ПроПДн

Блог · 14.06.2026

Персональные данные сотрудников: что обязан работодатель по 152-ФЗ и ТК РФ

Любой работодатель обрабатывает ПДн сотрудников и обязан соблюдать 152-ФЗ: согласия, локальный акт, хранение, передача в банки и СФР. Что нужно оформить и как не нарушить.

Как только у компании появляется хотя бы один работник, она обрабатывает его персональные данные — паспорт, СНИЛС, ИНН, зарплату, медкнижку — и становится оператором ПДн по 152-ФЗ. Это касается даже ИП с единственным сотрудником и компаний без клиентской базы. Обработка данных работников регулируется одновременно 152-ФЗ и главой 14 Трудового кодекса, и здесь есть свои правила. Разберём, что обязан работодатель.

Нужно ли согласие работника

Частое заблуждение: «раз есть трудовой договор, согласие не нужно». На деле сложнее. Основная обработка для исполнения трудового договора и требований закона (расчёт зарплаты, налоги, кадровый учёт) ведётся без отдельного согласия — на основании ТК РФ. Но отдельное согласие нужно, когда обработка выходит за эти рамки:

  • передача данных третьим лицам, не предусмотренная законом (например, в НПФ по выбору работника, в корпоративные сервисы);
  • размещение фото и данных сотрудника на сайте компании;
  • обработка специальных категорий данных сверх необходимого;
  • передача данных за пределы того, что прямо требуется для работы.

Что обязан оформить работодатель

  1. Положение об обработке ПДн работников — локальный нормативный акт, с которым сотрудники знакомятся под подпись.
  2. Согласия там, где они нужны (см. выше) — в письменной форме.
  3. Уведомление в Роскомнадзор. Обработка данных работников делает компанию оператором ПДн — нужно быть в реестре. «Только сотрудники» больше не освобождает от уведомления так широко, как раньше.
  4. Меры защиты — ограничение доступа к кадровым данным, хранение в РФ, ответственный за обработку.

Передача данных: банки, СФР, налоговая

Передача данных в СФР, ФНС, банк для зарплатного проекта — это обработка, предусмотренная законом, отдельного согласия обычно не требует, но должна быть отражена в положении и политике. А вот передача в сторонние сервисы (ДМС, корпоративное обучение, аутсорс кадров) — повод для отдельного согласия и проверки, что получатель тоже соблюдает 152-ФЗ (в идеале — есть в реестре операторов).

Сроки хранения

Кадровые документы хранятся по срокам из законодательства об архивном деле (многие — 50 лет для документов после 2003 года). Но данные, обработка которых завершена и основание отпало, нужно удалять или обезличивать — бессрочно «на всякий случай» хранить нельзя.

Главный риск

Многие микрокомпании и ИП уверены, что 152-ФЗ — «для больших с клиентскими базами», и не подают уведомление, хотя обрабатывают данные сотрудников. Это и есть самая частая причина штрафов при проверке. Минимально безопасный набор: положение + уведомление в РКН + меры защиты.