+7 (901) 499-39-49

Памятка кадровика по ПДн

Памятка кадровика по ПДн (РФ) — v1.0, 25.08.2025

Основано на: 152-ФЗ (ст. 3, 5, 6, 9–12, 18.1, 19, 21–22, 22.1), ТК РФ 86–90, ПП РФ № 1119, Приказ ФСТЭК № 21, ПП № 687 (бумага без СА), ПП № 512 (СКЗИ), Приказы РКН № 94 (уведомление), № 198 (оценка вреда), КоАП 13.11, УК 137.

Памятка — практическое руководство; спорные случаи согласовывайте с юристом/ответственным за ПДн.

1) Карта ПДн и правовые основания

<p><strong>HR-процесс</strong></p> <p><strong>Категории субъектов</strong></p> <p><strong>ПДн (минимум)</strong></p> <p><strong>Основание (ст. 6/ТК)</strong></p> <p><strong>Согласие?</strong></p> <p><strong>Срок хранения*</strong></p>
<p>Рекрутинг</p> <p>Кандидаты</p> <p>ФИО, контакты, резюме</p> <p>ст. 6 ч. 1 п. 5; ТК 64</p> <p>иногда**</p> <p>до закрытия вакансии + н/д</p>
<p>Оффер/приём</p> <p>Кандидаты, работники</p> <p>Паспорт, СНИЛС, ИНН, адрес</p> <p>ТК 65–66; ст. 6 ч. 1 п. 2</p> <p>нет</p> <p>по ТК/архиву (н/д)</p>
<p>Кадровый учёт</p> <p>Работники</p> <p>Личные дела, приказы, табели</p> <p>ТК 86–90; ст. 6 ч. 1 п. 2</p> <p>нет</p> <p>по архивным правилам (н/д)</p>
<p>Зарплата/бенефиты</p> <p>Работники</p> <p>Счёт, доходы, удержания</p> <p>ст. 6 ч. 1 п. 2; 54-ФЗ</p> <p>нет</p> <p>по бухучёту (н/д)</p>
<p>Охрана труда/медосмотры</p> <p>Работники</p> <p>Мед. сведения (спецкатег.)</p> <p>ст. 10; ТК 212</p> <p>да (письм.)</p> <p>н/д</p>
<p>Пропускной режим/биометрия</p> <p>Работники/посетители</p> <p>Фото/скан (биометрия)</p> <p>ст. 11</p> <p>да (письм.)</p> <p>н/д</p>
<p>Обучение/аттестация</p> <p>Работники</p> <p>ФИО, должность, результаты</p> <p>ст. 6 ч. 1 п. 2</p> <p>нет</p> <p>н/д</p>
<p>Командировки</p> <p>Работники</p> <p>Паспорт, маршруты</p> <p>ст. 6 ч. 1 п. 2</p> <p>нет</p> <p>н/д</p>
<p>Увольнение/архив</p> <p>Экс-работники</p> <p>ЛД, приказы, расчёты</p> <p>ТК 84.1; ст. 6 ч. 1 п. 2</p> <p>нет</p> <p>по архивным правилам (н/д)</p>

* Конкретные сроки зависят от Перечней по архиву/отраслевых НПА — заполняются после инвентаризации (пометка «н/д»).

** Согласие нужно при: хранении резюме «в резерве», рекомендациях, публикации фото.

2) Обязательные ЛНА/реестры (чек-лист)

<p><strong>Документ/реестр</strong></p> <p><strong>Обязательно</strong></p> <p><strong>Где хранить</strong></p> <p><strong>Кто отвечает</strong></p> <p><strong>Периодичность</strong></p>
<p>Политика обработки ПДн (публичная)</p> <p>Да (ст. 18.1)</p> <p>Интранет/сайт</p> <p>Юрист/ПДн</p> <p>обзор ежегодно</p>
<p>Приказ о назначении ответственного</p> <p>Да (ст. 22.1)</p> <p>ДПО/Кадры</p> <p>Директор</p> <p>при изменении</p>
<p>Положение о ПДн работников</p> <p>Да (ТК 86–90)</p> <p>Интранет</p> <p>HR/юрист</p> <p>обзор ежегодно</p>
<p>Перечень ИСПДн + акт классификации</p> <p>Да (ПП 1119)</p> <p>ИБ/HR</p> <p>ИБ/ПДн</p> <p>при изменениях</p>
<p>Модель угроз/меры (ФСТЭК-21)</p> <p>Да (по уровню)</p> <p>ИБ</p> <p>ИБ</p> <p>при изменениях</p>
<p>Реестр операций ПДн (HR)</p> <p>Рекомендуется</p> <p>HRM</p> <p>HR</p> <p>постоянно</p>
<p>Журнал согласий/отзывов</p> <p>Рекомендуется</p> <p>HRM/эл.журнал</p> <p>HR</p> <p>постоянно</p>
<p>Реестр обработчиков/передач</p> <p>Да (ст. 6, 12)</p> <p>Юр./ИБ</p> <p>Юрист/ПДн</p> <p>постоянно</p>

3) Доступ и разграничение прав

<p><strong>Роль</strong></p> <p><strong>ИСПДн</strong></p> <p><strong>Права</strong></p> <p><strong>Примечания</strong></p>
<p>HR-специалист</p> <p>1С:ЗУП/HRM, ЛД</p> <p>чтение/изменение</p> <p>минимум необходимого (ст. 19)</p>
<p>Руководитель подразделения</p> <p>Отчёты HR</p> <p>чтение</p> <p>без паспортных сканов</p>
<p>Бухгалтерия</p> <p>ЗП-модуль</p> <p>чтение/измен. фин. полей</p> <p>без медданных</p>
<p>Служба безопасности/Охрана труда</p> <p>Пропускная, СКУД</p> <p>чтение</p> <p>биометрия — по отдельным ролям</p>
<p>ИТ-админ</p> <p>Тех. доступ</p> <p>по заявке</p> <p>без доступа к содержимому ЛД</p>

4) «Как делать правильно» — мини-плейбуки

  • Рекрутинг → оффер
    • Берём минимум ПДн; запрет «резюме в общий чат/мессенджер».
    • Агентство-подрядчик → договор поручения (статус обработчика), ДСПДн, передача по списку.
    • Резерв кандидатов > 3 мес → отдельное согласие (цель, срок, отзыв).
  • Приём на работу
    • Ознакомить с Политикой/Положением/конфиденциальностью под подпись.
    • Личное дело: формализованный состав, без «лишнего».
    • Доступы в ИТ выдавать по роли; пароль/2FA; чек-лист онбординга.
  • Увольнение/архив
    • В день увольнения — отзыв ИТ-доступов, акт приёма/передачи, отметка в журнале.
    • Архив/сроки: перенести дело в архивную номенклатуру; задачу на уничтожение/обезличивание по сроку.

5) Спецкатегории/биометрия/дети — «красная рамка»

<p><strong>Вид ПДн</strong></p> <p><strong>Можно?</strong></p> <p><strong>Основание</strong></p> <p><strong>Меры</strong></p>
<p>Медданные (осмотры, листки нетруд.)</p> <p>Да, строго</p> <p>ст. 10</p> <p>отдельный контур/доступ по ролям</p>
<p>Биометрия (фото/СКУД)</p> <p>Да, при необходимости</p> <p>ст. 11 + согласие</p> <p>письменное согласие, журнал</p>
<p>Несовершеннолетние стажёры</p> <p>Да</p> <p>ст. 9, 10</p> <p>согласие законного представителя</p>

6) Третьи лица и трансграничка

<p><strong>Получатель/порученец</strong></p> <p><strong>Основание</strong></p> <p><strong>Данные</strong></p> <p><strong>Страна</strong></p> <p><strong>Договор/DPA</strong></p> <p><strong>Риск</strong></p>
<p>ФНС/ПФР/ФСС/банк/страховая</p> <p>закон (ст. 6 ч. 1 п. 2)</p> <p>идентиф., выплаты</p> <p>РФ</p> <p>не требуется</p> <p>низкий</p>
<p>Медцентр/СПО ОТ</p> <p>закон/договор</p> <p>медданные</p> <p>РФ</p> <p>обязателен</p> <p>средний</p>
<p>Облако/почта/HR-портал</p> <p>договор/согласие</p> <p>ЛД/резюме</p> <p>РФ/иное</p> <p>обязателен</p> <p>средний/высокий</p>
<p>Группа компаний (B2B)</p> <p>договор/законн. интерес</p> <p>анкетные/контактные</p> <p>РФ/иное</p> <p>обязателен</p> <p>средний</p>

⚠ Локализация (ст. 18.1 и «242-ФЗ»): первичная запись ПДн граждан РФ — в РФ; трансграничная передача — по ст. 12 (перечень «адекватных» стран или отдельное согласие).

7) SLA по обращениям субъектов

<p><strong>Событие</strong></p> <p><strong>Действия</strong></p> <p><strong>Срок (рек.)</strong></p> <p><strong>Норма</strong></p>
<p>Доступ/копия ПДн</p> <p>идентифицировать, дать сведения</p> <p>≤ 30 дней</p> <p>ст. 14, 20</p>
<p>Отзыв согласия</p> <p>прекратить операции, удалить/обезличить</p> <p>безотлагательно</p> <p>ст. 9</p>
<p>Исправление/блокирование</p> <p>обновить; уведомить получателей</p> <p>≤ 7–10 дней</p> <p>ст. 14</p>
<p>Возражение на обработку</p> <p>оценить баланс интересов</p> <p>≤ 10 дней</p> <p>ст. 5, 6</p>

8) Безопасность и ИТ-меры (ПП № 1119, Приказ ФСТЭК № 21, ПП № 512)

  • Идентификация/аутентификация, роли (RBAC), 2FA для критичных систем.
  • Журналирование действий HR/админов; хранение логов ≥ 12 мес.
  • Шифрование/СКЗИ при передаче и хранении; КЭП для значимых операций.
  • Резервное копирование; тест восстановлений ежеквартально.
  • Разделение хранилищ HR; запрет личных облаков/мессенджеров.
  • Обновления/антивирус/EDR; контроль устройств (USB-запрет/шифрование).
  • Локализация первичной записи (ст. 18.1); трансграничка — по ст. 12.

9) Инциденты и утечки — что делать

<p><strong>Ситуация</strong></p> <p><strong>Действия</strong></p> <p>Кого уведомить</p>
<p>Письмо «не тому», потеря носителя</p> <p>блокировка/отзыв доступа; служебная записка; анализ причин; корректирующие меры</p> <p>ответственный по ПДн, ИБ, руководитель</p>
<p>Запрос РКН/проверка</p> <p>пакет ЛНА, журналы, логи; точечные ответы</p> <p>руководитель/юрист</p>

10) «Карманная» памятка (1 страница, распечатать)

Десять правил HR по ПДн

  • Собирать только минимум.
    • Никаких ПДн в личные мессенджеры.
    • Резюме не шлём в общие чаты.
  • Фото/биометрию — только с письменным согласием.
    • Личные дела — в закрытом шкафу/контуре.
  • Сканы — сразу в защищённую папку, не «Рабочий стол».
    • Табели/ведомости — по списку доступа.
  • Запросы сотрудников — регистрируем и исполняем в срок.
    • Доступы при увольнении — в день Х.
  • Любая «нестандартная» просьба — спроси юриста/ответственного.

11) Обучение и контроль

  • Онбординг + ежегодное обучение (короткий тест).
  • Самооценка чек-листом ежеквартально; инвентаризация ИСПДн ежегодно.
  • Внутренний аудит ЛНА; обновление Политики ≤ 12 мес.

Шаблонные заготовки (вставить в ЛНА)

А. Форма согласия на биометрию (фото для СКУД/бейджа)

«Я, ФИО, даю согласие ООО „н/д“ (адрес) на обработку моих биометрических ПДн (изображение лица) в целях идентификации при пропускном режиме, включая: сбор, запись, хранение, использование, удаление. Срок — на период трудовых отношений и 1 год после. Отзыв — по письменному заявлению. Подпись, дата.»

Рекомендуемая формулировка практики; не прямая цитата закона.


Б. Запись в реестр операций (HR-пример)

Цель: «Кадровый учёт»; Субъекты: работники; Данные: паспорт, СНИЛС, ИНН; Основание: ст. 6 ч. 1 п. 2 ФЗ-152, ТК 86–90; Действия: сбор→хранение→использование→передача (ФНС, ПФР); Срок: н/д; Меры: RBAC, шифрование, журналы.


В. Журнал согласий/отзывов

Дата/время | ФИО | Вид согласия | Цель | Срок | Основание | Принял (ФИО) | Отзыв (да/нет, дата)

«Делай / Не делай»

✅ Делай: минимизация, ролевой доступ, локализация, журналы, письменные согласия для биометрии/медицинских.

⛔ Не делай: резюме/сканы в WhatsApp/личные Gmail; общие «папки всех кадровых сканов»; сбор лишних полей «на всякий случай».

Возврат к списку