Заказать звонок
Мы свяжемся с вами в течение одного рабочего дня
×
Организация работы с персональными данными по 152-ФЗ

Организация работы с персональными данными по 152-ФЗ

16.06.2025
Обработка и защита персональных данных в организации регулируются на законодательном уровне. Однако нормы и правила часто дополняются или меняются, из-за чего руководителям и сотрудникам компании приходится держать в голове все больше информации.
Какие виды персональных данных бывают? Что значит обработка персональных данных работника? Как защитить ПДн в соответствии с законом? И что будет, если не соблюдать правила 152-ФЗ? Собрали для вас наиболее важные темы в статье. 

Что такое персональные данные и их обработка

Виды персональных данных

Сейчас в документе указаны 4 вида персданных, которые имеют свою специфику обращения.
1. Общедоступные — данные, которые публикуются в открытых источниках с согласия владельца: ФИО, пол, дата и место рождения, адрес прописки и проживания, место работы, адрес электронной почты, контактный номер телефона и сведения об образовании.
2. Специальные — персональные данные, которые включают в себя информацию о личной жизни субъекта, состоянии здоровья, его политические и религиозные взгляды, национальность. 
3. Биометрические — к ним относят биологические и физиологические особенности, с помощью которых определяется личность субъекта. Например, фотография, ДНК, группа крови, отпечатки пальцев и т. д. Для обработки таких ПДн нужно получить предварительное разрешение. 
4. Иные — персональные данные, которые нельзя определить в конкретную категорию. По сути, это дополнительные данные о личности, которые часто меняются. К примеру, зарплата, социальный статус, трудовой стаж и т. д.

Требования 152-ФЗ к обработке и защите персональных данных

Согласно закону № 152-ФЗ работодатели обязаны следить за безопасностью личных данных, которые поступили в ходе работы, и предотвращать их утечку. Мы составили пошаговую инструкцию, которая поможет вам защитить ПДн на практике.
Этап № 1

Разработайте и согласуйте правила обработки персональных данных в организации.

Без четких правил и регламентов обработки ПДн сотрудников организацию могут привлечь к ответственности по статье 5.27 Административного кодекса. Например, если вы не предоставите нужную документацию Роструду в момент проверки, компания получит штраф в размере от 30 до 50 тысяч рублей.
Итак, что должно быть в местной политике:
  • правила, по которым будет обрабатываться, храниться и использоваться личная информация физлиц;
  • список документов, в которых содержатся ПДн и которые нуждаются в защите;
  • процессы передачи перепроверенных данных внутри компании и третьим лицам;
  • перечень лиц, которые получат доступ к личной информации сотрудников;
  • ответственность за нарушения правил, по которым происходит обработка ПДн: дисциплинарные, финансовые, административные, гражданско-правовые и уголовные последствия.
Этап № 2

Назначьте приказом ответственного сотрудника, который будет контролировать сбор и обработку персональных данных.

Руководитель должен выбрать ответственное лицо по надзору за управлением ПДн внутри компании. Данное правило указано в законе № 152-ФЗ (ч.1 ст. 18.1 и ч.1 ст. 22.1). Чаще всего сбор и обработку личных данных контролируют представители высшего руководства. К примеру, начальник кадрового подразделения, руководитель отдела безопасности или заместитель генерального директора. А вот управлением обработкой ПДн в автоматизированных системах может заниматься руководитель ИТ-отдела.
Этап № 3

Определитесь, кто из сотрудников будет иметь доступ к персональным данным.

В любой компании есть группа лиц, которые занимаются обработкой личных данных, это входит в их прямые обязанности. Среди них HR-специалисты, которые постоянно взаимодействуют с кандидатами, регистрируют и сканируют их личные документы для приема на работу. Поэтому необходимо предоставить им доступ и определить их полномочия, что прописано в п. 6 ст.88 Трудового кодекса.
Важно: уровень доступа должен определяться согласно должности сотрудника и его рабочим обязанностям. Тот же секретарь может использовать паспортные данные для покупки билетов, а бухгалтер — для оформления больничного или отпускных. Руководители отделов имеют доступ к личной информации только своих подчиненных.
Что должен сделать работодатель: обеспечить обязательство о неразглашении ПДн от каждого сотрудника, который получил к ним доступ. В документе прописывается, что физлицо обязуется не распространять, не разглашать и не использовать персональные данные других работников в личных целях. А еще в нем фиксируется, что физическое лицо было предупреждено об ответственности согласно ст. 90 ТК РФ.
Этап № 4

Создайте безопасные условия для хранения персональных данных.

Обработка персональных данных может осуществляться в электронной системе или вручную. От этого зависит метод хранения ПДн. Рассмотрим подробнее.
Если вы используете автоматизированную систему, ее меры по защите информации должны соответствовать приказу ФСТЭК № 21 от 18 февраля 2013 года.
Основные из них:
  • разграничение доступа к базам данных и личной информации в зависимости от категории сотрудника;
  • наличие двухуровневой схемы паролей на уровне локальной сети и баз данных;
  • регулярная смена паролей, желательно — каждый месяц;
  • доступ к ключам только авторизованным пользователям.
В системе есть два вида архивов:
оперативный – для документов, которые хранятся до 10 лет,
долговременный — обеспечивает постоянное или длительное хранение документов (более 10 лет).
В LDM.Цифровой архив можно устанавливать уровни доступа для каждого сотрудника, формировать список документации на экспертизу ценности, подготавливать ее к аудиту и проверкам, а также распределять по папкам или вручную в зависимости от типа документа.
Если в компании ведется бумажный документооборот, то работодатель обязан:
  • обеспечить место для хранения физических носителей и персонализированный доступ;
  • сформировать перечень сотрудников, которым разрешено использовать хранилище;
  • оборудовать архив системами видеонаблюдения и сигнализацией (при необходимости).
Этап № 5

Получите согласие персонала на обработку личной информации.

Доступ к данным сотрудника из его документов и резюме не требует согласия. Но в качестве меры предосторожности, чтобы предотвратить штрафы и утечку информации, лучше его запросить.
Также с 2021 года требуется еще согласие на распространение персональных данных. Оно необходимо, когда вы планируете раскрыть перепроверенную информацию неопределенным пользователям. Например, если публикуете данные об образовании и опыте работы сотрудника на корпоративном сайте, в журнале, визитных карточках и т. д.
Этап № 6

Уведомите Роскомнадзор.

Перед тем, как собирать сведения о кандидатах, сотрудниках или клиентах для обработки их ПДн, необходимо уведомить об этом Роскомнадзор. Это прописано в ст. 22.1 закона № 152-ФЗ. Форму уведомления можно найти в Приказе Роскомнадзора № 180.
Что нужно указать в документе:
  • информацию об операторе,
  • цель обработки ПДн,
  • категории персональных данных и категории субъектов ПДн,
  • правовое основание,
  • список действий для ОПД,
  • данные о лицах, которые несут ответственность за организацию ОПД,
  • перечень должностных лиц, у которых будет доступ к ПДн,
  • список защитных мер ПДн,
  • дату начала обработки персональных данных, а также срок или условия для ее завершения,
  • информацию о наличии/отсутствии трансграничной передачи данных,
  • сведения о месте хранения базы данных.
Отправить уведомление можно тремя способами: в местном отделении Роскомнадзора, на их сайте или через портал «Госуслуги».
Полезные материалы для руководителей и ИТ-специалистов
Рассказываем про изменения в законах, новости, бесплатные вебинары
Полезные материалы для руководителей и ИТ-специалистов
Рассказываем про изменения в законах, новости, бесплатные вебинары

Положение о защите данных

Положение о защите персональных данных — обязательный документ, который должен быть в любой компании. Однако универсального шаблона или образца для него нет. Дело в том, что для каждой организации содержание положения будет отличаться в зависимости от ее деятельности.
Однако Закон № 152-ФЗ все же определяет основные моменты, которые следует раскрыть в документе. Это защитит компанию от возможных штрафов. Советуем раскрыть в положении следующие аспекты:
цели и задачи, для достижения которых необходима ОПД;
определение ПДн для конкретной цели, их состав и группировки;
инструкции, по которым компания будет работать с персональными данными физлиц;
описание носителей, на которых будет храниться личная информация;
список прав сотрудника, которые касаются обеспечения защиты и безопасности его личных данных;
прямые обязанности работодателя, который является оператором ПДн;
индивидуальный список мер в компании, которые регламентируют защиту ПДн сотрудника от неправомерного использования, утечки или кражи;
перечень административной и уголовной ответственности, который несет работодатель за несанкционированный доступ и разглашение ПДн;
список лиц, которые имеют доступ и работают с личными данными в компании.
Чтобы положение о защите персональных данных вступило в силу, нужно согласовать его с профсоюзным органом, утвердить локальный норматив, ознакомить сотрудников с документом и опубликовать.

Ответственность за нарушение 152-ФЗ

Размер штрафных санкций зависит от числа пострадавших субъектов ПДн и вида проступка:
  • незаконная передача персональных данных;
  • нелегальное распространение информации специальных категорий;
  • неправомерное распространение биометрических данных;
  • утечка и т. д.
Самый большой штраф грозит компании за раскрытие биометрии — от 15 до 20 миллионов рублей.

Подведем итоги

1. Сбор, обработка, хранение и использование персональных данных физлиц должны проводиться с соблюдением Федерального закона № 152 «О персональных данных».
2. Существует 4 категории персональных данных: общедоступные, специальные, биометрические и иные, которые нельзя определить в конкретную группу.
3. Прежде чем начать работать с личными данными, нужно составить правила их обработки, назначить ответственное лицо, разграничить доступ, создать безопасные условия для хранения ПДн, получить согласия сотрудников и направить уведомление в Роскомнадзор.
4. В каждой компании должно быть разработано положение о защите персональных данных, его содержание и оформление зависит от деятельности компании.
5. За несоблюдение мер защиты компании могут выписать штраф. Его размер зависит от тяжести нарушения.
Еще больше полезной информации в наших соцсетях