Основано на: 152-ФЗ (ст. 3, 5, 6, 9–12, 18.1, 19, 21–22, 22.1), ТК РФ 86–90, ПП РФ № 1119, Приказ ФСТЭК № 21, ПП № 687 (бумага без СА), ПП № 512 (СКЗИ), Приказы РКН № 94 (уведомление), № 198 (оценка вреда), КоАП 13.11, УК 137.
Памятка — практическое руководство; спорные случаи согласовывайте с юристом/ответственным за ПДн.
| <p><strong>HR-процесс</strong></p> | <p><strong>Категории субъектов</strong></p> | <p><strong>ПДн (минимум)</strong></p> | <p><strong>Основание (ст. 6/ТК)</strong></p> | <p><strong>Согласие?</strong></p> | <p><strong>Срок хранения*</strong></p> |
| <p>Рекрутинг</p> | <p>Кандидаты</p> | <p>ФИО, контакты, резюме</p> | <p>ст. 6 ч. 1 п. 5; ТК 64</p> | <p>иногда**</p> | <p>до закрытия вакансии + н/д</p> |
| <p>Оффер/приём</p> | <p>Кандидаты, работники</p> | <p>Паспорт, СНИЛС, ИНН, адрес</p> | <p>ТК 65–66; ст. 6 ч. 1 п. 2</p> | <p>нет</p> | <p>по ТК/архиву (н/д)</p> |
| <p>Кадровый учёт</p> | <p>Работники</p> | <p>Личные дела, приказы, табели</p> | <p>ТК 86–90; ст. 6 ч. 1 п. 2</p> | <p>нет</p> | <p>по архивным правилам (н/д)</p> |
| <p>Зарплата/бенефиты</p> | <p>Работники</p> | <p>Счёт, доходы, удержания</p> | <p>ст. 6 ч. 1 п. 2; 54-ФЗ</p> | <p>нет</p> | <p>по бухучёту (н/д)</p> |
| <p>Охрана труда/медосмотры</p> | <p>Работники</p> | <p>Мед. сведения (спецкатег.)</p> | <p>ст. 10; ТК 212</p> | <p>да (письм.)</p> | <p>н/д</p> |
| <p>Пропускной режим/биометрия</p> | <p>Работники/посетители</p> | <p>Фото/скан (биометрия)</p> | <p>ст. 11</p> | <p>да (письм.)</p> | <p>н/д</p> |
| <p>Обучение/аттестация</p> | <p>Работники</p> | <p>ФИО, должность, результаты</p> | <p>ст. 6 ч. 1 п. 2</p> | <p>нет</p> | <p>н/д</p> |
| <p>Командировки</p> | <p>Работники</p> | <p>Паспорт, маршруты</p> | <p>ст. 6 ч. 1 п. 2</p> | <p>нет</p> | <p>н/д</p> |
| <p>Увольнение/архив</p> | <p>Экс-работники</p> | <p>ЛД, приказы, расчёты</p> | <p>ТК 84.1; ст. 6 ч. 1 п. 2</p> | <p>нет</p> | <p>по архивным правилам (н/д)</p> |
* Конкретные сроки зависят от Перечней по архиву/отраслевых НПА — заполняются после инвентаризации (пометка «н/д»).
** Согласие нужно при: хранении резюме «в резерве», рекомендациях, публикации фото.
| <p><strong>Документ/реестр</strong></p> | <p><strong>Обязательно</strong></p> | <p><strong>Где хранить</strong></p> | <p><strong>Кто отвечает</strong></p> | <p><strong>Периодичность</strong></p> |
| <p>Политика обработки ПДн (публичная)</p> | <p>Да (ст. 18.1)</p> | <p>Интранет/сайт</p> | <p>Юрист/ПДн</p> | <p>обзор ежегодно</p> |
| <p>Приказ о назначении ответственного</p> | <p>Да (ст. 22.1)</p> | <p>ДПО/Кадры</p> | <p>Директор</p> | <p>при изменении</p> |
| <p>Положение о ПДн работников</p> | <p>Да (ТК 86–90)</p> | <p>Интранет</p> | <p>HR/юрист</p> | <p>обзор ежегодно</p> |
| <p>Перечень ИСПДн + акт классификации</p> | <p>Да (ПП 1119)</p> | <p>ИБ/HR</p> | <p>ИБ/ПДн</p> | <p>при изменениях</p> |
| <p>Модель угроз/меры (ФСТЭК-21)</p> | <p>Да (по уровню)</p> | <p>ИБ</p> | <p>ИБ</p> | <p>при изменениях</p> |
| <p>Реестр операций ПДн (HR)</p> | <p>Рекомендуется</p> | <p>HRM</p> | <p>HR</p> | <p>постоянно</p> |
| <p>Журнал согласий/отзывов</p> | <p>Рекомендуется</p> | <p>HRM/эл.журнал</p> | <p>HR</p> | <p>постоянно</p> |
| <p>Реестр обработчиков/передач</p> | <p>Да (ст. 6, 12)</p> | <p>Юр./ИБ</p> | <p>Юрист/ПДн</p> | <p>постоянно</p> |
| <p><strong>Роль</strong></p> | <p><strong>ИСПДн</strong></p> | <p><strong>Права</strong></p> | <p><strong>Примечания</strong></p> |
| <p>HR-специалист</p> | <p>1С:ЗУП/HRM, ЛД</p> | <p>чтение/изменение</p> | <p>минимум необходимого (ст. 19)</p> |
| <p>Руководитель подразделения</p> | <p>Отчёты HR</p> | <p>чтение</p> | <p>без паспортных сканов</p> |
| <p>Бухгалтерия</p> | <p>ЗП-модуль</p> | <p>чтение/измен. фин. полей</p> | <p>без медданных</p> |
| <p>Служба безопасности/Охрана труда</p> | <p>Пропускная, СКУД</p> | <p>чтение</p> | <p>биометрия — по отдельным ролям</p> |
| <p>ИТ-админ</p> | <p>Тех. доступ</p> | <p>по заявке</p> | <p>без доступа к содержимому ЛД</p> |
| <p><strong>Вид ПДн</strong></p> | <p><strong>Можно?</strong></p> | <p><strong>Основание</strong></p> | <p><strong>Меры</strong></p> |
| <p>Медданные (осмотры, листки нетруд.)</p> | <p>Да, строго</p> | <p>ст. 10</p> | <p>отдельный контур/доступ по ролям</p> |
| <p>Биометрия (фото/СКУД)</p> | <p>Да, при необходимости</p> | <p>ст. 11 + согласие</p> | <p>письменное согласие, журнал</p> |
| <p>Несовершеннолетние стажёры</p> | <p>Да</p> | <p>ст. 9, 10</p> | <p>согласие законного представителя</p> |
| <p><strong>Получатель/порученец</strong></p> | <p><strong>Основание</strong></p> | <p><strong>Данные</strong></p> | <p><strong>Страна</strong></p> | <p><strong>Договор/DPA</strong></p> | <p><strong>Риск</strong></p> |
| <p>ФНС/ПФР/ФСС/банк/страховая</p> | <p>закон (ст. 6 ч. 1 п. 2)</p> | <p>идентиф., выплаты</p> | <p>РФ</p> | <p>не требуется</p> | <p>низкий</p> |
| <p>Медцентр/СПО ОТ</p> | <p>закон/договор</p> | <p>медданные</p> | <p>РФ</p> | <p>обязателен</p> | <p>средний</p> |
| <p>Облако/почта/HR-портал</p> | <p>договор/согласие</p> | <p>ЛД/резюме</p> | <p>РФ/иное</p> | <p>обязателен</p> | <p>средний/высокий</p> |
| <p>Группа компаний (B2B)</p> | <p>договор/законн. интерес</p> | <p>анкетные/контактные</p> | <p>РФ/иное</p> | <p>обязателен</p> | <p>средний</p> |
⚠ Локализация (ст. 18.1 и «242-ФЗ»): первичная запись ПДн граждан РФ — в РФ; трансграничная передача — по ст. 12 (перечень «адекватных» стран или отдельное согласие).
| <p><strong>Событие</strong></p> | <p><strong>Действия</strong></p> | <p><strong>Срок (рек.)</strong></p> | <p><strong>Норма</strong></p> |
| <p>Доступ/копия ПДн</p> | <p>идентифицировать, дать сведения</p> | <p>≤ 30 дней</p> | <p>ст. 14, 20</p> |
| <p>Отзыв согласия</p> | <p>прекратить операции, удалить/обезличить</p> | <p>безотлагательно</p> | <p>ст. 9</p> |
| <p>Исправление/блокирование</p> | <p>обновить; уведомить получателей</p> | <p>≤ 7–10 дней</p> | <p>ст. 14</p> |
| <p>Возражение на обработку</p> | <p>оценить баланс интересов</p> | <p>≤ 10 дней</p> | <p>ст. 5, 6</p> |
| <p><strong>Ситуация</strong></p> | <p><strong>Действия</strong></p> | <p>Кого уведомить</p> |
| <p>Письмо «не тому», потеря носителя</p> | <p>блокировка/отзыв доступа; служебная записка; анализ причин; корректирующие меры</p> | <p>ответственный по ПДн, ИБ, руководитель</p> |
| <p>Запрос РКН/проверка</p> | <p>пакет ЛНА, журналы, логи; точечные ответы</p> | <p>руководитель/юрист</p> |
А. Форма согласия на биометрию (фото для СКУД/бейджа)
«Я, ФИО, даю согласие ООО „н/д“ (адрес) на обработку моих биометрических ПДн (изображение лица) в целях идентификации при пропускном режиме, включая: сбор, запись, хранение, использование, удаление. Срок — на период трудовых отношений и 1 год после. Отзыв — по письменному заявлению. Подпись, дата.»
Рекомендуемая формулировка практики; не прямая цитата закона.
Б. Запись в реестр операций (HR-пример)
Цель: «Кадровый учёт»; Субъекты: работники; Данные: паспорт, СНИЛС, ИНН; Основание: ст. 6 ч. 1 п. 2 ФЗ-152, ТК 86–90; Действия: сбор→хранение→использование→передача (ФНС, ПФР); Срок: н/д; Меры: RBAC, шифрование, журналы.
В. Журнал согласий/отзывов
Дата/время | ФИО | Вид согласия | Цель | Срок | Основание | Принял (ФИО) | Отзыв (да/нет, дата)
✅ Делай: минимизация, ролевой доступ, локализация, журналы, письменные согласия для биометрии/медицинских.
⛔ Не делай: резюме/сканы в WhatsApp/личные Gmail; общие «папки всех кадровых сканов»; сбор лишних полей «на всякий случай».