Femida.club femida.club ← Все статьи
💼 Бизнес и корпоративное право

Как работодатель должен хранить персональные данные?

✍️ Эксперт Femida.club 📅 25 марта 2026 г. ⏱️ 8 минут чтения 👁️ 8 просмотров

Обработка персональных данных сотрудников — это не просто формальность, а строго регламентированная законом обязанность работодателя. Нарушение правил хранения может привести к серьезным штрафам и репутационным потерям. Разберемся, как организовать этот процесс в соответствии с требованиями законодательства, в первую очередь, Федерального закона № 152-ФЗ «О персональных данных» и Трудового кодекса РФ.

Правовая основа: что говорит закон?

Основные требования к работодателю как к оператору персональных данных закреплены в следующих нормативных актах:

  1. Федеральный закон № 152-ФЗ «О персональных данных». Устанавливает общие принципы и условия обработки, права субъектов данных, требования к безопасности.
  2. Статья 86-90 Трудового кодекса РФ. Конкретизирует порядок работы с персданными именно в трудовых отношениях.
  3. Постановление Правительства РФ № 1119. Утверждает требования к защите персональных данных при их обработке в информационных системах.
  4. Приказы ФСТЭК и ФСБ России. Содержат методические рекомендации и требования по технической защите информации.

Ключевой принцип: обработка персональных данных должна быть ограничена достижением конкретных, заранее определенных и законных целей (прием на работу, ведение кадрового делопроизводства, расчет зарплаты и т.д.).

Основные принципы хранения персональных данных

Работодатель обязан обеспечить хранение данных в соответствии со следующими принципами:

  1. Законность и целевая обработка. Данные собираются и хранятся только для выполнения конкретных трудовых функций. Нельзя собирать «про запас» или для не связанных с работой целей.
  2. Конфиденциальность. Доступ к данным имеют только специально уполномоченные лица (руководитель, сотрудники отдела кадров, бухгалтерии, IT-специалисты, обеспечивающие безопасность).
  3. Безопасность. Работодатель обязан принять все необходимые организационные и технические меры для защиты данных от неправомерного доступа, уничтожения, изменения, блокирования или распространения.
  4. Актуальность и точность. Данные должны быть точными, достаточными для целей обработки и, при необходимости, обновляться.
  5. Хранение в форме, позволяющей идентифицировать субъекта данных не дольше, чем этого требуют цели обработки. По истечении сроков хранения, установленных законодательством (например, 75 лет для личных дел), данные должны быть обезличены или уничтожены.

Организационные меры: что должен сделать работодатель?

  1. Издать локальный нормативный акт (Положение). В компании должно быть утвержденное Положение об обработке и защите персональных данных сотрудников, с которым все работники ознакомлены под подпись.
  2. Определить круг лиц, имеющих доступ. Издать приказ, четко указывающий, какие должностные лица (ФИО, должность) имеют право работать с персональными данными и несут ответственность за их конфиденциальность. С этими лицами заключается соглашение о неразглашении.
  3. Получить письменное согласие сотрудника. За исключением случаев, прямо предусмотренных законом (например, передача данных в ПФР, ФНС), на обработку персональных данных необходимо получать письменное согласие работника. В соглашении должны быть указаны цели, перечень данных, действия с ними и срок.
  4. Обеспечить физическую защиту бумажных носителей. Личные дела, карточки Т-2, заявления и другие документы должны храниться в сейфах или запирающихся металлических шкафах в помещениях, исключающих свободный доступ посторонних.
  5. Вести журналы учета. Рекомендуется вести журналы выдачи и приема личных дел, журналы учета носителей информации (флешек, дисков).
  6. Установить порядок уничтожения. Устаревшие или неактуальные данные на бумажных носителях должны уничтожаться с составлением акта (шредирование, сожжение).

Технические меры защиты для электронных данных

Если данные хранятся в информационной системе (1С, кадровые программы, электронные архивы), необходимо:

  1. Разграничить права доступа. Настроить систему так, чтобы каждый сотрудник имел доступ только к тем данным и функциям, которые необходимы для его работы (принцип минимальных привилегий).
  2. Использовать средства криптографии (шифрования). Особенно при передаче данных по сетям или хранении на портативных устройствах.
  3. Установить антивирусную защиту и межсетевые экраны (файрволлы).
  4. Регулярно создавать резервные копии баз данных для предотвращения их утраты.
  5. Использовать средства регистрации и учета (аудит). Система должна фиксировать, кто, когда и к каким данным обращался.
  6. Защищать рабочие станции паролями и автоматической блокировкой после периода бездействия.

Сроки хранения и порядок уничтожения

Сроки хранения кадровых документов регламентированы Перечнем, утвержденным Приказом Росархива. Например:

  • Личные карточки работников (Т-2) – 75 лет (при работе до 2003 г.) или 50 лет (при работе после 2003 г.).
  • Трудовые договоры, приказы о приеме, переводе, увольнении – 75 лет / 50 лет.
  • Документы по расчету зарплаты – 5 лет.

По истечении сроков хранения создается экспертная комиссия, которая проводит экспертизу ценности документов и составляет акт на их уничтожение. Уничтожение электронных данных должно проводиться с использованием специального ПО, гарантирующего невозможность восстановления.

Ответственность за нарушения

За ненадлежащее хранение и защиту персональных данных работодатель может быть привлечен к ответственности:

  • Административная (ст. 13.11 КоАП РФ): Штраф для юридических лиц – до 300 тыс. рублей, а при повторном нарушении – до 1 млн рублей.
  • Уголовная (ст. 137 УК РФ): В случае незаконного распространения сведений о частной жизни – штраф, обязательные работы или лишение свободы.
  • Гражданско-правовая: Сотрудник, чьи права нарушены, может потребовать компенсации морального вреда.

Заключение

Хранение персональных данных сотрудников — это комплексная задача, требующая от работодателя как юридической грамотности, так и технической оснащенности. Основа — это разработка четких внутренних регламентов, обучение сотрудников, внедрение мер физической и технической защиты, а также строгое соблюдение сроков хранения. Инвестиции в создание надежной системы защиты персональных данных не только избавляют от риска крупных штрафов, но и формируют репутацию компании как ответственного и надежного работодателя.

globallawguide.com

https://globallawguide.com
💬 Обсудить →

Консультация по хранению персданных

Диалог из 4 сообщений

👤

Добрый день. Мы — небольшой ООО, нанимаем первых сотрудников. Подскажите, обязательно ли нам какое-то специальное Положение о персональных данных? Или можно обойтись?

14:11
🤖

Добрый день. Да, наличие Положения об обработке и защите персональных данных является обязательным требованием для любого работодателя, независимо от размера компании (ст. 86, 87 ТК РФ, ст. 18.1 Закона №152-ФЗ). Этот документ определяет порядок сбора, хранения, использования и защиты данных ваших сотрудников. Без него вы не сможете доказать Роскомнадзору, что соблюдаете закон, в случае проверки.

14:12
👤

Понял. А если данные хранятся только в бумажном виде (личные дела в шкафу), нужно ли нам как-то особенно защищать их технически?

14:12
🤖

Да, конечно. Техническая защита — это не только про компьютеры. Для бумажных носителей «технической мерой» является обеспечение физической сохранности. Личные дела должны храниться в запирающемся сейфе или металлическом шкафу. Помещение (кабинет кадровика или директора) также должно закрываться. Это предотвратит несанкционированный доступ. Также в Положении нужно прописать, кто имеет ключ от шкафа и право работать с делами.

14:13
👤

Спасибо. И последний вопрос: мы должны получить согласие от сотрудника на обработку его паспортных данных и ИНН? Кажется, это же и так для договора нужно.

14:14
🤖

Это важный нюанс. Согласие требуется практически всегда. Однако закон (п. 2-3 ч. 1 ст. 6 152-ФЗ) предусматривает исключение, когда обработка необходима для исполнения договора, стороной которого является сам субъект данных. Трудовой договор — именно такой случай. Поэтому для обработки данных, непосредственно необходимых для заключения и исполнения трудового договора (ФИО, паспорт, ИНН, СНИЛС для отчетности), отдельное согласие не требуется. Но если вы планируете, например, размещать фото сотрудника на сайте или передавать данные в страховую для добровольного медстрахования — согласие обязательно.

14:14
📅 25 марта 2026 г. 💬 3 сообщений

📚 Похожие статьи

⚖️

Что такое специальная оценка условий труда (СОУТ)?

СОУТ — обязательная оценка вредных факторов на рабочих местах. Проводится раз в 5 лет аккредитованно...

Читать →
⚖️

Что грозит за фальсификацию единого государственного реестра (ЕГРЮЛ)?

Фальсификация данных в ЕГРЮЛ влечет административные штрафы (до 100 тыс. руб. для юрлиц) и уголовную...

Читать →
👔

Каковы особенности труда руководителя организации?

Труд руководителя — это работа с людьми и информацией, а не с операционными задачами. Ключевые особе...

Читать →

💬 Остались вопросы? Напишите нашему ИИ-юристу!

Начать консультацию →
Важно: Данный материал не является юридической консультацией. Для получения квалифицированной помощи обратитесь к адвокату.
← На главную блога