+7 (901) 499-39-49
Памятка кадровика по ПДн
Памятка кадровика по ПДн (РФ) — v1.0, 25.08.2025
Основано на: 152-ФЗ (ст. 3, 5, 6, 9–12, 18.1, 19, 21–22, 22.1), ТК РФ 86–90, ПП РФ № 1119, Приказ ФСТЭК № 21, ПП № 687 (бумага без СА), ПП № 512 (СКЗИ), Приказы РКН № 94 (уведомление), № 198 (оценка вреда), КоАП 13.11, УК 137.
Памятка — практическое руководство; спорные случаи согласовывайте с юристом/ответственным за ПДн.
1) Карта ПДн и правовые основания
HR-процесс |
Категории субъектов |
ПДн (минимум) |
Основание (ст. 6/ТК) |
Согласие? |
Срок хранения* |
Рекрутинг |
Кандидаты |
ФИО, контакты, резюме |
ст. 6 ч. 1 п. 5; ТК 64 |
иногда** |
до закрытия вакансии + н/д |
Оффер/приём |
Кандидаты, работники |
Паспорт, СНИЛС, ИНН, адрес |
ТК 65–66; ст. 6 ч. 1 п. 2 |
нет |
по ТК/архиву (н/д) |
Кадровый учёт |
Работники |
Личные дела, приказы, табели |
ТК 86–90; ст. 6 ч. 1 п. 2 |
нет |
по архивным правилам (н/д) |
Зарплата/бенефиты |
Работники |
Счёт, доходы, удержания |
ст. 6 ч. 1 п. 2; 54-ФЗ |
нет |
по бухучёту (н/д) |
Охрана труда/медосмотры |
Работники |
Мед. сведения (спецкатег.) |
ст. 10; ТК 212 |
да (письм.) |
н/д |
Пропускной режим/биометрия |
Работники/посетители |
Фото/скан (биометрия) |
ст. 11 |
да (письм.) |
н/д |
Обучение/аттестация |
Работники |
ФИО, должность, результаты |
ст. 6 ч. 1 п. 2 |
нет |
н/д |
Командировки |
Работники |
Паспорт, маршруты |
ст. 6 ч. 1 п. 2 |
нет |
н/д |
Увольнение/архив |
Экс-работники |
ЛД, приказы, расчёты |
ТК 84.1; ст. 6 ч. 1 п. 2 |
нет |
по архивным правилам (н/д) |
* Конкретные сроки зависят от Перечней по архиву/отраслевых НПА — заполняются после инвентаризации (пометка «н/д»).
** Согласие нужно при: хранении резюме «в резерве», рекомендациях, публикации фото.
2) Обязательные ЛНА/реестры (чек-лист)
Документ/реестр |
Обязательно |
Где хранить |
Кто отвечает |
Периодичность |
Политика обработки ПДн (публичная) |
Да (ст. 18.1) |
Интранет/сайт |
Юрист/ПДн |
обзор ежегодно |
Приказ о назначении ответственного |
Да (ст. 22.1) |
ДПО/Кадры |
Директор |
при изменении |
Положение о ПДн работников |
Да (ТК 86–90) |
Интранет |
HR/юрист |
обзор ежегодно |
Перечень ИСПДн + акт классификации |
Да (ПП 1119) |
ИБ/HR |
ИБ/ПДн |
при изменениях |
Модель угроз/меры (ФСТЭК-21) |
Да (по уровню) |
ИБ |
ИБ |
при изменениях |
Реестр операций ПДн (HR) |
Рекомендуется |
HRM |
HR |
постоянно |
Журнал согласий/отзывов |
Рекомендуется |
HRM/эл.журнал |
HR |
постоянно |
Реестр обработчиков/передач |
Да (ст. 6, 12) |
Юр./ИБ |
Юрист/ПДн |
постоянно |
3) Доступ и разграничение прав
Роль |
ИСПДн |
Права |
Примечания |
HR-специалист |
1С:ЗУП/HRM, ЛД |
чтение/изменение |
минимум необходимого (ст. 19) |
Руководитель подразделения |
Отчёты HR |
чтение |
без паспортных сканов |
Бухгалтерия |
ЗП-модуль |
чтение/измен. фин. полей |
без медданных |
Служба безопасности/Охрана труда |
Пропускная, СКУД |
чтение |
биометрия — по отдельным ролям |
ИТ-админ |
Тех. доступ |
по заявке |
без доступа к содержимому ЛД |
4) «Как делать правильно» — мини-плейбуки
- Рекрутинг → оффер
- Берём минимум ПДн; запрет «резюме в общий чат/мессенджер».
- Агентство-подрядчик → договор поручения (статус обработчика), ДСПДн, передача по списку.
- Резерв кандидатов > 3 мес → отдельное согласие (цель, срок, отзыв).
- Приём на работу
- Ознакомить с Политикой/Положением/конфиденциальностью под подпись.
- Личное дело: формализованный состав, без «лишнего».
- Доступы в ИТ выдавать по роли; пароль/2FA; чек-лист онбординга.
- Увольнение/архив
- В день увольнения — отзыв ИТ-доступов, акт приёма/передачи, отметка в журнале.
- Архив/сроки: перенести дело в архивную номенклатуру; задачу на уничтожение/обезличивание по сроку.
5) Спецкатегории/биометрия/дети — «красная рамка»
Вид ПДн |
Можно? |
Основание |
Меры |
Медданные (осмотры, листки нетруд.) |
Да, строго |
ст. 10 |
отдельный контур/доступ по ролям |
Биометрия (фото/СКУД) |
Да, при необходимости |
ст. 11 + согласие |
письменное согласие, журнал |
Несовершеннолетние стажёры |
Да |
ст. 9, 10 |
согласие законного представителя |
6) Третьи лица и трансграничка
Получатель/порученец |
Основание |
Данные |
Страна |
Договор/DPA |
Риск |
ФНС/ПФР/ФСС/банк/страховая |
закон (ст. 6 ч. 1 п. 2) |
идентиф., выплаты |
РФ |
не требуется |
низкий |
Медцентр/СПО ОТ |
закон/договор |
медданные |
РФ |
обязателен |
средний |
Облако/почта/HR-портал |
договор/согласие |
ЛД/резюме |
РФ/иное |
обязателен |
средний/высокий |
Группа компаний (B2B) |
договор/законн. интерес |
анкетные/контактные |
РФ/иное |
обязателен |
средний |
⚠ Локализация (ст. 18.1 и «242-ФЗ»): первичная запись ПДн граждан РФ — в РФ; трансграничная передача — по ст. 12 (перечень «адекватных» стран или отдельное согласие).
7) SLA по обращениям субъектов
Событие |
Действия |
Срок (рек.) |
Норма |
Доступ/копия ПДн |
идентифицировать, дать сведения |
≤ 30 дней |
ст. 14, 20 |
Отзыв согласия |
прекратить операции, удалить/обезличить |
безотлагательно |
ст. 9 |
Исправление/блокирование |
обновить; уведомить получателей |
≤ 7–10 дней |
ст. 14 |
Возражение на обработку |
оценить баланс интересов |
≤ 10 дней |
ст. 5, 6 |
8) Безопасность и ИТ-меры (ПП № 1119, Приказ ФСТЭК № 21, ПП № 512)
- Идентификация/аутентификация, роли (RBAC), 2FA для критичных систем.
- Журналирование действий HR/админов; хранение логов ≥ 12 мес.
- Шифрование/СКЗИ при передаче и хранении; КЭП для значимых операций.
- Резервное копирование; тест восстановлений ежеквартально.
- Разделение хранилищ HR; запрет личных облаков/мессенджеров.
- Обновления/антивирус/EDR; контроль устройств (USB-запрет/шифрование).
- Локализация первичной записи (ст. 18.1); трансграничка — по ст. 12.
9) Инциденты и утечки — что делать
Ситуация |
Действия |
Кого уведомить |
Письмо «не тому», потеря носителя |
блокировка/отзыв доступа; служебная записка; анализ причин; корректирующие меры |
ответственный по ПДн, ИБ, руководитель |
Запрос РКН/проверка |
пакет ЛНА, журналы, логи; точечные ответы |
руководитель/юрист |
10) «Карманная» памятка (1 страница, распечатать)
Десять правил HR по ПДн
- Собирать только минимум.
- Никаких ПДн в личные мессенджеры.
- Резюме не шлём в общие чаты.
- Фото/биометрию — только с письменным согласием.
- Личные дела — в закрытом шкафу/контуре.
- Сканы — сразу в защищённую папку, не «Рабочий стол».
- Табели/ведомости — по списку доступа.
- Запросы сотрудников — регистрируем и исполняем в срок.
- Доступы при увольнении — в день Х.
- Любая «нестандартная» просьба — спроси юриста/ответственного.
11) Обучение и контроль
- Онбординг + ежегодное обучение (короткий тест).
- Самооценка чек-листом ежеквартально; инвентаризация ИСПДн ежегодно.
- Внутренний аудит ЛНА; обновление Политики ≤ 12 мес.
Шаблонные заготовки (вставить в ЛНА)
А. Форма согласия на биометрию (фото для СКУД/бейджа)
«Я, ФИО, даю согласие ООО „н/д“ (адрес) на обработку моих биометрических ПДн (изображение лица) в целях идентификации при пропускном режиме, включая: сбор, запись, хранение, использование, удаление. Срок — на период трудовых отношений и 1 год после. Отзыв — по письменному заявлению. Подпись, дата.»
Рекомендуемая формулировка практики; не прямая цитата закона.
Б. Запись в реестр операций (HR-пример)
Цель: «Кадровый учёт»; Субъекты: работники; Данные: паспорт, СНИЛС, ИНН; Основание: ст. 6 ч. 1 п. 2 ФЗ-152, ТК 86–90; Действия: сбор→хранение→использование→передача (ФНС, ПФР); Срок: н/д; Меры: RBAC, шифрование, журналы.
В. Журнал согласий/отзывов
Дата/время | ФИО | Вид согласия | Цель | Срок | Основание | Принял (ФИО) | Отзыв (да/нет, дата)
«Делай / Не делай»
✅ Делай: минимизация, ролевой доступ, локализация, журналы, письменные согласия для биометрии/медицинских.
⛔ Не делай: резюме/сканы в WhatsApp/личные Gmail; общие «папки всех кадровых сканов»; сбор лишних полей «на всякий случай».
Оставить заявку