Как работодатель обязан хранить персональные данные сотрудников
Как работодатель обязан хранить персональные данные сотрудников
Как только компания принимает хотя бы одного человека, она становится оператором персональных данных. Отсюда вытекают обязанности по сбору, хранению, защите и уничтожению информации. С 30 мая 2025 года ответственность за нарушения резко выросла: штрафы для организаций по отдельным составам теперь измеряются миллионами рублей, а за повторную утечку введён оборотный штраф. Ниже о том, как работодатель обязан хранить персональные данные сотрудников и что грозит за ошибки.
Правовая основа
Обработку персональных данных работника регулируют два акта: Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» и глава 14 Трудового кодекса РФ («Защита персональных данных работника», статьи 85-90). Закон № 152-ФЗ задаёт общие требования к любому оператору, а ТК РФ дополняет их специальными нормами для трудовых отношений.
Соблюдать нужно оба акта, они не заменяют, а дополняют друг друга. Работодатель отвечает за всю цепочку: от момента, когда соискатель приносит резюме, до уничтожения личного дела после увольнения.
Какие данные сотрудника считаются персональными
К персональным относятся любые сведения, по которым можно прямо или косвенно определить конкретного человека. В кадровом контексте это ФИО, дата и место рождения, паспортные данные, СНИЛС, ИНН, адрес регистрации и фактического проживания, телефон, сведения о доходах и трудовая история.
Отдельно закон выделяет специальные категории данных: о состоянии здоровья, расовой и национальной принадлежности, политических и религиозных взглядах. Биометрические данные (фотография для пропуска, отпечатки пальцев) образуют самостоятельную категорию со своими правилами обработки. Чем чувствительнее данные, тем строже требования к их сбору и защите.
Обязанности работодателя по хранению
Цель и минимальность. Собирать можно только те данные, которые необходимы для конкретной цели, то есть для оформления трудовых отношений (ст. 86 ТК РФ). Запрашивать сведения «на всякий случай» или о политических, религиозных взглядах и членстве в общественных объединениях работодатель не вправе.
Согласие работника. Обработка специальных категорий данных (здоровье, убеждения) и биометрии, а также передача данных третьим лицам требуют письменного согласия работника (ст. 88 ТК РФ, ст. 9-11 Закона № 152-ФЗ). Согласие должно быть конкретным, информированным и оформляться отдельным документом, а не строкой мелким шрифтом в трудовом договоре.
Защита от несанкционированного доступа. Работодатель обязан принять технические и организационные меры: ограничить доступ к базам данных, использовать пароли и средства защиты, назначить ответственного за обработку. Локальный акт о защите персональных данных (положение) и перечень лиц, допущенных к обработке, входят в обязательную документацию.
Хранение в России. Персональные данные граждан РФ при сборе должны записываться и обрабатываться в базах данных, расположенных на территории России (ч. 5 ст. 18 Закона № 152-ФЗ). Использование облачных сервисов с серверами за рубежом для первичной обработки прямо нарушает это требование.
Уничтожение по истечении срока. Сроки хранения кадровых документов установлены Перечнем, утверждённым приказом Росархива от 20.12.2019 № 236. Личные дела и личные карточки работников хранятся 50 лет, если делопроизводство по ним завершено после 1 января 2003 года, и 75 лет, если завершено до этой даты. По истечении срока документы уничтожают с составлением акта.
Что сотрудник вправе требовать
Работник имеет право знать, какие его данные обрабатываются, в каких целях и кому передаются (ст. 89 ТК РФ, ст. 14 Закона № 152-ФЗ). Он может потребовать ознакомиться с этими данными и получить их копию.
Кроме того, сотрудник вправе требовать исправления неточных или неполных сведений, уничтожения данных, обрабатываемых с нарушением закона, и отзыва ранее данного согласия. На такое обращение работодатель обязан отреагировать в установленный срок, а не игнорировать его.
Нарушения и ответственность работодателя
Ответственность по статье 13.11 КоАП РФ ужесточена Федеральным законом от 30.11.2024 № 420-ФЗ и действует с 30 мая 2025 года. По части 1 (обработка данных в непредусмотренных законом случаях) штраф для должностных лиц составляет от 50 000 до 100 000 рублей, для юридических лиц от 150 000 до 300 000 рублей; за повторное нарушение (ч. 1.1) до 200 000 и до 500 000 рублей соответственно.
Самые жёсткие санкции предусмотрены за утечку персональных данных (ч. 12-15 ст. 13.11 КоАП РФ). Для организаций штраф составляет от 15 до 20 млн рублей в зависимости от числа пострадавших, а за повторную утечку грозит оборотный штраф: от 1 до 3 % годовой выручки. Отдельно наказывается неуведомление Роскомнадзора об инциденте, для юридических лиц это от 1 до 3 млн рублей.
Помимо административной, наступает и гражданско-правовая ответственность. При незаконном разглашении данных работника третьим лицам без его согласия сотрудник может взыскать причинённые убытки и компенсацию морального вреда (ст. 24 Закона № 152-ФЗ, ст. 90 ТК РФ).
Персональные данные сотрудников это не «анкеты в шкафу», а чувствительная информация с конкретными требованиями к хранению и защите. После реформы 2025 года цена ошибки выросла кратно, поэтому работодателю выгоднее заранее выстроить процессы обработки, чем платить миллионные штрафы.
Частые вопросы
Нужно ли получать согласие работника на обработку всех его данных?
Нет. Данные, необходимые для исполнения трудового договора и установленные ТК РФ, обрабатываются без отдельного согласия. Письменное согласие требуется для специальных категорий (здоровье, убеждения), биометрии и передачи данных третьим лицам.
Можно ли хранить кадровые документы в зарубежном облаке?
Первичный сбор и обработку данных граждан РФ нужно вести в базах на территории России (ч. 5 ст. 18 Закона № 152-ФЗ). Зарубежное облако для основной базы грозит штрафом и блокировкой сервиса Роскомнадзором.
Сколько хранить личное дело уволенного сотрудника?
По приказу Росархива № 236 это 50 лет, если делопроизводство завершено после 1 января 2003 года, и 75 лет, если до этой даты. После истечения срока документы уничтожают по акту.
Какой штраф грозит работодателю за утечку персональных данных в 2026 году?
По ч. 12-15 ст. 13.11 КоАП РФ организации грозит штраф от 15 до 20 млн рублей, а за повторную утечку грозит оборотный штраф от 1 до 3 % годовой выручки. Дополнительно штрафуют за неуведомление Роскомнадзора об инциденте, до 3 млн рублей.
Кто подготовил материал
Статья подготовлена редакцией сервиса «Юрист» и проверена на соответствие действующему законодательству РФ по состоянию на июнь 2026 г.. Материал носит информационно-справочный характер и не заменяет персональную консультацию юриста: в конкретной ситуации могут действовать особенности, которые важно учесть.