В отделе кадров есть привычка, которая кажется безобидной: принять сотрудника, снять копию паспорта, СНИЛС, ИНН, диплома, военного билета, свидетельства о браке или рождении детей — и аккуратно сложить всё это в личное дело. Папка подписана, документы на месте, шкаф закрывается. На первый взгляд — порядок.
Но с точки зрения персональных данных такой «порядок» может оказаться нарушением. Особенно если копии документов хранятся без понятной цели, без письменного согласия, без регламента доступа, без срока хранения и без процедуры уничтожения.
И да, это уже не просто вопрос аккуратности кадровика. Это риск по 152-ФЗ.
Паспорт сотрудника — это не просто документ «для анкеты». В нём содержатся персональные данные: ФИО, дата и место рождения, серия и номер документа, сведения о регистрации, семейном положении, детях, ранее выданных паспортах. Если копия паспорта лежит в личном деле, работодатель фактически хранит большой массив персональных данных, часть из которых может быть не нужна для текущих кадровых задач.
152-ФЗ требует, чтобы обработка персональных данных была законной, ограничивалась конкретными заранее определенными целями, а объем данных не был избыточным по отношению к этим целям. Закон также предусматривает, что персональные данные нельзя хранить дольше, чем этого требуют цели обработки, если иной срок не установлен законом или договором.
Именно здесь у многих компаний начинается проблема. При приеме на работу паспорт действительно нужен: работодатель должен установить личность сотрудника, внести данные в кадровые документы, оформить трудовой договор, выполнить обязанности по учету. Но это не всегда означает, что копия всего паспорта должна годами лежать в папке «на всякий случай».
Главный аргумент кадровых служб звучит просто: «Мы всегда хранили копии документов в личных делах». Но привычка не равна законному основанию.
Роструд в ответе на вопрос о хранении копий паспорта, СНИЛС, ИНН, диплома и других документов указал: порядок ведения личных дел работников законом не установлен, а хранение таких копий в личных делах допускается только при наличии письменного согласия сотрудника. При отсутствии письменного согласия копии должны быть возвращены работнику или уничтожены.
Это важная мысль: проблема не в самой папке и не в том, что документ бумажный. Проблема в отсутствии правового основания и контроля. Если компания не может объяснить, зачем она хранит копию паспорта, на каком основании, кто имеет к ней доступ, как долго она будет храниться и что произойдёт после утраты необходимости, — это уже слабое место.
Нарушение обычно начинается не с одного действия, а с целой цепочки мелких ошибок.
Сначала сотрудник приносит паспорт. Кадровик делает копию, потому что «так удобнее». Затем копия попадает в личное дело. Потом личное дело годами лежит в шкафу. Доступ к шкафу есть у нескольких людей. Четкой описи нет. Согласие на хранение копий либо отсутствует, либо составлено слишком общо. Сроки хранения не определены. Процедуры уничтожения нет. Никто не проверяет, какие документы в делах действительно нужны, а какие лежат просто по привычке.
Внешне это выглядит как обычный кадровый архив. По сути — это неконтролируемая обработка персональных данных.
152-ФЗ обязывает оператора принимать необходимые и достаточные меры для выполнения требований закона: назначать ответственных, издавать документы по обработке персональных данных, определять цели, категории данных, сроки хранения и порядок уничтожения. Если этого нет, компания не просто «хранит документы». Она хранит риск.
Иногда работодатели думают, что требования по персональным данным касаются только электронных баз, сайтов, CRM и облачных сервисов. Это ошибка. Бумажные личные дела тоже содержат персональные данные, а значит, к ним нужно относиться как к защищаемому массиву информации.
Если копии паспортов лежат в обычной папке, которую можно взять со стола, забыть в переговорной, передать без регистрации или открыть без контроля, это проблема. Закон требует принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, копирования, предоставления, распространения и других неправомерных действий.
Проще говоря, вопрос не только в том, есть ли у компании шкаф с замком. Вопрос в том, есть ли система: кто отвечает за документы, кто имеет доступ, как фиксируется работа с ними, как исключается лишнее копирование, что происходит с устаревшими или незаконно полученными копиями.
Хранение паспортов сотрудников в папках создает сразу несколько рисков.
Первый — штрафы. КоАП РФ предусматривает ответственность за обработку персональных данных в случаях, не предусмотренных законодательством, за обработку данных, несовместимую с целями их сбора, а также за обработку без письменного согласия, когда оно требуется. Для юридических лиц штрафы по этим составам могут исчисляться сотнями тысяч рублей.
Второй риск — претензии сотрудников. Пока человек работает в компании, он может не задавать вопросов. Но после конфликта, увольнения или спора бывший сотрудник может поинтересоваться, какие его данные хранятся, зачем, на каком основании и почему копии документов до сих пор находятся в архиве.
Третий риск — утечка. Паспортные данные особенно чувствительны: их могут использовать для мошенничества, незаконного оформления услуг, попыток доступа к аккаунтам или другим злоупотреблениям. Если документы лежат без контроля, компания фактически сама создает удобную точку риска.
Четвертый риск — хаос при проверке. Когда в личных делах годами копились лишние копии, объяснить это проверяющим сложно. Формулировка «нам так удобнее» не выглядит как законная цель обработки.
Правильный подход начинается с аудита кадрового архива. Нужно открыть личные дела и честно посмотреть, какие копии документов там лежат, зачем они нужны и есть ли законное основание для их хранения.
Если документ нужен только для сверки данных при приеме на работу, часто достаточно внести необходимые сведения в кадровые документы, а не хранить полную копию. Если копия действительно нужна для конкретной цели, эта цель должна быть зафиксирована, а сотрудник должен понимать, на что он даёт согласие. Согласие не должно быть абстрактным «на всё и навсегда» — оно должно соответствовать реальной обработке данных.
Также важно ограничить доступ к личным делам, определить ответственных, вести порядок выдачи документов, исключить хаотичное копирование и установить процедуру уничтожения данных, которые больше не нужны. По 152-ФЗ содержание и объем обрабатываемых данных должны соответствовать заявленным целям, а избыточные данные обрабатывать нельзя.
Кадровый архив — это не просто место, где лежат личные дела. Это зона повышенной ответственности. Именно поэтому его нельзя вести по принципу «складываем всё, вдруг пригодится».
Профессиональная архивная обработка помогает не только навести порядок в папках, но и выявить лишние, устаревшие или рискованные документы. При работе с личными делами важно сформировать понятную структуру, проверить состав документов, организовать хранение, настроить доступ и подготовить документы к дальнейшему использованию.
Оцифровка тоже должна быть аккуратной. Нельзя просто отсканировать паспорта сотрудников и перенести проблему из шкафа в папку на компьютере. Электронные копии персональных данных требуют не меньшего контроля: понятных прав доступа, структуры, защиты, сроков хранения и правил удаления. Иначе бумажный риск превращается в цифровой риск.
«Архив Нева» помогает компаниям привести кадровые документы в порядок: разобрать личные дела, систематизировать архив, подготовить документы к хранению и оцифровке, организовать работу с бумажными и электронными массивами так, чтобы документы не лежали мёртвым грузом и не создавали лишних рисков для бизнеса.
Хранить копии паспортов сотрудников в папках «потому что так принято» — опасная привычка. Не каждая копия автоматически означает нарушение, но каждая лишняя копия без цели, согласия, срока хранения и защиты превращается в юридическую проблему.
152-ФЗ давно требует от работодателей не просто собирать документы, а управлять персональными данными осознанно: понимать, что хранится, зачем хранится, кто имеет доступ и когда данные должны быть уничтожены.
Поэтому вопрос не в том, насколько аккуратно подписаны папки. Вопрос в другом: сможет ли компания доказать, что она хранит паспортные данные законно, обоснованно и безопасно. Если нет — поздравлять действительно не с чем.
08.04.2024
Организация работы архива
11.05.2026
Кадровик, который не оцифровал личные дела — саботирует работу компании. Жёстко, но факты
18.05.2026
Электронный архив — это не расходы. Это страховка от банкротства
08.04.2024
Ликвидация предприятия? Что делать с документами.
14.04.2026
Влажность Петербурга убивает ваши документы быстрее, чем время
20.04.2026
Удаленка и документы: как легально работать с оригиналами из дома
