Что относится к персональным данным работника в 2026 году? Порядок защиты и хранения информации в организации

Кадровый документооборот любой организации включает в себя хранение персональных данных наемных работников. В 2026 году требования к защите персональной информации остаются строгими: работодатель обязан соблюдать нормы Трудового кодекса РФ и Федерального закона № 152-ФЗ. Чтобы этот процесс соответствовал всем нормам законодательства, необходимо знать следующее.

Понятие: что относится к личной информации сотрудника?

Исходя из п. 1 ст. 3 Закона № 152-ФЗ от 27 июля 2006 г., это любая прямая или косвенная информация о конкретном сотруднике, которая необходима администрации для осуществления трудовых отношений. К ней относится информация:

• об образовании;
• о специальности;
• о квалификации;
• о состоянии здоровья;
• о наличии детей;
• о доходах (в частности, для госслужащих);
• о паспортных данных, ИНН, СНИЛС;
• о месте жительства и регистрации;
• о трудовом стаже и предыдущих местах работы.

Какие функции выполняет локальный нормативный акт — Положение?

По Положению о персональных данных работника каждый работодатель обязан регламентировать операции с персональными данными сотрудников, учитывая нормы, предписанные в статье 87 ТК РФ, а также п. 2 ст. 18.1 № 152-ФЗ. О законе о персональных данных вы можете узнать тут. Работодатель запрашивает информацию, чтобы осуществить следующие функции:

• выявление соответствия занимаемой должности;
• возможность предоставления различных компенсаций и льгот;
• оформление налогового вычета;
• заполнение личной карточки работника по унифицированной форме Т-2;
• исполнение обязанностей по воинскому учету;
• оформление пенсионных и социальных выплат.

Вся информация должна быть предоставлена исключительно первым лицом, то есть самим наемным работником.

Кто разрабатывает документ?

Положение о персональных данных госслужащего РФ и ведении его дела утверждено Указом Президента РФ от 30.05.2005 № 609. Поэтому для государственных учреждений положения разрабатываются, исходя из нормативных правовых актов. В частной фирме положение разрабатывается работодателем при участии любого представительного органа работников. Чаще всего эта роль закреплена за Профсоюзом. В этом случае оно утверждается с учетом его мнения (ст. 372 ТК РФ) следующим образом:

1. На рассмотрение дается 5 рабочих дней. После чего, если решение Профсоюза содержит отказ на утверждение или там представлены доработки и предложения, работодатель обязан в течение 3 рабочих дней добиться взаимного согласия на подписание Положения.
2. Если обоюдного решения достичь не удается, составляется Протокол разногласий и работодатель самостоятельно принимает решение об утверждении Положения, которое может быть обжаловано членами профсоюзной организации при обращении в суд или в государственную инспекцию труда.

Работодатель, у которого нет представительного органа, самостоятельно принимает решение о подписании Положения. В данном случае оно не должно противоречить установленному локальному нормативному акту фирмы и по возможности предварительно обговорено с юристом, начальником отдела кадров и главным бухгалтером.

Структура и содержание Положения

Положение о защите персональных данных чаще всего включает 6 разделов, посвященных различным этапам обработки личной информации:

• общие положения;
• получение и систематизация личных данных;
• обработка и хранение этой информации;
• ее использование;
• осуществление передачи и распространения личных данных;
• гарантия конфиденциальности со стороны ответственных сотрудников;
• права субъектов персональных данных;
• ответственность за нарушение требований.

Предложенную структуру можно менять, если есть такая необходимость: добавлять новые разделы и приложения, корректировать. Работодатель вправе самостоятельно определить структуру.

Раздел Положения	Основное содержание	Нормативная база
Общие положения	Цели, задачи, область применения, основные понятия	ст. 3, 5 ФЗ № 152-ФЗ
Получение персональных данных	Источники, способы получения, согласие работника	ст. 86 ТК РФ, ст. 9 ФЗ № 152-ФЗ
Обработка и хранение	Порядок обработки, сроки хранения, меры защиты	ст. 87 ТК РФ, ст. 19 ФЗ № 152-ФЗ
Передача третьим лицам	Условия и порядок передачи, согласие работника	ст. 88 ТК РФ, ст. 10 ФЗ № 152-ФЗ
Права работников	Доступ, исправление, удаление, отзыв согласия	ст. 89 ТК РФ, ст. 14 ФЗ № 152-ФЗ
Ответственность	Виды ответственности за нарушение требований	ст. 90 ТК РФ, ст. 24 ФЗ № 152-ФЗ, ст. 13.11 КоАП РФ

Политика и порядок обработки и хранения информации в организации

Работодатель обязан гарантировать соблюдение прав и свободы сотрудника, который предоставляет ему личную информацию. Даже в пределах одной организации личные данные можно передавать только в пределах локального акта организации (Положения), с которым должен быть ознакомлен весь персонал под подпись (п. 8 ст. 86 ТК РФ). Персональные данные на сотрудника хранятся в бухгалтерии и кадровой службе, вместе с ведомостью по его заработной плате, личными карточками, делами и другими документами — как в электронном, так и в бумажном виде. Порядок обработки и хранения информации должен быть определен локальным нормативным актом и в нем же прописан (в Положении).

Обязательства о защите и неразглашении

Положение включает в себя обязательство о неразглашении персональных данных и подписывается сотрудниками, которые по своему служебному положению имеют доступ к личной информации. Ответственность за разглашение устанавливается этим же внутренним документом. Число ответственных сотрудников может варьироваться. Это могут быть: генеральный директор, сотрудники отдела кадров, бухгалтерии и так далее (зависит от специфики организации). Нарушение правил обращения предусмотрено в ст. 24 ФЗ № 152 и влечет за собой увольнение или штраф в размере:

• 1 000–3 000 р. для граждан;
• 5 000–10 000 р. для должностных лиц;
• 30 000–50 000 р. для предприятий.

О том, в каких ситуациях следует обращаться за защитой персональных данных, читайте тут.

Как утверждается?

Каждая фирма несет статус оператора персональных данных и именно она обязана утвердить локальный правовой акт, которым в современной профессиональной практике чаще всего является Положение о персональных данных работников. Для того чтобы его утвердить, работодателем (генеральным директором) составляется приказ. Он должен включать в себя вводную (1), основную (2) и заключительную (3) части:

1. Наименование организации-работодателя; название, номер, дата приказа; город; основания вынесения приказа на рассмотрение.
2. Факт утверждения положения по личным данным работников; дату введения положения в действие; должностные лица, ответственные за работу с личной информацией, а также степень полноты этого допуска.
3. Ответственный за выполнение приказа и его обязательство довести до сотрудников пункты Положения о персональных данных и взять их согласие на обработку информации в письменной форме; подпись руководителя или ответственного; дата ознакомления и подпись должностного лица, ответственного за выполнение распоряжения.

Всегда ли нужно согласие на обработку персональных данных, как отозвать, рассказано тут.

Лист ознакомления с бумагой под подпись

После утверждения оно сразу вступает в силу, затем должно быть доведено до всех работников под подпись. Действующими сотрудниками в реестре (журнале) ставится подпись об ознакомлении. Если распоряжение касается большого числа сотрудников (одного или нескольких структурных подразделений), то составляется Лист ознакомления. Он служит документом-приложением к приказу. Лист также необходим для того, чтобы в случае спорных ситуаций между руководством и подчиненными послужить своеобразным доказательством для решения вопросов в суде или с привлечением трудовой инспекции. За отказ в подписи руководитель имеет право привлечь работников к дисциплинарному взысканию вплоть до увольнения.

Когда нужно уведомлять Роскомнадзор о предстоящей обработке?

Например, если обработка данных в организации ведется в соответствии с трудовым правом, то есть по заключению гражданско-правового договора с сотрудником и при этом соблюдается защита персональных данных, они не распространяются без согласия субъекта, а также используются исключительно в профессиональных целях, то уведомлять Роскомнадзор в данном случае нет необходимости.

Ответственность за отсутствие документа

Отсутствие данного Положения нарушает Трудовой Кодекс РФ, поэтому по решению государственной инспекции труда должностное лицо (генеральный директор или его ИО) может понести штраф от 1 000 до 5 000 р., а за повторное нарушение — от 10 000 до 20 000 р. и дисквалификацию от 1 до 3 лет с правом занимаемой должности и осуществления профессиональной деятельности (ст. 5.27 КоАП РФ). Чтобы не допустить возможности разглашения личной информации своих работников каждая фирма должна обеспечить их защиту в полной мере. Чаще всего для этого используется локальный акт в виде Положения о защите персональных данных. Данное Положение имеет общепринятую структуру, но не ограничивается ею, поэтому руководитель организации вправе определить, сколько подразделов оно будет включать. Факт ознакомления сотрудников с Положением фиксируется или в трудовом договоре или на отдельном документе-приложении — Листе ознакомления.

Часто задаваемые вопросы

Обязательно ли утверждать Положение о защите персональных данных в 2026 году?

Да, обязательно. Любой работодатель, обрабатывающий персональные данные работников, обязан утвердить локальный нормативный акт, регламентирующий порядок обработки, хранения и защиты этих данных. Отсутствие Положения влечет административную ответственность по ст. 5.27 КоАП РФ.

Какие данные работника относятся к персональным?

К персональным данным относятся: ФИО, дата и место рождения, паспортные данные, ИНН, СНИЛС, адрес регистрации и проживания, сведения об образовании, квалификации, трудовом стаже, семейном положении, состоянии здоровья, доходах. Любая информация, позволяющая прямо или косвенно идентифицировать работника, является персональными данными.

Нужно ли получать согласие работника на обработку его персональных данных?

Да, согласие работника на обработку персональных данных необходимо получить в письменной форме при приеме на работу. Согласие должно содержать цели обработки, перечень данных, срок действия и порядок отзыва. Исключение составляют случаи, когда обработка необходима для исполнения трудового договора.

Кто имеет право доступа к персональным данным работников?

Доступ к персональным данным работников имеют только те сотрудники, которым это необходимо для выполнения трудовых обязанностей: работники отдела кадров, бухгалтерии, руководители подразделений. Перечень лиц, имеющих доступ, должен быть утвержден приказом работодателя и указан в Положении о защите персональных данных.

Какой срок хранения персональных данных работников?

Срок хранения персональных данных работников определяется законодательством и внутренними документами организации. Личные дела и трудовые договоры хранятся 75 лет, личные карточки Т-2 — 75 лет, приказы по личному составу — 75 лет. После увольнения работника его персональные данные хранятся в течение сроков, установленных законодательством об архивном деле.

Какая ответственность предусмотрена за разглашение персональных данных работника?

За разглашение персональных данных работника предусмотрена административная ответственность по ст. 13.11 КоАП РФ: штраф для граждан от 1 000 до 3 000 рублей, для должностных лиц — от 5 000 до 10 000 рублей, для юридических лиц — от 30 000 до 50 000 рублей. Также возможна дисциплинарная и материальная ответственность, а в отдельных случаях — уголовная.