• Ведётся электронный журнал учёта операций с ПДн (с 2025 года) с хранением записей 10 лет.
• ПДн хранятся только на серверах/в системах, расположенных на территории РФ (с 01.07.2025).
• Настроено разграничение доступа к ИСПДн в соответствии с матрицей доступа.
• При увольнении сотрудника доступ ко всем ИСПДн отзывается в установленные сроки.

Реагирование на инциденты:

• Утверждён план реагирования на утечку ПДн.
• При обнаружении утечки: уведомить Роскомнадзор в течение 24 часов (предварительно) и в течение 72 часов (с результатами расследования).

Ошибки и риски: как не попасть под проверку

Роскомнадзор проводит плановые проверки раз в три года, но внеплановые — по жалобам субъектов ПДн — могут случиться в любой момент [18]. По данным системы Главбух, около половины компаний в России рискуют получить штраф за то, что не уведомили о начале обработки персональных данных [13].

Самые опасные ситуации, которые провоцируют проверки:

Жалоба сотрудника. Уволенный работник, которому отказали в доступе к его собственным данным или чьи данные передали третьим лицам без согласия, может подать жалобу в Роскомнадзор. Роскомнадзор обязан её рассмотреть.

Публичная утечка данных. Если данные сотрудников появились в открытом доступе или в даркнете, регулятор инициирует расследование. Несвоевременное уведомление об утечке — отдельный состав нарушения.

Инцидент с подрядчиком. Если аутсорсинговый провайдер допустил утечку, ответственность несёт оператор данных — то есть работодатель, передавший данные. Поэтому тщательный выбор подрядчиков и договоры с условиями о конфиденциальности — критически важны.

Проверка по заявлению конкурентов или СМИ. В 2023–2024 годах участились случаи, когда публикации в СМИ о небезопасном хранении данных становились поводом для инициирования проверок.

Профилактические меры, значительно снижающие риски:

Регулярный внутренний аудит обработки ПДн (не реже раза в год или при существенных изменениях в компании — реструктуризация, внедрение новых систем, смена подрядчиков).

Актуализация документации при каждом изменении законодательства. В 2024–2025 годах такие изменения происходили несколько раз в год.

Обучение сотрудников — не формальное ознакомление под роспись, а реальное понимание, что можно делать с данными, а что нельзя.

Тренды: что будет дальше

Ряд тенденций уже определяет направление дальнейшего развития регулирования.

Ужесточение ответственности продолжится. Вектор на увеличение штрафов, введение оборотных санкций и уголовной ответственности, заданный в 2024–2025 годах, является устойчивым. Можно ожидать дальнейшего расширения перечня составов и субъектов ответственности.

Цифровизация контроля. Роскомнадзор планомерно автоматизирует мониторинг: анализ даркнета, выявление утечек через OSINT-инструменты, мониторинг реестра операторов. Это означает, что нарушения будут выявляться быстрее и чаще.

Требования к обезличиванию данных. С сентября 2025 года вступили в силу новые методы и требования к обезличиванию ПДн (Постановление Правительства РФ от 01.08.2025 №1154) [10]. Обезличивание становится важным инструментом: обработка обезличенных данных сопряжена с существенно меньшими правовыми рисками.

Рост значимости КЭДО и технических средств защиты. Кадровый электронный документооборот (КЭДО) позволяет обеспечить юридически значимую фиксацию факта получения согласий, ведение журналов операций и контроль доступа. Роль технических средств защиты ПДн будет только расти.

Повышение требований к подрядчикам и цепочкам обработки. Регулятор уделяет всё больше внимания не только самому оператору, но и его подрядчикам. Аутсорсинговые компании, облачные провайдеры, HR-платформы — все они должны соответствовать требованиям 152-ФЗ.

«Пятый фактор»: автоматический контроль ПДн в корпоративных системах

Практика показывает, что одна из самых сложных задач при работе с персональными данными сотрудников — это не оформить правильные бумаги, а понять, где фактически хранятся ПДн в корпоративной инфраструктуре. Базы данных 1С, почтовые серверы, файловые хранилища, системы КЭДО, CRM, интеграции с внешними сервисами — в крупной компании персональные данные рассеяны по десяткам систем, многие из которых IT-служба и кадры даже не считают источниками ПДн.

Именно этот «слепой угол» становится причиной большинства серьёзных нарушений и штрафов: компания не знает о рисках, потому что не видит полной картины.

Платформа «Пятый фактор» решает эту задачу: она автоматически обнаруживает, инвентаризирует и обеспечивает непрерывный контроль персональных данных во всех корпоративных системах — базах данных, файловых хранилищах, почте, Active Directory / LDAP, CRM, 1С, API и других источниках.

Ключевое техническое отличие платформы — принцип privacy-by-design: система работает исключительно с метаданными, структурой данных и агрегатами, не передавая и не сохраняя «сырые» значения ПДн. Это означает, что сама платформа не становится дополнительным источником риска — важнейшее преимущество при работе с данными сотрудников, составляющими врачебную тайну, сведениями о здоровье, биометрией.

Что получает компания в результате:

Живую «карту ПДн» — актуальное представление о том, где и какие персональные данные хранятся, кто является владельцем, что изменилось с момента последней проверки.

Раннее обнаружение новых рисков — появление новых полей в базе данных, новых интеграций, нового источника данных фиксируется до того, как это превращается в нарушение или инцидент.

Непрерывный контроль вместо разовых аудитов — вместо многонедельных ручных проверок перед плановой проверкой Роскомнадзора компания имеет постоянно актуальный статус соответствия.

Поддержку при аудитах и комплаенс-проверках — понятные нарушения, определённые владельцы, фиксированные статусы и согласования.

Учитывая, что с 30 мая 2025 года штрафы за нарушения выросли на порядок, а требования к документированию обработки ПДн стали значительно строже, автоматизация инвентаризации и контроля персональных данных перестала быть преимуществом — она стала практической необходимостью для любой организации, которая серьёзно относится к управлению рисками.

Заключение и что делать прямо сейчас

Персональные данные сотрудников — это не только правовая обязанность, но и зона реальных финансовых и репутационных рисков. За 2024–2025 годы регулирование кардинально изменилось: штрафы выросли в несколько раз, введена уголовная ответственность, появились новые требования к форме согласий, локализации данных и ведению журналов.

Ситуация с утечками остаётся тревожной: 1,58 млрд записей персональных данных, скомпрометированных в России в 2024 году, — это не абстрактная статистика, а потенциальный ущерб для миллионов граждан и конкретная правовая ответственность для компаний.

Что нужно сделать прямо сейчас:

Первый шаг — проверить наличие и актуальность уведомления в Роскомнадзоре. С 30 мая 2025 года штрафы за его отсутствие существенно выросли, а обязанность уведомления теперь распространяется на ИП и самозанятых.

Второй шаг — актуализировать комплект документов по ПДн с учётом изменений 2024–2025 годов: политику, положение, матрицу доступа, формы согласий.

Третий шаг — разработать или обновить формы согласий с учётом требования об отдельном документе (вступило в силу 01.09.2025).

Четвёртый шаг — провести инвентаризацию всех информационных систем, содержащих ПДн сотрудников: 1С, почта, КЭДО, файловые серверы, интеграции с подрядчиками.

Пятый шаг — проверить и при необходимости настроить разграничение доступа: у каждого сотрудника должен быть доступ только к тем данным, которые нужны для работы.

Шестой шаг — разработать план реагирования на утечку ПДн с учётом требований об уведомлении Роскомнадзора в течение 24 часов.

Осведомлённость о требованиях закона, правильно выстроенные процессы и регулярный контроль — это лучшая защита от штрафов, репутационных потерь и уголовного преследования.

Источники

[1] ФЗ №152-ФЗ «О персональных данных» (ред. от 24.06.2025) — https://www.consultant.ru/document/cons_doc_LAW_61801/

[2] Статья 9 ФЗ-152: Согласие субъекта персональных данных — https://www.consultant.ru/document/cons_doc_LAW_61801/6c94959bc017ac80140621762d2ac59f6006b08c/

[3] ФЗ №420-ФЗ от 30.11.2024. КонсультантПлюс: Штрафы за утечку ПДн и другие нарушения — https://www.consultant.ru/legalnews/27142/

[4] ГАРАНТ: Согласие на обработку ПДн с 1 сентября 2025 года — https://www.garant.ru/article/1862510/

[5] ФЗ-152 в ред. от 24.06.2025. Контур.Норматив — https://normativ.kontur.ru/document?moduleId=1&documentId=501173

[7] InfoWatch: Количество скомпрометированных ПДн в 2024 году выросло на 30% — https://www.infowatch.ru/company/presscenter/news/kolichestvo-slitykh-personalnykh-dannykh-v-dve-tysyachi-dvadtsat-chetvertom-godu-vyroslo-na-tret

[8] Staffcop: Как выполнить требования 152-ФЗ — https://www.staffcop.ru/blog/kak-vypolnit-trebovaniya-152-fz-zakona-o-personalnykh-dannykh/

[10] SEC.ussc.ru: Планируемые изменения ФЗ-152 — https://sec.ussc.ru/152fz-changes

[11] Главная книга: Согласие на обработку ПДн 2025 — https://glavkniga.ru/situations/k511728

[12] it-pnk.ru: Увеличение штрафов за ПДн с 30 мая 2025 года — https://it-pnk.ru/news/uvelichenie-shtrafov-pd/

[13] Главбух: Миллионные штрафы за персданные с 30 мая 2025 — https://www.glavbukh.ru/art/391377-shtrafy-za-obrabotku-rasprostranenie-i-utechku-personalnyh-dannyh-11xx-news

[15] Data-sec.ru: Штрафы за ПДн в 2026 году — https://data-sec.ru/personal-data/fines/

[17] СБИС: Штрафы за ПДн с 30 мая 2025 — https://saby-sbis.ru/blog/shtrafy-pri-rabote-s-personalnymi-dannymi-s-30-maya-2025-goda

[18] РНК: Штрафы за ПДн сотрудников в 2025 году — https://www.rnk.ru/article/217361-shtrafy-za-personalnue-dannye

[19] Bitrix24: Закон о ПДн 2025 — https://www.bitrix24.ru/journal/zakon-o-personalnyh-dannyh/

[21] БУХ.1С: Штрафы за ПДн с 30 мая 2025 — https://buh.ru/articles/shtrafy-za-personalnye-dannye-s-30-maya-2025-goda-utechka-v-internet-neuvedomlenie-rkn-o-nachale-obr.html

[23] ТК РФ Глава 14. КонсультантПлюс — https://www.consultant.ru/document/cons_doc_LAW_34683/aa501d1bd2f6e341d0d0aaf21bf5e694cfb4f28e/

[25] Klerk.ru: Статья 86 ТК РФ — https://www.klerk.ru/cdoc/view/trudovoj-kodeks-tk-rf/stata-86-obsie-trebovania-pri-obrabotke-personalnyh-dannyh-rabotnika-i-garantii-ih-zasity/

[27] legalacts.ru: Глава 14 ТК РФ — https://legalacts.ru/kodeks/TK-RF/chast-iii/razdel-iii/glava-14/

[30] КонсультантПлюс: ст.86 ТК РФ — https://www.consultant.ru/document/cons_doc_LAW_34683/01f6157ff985b3cbbb50eb88fa6e26f30202532a/

[31] Роскомнадзор: Глава 14 ТК РФ — https://54.rkn.gov.ru/protection/acts/p35924/

[32] Potok.io: Персональные данные в HR: 152-ФЗ — https://potok.io/blog/hr-review/152-fz/

[33] EasyDocs: ПДн сотрудника — полный гайд 2024 — https://easydocs.ru/blog/tpost/u6jh8eckv1-personalnie-dannie-sotrudnika-polnii-gai

[34] empldocs.ru: Как работать с ПДн сотрудников в 2026 году — https://empldocs.ru/obrabotka-personalnyh-dannyh-sotrudnikov

[37] Astral.ru: ПДн в организации — https://astral.ru/aj/elem/personalnye-dannye-s-1-marta-2023-goda/

[38] SABY: ПДн работников по ТК РФ — https://saby.ru/articles/staff/personalnye_dannye_rabotnikov

[39] Klerk.ru: Гайд для работодателя 2025–2026 — https://www.klerk.ru/blogs/data-sec/668446/

[41] Альфа-Курс: ПДн, изменения 2025 — https://kurs.alfabank.ru/articles/personalnye-dannye-izmeneniya/

[42] delovgoru.pro: Положение о разграничении прав доступа к ПДн — https://delovgoru.pro/polozhenie-o-razgranichenii-prav-dostupa-k-personalnyim-dannyim/

[43] RT Solar: Матрица доступа — https://rt-solar.ru/products/solar_inrights/blog/3304/

[44] SearchInform: Дискреционное управление доступом — https://searchinform.ru/resheniya/

[47] ITSec.ru: Как выполнить требования ФЗ-152 — https://lib.itsec.ru/articles2/Inf_security/kak-vypolnit-zakon-152-fz

[50] RT Solar: Права доступа — https://rt-solar.ru/products/solar_inrights/blog/4636/

[51] Rubytech: Системы управления доступом — https://rubytech.ru/products/

[53] InfoWatch: Аналитика за 1 полугодие 2024 — https://www.infowatch.ru/company/presscenter/news/v-rossii-v-pervom-polugodii

[55] InfoWatch: Россия на 2-м месте по утечкам 2024 — https://www.infowatch.ru/company/presscenter/news/rossiya-zanyala-vtoroye-mesto-po-kolichestvu-utechek-dannykh-v-mire

[56] TAdviser: Утечки данных в России — https://www.tadviser.ru/index.php/Статья:Утечки_данных_в_России

[57] Anti-Malware.ru: В России утекло 1,58 млрд записей ПДн в 2024 — https://www.anti-malware.ru/news/2025-03-05-121598/45436

[58] Forbes.ru: В России за полгода утекло около 1 млрд строк ПДн — https://www.forbes.ru/tekhnologii/520596

[61] ТАСС: InfoWatch — РФ на 5-м месте по утечкам ПДн 2024 — https://tass.ru/obschestvo/23439577

[62] Legal-box.ru: Документы по ПДн 2026 — https://legal-box.ru/152fz-docs

[63] Glabit.ru: Перечень документов по защите ПДн 2025 — https://glabit.ru/dokumenty-po-zashchite-personalnyh-dannyh-v-organizacii

[64] Kadis.org: Какой перечень документов должен быть в организации — https://kadis.org/useful-materials/liniya-konsultatsij/kakoj-perechen-dokumentov-po-obrabotke-personalnykh-dannykh-dolzhen-byt-v-organizatsii

[65] kedo365.ru: Обязательные кадровые документы 2025 — https://kedo365.ru/articles/obyazatelnye-dokumenty-kadrovika/

[67] empldocs.ru: Как работать с ПДн сотрудников 2026 — https://empldocs.ru/obrabotka-personalnyh-dannyh-sotrudnikov

[68] ГАРАНТ: Примерная форма положения о защите ПДн работников, ноябрь 2025 — https://base.garant.ru/1966990/

[69] Главная книга: Документы по ПДн 2025 — https://www.26-2.ru/art/358034-personalnye-dannye-2025

[71] ic-tech.ru: Перечень документов по 152-ФЗ для организации 2025 — https://ic-tech.ru/blog/knowledge-base/pdn-152fz-2025/