Дорогие читатели, сегодня хочу обсудить тему, которая кажется сухой и «юридической», но напрямую касается любой компании — персональные данные.

На первый взгляд, это история больше для IT-компаний, но на практике любой бухгалтер, кадровик или даже руководитель предприятия ежедневно работает с паспортами сотрудников, СНИЛС, номерами телефонов и фотографиями. А значит, требования Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» обязательны для всех.

Какие ошибки встречаются чаще всего

• Не учитывать контекст. Если номер телефона закреплён за конкретным сотрудником, это ПДн. А вот корпоративный номер, не привязанный к физлицу, под действие закона не попадает.

• Игнорировать комбинацию данных. Электронная почта без указания имени сама по себе не всегда ПДн. Но если она хранится вместе с ФИО и номером телефона клиента или работника — это уже полноценный массив персональных данных.

• Считать анонимные опросы обработкой ПДн. Если вы собираете отзывы о качестве услуг или продуктов без привязки к человеку — это не ПДн. Но стоит указать контакт для обратной связи — и ситуация меняется.

Что точно относится к персональным данным

Закон перечисляет широкий список сведений: ФИО, дата и место рождения, адрес регистрации и фактического проживания, номера телефонов, паспортные данные, СНИЛС, ИНН, семейное и имущественное положение, образование, сведения о трудовой деятельности, данные водительского удостоверения.

Кроме того, есть:
• специальные категории ПДн — здоровье, национальность, политические взгляды и т.д. (ст. 10 ФЗ № 152-ФЗ);
• биометрические данные — фотографии, отпечатки пальцев и иные характеристики (ст. 11 ФЗ № 152-ФЗ).

Да, паспорт сотрудника и другие документы с фотографиями нельзя хранить в копиях без письменного согласия работника. Фото в паспорте относятся к биометрическим данным, и их обработка возможна только при наличии отдельного согласия. Это частая ошибка бухгалтеров и кадровиков, которая может обернуться штрафом.

Кто считается оператором

Согласно ст. 3 ФЗ № 152-ФЗ, оператор персональных данных — это любое юрлицо, ИП или даже физлицо, которое определяет цели и способы обработки ПДн. Иными словами, если вы ведёте кадровый учёт, платите зарплату и храните копии паспортов — вы оператор. Даже если у вас один сотрудник.

Важно: оператором является любой, кто с определённой целью собирает персональные данные физических лиц — будь то работники, клиенты или даже собственные данные при оказании услуг. Статус оператора не зависит от числа сотрудников, способов обработки или масштаба деятельности. И именно оператор обязан уведомить Роскомнадзор о начале обработки ПДн.

Какие обязанности возникают автоматически

• уведомить Роскомнадзор о начале обработки (ст. 22.1 ФЗ № 152-ФЗ);
• назначить ответственного за ПДн (часто это бухгалтер или кадровик);
• разработать внутренние документы: политику по обработке ПДн, инструкции, приказы;
• обеспечить техническую и организационную защиту данных (постановление Правительства РФ № 1119, приказ ФСТЭК № 17 от 01.02.2013).

Важно: доступ к персональным данным должен быть только у тех сотрудников, кому это действительно необходимо для работы.

Практические советы для компаний

Не храните лишнее. Для оформления трудового договора нужны паспорт, СНИЛС и ИНН. А вот собирать данные о здоровье или копии дипломов без необходимости — избыточно.

Откажитесь от копий без согласия. Не делайте сканы паспортов или фотографий сотрудников «на всякий случай».

Назначьте ответственного. На практике эту функцию чаще всего совмещает бухгалтер или специалист по кадрам. Но нужен приказ и чёткая инструкция.

Проверьте IT-системы. Если используете «1С:Бухгалтерия» или кадровые сервисы онлайн, убедитесь, что они соответствуют требованиям по защите ПДн.

Регулярно обучайте работников. Доступ к персональным данным часто имеют не только бухгалтеры, но и менеджеры, кадровики, администраторы. Важно, чтобы каждый понимал правила.

Уведомление в Роскомнадзор

Подать уведомление можно онлайн через сайт Роскомнадзора или Госуслуги. Запомните: скачать готовый образец из интернета недостаточно. Нужно заполнить форму, подписать её УКЭП или лично отнести в отделение. Рассмотрение займёт до 30 дней, после чего организацию внесут в реестр операторов. Проверить включение можно по ИНН на сайте РКН.

Что будет, если игнорировать закон

Штрафы за нарушение ФЗ № 152-ФЗ с 2021 года увеличены в разы. Например:
• за отсутствие уведомления Роскомнадзора — от 30 000 руб.;
• за обработку без согласия — от 75 000 руб.;
• за отсутствие политики по ПДн — от 60 000 руб.

Для малого бизнеса такие суммы сопоставимы с месячным фондом оплаты труда. Кроме того, Роскомнадзор вправе ограничить или приостановить обработку данных, что фактически блокирует деятельность компании.

Таким образом, уважаемые коллеги, персональные данные — это не «бумажная формальность», а часть вашей повседневной бухгалтерской и управленческой работы. От того, насколько грамотно выстроена их обработка, зависит не только спокойствие при проверке, но и доверие ваших сотрудников и клиентов.

Мой совет прост: не откладывайте, назначьте ответственного, проверьте документы и системы, подайте уведомление. Это займёт время, но сэкономит деньги и нервы.