Как и зачем собирать данные сотрудников?
Любой работодатель взаимодействует с персональными данными, начиная от изучения резюме и заканчивая увольнением. Этот процесс регулирует законодательство, поэтому важно знать, как организовать его правильно. В статье расскажем, зачем вообще собирать информацию о сотрудниках, как работать с персональными данными и что будет, если нарушить законодательство.
02 декабря 2025 года
Александра
Смаракова
Смаракова
автор статей
И как не нарушить при этом закон
Подписывайтесь на наш telegram-канал для всех, кто нанимает
Зачем работодателю данные о сотрудниках?
Некоторые цели очевидны: без персональных данных не получится, например, заключить трудовой договор, оформить пропуск в офис, начислять зарплату, подавать сведения в налоговую. Но данные нужны не только для таких формальных операций.
Информация о сотрудниках может понадобиться, чтобы:
Информация о сотрудниках может понадобиться, чтобы:
Составить цифровой профиль (что-то вроде электронного досье). Обычно в него включают должность сотрудника, образование, пройденные в компании курсы и программы, показатели эффективности, данные о взаимодействии с коллегами. Такие профили полезны руководителям и эйчарам — чтобы оценивать работу, составлять планы развития, принимать кадровые решения, — а также самим сотрудникам.
Укрепить HR-бренд или провести маркетинговую кампанию. Допустим, компания рассказывает о своей команде в соцсетях, публикует личные истории сотрудников в блоге или размещает фотографии на сайте.
Начислить компенсации или предоставить льготы. В таких случаях может понадобиться информация о здоровье сотрудника, его ситуации в семье, особом статусе (например, если он ветеран боевых действий). И просто паспортные данные (например, чтобы оформить ДМС).
Поддержать мотивацию. Если вы, к примеру, размещаете фото сотрудника на доске почета вместе с его фамилией и должностью, это тоже считается использованием персональных данных.
Какие данные можно собирать?
Персональные данные часто воспринимают как паспортные — и ошибаются. Согласно закону № 152-ФЗ, это любая информация, которая относится к конкретному человеку и позволяет установить его личность.
Выделяют четыре категории персональных данных:
Выделяют четыре категории персональных данных:
Общие. Например, Ф. И. О., паспортные данные, ИНН, СНИЛС, семейное положение и образование, номер телефона. Сотрудник предоставляет такую информацию в резюме, для бухгалтерии и при оформлении документов — в том числе трудового договора.
Специальные. Касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Из этого списка работодателю могут понадобиться данные о состоянии здоровья сотрудника, например чтобы предоставить льготы по инвалидности или допустить к работе после медосмотра. Еще может пригодиться информация о судимости — чтобы проверить, не запрещена ли человеку конкретная работа.
Биометрические. Позволяют установить личность человека на основе физических признаков. Обычно это фотография или отпечатки пальцев — работодатель может их запросить, чтобы оформить сотруднику пропуск.
Общедоступные. Те, которые человек сам сделал публичными или которые есть в открытых источниках. Например, информация из профиля в соцсетях или имя автора на книге будут считаться общедоступными данными.
Фактически работодатель может собирать данные из всех категорий. Главное, делать это правильно.
Как работать с персональными данными?
Суть законодательства о персональных данных можно выразить так: обозначьте цели → получите согласие и соберите только необходимые данные → обеспечьте их безопасность и вовремя уничтожьте. Посмотрим, как это выглядит на практике.
Обозначьте цели
В законе № 152-ФЗ прописано, что собирать и обрабатывать персональные данные можно только в конкретных, заранее определенных целях. Трудовой кодекс это уточняет — работодатель вправе собирать данные сотрудников только для того, чтобы:
Обозначьте цели
В законе № 152-ФЗ прописано, что собирать и обрабатывать персональные данные можно только в конкретных, заранее определенных целях. Трудовой кодекс это уточняет — работодатель вправе собирать данные сотрудников только для того, чтобы:
соблюдать требования законодательства (например, сдавать кадровую отчетность);
трудоустраивать людей, обучать их и продвигать по карьерной лестнице;
обеспечивать личную безопасность сотрудников;
контролировать количество и качество выполняемой работы;
обеспечивать сохранность имущества.
Пример. Попросить сотрудников сдать отпечатки пальцев для прохода в офис вы имеете право (хотя сотрудники вам могут отказать). А вот делать это без объяснения причин уже незаконно.
У кого конкретно, как и зачем работодатель собирает информацию, должно быть прописано в специальном локальном документе — политике или положении об обработке персональных данных. Кроме действующих сотрудников, здесь стоит указать, что сбор данных производится у тех, с кем заключены договоры ГПХ, у кандидатов, которые присылают резюме, у стажеров и практикантов.
Перед тем как собирать персональные данные, об этом нужно уведомить Роскомнадзор. Сделать это можно через «Госуслуги», сайт РКН или отправив заявление в территориальный орган.
Получите согласие и соберите только необходимые данные
Базовое правило таково: для обработки любых персональных данных, кроме общедоступных, нужно получить от сотрудника письменное согласие. Причем если раньше можно было включить такое положение, например, в трудовой договор, то с 1 сентября 2025 года это запрещено: согласие должно быть оформлено как отдельный документ.
Однако это не значит, что нужно подписывать бумажку ради любого действия с данными сотрудников. Если работодатель выполняет свои обязанности по трудовому договору или те, что предусмотрены законодательством, получать согласие ему не нужно. Также, например, чтобы трудоустроить человека или отправить отчетность в налоговую, подписывать ничего не придется.
Сложнее со специальными персональными данными. Если у работодателя есть законное основание их собирать и обрабатывать, то согласие сотрудника не требуется. Но в любых других случаях его придется получить — причем отдельно от согласия на обработку данных иных категорий. Кроме того, при трудоустройстве сотрудник должен ознакомиться с политикой обработки персональных данных и другими связанными с этим регламентами (если они есть) под подпись.
Учитывайте, что согласие — дело добровольное; его могут и не дать. К примеру, если вы решите разместить фото сотрудника в корпоративном блоге, а он откажет, заставлять его будет незаконно.
Еще один важный момент: если работодатель передает данные сотрудников третьим лицам, на это тоже нужно письменное согласие. Такое может быть, например, когда кадровый документооборот или бухгалтерию ведет другая компания на аутсорсе. Или когда передают данные в банк, чтобы оформить сотруднику зарплатную карту.
Собирать данные можно только от самого человека — это прописано в ТК. Если по какой-то причине вы хотите получить данные от третьего лица, например от бывшего работодателя, то нужно предупредить об этом сотрудника и — да — получить письменное согласие.
Обеспечьте безопасность данных и вовремя их уничтожьте
Здесь нужно знать о трех основных моментах:
Здесь нужно знать о трех основных моментах:
1
Сотрудники, которые имеют доступ к чужим персональным данным или отвечают за их обработку, должны подписать обязательство о конфиденциальности, которое запрещает разглашать эти данные третьим лицам.
2
Храните данные в информационных системах, серверы которых находятся на территории России. Это требование законодательства. И перед тем как выбрать, например, CRM-систему, куда попадут данные сотрудников, изучите, насколько она надежна: ответственность в случае утечки будет на работодателе.
3
После того как данные вам больше не нужны или человек отозвал согласие на обработку, их нужно уничтожить в течение 30 дней. Если сотрудник заявил, что данные неточные, исправить это нужно за семь дней; если оказалось, что их обрабатывали неправомерно, у вас есть 10 дней на удаление.
Что будет, если нарушить закон о персональных данных?
Зависит от того, что именно пойдет не так. Но результат в любом случае печальный: минимум — штраф, максимум — уголовная ответственность.
Приведем несколько примеров.
С мая 2025 года действует особая ответственность за утечку специальных данных: штрафы 1−1,3 млн рублей для должностных лиц и 10−15 млн рублей для компаний. За нарушения, связанные с биометрическими данными, платить придется еще больше: 1,3−1,5 млн рублей должностным лицам и 15−20 млн рублей компаниям.
За обработку данных без согласия сотрудников тоже штрафуют: 100−300 тысяч рублей заплатят должностные лица, 300−700 тысяч рублей — юридические.
Еще одно нарушение — неуведомление Роскомнадзора о начале сбора персональных данных. Должностных лиц за это могут оштрафовать на 30−50 тысяч рублей, компанию — на 100−300 тысяч.
Приведем несколько примеров.
С мая 2025 года действует особая ответственность за утечку специальных данных: штрафы 1−1,3 млн рублей для должностных лиц и 10−15 млн рублей для компаний. За нарушения, связанные с биометрическими данными, платить придется еще больше: 1,3−1,5 млн рублей должностным лицам и 15−20 млн рублей компаниям.
За обработку данных без согласия сотрудников тоже штрафуют: 100−300 тысяч рублей заплатят должностные лица, 300−700 тысяч рублей — юридические.
Еще одно нарушение — неуведомление Роскомнадзора о начале сбора персональных данных. Должностных лиц за это могут оштрафовать на 30−50 тысяч рублей, компанию — на 100−300 тысяч.
Читайте также
Есть что сказать по теме? Напишите нам.
Нажимая на кнопку, вы даете Согласие на обработку персональных данных, принимаете Правила и условия Соглашения об условиях использования сайта rabota.ru.