Как работать с персональными данными в 2025 году
Как защитить личные данные сотрудников, в современных компаниях знают — это регулируется законом. Но нормы и правила часто меняются и дополняются, и эйчарам приходится держать в голове всё больше информации. Собрали важное по теме в одну статью и рассказали, к каким обновлениям готовиться в этом году.
Что считается персональными данными и где об этом написано
Всё, связанное с работой с персональными данными, регулирует Федеральный закон № 152 «О персональных данных», принятый в 2006 году. Он регулярно редактируется, и в нём появляются новые положения. Сегодня в документе указаны следующие виды персональных данных, требующие особого обращения:
Общие:
- Ф. И. О.
- Пол
- Дата рождения
- Паспортные данные
- Данные регистрации
- Информация о месте работы
- Номер телефона, адрес электронной почты
Специальные:
- Национальность
- Религиозные, политические или другие взгляды
- Состояние здоровья
- Сведения о личной жизни
- Данные о судимостях
Биометрические:
- Фото
- Отпечатки пальцев
- Группа крови
- Генетические данные
Этот же закон определяет, кто и какие роли на себя берёт и за что несёт ответственность, когда дело касается личных данных. Так, любые действия с ними — сбор, хранение, предоставление или уничтожение — считаются обработкой. Компания, которая их выполняет, становится оператором, а её сотрудники — субъектами персональных данных.
Как вести обработку данных в разных форматах
Обработка может быть неавтоматизированной, когда все персональные данные на бумаге, и автоматизированной, когда они в электронной версии. Это зависит от того, как в компании устроен документооборот. Посмотрим на сценарии каждого варианта.
Бумажный документооборот
В этом случае работодатель или HR-отдел самостоятельно запрашивают данные сотрудников и выполняют с ними все необходимые процедуры без привлечения кого-либо извне. ФЗ № 152 требует, чтобы для этого внутри компании соблюдались несколько обязательных пунктов.
Существовали локальные документы, в которых содержатся:
- правила для каждого действия с личными данными;
- список тех, кто может их просить и получать;
- перечень документов, в которых эти данные могут быть;
- порядок передачи личных данных в самой компании и за её пределами;
- меры ответственности за нарушения.
Был назначен ответственный за обработку персональных данных. Это человек, который координирует всю работу с конфиденциальной информацией о сотрудниках и следит, чтобы коллеги не нарушали протокол.
Использовались утверждённые формы согласия на обработку личных данных. Можно составить свои, а можно найти готовые. Главное, чтобы они также отвечали принципам, указанным в ФЗ № 152. Например, пункты анкет не должны запрашивать больше информации, чем предполагает цель обработки.
Электронный документооборот (КЭДО)
Если в компании используют цифровую документацию, значит, и работу с личными данными выполняет выбранный ею сервис. По закону такой центр обработки данных (ЦОД) становится субподрядчиком. Чтобы доверять ему все бюрократические процессы и информацию о сотрудниках, стоит удостовериться в его надёжности.
Прочитайте лицензионное соглашение и изучите политику обработки данных сервиса. Он может собирать только то, что необходимо для задач компании. Запросы избыточных сведений должны насторожить.
Обратите внимание на пункт передачи информации. Некоторым сервисам может потребоваться облачное хранение, поэтому в документе должно быть указано, куда ваш ЦОД перенаправит данные и как будет обеспечиваться их безопасность.
Узнайте, где и как будут храниться данные. Трудовой кодекс, регулирующий электронный документооборот, разрешает хранить их только на территории России.
Убедитесь, что сервис не собирает и не обрабатывает специальные и биометрические данные. ФЗ № 152 уточняет, что для этого требуется специальные организационно-технические меры безопасности, поэтому работать с такой информацией в КЭДО нельзя.
Сервисов КЭДО на рынке множество, главное, выбрать безопасный и максимально комфортный для вашей компании. Лучше обращать внимание на те, которые давно предоставляют такие услуги, или те, которые известны многим и у которых подтверждённая репутация. Например, HRlink, где с помощью современных инструментов, программ, а также ИИ не просто внедряют систему электронной документации, но и обучают работе с ней персонал.
Протестируйте HRlink и убедитесь, что он работает в полном соответствии с ФЗ № 152 и открывает широкие возможности для всех участников процессов вокруг персональных данных.
Независимо от того, как обрабатываются личные данные сотрудников, работодателям необходимо определить, какие категории персональных сведений необходимы им для работы, и сообщить Роскомнадзору об обработке данных, чтобы попасть в официальный реестр операторов.
Относиться ко всему этому как к формальности не стоит — важно строго следить за соблюдением каждого законного пункта. Компаниям нарушения в сфере безопасности личных данных обходятся дороже других в прямом смысле. Штрафы для юридических лиц и кредитных организаций — самые крупные. В 2024 году за первое такое нарушение компанию наказывали суммой от 300 до 700 тысяч рублей, за повторное — от 1 до 1,5 миллиона рублей. В этом году наказания станут ещё жёстче.
Что изменится в 2025 году
Ряд поправок в других законах и нормативных актах повлияет на процессы по обработке и защите персональных данных. Разберём основные из них.
Специальная форма согласия на обработку персональных данных. В апреле прошлого года правительство бумажную и электронную формы согласия на размещение и обработку персональных данных в единой системе идентификации и аутентификации (ЕСИА) и единой биометрической системе (ЕБС). В обновлённом бланке теперь доступна отметка о том, что согласие на обработку данных даёт законный представитель несовершеннолетнего. Она появилась, так как согласие на это компании или владельцы бизнеса нередко принимают не у родителей, а у других родственников. Нововведение действует с 1 января 2025 года.
Обязанность передавать обезличенные данные в геоинформационную систему (ГИС). Согласно , c 1 сентября этого года все операторы персональных данных обязаны будут передавать сведения, по которым невозможно распознать конкретного человека, в ГИС. Данные будут попадать в закрытую систему, доступ к которой получат российские граждане, компании, а также государственные и муниципальные органы:
- состоящие в реестре операторов;
- не под контролем иностранных компаний или лиц;
- не причастные к экстремизму и терроризму;
- с достоверными сведениями в ЕГРЮЛ.
Ужесточение штрафов за утечку персональных данных. В мае в России в силу вступит в Кодексе об административных правонарушениях (КоАП), которые предполагают как новые составы нарушений, так и новые размеры денежных санкций за них. Штрафы будут устанавливаться в зависимости от количества пострадавших субъектов персональных данных и вида проступка:
- незаконная передача информации;
- нелегальное распространение сведений специальных категорий;
- неправомерное распространение биометрических данных;
- утечка.
В каждом случае диапазон штрафа разный. Самый большой, за незаконное раскрытие биометрии, назначается компаниям и предпринимателям — от 15 до 20 миллионов рублей.
Всё это звучит устрашающе и может показаться, что нюансов настолько много, что риск ошибиться в работе с персональными данными слишком велик. Действительно, чтобы не нарваться на штраф, компании и её эйчарам требуется немало концентрации и дисциплины. Но если один раз глубоко изучить базу, обновления в законодательстве и разобрать конкретные кейсы вместе с профессионалами, использовать правила на практике будет намного проще.
Эксперты hh.ru и HRlink готовы поделиться своими знаниями во время вебинара «Работа с персональными данными в 2025 году: изменения в ФЗ № 152, практические рекомендации и судебная практика».
Подключайтесь к онлайн-трансляции 26 февраля в 11:00 мск, чтобы увереннее работать с личными сведениями и не бояться ответственности.
