И как получить их согласие на обработку таких данных
Евгений Бельский
Эксперт по праву
И как получить их согласие на обработку таких данных
Евгений Бельский
Эксперт по праву
Работодатель получает от сотрудников много личных сведений — ФИО, фотографии, адрес проживания, номер телефона, e-mail. Все это персональные данные, при работе с ними нужно соблюдать требования закона.
Если нарушить закон, можно получить серьезные штрафы. Например, если повесить фото сотрудника на доску почета без его разрешения, можно получить штраф от 20 000 ₽.
Мы уже рассказывали, как работать с персональными данными клиентов. Порядок работы с данными сотрудников почти такой же. Поэтому рекомендуем изучить статью по ссылке на полях — там подробно рассказываем все базовые правила.
Здесь собрали нюансы работы с персональными данными сотрудников. Статья будет полезна бизнесу, который только планирует нанять первого работника, работодатели со стажем вряд ли найдут здесь что-то новое.
Кого касаются правила работы с персональными данными
Персональные данные человека — это любая информация, по которой человека можно идентифицировать. Например, ФИО, паспортные данные, дата рождения, реквизиты счета в банке.
По закону все, кто получают и обрабатывают такие сведения, — операторы персональных данных. Ими могут быть ИП, компании или физлица. Все операторы должны соблюдать закон «О персональных данных». Вот ключевые обязанности операторов:
- собирать персональные данные только с согласия человека или без согласия, если сведения нужны по закону, например для подачи в военкомат или оформления трудового договора;
- использовать персональные данные только в целях, указанных в согласии;
- хранить персональные данные в безопасности;
- уничтожать персональные данные, когда достигли цели, для которой их собирали.
Далее говорим только про обязанности работодателя в отношении сотрудников.
Когда работодателю нужно согласие на обработку персональных данных сотрудников
Чтобы нанять человека на работу, оформить пропуск в офис, подключить к корпоративным базам, начислить зарплату на карту, нужны его персональные данные. Например, ФИО, реквизиты паспорта, номер телефона, реквизиты банковского счета.
Общее требование закона «О персональных данных» — получать личную информацию о человеке можно только с его согласия. Например, когда бизнесу нужен e-mail клиента для отправки ему рассылки, всегда просят подтвердить согласие на передачу данных. Без согласия этого делать нельзя.
А вот у сотрудников бизнесу не всегда нужно получать согласие. Если данные понадобились для целей, которые указаны в законах, — согласие не требуется.
| ❌ Согласие не нужно | Основание в нормативном документе |
|---|---|
| Для оформления трудового договора | Документы для оформления трудового договора — ст. 65 ТК РФ |
| Для заполнения трудовой книжки | Приказ Минтруда от 19.05.2021 № 320н |
| Для выплаты зарплаты | Выплата заработной платы — ст. 136 ТК РФ |
| Для сдачи РСВ и другой персонифицированной отчетности | Приказ ФНС от 29.09.2022 № ЕД-7-11/878@ |
| Для ведения воинского учета | п. 7 ст. 8 закона от 28.03.1998 № 53-ФЗ |
Нельзя без согласия получить у сотрудника больше данных, чем разрешает закон. Например, для оформления трудового договора нужны: паспорт, трудовая книжка, СНИЛС, документы воинского учета, диплом — при условии, что работа требует профильного образования. А вот если работодатель дополнительно захочет посмотреть кредитную историю сотрудника, на это нужно его согласие.
Есть данные, которые работодатель вообще не может получать у работника. Например:
- биометрические данные — анализы ДНК, группа крови, отпечатки пальцев;
- об интимной жизни — с кем встречается или живет;
- о политических взглядах, религиозных, философских убеждениях — нельзя спросить у сотрудника, поддерживает ли он коммунистов или верит ли в Бога;
- о его членстве в общественных объединениях и профсоюзах;
- о здоровье;
- о национальности, расе.
Исключение — если закон предусматривает получение таких специальных данных. Например, при трудоустройстве в кафе официанты и повара должны показать медицинскую книжку, то есть поделиться информацией о здоровье.
Также согласие нужно, если собираетесь передавать данные работника другим людям, например контрагенту. Но если данные спросит официальное лицо — полицейский, прокурор, Банк России, скорая помощь, — разрешения можно не спрашивать.
Что делать, если только собираетесь нанять первого сотрудника
Перед тем как нанимать работников, нужно:
- составить положение о защите персональных данных работников;
- выбрать ответственного за персональные данные;
- подготовить форму согласия на обработку персональных данных;
- уведомить Роскомнадзор;
- обеспечить сохранность данных.
Составить положение о защите персональных данных работников. Это локальный нормативный акт. Закон не регламентирует, как он должен выглядеть — каждый работодатель составляет с учетом своей специфики. Главное, чтобы работник мог прочитать положение и понять:
- какие данные просит работодатель — ФИО супруга, имена и даты рождения детей, номер автомобиля;
- как работодатель получает данные — например, только лично у сотрудника и с его письменного согласия;
- кому могут передать его данные внутри компании — например, HR-специалисту, юристам, бухгалтерам, сотрудникам безопасности и гендиректору компании;
- как его данные хранят — например, данные на бумаге хранятся в отделе кадров, электронные — в 1С;
- что работодатель делает, чтобы данные не утекли — можно перечислить, какие сотрудники отвечают за сохранность данных, какие программы безопасности используете;
- какие у работника есть права — например, в любой момент ознакомиться со своими данными, которые хранит работодатель, корректировать свои данные, знать, как долго они будут храниться, когда их уничтожат.
Каждый работник должен прочитать положение и подписать лист ознакомления с ним. Далее сотрудник будет подписывать отдельное согласие на обработку данных, если такое понадобится работодателю.
Выбрать ответственного за персональные данные. Этот человек будет отвечать за сбор согласий с работников и хранение данных. Обычно это делает HR компании, но может любой другой работник, директор или ИП. Ответственного назначают приказом в свободной форме.
Подготовить форму согласия на обработку персональных данных. Каждый раз, когда нужны данные работника и закон не предусматривает их получения, нужно получать согласие. О том, как его составить, расскажем ниже.
Уведомить Роскомнадзор. Каждый новый работодатель должен уведомить Роскомнадзор, что собирается обрабатывать или передавать персональные данные сотрудников. Проще всего это сделать на Госуслугах или на сайте ведомства, если есть квалифицированная электронная подпись.
Отправлять уведомление нужно каждый раз, когда собираетесь запросить новые данные сотрудников — сделать это нужно в течение 10 рабочих дней. Допустим, сначала сообщили Роскомнадзору, что хотите узнать реквизиты счета, чтобы переводить туда зарплату. Если решите получить новую информацию, например узнать имена и даты рождения детей для новогодних подарков, нужно снова отправить уведомление.
Обеспечить сохранность данных. Как именно надо хранить данные работников, закон не уточняет. Главное — чтобы они не утекли в сеть или не попали в руки людям, у которых нет прав на доступ к данным. С данными на бумаге проще — их можно хранить в сейфе. А вот сохранность в электронных базах лучше поручить специалистам. Если у вас маленькая компания и нет в штате экспертов по безопасности, можно взять консультацию и как минимум ставить пароли на рабочие компьютеры.
Как получить согласие работника на обработку персональных данных
Получить согласие нужно письменно. Составить согласие можно в свободной форме, вот что в нем обязательно:
- данные работодателя — название компании или ФИО предпринимателя;
- место и дата составления документа;
- ФИО работника, его паспортные данные и сведения о месте жительства;
- какие именно персональные данные обрабатываете;
- в каких целях нужны данные работника — например, реквизиты карты для выплаты зарплаты;
- что будете делать с данными — хранить у себя или передавать другим;
- срок действия согласия — на какой срок нужны данные.
Можно разработать свой шаблон или взять шаблон Роскомнадзора.
Нельзя собирать данных больше, чем надо для достижения целей в согласии. Если цель — оформить сотруднику ДМС от компании, нужно получить согласие на передачу только паспортных данных. Запросить заодно медицинские справки нельзя — они не нужны для ДМС.
Что грозит работодателю за несоблюдение правил обработки персональных данных
Если нарушить правила закона «О персональных данных» или 14‑й главы трудового кодекса, работодателя могут оштрафовать. Например, недовольный работник может пожаловаться в Роскомнадзор или прокуратуру.
Штраф зависит от вида нарушения.
| Какое правило нарушили | Штраф | Основание |
|---|---|---|
| Обрабатывали данные с иными целями, чем указаны в согласии | За первое нарушение: для ИП — от 10 000 до 20 000 ₽; для малых предприятий — от 30 000 до 50 000 ₽; для средних и крупных компаний — от 60 000 до 100 000 ₽. За повторное нарушение: для ИП и малых предприятий — от 50 000 до 100 000 ₽; для средних и крупных компаний — от 100 000 до 300 000 ₽ | ч. 1 и 1.1 ст. 13.11 КоАП РФ |
| Использовали данные работника без согласия, или форма согласия не соответствует закону | За первое нарушение: для ИП — от 20 000 до 40 000 ₽; для малых предприятий — от 15 000 до 75 000 ₽; для средних и крупных компаний — от 30 00 до 150 000 ₽. За повторное нарушение: для ИП и малых предприятий — от 100 000 до 300 000 ₽; для средних и крупных компаний — от 300 000 до 500 000 ₽ | ч. 2 и 2.1 ст. 13.11 КоАП РФ |
| Не уничтожили персональные данные по требованию работника | За первое нарушение: для ИП и малых предприятий — от 20 000 до 40 000 ₽; для средних и крупных компаний — от 50 000 до 90 000 ₽. За повторное нарушение: для ИП и малых предприятий — от 50 000 до 100 000 ₽; для средних и крупных компаний — от 300 000 до 500 000 ₽ | ч. 5 и 5.1 ст. 13.11 КоАП РФ |
| За утечку персональных данных на бумаге из-за неправильного хранения | Для ИП и малых предприятий — от 20 000 до 40 000 ₽; для средних и крупных компаний — от 50 000 до 150 000 ₽. В будущем планируют ввести штраф за утечку — 1% от оборота бизнеса | ч. 6 ст. 13.11 КоАП РФ |
| Вовремя не подали уведомление в Роскомнадзор | Для ИП — от 300 до 500 ₽; для малых предприятий — от 1500 до 2500 ₽; для средних и крупных компаний — от 3000 до 5000 ₽ | ст. 19.7 КоАП РФ |
| Распространили информацию о частной жизни через интернет или СМИ | Для человека-нарушителя — штраф до 200 000 ₽ или в размере дохода за 18 месяцев. В редких случаях возможно даже лишение свободы до двух лет с запретом заниматься определенной деятельностью до трех лет | ч. 1 ст. 137 УК РФ |
Также работник может потребовать в суде компенсацию морального вреда за распространение фактов его частной жизни, например о разводе. Сумму такой компенсации определяет суд.
Частые вопросы по работе с персональными данными сотрудников
Собрали частые вопросы работодателей про работу с персональными данными сотрудников.
Распространяются ли эти правила на исполнителей по договорам ГПХ?
Да, но только если вам понадобились дополнительные персональные данные, не нужные для заключения договора. Так, ФИО и реквизиты паспорта можно использовать без согласия. А если, например, человек запросит стандартный вычет по НДФЛ на ребенка, согласие придется оформить — для передачи работодателю ФИО ребенка и реквизитов свидетельства о рождении.
Распространяются ли эти правила на сотрудников-иностранцев? Да.
Нужно ли получать согласие у кандидата на должность? Если нашли резюме в интернете, например на HeadHunter, получать разрешение не надо — человек сам разместил свои данные.
Если пригласили человека на собеседование, надо — обычно кандидаты рассказывают о себе уже больше деталей, чем указали в резюме.
В согласии с кандидатом нужно указать цель получения персональных данных — «для рассмотрения претендента на вакансию». Если кандидат в итоге не подойдет, его данные нужно уничтожить. Если хотите сохранить данные в резерв, нужно также прописать такое условие — «данные будут храниться, если в будущем снова готовы рассмотреть его кандидатуру».
Можно ли уволить сотрудника, если он отказывается подписать согласие на обработку персональных данных? Нет, нельзя. В случаях, когда данные нужны для трудоустройства, работодателю и так не нужно разрешение сотрудника.
Если нужно получить информацию у бывшего работодателя или из университета, нужно ли разрешение кандидата? Да, нужно.
Нужно ли получать согласие, чтобы переводить зарплату на карту? Да, нужно. По закону сотрудник не обязан получать зарплату только на карту.
Если не нашли ответ на свой вопрос, можете спросить в комментариях к статье.
Главное
- Персональные данные — это любая информация о человеке, по которой можно установить его личность. Например, ФИО, паспортные данные, дата рождения, реквизиты счета в банке.
- Работодатели обрабатывают персональные данные работников — спрашивают, хранят, передают. Чтобы устроить человека на работу, перевести ему зарплату на карту, нужно знать его персональные данные.
- Если работодатель обрабатывает персональные данные, нужно получать согласие работника на это. Согласие не нужно только в одном случае — когда данные сотрудника нужны работодателю по закону.
- Получать согласие на обработку персональных данных лучше всегда письменно. Это защитит работодателя в случае споров.
- Работодатель должен составить положение о защите персональных данных работников, выбрать ответственного за персональные данные, уведомить Роскомнадзор о работе с персональными данными и обеспечивать их сохранность.
- За нарушения правил работы с персональными данными грозят штрафы. Например, за утечку персональных данных на бумаге из-за неправильного хранения ИП могут оштрафовать на сумму от 20 000 до 40 000 ₽.
