Нужно ли ОРД, если только кадровый учет?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Даже если в компании ведётся только кадровый учет и отсутствуют клиенты, сайт и иные внешние процессы, наличие организационно-распорядительной документации по персональным данным обязательно.

Кадровый учет — это полноценная обработка персональных данных, поскольку работодатель собирает, хранит, использует и передаёт сведения, относящиеся к конкретным физическим лицам — работникам. С точки зрения 152-ФЗ такая обработка ничем не отличается от работы с данными клиентов или пользователей сайта.

На практике Роскомнадзор регулярно привлекает к ответственности компании, у которых нет ни сайта, ни клиентской базы, но отсутствуют документы по защите персональных данных работников. Отсутствие ОРД в этих случаях рассматривается как самостоятельное нарушение, вне зависимости от масштабов бизнеса и количества сотрудников.

Является ли кадровый учет обработкой персональных данных

Сам факт того, что данные используются только внутри компании, не выводит их из-под требований законодательства о персональных данных.

Кадровый учет — это не просто ведение личных дел сотрудников, а полноценная обработка персональных данных в понимании 152-ФЗ.

Какие данные работников относятся к персональным

В рамках кадрового учета работодатель обрабатывает:

паспортные данные;
адреса и контактную информацию;
сведения о стаже, образовании и квалификации;
ИНН, СНИЛС;
банковские реквизиты;
сведения о семье и состоянии здоровья (в допустимых законом случаях).

Все эти сведения прямо относятся к определяемым физическим лицам и, следовательно, являются персональными данными.

Почему внутренний учет не освобождает от требований закона

Закон не делает различий между «внутренней» и «внешней» обработкой персональных данных.

Если данные:

собираются;
хранятся;
используются;
передаются;

это уже является обработкой персональных данных вне зависимости от того, видит ли их кто-то за пределами организации.

Передача данных даже при кадровом учете

Даже при «чисто кадровом» учете персональные данные сотрудников передаются:

в налоговые органы;
в фонды социального страхования и пенсионный фонд;
в банки;
иногда — аутсорсинговым бухгалтерам и кадровым компаниям.

А значит, обработка выходит за пределы «локального хранения» и требует документального регулирования.

Нужно ли ОРД, если нет клиентов и сайта

Отсутствие клиентов, сайта и иных внешних процессов не освобождает работодателя от обязанности иметь ОРД по персональным данным.

Организационно-распорядительная документация требуется не потому, что у компании есть сайт или клиенты, а потому что она является оператором персональных данных.

Почему ОРД обязательны даже при внутренней обработке

ОРД подтверждают, что работодатель:

осознаёт свои обязанности как оператор ПДн;
выстроил систему обработки персональных данных;
определил цели, состав данных и меры защиты;
назначил ответственных лиц.

Даже если данные обрабатываются исключительно в рамках кадрового учета, отсутствие этих документов означает отсутствие системы защиты ПДн.

Позиция Роскомнадзора

В практике проверок Роскомнадзор исходит из следующего:

если в организации есть работники и обрабатываются их персональные данные,
то организация обязана иметь документы по защите ПДн, независимо от наличия сайта, клиентов или онлайн-сервисов.

Типовые ошибки работодателей

Чаще всего работодатели ошибочно считают, что ОРД не нужны, если:

нет клиентов;
нет сайта;
данные ведутся только в бумажном виде;
компания маленькая.

Все эти аргументы не освобождают от требований 152-ФЗ.

У вас только сотрудники и нет клиентов?

Это не освобождает от требований по персональным данным

Проверим, какие документы действительно нужны вашей компании

Какие ОРД обязательны при кадровом учете

Набор документов по персональным данным для кадрового учета имеет свою специфику. Недостаточно иметь только «общие» документы оператора ПДн — необходимы акты, прямо регулирующие работу с данными работников.

Положение об обработке персональных данных работников

Это базовый документ для кадровых процессов. В нём должны быть отражены:

цели обработки данных работников;
перечень обрабатываемых персональных данных;
категории субъектов (работники, кандидаты, уволенные сотрудники);
порядок получения, хранения, передачи и уничтожения данных;
меры защиты персональных данных.

Отсутствие этого положения Роскомнадзор квалифицирует как отсутствие системы обработки ПДн работников.

Приказы о назначении ответственных лиц

Обязательно должны быть оформлены:

приказ о назначении ответственного за организацию обработки ПДн;
при необходимости — приказ о назначении ответственного за обеспечение безопасности ПДн.

ВАЖНО: без таких приказов невозможно доказать, что в организации распределена ответственность за обработку персональных данных.

Регламент доступа к кадровым данным

Документ, определяющий:

кто имеет право работать с персональными данными работников;
в каком объёме;
по каким основаниям.

Он необходим для соблюдения принципа ограничения доступа и конфиденциальности.

Обязательства о неразглашении

Оформляются с сотрудниками, имеющими доступ к персональным данным работников.
Подтверждают, что работодатель принял меры по предотвращению несанкционированного раскрытия информации.

Порядок хранения и уничтожения персональных данных работников

В этом документе закрепляется:

где и как хранятся кадровые документы;
сроки хранения;
порядок уничтожения данных и оформления актов.

Отсутствие такого порядка — типовое нарушение при проверках.

Для формирования корректного и полного комплекта разрабатывают организационно-распорядительную документацию по защите персональных данных.

Чем грозит отсутствие ОРД при кадровом учете

Отсутствие организационно-распорядительной документации по персональным данным рассматривается как самостоятельное нарушение законодательства, независимо от того, есть ли у компании сайт, клиенты или внешние сервисы.

Основания для привлечения к ответственности

При проверке Роскомнадзор оценивает не только факт обработки данных, но и наличие системы управления этой обработкой.
Если ОРД отсутствуют, это означает, что:

не определены цели и основания обработки ПДн;
не распределена ответственность;
не установлены меры защиты;
не обеспечена конфиденциальность данных работников.

Все это квалифицируется как нарушение требований 152-ФЗ.

Штрафы применяются даже к компаниям без сайта

На практике штрафы назначаются:

организациям без клиентов;
компаниям без сайта;
предприятиям с минимальным штатом.

Наличие только работников уже делает компанию оператором персональных данных.

Реальные основания проверок

Поводом для проверки могут стать:

обращения работников;
плановые проверки;
информация из других органов (налоговой, инспекции труда);
проверка по смежным вопросам (охрана труда, трудовые споры).

И именно кадровые документы проверяются в первую очередь.

Усиление ответственности при комплексных нарушениях

Отсутствие ОРД часто выявляется вместе с другими нарушениями:

отсутствие согласий там, где они обязательны;
неправильное хранение данных;
избыточный сбор сведений.

Это приводит к увеличению объема ответственности и размера штрафов.

Отсутствие ОРД — одно из самых частых оснований для штрафов

Даже в небольших компаниях

Разработаем рабочие документы под ваш кадровый учет

Распространённые заблуждения работодателей

Именно эти ошибочные представления чаще всего приводят к тому, что в компании отсутствуют ОРД по персональным данным, а нарушения выявляются уже в ходе проверки.

«У нас только сотрудники, клиентов нет»

Работодатели ошибочно считают, что если нет клиентов, значит, нет и обязанности по защите персональных данных.
На самом деле:

Данные работников — такие же персональные данные, как и данные клиентов, и подлежат защите на общих основаниях.

«Мы не передаем данные третьим лицам»

Даже при кадровом учете данные работников передаются:

в налоговые органы;
в фонды;
в банки.

А это уже означает внешнюю обработку персональных данных и необходимость документального регулирования.

«Данные только в бумажном виде»

Форма хранения не имеет значения, 152-ФЗ распространяется как на электронные, так и на бумажные носители персональных данных.

«У нас маленькая компания»

Размер бизнеса не влияет на обязанность соблюдать требования по персональным данным.
Небольшие компании так же часто привлекаются к ответственности, как и крупные.

«Мы всё делаем правильно, просто нет документов»

Отсутствие документов означает, что работодатель не может доказать, что он делает всё правильно, а это с точки зрения закона равно отсутствию системы защиты ПДн.

Следующий логичный блок — разобрать, как выстроить ОРД для кадров без лишних документов и формализма, чтобы они реально работали и снижали риски.

Как выстроить ОРД для кадров без лишних документов

Задача работодателя — не создать максимальное количество документов, а выстроить работающую систему обработки персональных данных работников, соответствующую реальным процессам.

Провести аудит кадровых процессов

Первый шаг — определить:

какие персональные данные работников обрабатываются;
в каких процессах;
кем используются;
куда и на каких основаниях передаются.

Это позволяет создать документы не «для проверки», а под реальные задачи компании.

Адаптировать документы под бизнес

ОРД должны учитывать:

численность персонала;
структуру компании;
наличие филиалов;
использование аутсорсинга;
уровень автоматизации кадрового учета.

Универсальных шаблонов здесь не существует — документы должны быть индивидуальными.

Исключить избыточные и дублирующие акты

Нередко компании перегружают систему лишними документами.
Гораздо важнее иметь:

меньше документов,
но логично связанных между собой,
реально применяемых на практике.

Обеспечить исполнение документов

Документы не работают, если:

сотрудники с ними не ознакомлены;
не соблюдаются регламенты доступа;
не ведётся контроль исполнения.

Регулярно актуализировать ОРД

Любые изменения в:

численности персонала;
способах учета;
используемых ИТ-системах

должны сопровождаться актуализацией документов.

На практике

На практике отсутствие ОРД при кадровом учете — одна из самых частых причин привлечения работодателей к ответственности по персональным данным, даже если в компании нет сайта, клиентов и маркетинга, но есть сотрудники, она обязана иметь документы по защите персональных данных работников.

Рабочая система ОРД, выстроенная под кадровые процессы, позволяет:

пройти проверки без штрафов;
снизить риски трудовых споров;
доказать добросовестность работодателя.

Не хотите рисковать штрафами из-за отсутствия ОРД?

Доверьте защиту персональных данных профессионалам

Создадим индивидуальный пакет документов и выстроим систему защиты ПДн под ваш бизнес под ключ

Последние статьи

11 февраля, 2026

Являются ли данные сотрудников персональными?

Нужна подробная консультация?

Оформите заявку, мы свяжемся с вами в ближайшее время и ответим на все интересующие вас вопросы.

Я ознакомлен(а) с политикой и даю согласие на обработку персональных данных

Заявка успешно отправлена

Произошла ошибка