Кадровое делопроизводство

А. И. Коломиец 

Кадровое  
делопроизводство 

Учебное пособие 

Москва 

2023 

УДК 331.108:651.4(075) 
ББК  65.291.6-212.8я7+60.844я7 

К61 

Коломиец, А. И. 

К61  
Кадровое делопроизводство : учебное пособие / 
А. И. Коломиец. — Москва : Директ-Медиа, 2023. — 248 с. 

ISBN 978-5-4499-3436-9 

В учебном пособии изложен курс современного кадрового 
делопроизводства. Освещены основные теоретические и практические вопросы, практика внедрения. 

Курс кадрового делопроизводства содержит все этапы работы инспектора отдела кадров от А до Я, представлены разбор 
практических ситуаций и рекомендации для службы отдела 
кадров. 

Пособие рассчитано на обучающихся, предпринимателей, 
специалистов по управлению персоналом. 

УДК 331.108:651.4(075) 
ББК  65.291.6-212.8я7+60.844я7 

ISBN 978-5-4499-3436-9
© Коломиец А. И., текст, 2023
© Издательство «Директ-Медиа», оформление, 2023

Предисловие 

Под кадровым обеспечением системы управления персоналом понимается необходимый количественный и качественный состав работников кадровой службы организации. 

Уровень кадровой работы в организации зависит от профессиональной компетентности специалистов кадровых служб. 

Цель делопроизводственного обеспечения — организация 
работы с документами, обращающимися в системе управления 
персоналом.  

Делопроизводство составляет полный цикл обработки и 
движения документов с момента их создания работниками 
кадровой службы (или получения ими) до завершения исполнения и передачи в другие подразделения. 

Раздел 1. Современное 
кадровое делопроизводство 
в коммерческих организациях 

Тема 1. Организация защиты  
персональных данных при ведении 
кадрового делопроизводства 

Защита персональных данных1 — комплекс мероприятий технического, организационного и организационнотехнического характера, направленных на защиту сведений, 
относящихся к определенному или определяемому на основании такой информации физическому лицу. 

О персональных данных в РФ информируют: 
• Конституция России;
• Трудовой Кодекс РФ;
• Федеральный закон № 152-ФЗ «О персональных данных»;
• Кодекс об административных правонарушениях РФ;
• Уголовный кодекс РФ.
Конституция РФ гарантирует: 
• что каждый гражданин имеет право на личную, семейную или профессиональную тайну; 

• имеет право контролировать распространение информации об этом, пресекать это распространение. 

Если же данные распространяются недобросовестно, то 
гражданин вправе рассчитывать на защиту чести и достоинства. 

Трудовой кодекс РФ говорит о том, что сбор персональных данных работника кадровиком или руководителем может 
проводиться исключительно с ясными и адекватными целями.  

В Федеральном законе № 152-ФЗ отмечена необходимость 
соблюдения полной безопасности данных, обозначены права, 
обязанности и ответственность граждан и операторов обработки. 

КоАП РФ и УК РФ устанавливают ответственность за 
нарушение указанных норм. 

Нормативные акты РФ по работе с персональными данными устанавливают два важных понятия, которые необходимо 

1 www.kdelo.ru 

4 

 

иметь в виду руководителю и ответственному сотруднику 
кадровой службы, чтобы не навлечь на себя и на организацию 
огромные штрафы и судебные иски. 

1. Избыточность. 
2. Целеполагание. 
То есть работодатель имеет право собирать исключительно те данные, которые необходимы для осуществления трудового процесса, и только с целью поддержания этого процесса. 

Персональными данными являются: 
• фамилия, имя, отчество; 
• дата, место рождения; 
• биометрия — отпечатки пальцев, ДНК, радужная оболочка глаз, рост, вес, фотографии и видео с изображением 
человека, если его можно там идентифицировать; 

• адрес регистрации или фактического жительства; 
• семейное положение, состав семьи;  
• биографические данные; 
• профессиональная информация — образование, квалификация, должность, трудовой стаж, предыдущие места работы; 

• сведения о доходах и имуществе; 
• номера ИНН и СНИЛС; 
• контакты — телефон, электронная почта; 
• информация о воинской обязанности; 
• медицинская информация и диагнозы. 
До 1 марта 2021 г. в законе существовало понятие «общедоступные персональные данные».  

Это понятие упразднено. Теперь это звучит так — «персональные данные, разрешенные субъектом для распространения». 

То есть — никто не вправе распространять личную информацию о субъекте без его согласия на это. Более того, даже 
если сам субъект распространит свои персональные данные 
или они будут опубликованы в другом источнике, транслировать их можно только с его прямого согласия. 

Работодатели обязаны обеспечить защиту персональных 
данных работников от неправомерного использования или 
утраты (п. 7 ч. 1 ст. 86 ТК РФ). 

К документам на бумаге требования стандартные — закрывать шкафы, где храните документы, на ключ, ограничивать к ним доступ неуполномоченных лиц.  

5 

 

А вот к документам, которые храните на компьютерах, 
требования жесткие.  

Они зависят от типа угроз безопасности персональных 
данных и уровня защиты персональных. 

Штраф за то, что с документами что-то случится, например, их украдут, распространят или уничтожат с 27 марта 2021 г. 
увеличили до 100 000 рублей (ч. 6 ст. 13.11 КоАП РФ).  

Поэтому важно установить систему защиты персональных 
данных так, чтобы обеспечить информационную защиту персональных данных от неправомерных действий. 

Чтобы обеспечить защиту персональных данных в орга
низациях, сначала определите тип угрозы (п. 6 Требований к 
защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства от 01.11.2012 № 1119).  

Типы угроз2: 
1. Возникает, когда к неправомерному использованию 
персональных данных, которые хранятся в информационной 
системе, могут привести скрытые функциональные возможности системного, то есть предустановленного программного 
обеспечения. Речь идет о программах, которые входят в состав 
операционной системы. 

2. Связан со скрытыми возможностями прикладного программного обеспечения. То есть программ, которые устанавливаете на компьютер дополнительно к системным. Это, 
например, программы, которые вы используете для автоматизации кадрового учета. 

3. Предполагает, что от программного обеспечения, как 
системного, так и прикладного, угроз нет. 

Определить тип потенциальной опасности самостоятельно, чтобы адекватно выбрать меры для защиты персональных 
данных в информационных системах, непросто. 

Поэтому госслужащие подсказывают — обращайтесь в 
специализированные организации, у которых есть лицензия  
на деятельность по технической защите конфиденциальной 
информации (п. 2 Состава и содержания организационных и 
технических мер по обеспечению безопасности персональных 

2 Делопроизводство в кадровой службе. Под ред. Кибанова А. Я.  
М.: Проспект, 2021. 

6 

                                                       

 

данных при их обработке в информационных системах персональных данных, утвержденных приказом ФСТЭК от 18.02.2013 
№ 21). 

От типа угрозы зависят требования к уровню защищенности персональных данных.  

То есть если неверно определим тип угрозы, есть вероятность принять недостаточные меры для защиты персональных 
данных.  

2021 г. при этом стал годом увеличения штрафов за 
нарушения в этой области. 

Штрафы за персональные данные увеличили в 10 раз,  
и теперь они — до полумиллиона рублей за одно нарушение. 

Защита персональных данных сотрудников строится путем определения требований к уровню защищенности персональных данных.  

Всего уровней — четыре (п. 9–12 Требований, утвержденных постановлением Правительства от 01.11.2012 № 1119). 

УЗ-1 устанавливается: 
• если существуют угрозы I типа и информационная система работает со специальными, биометрическими или иными категориями ПД; 

• если существуют угрозы II типа и информационная  
система работает со специальными категориями ПД свыше 
100 тысяч граждан. 

УЗ-2 устанавливается при угрозах типов: 
• I и работе с общедоступными личными данными; 
• II и работе с личными данными служащих оператора 
или при работе со специальной категорией ниже 100 тысяч 
человек; 

• II и работе с использованием биометрических личных 
данных; 

• II и обработке общедоступных личных данных при количестве от 100 тысяч человек (без персонала оператора);  

• II и работе с другими видами ПД с количеством от 100 
тысяч человек (без учета работников оператора);  

• III и работе со специальной категорией более чем 100 
тысяч человек (не считая персонала оператора).  

УЗ-3 устанавливается при наличии угроз следующих типов: 
• II, включая работу с ПД общедоступного характера с количеством людей до 100 тысяч человек; 

7 

 

• II с работой с другими категориями до 100 тысяч человек; 
• III с обработкой специальных категорий до 100 тысяч 
человек; 

• III с использованием биометрических ПД; 
• III с работой с другими категориями, превышающими 
100 тысяч человек (кроме персонала оператора). 

УЗ-4 устанавливается при угрозах: 
• III типа и работе с общедоступной информацией; 
• III типа и обработке других категорий меньше 100 тысяч человек. 

Требования к системе защиты персональных данных 
напрямую зависят от того, какой уровень защищенности определили исходя из типа угроз безопасности данных. 

При всех четырех уровнях защищенности нужно соблюдать четыре общих требования к защите персональных данных 
сотрудников организации (п. 13–16 Требований, утвержденных постановлением Правительства от 01.11.2012 № 1119):  

1. Обеспечить режим безопасности помещений, в которых 
размещаете информационную систему, чтобы туда не проникали посторонние.  

2. Обеспечить сохранность носителей информации. 
3. Утвердить перечень сотрудников, которых допустили 
к персональным данным коллег.  

4. Использовать средства защиты информации, которые 
прошли оценку соответствия требованиям закона в области 
обеспечения безопасности информации, если потребуется 
нейтрализовать угрозы безопасности. 

Шаг 1. Выпустить положение о персональных данных. 
Этого требуют и федеральный закон, и здравый смысл. В локальном акте нужно прописать все правила хранения и обработки данных. 

Шаг 2. Утвердить положение. Для этого нужно выпустить 
соответствующий приказ с подписью руководителя и ознакомить с ним всех сотрудников. Работники должны расписаться в 
специальном журнале или ведомости. 

Шаг 3. Назначить специалиста, ответственного за персональные данные. 

Вероятнее всего, это будет сотрудник кадровой службы. 
Желательно, чтобы работа с персональными данными была 

8 

 

указана в его трудовом договоре. Если же договор уже составлен, можно выпустить дополнительное соглашение к нему.  
В том же приказе нужно установить сотрудников, которые будут 
иметь доступ к персональным данным. Все упомянутые лица 
должны подписать обязательство о неразглашении данных. 

Шаг 4. Собрать со всех сотрудников письменные согласия 
на обработку персональных данных. В письменном согласии 
должны быть перечислены конкретные данные и цели их 
использования.  

Шаг 5. Хранить данные в строгом порядке. Данные могут 
храниться и в электронном виде, и в бумажном. Они должны 
быть абсолютно недоступными для третьих лиц, своевременно 
пополняться и при необходимости корректироваться. 

Шаг 6. Обратиться в Роскомнадзор.  
Этот пункт не обязателен, если Вы: 
• обрабатываете информацию без использования специализированного ПО и баз данных (то есть если массив данных 
оператор обрабатывает вручную на ПК или на бумаге); 

• обрабатываете данные только своих сотрудников и только в целях составления и ведения трудовых договоров (не более); 

• оформили договор с физическим лицом как подрядчиком, поставщиком или нештатным специалистом; 

• однократно пропустили постороннего человека, не являющегося Вашим сотрудником, на территорию предприятия 
(например, для собеседования). 

С 1 июля 2021 г.: 
• Определен новый порядок прохождения инспекционных проверок, в том числе и Роскомнадзора. Вступил в силу 
Федеральный закон от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации». 

• Определен новый порядок прохождения проверок  
органами Роскомнадзора, который введен в действие Постановлением Правительства РФ от 29.06.2021 № 1046 «О федеральном государственном контроле (надзоре) за обработкой 
персональных данных». 

Оператор ПДн3 — компания, которая собирает, хранит, 
обрабатывает и распространяет персональные данные.  

3 www.kdelo.ru 

9 

                                                       

 

Чтобы понять, является ли компания оператором, нужно 
разобраться, что такое хранение и обработка персональных 
данных: 

1. Хранение персональных данных по ФЗ № 152-ФЗ — это 
когда вы держите данные у себя, например, записали на свой 
сервер или в базу данных в облаке. Кстати, если данные на 
бумаге, и Вы держите их в папках и архивах, то тоже занимаетесь хранением персональных данных. 

2. Обработка персональных данных — любые действия с 
ними: запись, извлечение, анализ, изменение, передача и даже 
удаление. Даже если Вы просто собираете данные, Вы их уже 
обрабатываете. 

C 1 марта 2021 г. в организации нужно оформлять документ — согласие на распространение персональных данных 
(ст. 10.1 ФЗ № 152-ФЗ). 

Требования к форме согласия установлены ст. 9 ФЗ № 152ФЗ. Количество согласий на обработку персональных данных 
зависит от количества субъектов, чьи данные обрабатываются 
в организации. 

В 2022 г. согласие работников на обработку личных сведений можно не брать в случае, если организация занимается 
обработкой этих данных и это прописано в трудовом договоре 
(п. 5 ч. 6 ФЗ № 152-ФЗ). 

Работодателям необходимы данные сотрудников для 
начисления заработной платы, ведения кадровой документации и других видов отчетности.  

Не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы 
жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, 
военные комиссариаты, прокуратуру, правоохранительные 
органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, 
находящихся в кадровом резерве»). 

Закон РФ утверждает требования относительно содержания согласия на обработку данных человека, на которые 
дано его разрешение (Приказ Роскомнадзора № 18). 

Согласие должно быть составлено письменно и содержать: 
1) данные физического лица, дающего согласие, то есть:  
• фамилия, имя, отчество; 

10