Персональные данные сотрудников: что обязан сделать работодатель в 2025–2026

📌 Персональные данные сотрудников — отдельный участок ответственности работодателя

Если у вас есть хотя бы один наёмный сотрудник, вы обрабатываете персональные данные: ФИО, паспорт, ИНН, СНИЛС, адрес, сведения о здоровье — всё это ПДн особой категории.

Что обязан сделать работодатель по 152-ФЗ:

— Уведомить РКН о том, что обрабатываете ПДн сотрудников — через portal.rkn.gov.ru. Штраф за отсутствие уведомления — до 300 000 ₽ по ч. 1 ст. 13.11 КоАП РФ.

— Получить письменное согласие на обработку данных при приёме на работу. Согласие — отдельный документ, не часть трудового договора.

— Принять локальные акты: положение об обработке ПДн в организации, приказ о назначении ответственного за обработку ПДн.

— Ограничить доступ к данным сотрудников: кадровик видит всё, бухгалтер — только то, что нужно для расчёта зарплаты, менеджер по продажам — вообще ничего.

— Обеспечить хранение на серверах в России: если используете облачный HR-сервис или 1С в облаке — проверьте, где физически расположены серверы.

Отдельно: сведения о состоянии здоровья (больничные, медкнижки, справки об инвалидности) — это специальные категории ПДн. Для них нужно отдельное согласие и усиленные меры защиты по ст. 10 152-ФЗ.

Проверьте, есть ли у вас эти документы — до плановой или внеплановой проверки РКН.