Правила работы с персональными данными в организации

Утечка базы клиентов или потеря личных дел сотрудников может обернуться крупными штрафами — до 15-20 млн рублей (ст.13.11 КоАП РФ). В 2026 году контроль со стороны Роскомнадзора стал строже, и теперь правила работы с персональными данными в организации нужно выстраивать особенно тщательно. Мы расскажем, какие действия оператора считаются обработкой, как правильно организовать все процессы, хранить и уничтожать данные. 

Что считается обработкой персональных данных

К персональным данным (ПДн) относятся сведения, позволяющие идентифицировать человека: ФИО, паспорт, контакты, ИНН, фото, данные о здоровье, биометрия и другое (п.1 ст. 3 ФЗ от 27.07.2006 №152-ФЗ). Обработкой же считается любое действие или совокупность действий с личной информацией: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, блокирование, обезличивание и уничтожение. 

Чтобы обрабатывать ПДн, компания должна взять согласие субъекта — физлица, чьи данные обрабатываются. Но есть исключения, когда оно не нужно: они перечислены в п.2-11 ч.1 ст.6 ФЗ №152-ФЗ. Например, для работы с персональными данными работника согласие не требуется, так как ПДн берутся для исполнения обязательств по трудовому договору. Также оно не нужно для передачи сведений в налоговые и другие органы — направлять их туда работодатель обязан по закону.

Важно! Для работы с персональными данными с 1 сентября 2026 года согласие оформляется отдельно от остальных документов. Раньше его можно было включать в договоры и соглашения, но сейчас так делать нельзя. 

Как организовать обработку ПДн в компании

Правила работы с персональными данными в организации закрепляются не только в законе, но и во внутренних документах. Без четкой системы компания рискует получить штраф. Чтобы работа с информацией была безопасной и законной, выполните несколько шагов:

1. Разработайте Политику обработки персональных данных. В ней указываются цели, принципы и способы работы с данными. Документ обязателен для всех операторов и должен быть размещен на сайте и в офисе в свободном доступе.
2. Подготовьте внутреннее Положение об обработке ПДн. В отличие от политики, этот документ предназначен для сотрудников и не публикуется. В нем фиксируются конкретные процессы: кто собирает данные, как они хранятся, кто имеет доступ, и т.д.
3. Назначьте ответственного за работу с персональными данными. Он контролирует соблюдение законодательства и внутренних правил, организует обучение сотрудников, взаимодействует с Роскомнадзором.
4. Определите правовые основания обработки. Для работы с персональными данными клиентов это может быть согласие на обработку, заключение договора или иные основания, перечисленные в ст.6 ФЗ №152-ФЗ. Для работников — соблюдение трудового законодательства.
5. Организуйте защиту данных. Установите уровни доступа, используйте пароли, шифрование, антивирусные решения. Для бумажных носителей — сейфы, шкафы, ограничение доступа к архивам.
6. Настройте порядок передачи информации. Передавать персональные данные можно только уполномоченным лицам и при наличии оснований. Для передачи дел на аутсорсинг заключите договор с аутсорсером и убедитесь, что он обеспечивает надежную защиту ПДн.
7. Обеспечьте хранение и уничтожение. Сроки хранения должны соответствовать закону или договору. По окончании срока данные уничтожаются.
8. Проводите внутренние проверки. Регулярный аудит выявит нарушения до того, как это сделает регулятор.
   

Соблюдая эти шаги, компания формирует прозрачную систему защиты, где клиенты и сотрудники понимают, что их информация под контролем. Это снижает юридические риски и повышает доверие к вашему бизнесу.

Где и как хранить ПДн

Закон не устанавливает, где именно должны храниться персональные данные. Но обязанность оператора — обеспечить их сохранность и исключить доступ посторонних. Неправильная организация хранения может привести к утечке и повлечь штрафы по ст.13.11 КоАП РФ при нарушении работы с персональными данными. 

Какие есть варианты хранения:

1. Бумажные документы. Личное дело работника, копии паспортов, медицинские справки и иные документы должны находиться в отдельной папке. Хранить их нужно в сейфе или шкафу с ограниченным доступом. Ключи или коды могут быть быть только у уполномоченных сотрудников — обычно у кадровика или главного бухгалтера.
2. Электронные базы. Зарплатные ведомости, учетные карточки, списки клиентов и другая информация часто хранятся в информационных системах. Здесь важно ограничить доступ паролями, настроить права пользователей и использовать резервное копирование. Для компаний без штатных IT-специалистов лучше заключить договор с аутсорсинговой фирмой или хотя бы установить базовые средства защиты: антивирус, межсетевой экран, шифрование.
3. Смешанный вариант. Во многих организациях данные хранятся и на бумаге, и в электронных системах. Это удобно, но повышает риски утечки. Контроль за обеими формами хранения должен быть одинаково строгим.

Сроки хранения ПДн определяются законом или договором. По их истечении документы уничтожаются. Бумажные — чаще всего с помощью шредера, электронные стираются вместе с резервными копиями без возможности восстановления. Нельзя оставлять документы “на всякий случай” или просто выбрасывать их в мусор. Уничтожением документов с ПДн занимается специальная комиссия, а по результатам оформляется акт и выгрузка из журнала ИСПДн. 

Заключение 

Грамотное обращение с ПДн снижает риски штрафов и репутационных потерь. Важно наладить прозрачные процессы, назначить ответственных и регулярно проверять систему защиты. Соблюдая правила работы с персональными данными в организации, вы не только выполняете требования закона, но и демонстрируете надежность бизнеса, для которого безопасность информации стоит на первом месте.