Кадровое делопроизводство

А. И. Коломиец 

Кадровое  
делопроизводство 

Учебное пособие 

Москва 

2023 

УДК 331.108:651.4(075) 
ББК  65.291.6-212.8я7+60.844я7 

К61 

Коломиец, А. И. 

К61  
Кадровое делопроизводство : учебное пособие / 
А. И. Коломиец. — Москва : Директ-Медиа, 2023. — 248 с. 

ISBN 978-5-4499-3436-9 

В учебном пособии изложен курс современного кадрового 
делопроизводства. Освещены основные теоретические и практические 
вопросы, практика внедрения. 

Курс кадрового делопроизводства содержит все этапы работы 
инспектора отдела кадров от А до Я, представлены разбор 
практических ситуаций и рекомендации для службы отдела 
кадров. 

Пособие рассчитано на обучающихся, предпринимателей, 
специалистов по управлению персоналом. 

УДК 331.108:651.4(075) 
ББК  65.291.6-212.8я7+60.844я7 

ISBN 978-5-4499-3436-9
© Коломиец А. И., текст, 2023
© Издательство «Директ-Медиа», оформление, 2023

Предисловие 

Под кадровым обеспечением системы управления персоналом 
понимается необходимый количественный и качественный 
состав работников кадровой службы организации. 

Уровень кадровой работы в организации зависит от профессиональной 
компетентности специалистов кадровых служб. 

Цель делопроизводственного обеспечения — организация 
работы с документами, обращающимися в системе управления 
персоналом.  

Делопроизводство составляет полный цикл обработки и 
движения документов с момента их создания работниками 
кадровой службы (или получения ими) до завершения исполнения 
и передачи в другие подразделения. 

Раздел 1. Современное 
кадровое делопроизводство 
в коммерческих организациях 

Тема 1. Организация защиты  
персональных данных при ведении 
кадрового делопроизводства 

Защита персональных данных1 — комплекс мероприятий 
технического, организационного и организационно-
технического характера, направленных на защиту сведений, 
относящихся к определенному или определяемому на основании 
такой информации физическому лицу. 

О персональных данных в РФ информируют: 
• Конституция России;
• Трудовой Кодекс РФ;
• Федеральный закон № 152-ФЗ «О персональных данных»;
• Кодекс об административных правонарушениях РФ;
• Уголовный кодекс РФ.
Конституция РФ гарантирует: 
• что каждый гражданин имеет право на личную, семейную 
или профессиональную тайну; 

• имеет право контролировать распространение информации 
об этом, пресекать это распространение. 

Если же данные распространяются недобросовестно, то 
гражданин вправе рассчитывать на защиту чести и достоинства. 

Трудовой кодекс РФ говорит о том, что сбор персональных 
данных работника кадровиком или руководителем может 
проводиться исключительно с ясными и адекватными целями.  

В Федеральном законе № 152-ФЗ отмечена необходимость 
соблюдения полной безопасности данных, обозначены права, 
обязанности и ответственность граждан и операторов обработки. 


КоАП РФ и УК РФ устанавливают ответственность за 
нарушение указанных норм. 

Нормативные акты РФ по работе с персональными данными 
устанавливают два важных понятия, которые необходимо 

1 www.kdelo.ru 

4 

 

иметь в виду руководителю и ответственному сотруднику 
кадровой службы, чтобы не навлечь на себя и на организацию 
огромные штрафы и судебные иски. 

1. Избыточность. 
2. Целеполагание. 
То есть работодатель имеет право собирать исключительно 
те данные, которые необходимы для осуществления трудового 
процесса, и только с целью поддержания этого процесса. 

Персональными данными являются: 
• фамилия, имя, отчество; 
• дата, место рождения; 
• биометрия — отпечатки пальцев, ДНК, радужная оболочка 
глаз, рост, вес, фотографии и видео с изображением 
человека, если его можно там идентифицировать; 

• адрес регистрации или фактического жительства; 
• семейное положение, состав семьи;  
• биографические данные; 
• профессиональная информация — образование, квалификация, 
должность, трудовой стаж, предыдущие места работы; 

• сведения о доходах и имуществе; 
• номера ИНН и СНИЛС; 
• контакты — телефон, электронная почта; 
• информация о воинской обязанности; 
• медицинская информация и диагнозы. 
До 1 марта 2021 г. в законе существовало понятие «общедоступные 
персональные данные».  

Это понятие упразднено. Теперь это звучит так — «персональные 
данные, разрешенные субъектом для распространения». 


То есть — никто не вправе распространять личную информацию 
о субъекте без его согласия на это. Более того, даже 
если сам субъект распространит свои персональные данные 
или они будут опубликованы в другом источнике, транслировать 
их можно только с его прямого согласия. 

Работодатели обязаны обеспечить защиту персональных 
данных работников от неправомерного использования или 
утраты (п. 7 ч. 1 ст. 86 ТК РФ). 

К документам на бумаге требования стандартные — закрывать 
шкафы, где храните документы, на ключ, ограничивать 
к ним доступ неуполномоченных лиц.  

5 

 

А вот к документам, которые храните на компьютерах, 
требования жесткие.  

Они зависят от типа угроз безопасности персональных 
данных и уровня защиты персональных. 

Штраф за то, что с документами что-то случится, например, 
их украдут, распространят или уничтожат с 27 марта 2021 г. 
увеличили до 100 000 рублей (ч. 6 ст. 13.11 КоАП РФ).  

Поэтому важно установить систему защиты персональных 
данных так, чтобы обеспечить информационную защиту персональных 
данных от неправомерных действий. 

Чтобы обеспечить защиту персональных данных в орга-

низациях, сначала определите тип угрозы (п. 6 Требований к 
защите персональных данных при их обработке в информационных 
системах персональных данных, утвержденных постановлением 
Правительства от 01.11.2012 № 1119).  

Типы угроз2: 
1. Возникает, когда к неправомерному использованию 
персональных данных, которые хранятся в информационной 
системе, могут привести скрытые функциональные возможности 
системного, то есть предустановленного программного 
обеспечения. Речь идет о программах, которые входят в состав 
операционной системы. 

2. Связан со скрытыми возможностями прикладного программного 
обеспечения. То есть программ, которые устанавливаете 
на компьютер дополнительно к системным. Это, 
например, программы, которые вы используете для автоматизации 
кадрового учета. 

3. Предполагает, что от программного обеспечения, как 
системного, так и прикладного, угроз нет. 

Определить тип потенциальной опасности самостоятельно, 
чтобы адекватно выбрать меры для защиты персональных 
данных в информационных системах, непросто. 

Поэтому госслужащие подсказывают — обращайтесь в 
специализированные организации, у которых есть лицензия  
на деятельность по технической защите конфиденциальной 
информации (п. 2 Состава и содержания организационных и 
технических мер по обеспечению безопасности персональных 

2 Делопроизводство в кадровой службе. Под ред. Кибанова А. Я.  
М.: Проспект, 2021. 

6 

                                                       

 

данных при их обработке в информационных системах персональных 
данных, утвержденных приказом ФСТЭК от 18.02.2013 
№ 21). 

От типа угрозы зависят требования к уровню защищенности 
персональных данных.  

То есть если неверно определим тип угрозы, есть вероятность 
принять недостаточные меры для защиты персональных 
данных.  

2021 г. при этом стал годом увеличения штрафов за 
нарушения в этой области. 

Штрафы за персональные данные увеличили в 10 раз,  
и теперь они — до полумиллиона рублей за одно нарушение. 

Защита персональных данных сотрудников строится путем 
определения требований к уровню защищенности персональных 
данных.  

Всего уровней — четыре (п. 9–12 Требований, утвержденных 
постановлением Правительства от 01.11.2012 № 1119). 

УЗ-1 устанавливается: 
• если существуют угрозы I типа и информационная система 
работает со специальными, биометрическими или иными 
категориями ПД; 

• если существуют угрозы II типа и информационная  
система работает со специальными категориями ПД свыше 
100 тысяч граждан. 

УЗ-2 устанавливается при угрозах типов: 
• I и работе с общедоступными личными данными; 
• II и работе с личными данными служащих оператора 
или при работе со специальной категорией ниже 100 тысяч 
человек; 

• II и работе с использованием биометрических личных 
данных; 

• II и обработке общедоступных личных данных при количестве 
от 100 тысяч человек (без персонала оператора);  

• II и работе с другими видами ПД с количеством от 100 
тысяч человек (без учета работников оператора);  

• III и работе со специальной категорией более чем 100 
тысяч человек (не считая персонала оператора).  

УЗ-3 устанавливается при наличии угроз следующих типов: 
• II, включая работу с ПД общедоступного характера с количеством 
людей до 100 тысяч человек; 

7 

 

• II с работой с другими категориями до 100 тысяч человек; 
• III с обработкой специальных категорий до 100 тысяч 
человек; 

• III с использованием биометрических ПД; 
• III с работой с другими категориями, превышающими 
100 тысяч человек (кроме персонала оператора). 

УЗ-4 устанавливается при угрозах: 
• III типа и работе с общедоступной информацией; 
• III типа и обработке других категорий меньше 100 тысяч 
человек. 

Требования к системе защиты персональных данных 
напрямую зависят от того, какой уровень защищенности определили 
исходя из типа угроз безопасности данных. 

При всех четырех уровнях защищенности нужно соблюдать 
четыре общих требования к защите персональных данных 
сотрудников организации (п. 13–16 Требований, утвержденных 
постановлением Правительства от 01.11.2012 № 1119):  

1. Обеспечить режим безопасности помещений, в которых 
размещаете информационную систему, чтобы туда не проникали 
посторонние.  

2. Обеспечить сохранность носителей информации. 
3. Утвердить перечень сотрудников, которых допустили 
к персональным данным коллег.  

4. Использовать средства защиты информации, которые 
прошли оценку соответствия требованиям закона в области 
обеспечения безопасности информации, если потребуется 
нейтрализовать угрозы безопасности. 

Шаг 1. Выпустить положение о персональных данных. 
Этого требуют и федеральный закон, и здравый смысл. В локальном 
акте нужно прописать все правила хранения и обработки 
данных. 

Шаг 2. Утвердить положение. Для этого нужно выпустить 
соответствующий приказ с подписью руководителя и ознакомить 
с ним всех сотрудников. Работники должны расписаться в 
специальном журнале или ведомости. 

Шаг 3. Назначить специалиста, ответственного за персональные 
данные. 

Вероятнее всего, это будет сотрудник кадровой службы. 
Желательно, чтобы работа с персональными данными была 

8 

 

указана в его трудовом договоре. Если же договор уже составлен, 
можно выпустить дополнительное соглашение к нему.  
В том же приказе нужно установить сотрудников, которые будут 
иметь доступ к персональным данным. Все упомянутые лица 
должны подписать обязательство о неразглашении данных. 

Шаг 4. Собрать со всех сотрудников письменные согласия 
на обработку персональных данных. В письменном согласии 
должны быть перечислены конкретные данные и цели их 
использования.  

Шаг 5. Хранить данные в строгом порядке. Данные могут 
храниться и в электронном виде, и в бумажном. Они должны 
быть абсолютно недоступными для третьих лиц, своевременно 
пополняться и при необходимости корректироваться. 

Шаг 6. Обратиться в Роскомнадзор.  
Этот пункт не обязателен, если Вы: 
• обрабатываете информацию без использования специализированного 
ПО и баз данных (то есть если массив данных 
оператор обрабатывает вручную на ПК или на бумаге); 

• обрабатываете данные только своих сотрудников и только 
в целях составления и ведения трудовых договоров (не более); 

• оформили договор с физическим лицом как подрядчиком, 
поставщиком или нештатным специалистом; 

• однократно пропустили постороннего человека, не являющегося 
Вашим сотрудником, на территорию предприятия 
(например, для собеседования). 

С 1 июля 2021 г.: 
• Определен новый порядок прохождения инспекционных 
проверок, в том числе и Роскомнадзора. Вступил в силу 
Федеральный закон от 31.07.2020 № 248-ФЗ «О государственном 
контроле (надзоре) и муниципальном контроле в Российской 
Федерации». 

• Определен новый порядок прохождения проверок  
органами Роскомнадзора, который введен в действие Постановлением 
Правительства РФ от 29.06.2021 № 1046 «О федеральном 
государственном контроле (надзоре) за обработкой 
персональных данных». 

Оператор ПДн3 — компания, которая собирает, хранит, 
обрабатывает и распространяет персональные данные.  

3 www.kdelo.ru 

9 

                                                       

 

Чтобы понять, является ли компания оператором, нужно 
разобраться, что такое хранение и обработка персональных 
данных: 

1. Хранение персональных данных по ФЗ № 152-ФЗ — это 
когда вы держите данные у себя, например, записали на свой 
сервер или в базу данных в облаке. Кстати, если данные на 
бумаге, и Вы держите их в папках и архивах, то тоже занимаетесь 
хранением персональных данных. 

2. Обработка персональных данных — любые действия с 
ними: запись, извлечение, анализ, изменение, передача и даже 
удаление. Даже если Вы просто собираете данные, Вы их уже 
обрабатываете. 

C 1 марта 2021 г. в организации нужно оформлять документ — 
согласие на распространение персональных данных 
(ст. 10.1 ФЗ № 152-ФЗ). 

Требования к форме согласия установлены ст. 9 ФЗ № 152-
ФЗ. Количество согласий на обработку персональных данных 
зависит от количества субъектов, чьи данные обрабатываются 
в организации. 

В 2022 г. согласие работников на обработку личных сведений 
можно не брать в случае, если организация занимается 
обработкой этих данных и это прописано в трудовом договоре 
(п. 5 ч. 6 ФЗ № 152-ФЗ). 

Работодателям необходимы данные сотрудников для 
начисления заработной платы, ведения кадровой документации 
и других видов отчетности.  

Не требуется согласие работника на передачу персональных 
данных третьим лицам в целях предупреждения угрозы 
жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, 
военные комиссариаты, прокуратуру, правоохранительные 
органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся 
обработки персональных данных работников, соискателей 
на замещение вакантных должностей, а также лиц, 
находящихся в кадровом резерве»). 

Закон РФ утверждает требования относительно содержания 
согласия на обработку данных человека, на которые 
дано его разрешение (Приказ Роскомнадзора № 18). 

Согласие должно быть составлено письменно и содержать: 
1) данные физического лица, дающего согласие, то есть:  
• фамилия, имя, отчество; 

10