Как работать с персональными данными сотрудников

Если нарушить закон, можно получить серьезные штрафы. Например, если повесить фото сотрудника на доску почета без его разрешения, можно получить штраф от 20 000 ₽.

Здесь собрали нюансы работы с персональными данными сотрудников. Статья будет полезна бизнесу, который только планирует нанять первого работника, работодатели со стажем вряд ли найдут здесь что-то новое.

Персональные данные — это любая информация о человеке, по которой его можно идентифицировать. Например, ФИО, дата рождения, адрес регистрации и фактического проживания, семейный статус, образование, паспортные данные, СНИЛС, ИНН, данные о воинском учете.

Биометрические данные человека тоже считаются персональными. Например, рост, вес, отпечатки пальцев, радужная оболочка глаз.

Персональные данные есть, например, в таких документах:

• неофициальные документы: резюме, анкета, тесты для трудоустройства;
• кадровые документы: трудовая книжка, трудовой договор, заявление о приеме на работу, отпуск или увольнение;
• бухгалтерские документы: расчетный лист, ведомость на выдачу зарплаты или премии;
• фото сотрудника — например, на пропуск, доску почета или корпоративный портал;
• копии документов сотрудника.

Все эти документы нужно хранить и следить, чтобы они не оказались в чужих руках.

Еще персональные данные можно передавать между отделами работодателя. Процесс передачи нужно прописать в локальном акте, в нем же перечисляют отделы с доступом к данным. С этим актом сотрудник должен ознакомиться во время подписания трудового договора.

Как именно надо хранить данные работников, закон не уточняет. Главное — чтобы они не утекли в сеть или не попали в руки людям без права доступа к ним. Есть два способа хранения:

• бумажный;
• электронный.

Бумажные документы. На каждого сотрудника заводят папку-накопитель, в которую подшивают документы с персональными данными, например трудовой договор. Бумажные документы надо хранить должным образом — в специально оборудованном помещении или сейфе под ключ, за сохранность отвечает главный бухгалтер или начальник отдела кадров.

Электронные базы данных. Работодатели могут хранить персональные данные сотрудников в электронных базах. Это может быть информация о зарплате, налогах, стаже работы. Следить за сохранностью в электронных базах лучше поручить специалистам. Если у вас маленькая компания или вы — ИП и в штате нет экспертов по безопасности, можно взять консультацию и как минимум ставить пароли на рабочие компьютеры.

Часто организации и ИП дублируют информацию и хранят ее одновременно на бумаге и в электронной форме.

Ненужные документы просто выбросить или отправить на черновики нельзя. Кроме того, их запрещено хранить на всякий случай. Все ненужные бумажные документы надо уничтожить так, чтобы невозможно было взять из них данные. Для этого можно воспользоваться шредером или мелко порвать документы. Электронные документы с серверов нужно удалить вместе со всеми копиями.

• собирать персональные данные только с согласия человека или без согласия, если сведения нужны по закону, например для подачи в военкомат или оформления трудового договора;
• использовать персональные данные в целях, указанных в согласии;
• хранить персональные данные в безопасности;
• уничтожать персональные данные, когда достигли цели, для которой их собирали, или в других предусмотренных законом случаях.

Чтобы нанять человека на работу, оформить пропуск в офис, подключить к корпоративным базам, начислить зарплату на карту, нужны его персональные данные. Например, ФИО, реквизиты паспорта, номер телефона, реквизиты банковского счета.

Общее требование закона «О персональных данных» — получать личную информацию о человеке можно только с его согласия. Например, когда бизнесу нужен e-mail клиента для отправки рассылки, всегда просят подтвердить согласие на передачу персональных данных. Без согласия этого делать нельзя.

А вот у сотрудников бизнесу не всегда нужно получать согласие. Если данные понадобились для целей, которые указаны в законах, — согласие не требуется.

Нельзя без согласия получить у сотрудника больше данных, чем разрешает закон. Например, для оформления трудового договора нужны: паспорт, трудовая книжка, если она есть, СНИЛС, документы воинского учета, диплом — при условии, что работа требует профильного образования. А вот если работодатель дополнительно захочет посмотреть кредитную историю сотрудника, на это нужно его согласие.

• биометрические данные — анализы ДНК, группа крови, отпечатки пальцев;
• об интимной жизни — с кем встречается или живет;
• о политических взглядах, религиозных, философских убеждениях — нельзя спросить у сотрудника, поддерживает ли он коммунистов или верит ли в бога;
• о его членстве в общественных объединениях и профсоюзах;
• о здоровье;
• о национальности, расе.

Также согласие нужно, если собираетесь передавать данные работника другим людям, например контрагенту. Но если данные запросит официальное лицо в пределах должностных обязанностей — полицейский, прокурор, налоговая инспекция, — разрешения можно не спрашивать.

• составить положение о защите персональных данных работников;
• выбрать ответственного за персональные данные;
• подготовить форму согласия на обработку персональных данных;
• уведомить Роскомнадзор;
• обеспечить сохранность данных.

• какие данные просит работодатель — например, ФИО супруга, имена и даты рождения детей, номер автомобиля;
• как работодатель получает данные — например, только лично у сотрудника и с его письменного согласия;
• кому могут передать его данные внутри компании — например, HR-специалисту, юристам, бухгалтерам, сотрудникам безопасности и гендиректору компании;
• как его данные хранят — например, данные на бумаге находятся в отделе кадров, электронные — в 1С;
• что работодатель делает, чтобы данные не утекли — можно перечислить, какие сотрудники отвечают за сохранность данных, какие программы безопасности используете;
• права работника — например, в любой момент ознакомиться со своими данными, которые хранит работодатель, корректировать их, знать, как долго они будут храниться, когда их уничтожат.

Каждый работник должен прочитать положение и подписать лист ознакомления с ним. Далее сотрудник подписывает отдельное согласие на обработку данных. Другой вариант — включить такое согласие в трудовой договор.

Выбрать ответственного за персональные данные. Этот человек будет отвечать за сбор согласий с работников и хранение данных. Обычно это делает HR работодателя, но может любой другой работник, директор или ИП. Ответственного назначают приказом в свободной форме.

Подготовить форму согласия на обработку персональных данных. Каждый раз, когда нужны данные работника и закон не предусматривает их получения, нужно подписывать согласие. О том, как его составить, расскажем ниже.

Получить согласие нужно письменно. Составить документ можно в свободной форме, вот что в нем обязательно:

• данные работодателя — название компании или ФИО предпринимателя;
• место и дата составления документа;
• ФИО работника, его паспортные данные и сведения о месте жительства;
• какие именно персональные данные обрабатываете;
• для чего нужны данные работника — например, реквизиты карты для выплаты зарплаты;
• что будете делать с данными — хранить у себя или передавать другим;
• срок действия согласия — на какой период нужны данные.

Нельзя собирать данных больше, чем надо для достижения целей в согласии. Если цель — оформить сотруднику ДМС, надо получить согласие на передачу только паспортных данных. Запросить заодно медицинские справки нельзя — они не нужны для ДМС.

Если нарушить правила закона «О персональных данных» или 14‑й главы трудового кодекса, работодателя могут оштрафовать. Например, недовольный работник может пожаловаться в Роскомнадзор или прокуратуру.

Штраф зависит от вида нарушения.

Также работник может потребовать в суде компенсацию морального вреда за распространение фактов его частной жизни, например о разводе. Окончательную сумму такой компенсации определяет суд.

Собрали частые вопросы работодателей про работу с персональными данными сотрудников.

Распространяются ли эти правила на исполнителей по договорам ГПХ?
Да, но только если вам понадобились дополнительные персональные данные, не нужные для заключения договора. Так, ФИО и реквизиты паспорта можно использовать без согласия. А если, например, человек запросит стандартный вычет по НДФЛ на ребенка, согласие придется оформить — для передачи работодателю ФИО ребенка и реквизитов свидетельства о рождении.

Распространяются ли эти правила на сотрудников-иностранцев? Да.

Нужно ли получать согласие у кандидата на должность? Если нашли резюме в интернете, например на HeadHunter, получать разрешение не надо — человек сам разместил свои данные.

Если пригласили человека на собеседование, надо — обычно кандидаты рассказывают о себе уже больше деталей, чем указали в резюме.

В согласии с кандидатом нужно указать цель получения персональных данных — «для рассмотрения претендента на вакансию». Если кандидат в итоге не подойдет, его данные нужно уничтожить. Если хотите сохранить данные в резерв, нужно также прописать такое условие — «данные будут храниться, если в будущем снова готовы рассмотреть его кандидатуру».

Можно ли уволить сотрудника, если он отказывается подписать согласие на обработку персональных данных? Нет, нельзя. В случаях, когда данные нужны для трудоустройства, работодателю и так не нужно разрешение сотрудника.

Если нужно получить информацию у бывшего работодателя или из университета, нужно ли разрешение кандидата? Да, нужно.

Нужно ли получать согласие, чтобы переводить зарплату на карту? Да, нужно. По закону сотрудник не обязан получать зарплату только на карту.

Если не нашли ответ на свой вопрос, можете спросить в комментариях к статье.

1. Персональные данные — это любая информация о человеке, по которой можно установить его личность. Например, ФИО, паспортные данные, дата рождения, реквизиты счета в банке.
2. Работодатели обрабатывают персональные данные работников — спрашивают, хранят, передают. Чтобы устроить человека на работу, перевести ему зарплату на карту, нужно знать его персональные данные.
3. Если работодатель обрабатывает персональные данные, надо получать согласие работника на это. Оно не нужно в одном случае — когда данные сотрудника понадобились работодателю по закону.
4. Получать согласие на обработку персональных данных лучше всегда письменно. Это защитит работодателя в случае споров.
5. Работодатель должен составить положение о защите персональных данных работников, выбрать ответственного за персональные данные, уведомить Роскомнадзор о работе с персональными данными и обеспечивать их сохранность.
6. За нарушения правил работы с персональными данными грозят штрафы. Например, за утечку персональных данных на бумаге из-за неправильного хранения ИП могут оштрафовать на сумму от 20 000 до 40 000 ₽.