Допуск к персональным данным: категории работников и инструкция как предоставить

Все работодатели обрабатывают персональные сведения своих сотрудников и по закону обязаны применить меры для защиты информации. Одной из таких мер служит лимитированный допуск к персональным данным. Из статьи статье узнаете, какие виды допуска бывают, каким категориям работников он положен и как его правильно предоставить.

Образец обязательства о неразглашении персданных Образец приказа об утверждении перечня сотрудников, допущенных к работе с персданными Таблица штрафов за нарушения в работе с персданными (на декабрь 2025)

Правила доступа к персональным данным в компании: общие понятия

Принято считать, что к персональным данным относится информация о человеке, которая помогает определить его личность. Это Ф.И.О., адрес, номер телефона, паспортные данные и идентификационные номера в СФР и налоговой, e-mail и даже IP-адрес компьютера. 

Исходя из законодательства и судебной практики, можно сказать, что к персональной информации относят связку данных. 

Номер телефона, почта или даже Ф.И.О. сами по себе персональными не считаются, потому что по отдельности не позволяют идентифицировать человека, а вот в связке да. 

Другими словами, персональные данные — это совокупность признаков, позволяющих точно определить человека среди остальных.

Закон выделяет три основные группы личных сведений: общедоступные, специальные и биометрические. 

Работодатели могут использовать общедоступную информацию о человеке, такую как серия и номер паспорта, Ф.И.О., специальность и квалификация, опыт работы и профессиональные достижения. Также могут использовать биометрию, например, отпечатки пальцев или фото для доступа на территорию. А собирать и обрабатывать специальные персональные данные, например о здоровье, религии, этническом происхождении или политических взглядах по общему правилу нельзя.

Сбор и хранение личной информации подчиняется принципам, установленных законом:

• сбор осуществляется только с разрешения субъекта данных (работника);
• информация должна использоваться только в указанных целях;
• объем обрабатываемых персональных данных ограничивается рамками используемой цели, он не должен быть избыточным по отношению к заявленным целям;
• доступ предоставляется ограниченному кругу лиц;
• компания обязана обеспечить защиту данных от несанкционированного доступа.

Читайте подробнее как защитить персональные сведения и пройти проверку РКН.

Доступ к персональным сведениям предоставляют определенным категориям сотрудников, обычно это работники отдела кадров, специалисты службы информационной безопасности, юристы и бухгалтерия. 

Работники других отделов могут получить доступ, если возникнет служебная необходимость в ходе работы, но для этого нужно соблюсти специальную процедуру оформления допуска. 

Согласно закону допуск к персональным данным работников означает предоставление доступа конкретному лицу к указанной информации с соблюдением обязательных процедур контроля. 

Всего выделяют два основных типа допуска:

• Полный допуск, дающий неограниченное право просматривать любые личные данные сотрудников
• Частичный допуск – право просматривать только определенную часть информации либо выполнение отдельных операций над ней.

Полный допуск обычно предоставляется генеральным директорам организаций, начальникам отделов кадров и специалистам службы информационной безопасности. Эти сотрудники несут полную личную ответственность за соблюдение правил обработки данных и предотвращение несанкционированного доступа к персональной информации. 

Исключить риски штрафов и уголовной ответственности за нарушение правил работы с ПД, успешно пройти проверку Роскомнадзора, организовать аудит ПД и построить эффективную систему по работе с персональными данными – все это вы смождете опсле обучения на нашем курсе «Персональные данные работников: Правила работы для кадровых служб».

Скачать программу курса

Как организовать допуск к обработке персональных данных

Штрафы за ошибки в работе с персональными сведениями доходят до миллионов: Роскомнадзор четко следит за выполнением требований Закона 152-ФЗ, поэтому прежде чем предоставить доступ к личным данным, следует грамотно оформить всю процедуру.

Работодатель обязан установить правила доступа к персональным данным, обрабатываемых в его системах, а также обеспечить регистрацию и учет всех действий, которые совершаются в информсистеме с личной информацией (ст. 19 Закона 152 ФЗ)

Для этого многие организации издают и утверждают внутренний ЛНА, который определяет нормы взаимодействия с персональными сведениями. Он может называться по-разному: правила или порядок, инструкция или даже кодекс работы с персональными данными, но чаще регламент. Иногда регламент не является отдельным документом, а входит в состав Положения о защите персональных сведений в компании. Это допустимо.

Скачайте полный пакет документов для организации работы с персональными данными в компании в экосистеме «Кадровый обзор». Если вы не подписчик экосистемы, то скачать документы, можно оформив пробный доступ.

Оформить пробный месяц

Установленной законом формы у регламента нет, Роскомнадзор по этому поводу тоже ничего не предлагает, поэтому компании могут разработать форму самостоятельно.

Регламент допуска к персональным данным можно дорабатывать с учетом специфики бизнеса и включать в него нужные сведения.

Основа его структуры должна содержать следующие разделы:

• Перечень категорий персонала, у которых есть доступ к личной информации. Например, бухгалтерия, кадровая служба, служба безопасности — все, кому гендиректор предоставляет доступ в рабочих целях. Для утверждения такого перечня издают отдельный приказ о допуске к персональным данным и знакомят с ним под подпись всех, кого он касается. Со всеми сотрудниками из перечня нужно заключить письменное обязательство о неразглашении персональной информации. Если кому-то из сотрудников, не входящих в перечень потребуется доступ, то его придется получать индивидуально с письменного позволения гендиректора. У сотрудника – субъекта персональных сведений – есть право посмотреть все персональные данные, хранящиеся в компании о самом себе (ст. 14 Закона № 152-ФЗ);
• Процедура получения доступа. В законе она не описана, поэтому каждая компания разрабатывает свои правила, которые следует изложить в этом разделе максимально подробно.  Например, если кому-то из коллег понадобится доступ к личной информации других сотрудников, ему придется написать служебную записку на имя гендиректора, где четко прописать цель просимого допуска и список данных, которые нужны. А также обосновать целесообразность своей просьбы и ее необходимость;
• Порядок учета выданных разрешений. Стоит создать систему фиксации фактов предоставления доступа с указанием конкретных сроков действия и причины выдачи;
• Правила прекращения доступа. Следует установить алгоритм отмены доступа, если сотрудник ушел из компании или его перевели на должность, не связанную с обработкой личной информации других сотрудников;
• Средства технической защиты информации. В этот раздел можно включить требования к ПО и оборудованию, обеспечивающему безопасное хранение и обработку персональных данных;
• Обучение персонала. Лица допущенные к персональным данным обязаны знать принципы работы с ними и меры ответственности за нарушения. Здесь можно прописать порядок прохождения соответствующего инструктажа;
• Ответственность за разглашение личной информации. В этом разделе можно указать все, что касается ответственности за утечку информации: дисциплинарной, гражданско-правовой, материальной, административной и уголовной. 

После принятия регламента с ним нужно ознакомить всех сотрудников, работа которых связана с персональными данными.

Чтобы оформить сам допуск работников к обработке персональных данных, рекомендуется придерживаться следующего алгоритма:

• определить действительно ли нужно работнику для выполнения трудовых обязанностей получить доступ к личной информации коллег; 
• оформить официальный запрос: составить служебную записку или ходатайство, завизировать у непосредственного руководителя и передать на рассмотрение генеральному директору компании;
• получить одобрение руководителя компании и дождаться письменного распоряжения для IT-службы предоставить доступ: настроить соответствующие технические инструменты;
• известить сотрудника, ответственного за контроль работы с персональной информацией о том, кому и на сколько выдан доступ по индивидуальному запросу, с целью проведения периодических контрольных мер. 

Подробнее о том, как назначить ответственного за персональные данные.

Такая процедура позволит минимизировать риски незаконного доступа к личным сведениям.

Если у вас остались вопросы по правилам допуска к персональным данным или вам нужна консультация по применению норм трудового права, позвоните нам по телефону 8 (800) 775 29 55 или напишите на почту: support@profkadrovik.ru

Важно! При наступлении дисциплинарной ответственности за утечку персональных сведений можно сразу уволить по п.6 ч.1 ст. 81 ТК РФ.

Читайте на сайте статьи по теме Ответственный за персональные данные: кого и как назначить Трансграничная передача персональных данных по новым требованиям Согласие на обработку персональных данных: последние требования закона Аудит персональных данных: как провести по новым правилам Ответственность за разглашение персональных данных Уничтожение персональных данных: как соблюсти новые требования Биометрические персональные данные: понятие и правила обработки