Зарегистрируйте бизнес в Тинькофф и получите бонусы до 500 000 Р

Зарегистрируйте бизнес в Тинькофф и получите бонусы до 500 000 Р

Подробнее
Идеи для бизнесаБизнес с нуляМаркетплейсыВопросы–ответыЖизнь вне работыСправочник
Идеи для бизнесаБизнес с нуляМаркетплейсыВопросы–ответыЖизнь вне работыСправочник

Как работать с персональными данными сотрудников


И как получить их согласие на обработку таких данных


Евгений Бельский

Евгений Бельский

Эксперт по праву

Поделиться

Работодатель получает от сотрудников много личных сведений — ФИО, фотографии, адрес проживания, номер телефона, e-mail, реквизиты счета в банке. Все это персональные данные, при работе с ними нужно соблюдать требования закона.

Если нарушить закон, можно получить серьезные штрафы. Например, если повесить фото сотрудника на доску почета без его разрешения, можно получить штраф от 20 000 ₽.

Мы уже рассказывали, как работать с персональными данными клиентов. Порядок работы с данными сотрудников почти такой же. Поэтому рекомендуем изучить статью по ссылке на полях — там подробно рассказываем все базовые правила.

Здесь собрали нюансы работы с персональными данными сотрудников. Статья будет полезна бизнесу, который только планирует нанять первого работника, работодатели со стажем вряд ли найдут здесь что-то новое.

Что считается персональными данными работника

Персональные данные — это любая информация о человеке, по которой его можно идентифицировать. Например, ФИО, дата рождения, адрес регистрации и фактического проживания, семейный статус, образование, паспортные данные, СНИЛС, ИНН, данные о воинском учете.

Биометрические данные человека тоже считаются персональными. Например, рост, вес, отпечатки пальцев, радужная оболочка глаз.

Персональные данные есть, например, в таких документах:

  • неофициальные документы: резюме, анкета, тесты для трудоустройства;
  • кадровые документы: трудовая книжка, трудовой договор, заявление о приеме на работу, отпуск или увольнение;
  • бухгалтерские документы: расчетный лист, ведомость на выдачу зарплаты или премии;
  • фото сотрудника — например, на пропуск, доску почета или корпоративный портал;
  • копии документов сотрудника.

Все эти документы нужно хранить и следить, чтобы они не оказались в чужих руках.

Кому можно передавать персональные данные

Работодатель может передавать персональные данные сотрудника без его согласия третьим лицам в случаях, которые указаны в законе. Например, при расследовании уголовного преступления полиция может потребовать предоставить персональные данные о работнике.

Еще персональные данные можно передавать между отделами работодателя. Процесс передачи нужно прописать в локальном акте, в нем же перечисляют отделы с доступом к данным. С этим актом сотрудник должен ознакомиться во время подписания трудового договора.

Где хранятся персональные данные и как их стереть

Как именно надо хранить данные работников, закон не уточняет. Главное — чтобы они не утекли в сеть или не попали в руки людям без права доступа к ним. Есть два способа хранения:

  • бумажный;
  • электронный.

Бумажные документы. На каждого сотрудника заводят папку-накопитель, в которую подшивают документы с персональными данными, например трудовой договор. Бумажные документы надо хранить должным образом — в специально оборудованном помещении или сейфе под ключ, за сохранность отвечает главный бухгалтер или начальник отдела кадров.

Электронные базы данных. Работодатели могут хранить персональные данные сотрудников в электронных базах. Это может быть информация о зарплате, налогах, стаже работы. Следить за сохранностью в электронных базах лучше поручить специалистам. Если у вас маленькая компания или вы — ИП и в штате нет экспертов по безопасности, можно взять консультацию и как минимум ставить пароли на рабочие компьютеры.

Часто организации и ИП дублируют информацию и хранят ее одновременно на бумаге и в электронной форме.

Ненужные документы просто выбросить или отправить на черновики нельзя. Кроме того, их запрещено хранить на всякий случай. Все ненужные бумажные документы надо уничтожить так, чтобы невозможно было взять из них данные. Для этого можно воспользоваться шредером или мелко порвать документы. Электронные документы с серверов нужно удалить вместе со всеми копиями.

Важно не только надежно хранить персональные данные, но и вовремя удалять их

Кого касаются правила работы с персональными данными

По закону все, кто получают и обрабатывают личные сведения сотрудников, — операторы персональных данных. Ими могут быть ИП, компании или физлица. Любые операторы должны соблюдать закон «О персональных данных». Вот их ключевые обязанности:

  • собирать персональные данные только с согласия человека или без согласия, если сведения нужны по закону, например для подачи в военкомат или оформления трудового договора;
  • использовать персональные данные в целях, указанных в согласии;
  • хранить персональные данные в безопасности;
  • уничтожать персональные данные, когда достигли цели, для которой их собирали, или в других предусмотренных законом случаях.

Когда работодателю нужно согласие на обработку персональных данных сотрудников

Чтобы нанять человека на работу, оформить пропуск в офис, подключить к корпоративным базам, начислить зарплату на карту, нужны его персональные данные. Например, ФИО, реквизиты паспорта, номер телефона, реквизиты банковского счета.

Общее требование закона «О персональных данных» — получать личную информацию о человеке можно только с его согласия. Например, когда бизнесу нужен e-mail клиента для отправки рассылки, всегда просят подтвердить согласие на передачу персональных данных. Без согласия этого делать нельзя.

А вот у сотрудников бизнесу не всегда нужно получать согласие. Если данные понадобились для целей, которые указаны в законах, — согласие не требуется.

❌ Согласие не нужноОснование в нормативном документе
Для оформления трудового договораДокументы для оформления трудового договора — ст. 65 ТК РФ
Для ведения воинского учетаст. 8 закона от 28.03.1998 № 53-ФЗ

Нельзя без согласия получить у сотрудника больше данных, чем разрешает закон. Например, для оформления трудового договора нужны: паспорт, трудовая книжка, если она есть, СНИЛС, документы воинского учета, диплом — при условии, что работа требует профильного образования. А вот если работодатель дополнительно захочет посмотреть кредитную историю сотрудника, на это нужно его согласие.

Есть данные, которые работодатель вообще не может получать у работника. Например:

  • биометрические данные — анализы ДНК, группа крови, отпечатки пальцев;
  • об интимной жизни — с кем встречается или живет;
  • о политических взглядах, религиозных, философских убеждениях — нельзя спросить у сотрудника, поддерживает ли он коммунистов или верит ли в бога;
  • о его членстве в общественных объединениях и профсоюзах;
  • о здоровье;
  • о национальности, расе.

Исключение — если закон предусматривает получение таких специальных данных. Например, при трудоустройстве в кафе официанты и повара должны показать медицинскую книжку, то есть поделиться информацией о здоровье.

Также согласие нужно, если собираетесь передавать данные работника другим людям, например контрагенту. Но если данные запросит официальное лицо в пределах должностных обязанностей — полицейский, прокурор, налоговая инспекция, — разрешения можно не спрашивать.

Что делать, если только собираетесь нанять первого сотрудника

Перед тем как нанимать работников, нужно:

  • составить положение о защите персональных данных работников;
  • выбрать ответственного за персональные данные;
  • подготовить форму согласия на обработку персональных данных;
  • уведомить Роскомнадзор;
  • обеспечить сохранность данных.

Составить положение о защите персональных данных работников. Это локальный нормативный акт. Закон не регламентирует, как он должен выглядеть — каждый работодатель составляет с учетом своей специфики. Главное, чтобы работник мог прочитать положение и понять:

  • какие данные просит работодатель — например, ФИО супруга, имена и даты рождения детей, номер автомобиля;
  • как работодатель получает данные — например, только лично у сотрудника и с его письменного согласия;
  • кому могут передать его данные внутри компании — например, HR-специалисту, юристам, бухгалтерам, сотрудникам безопасности и гендиректору компании;
  • как его данные хранят — например, данные на бумаге находятся в отделе кадров, электронные — в 1С;
  • что работодатель делает, чтобы данные не утекли — можно перечислить, какие сотрудники отвечают за сохранность данных, какие программы безопасности используете;
  • права работника — например, в любой момент ознакомиться со своими данными, которые хранит работодатель, корректировать их, знать, как долго они будут храниться, когда их уничтожат.

Каждый работник должен прочитать положение и подписать лист ознакомления с ним. Далее сотрудник подписывает отдельное согласие на обработку данных. Другой вариант — включить такое согласие в трудовой договор.

Выбрать ответственного за персональные данные. Этот человек будет отвечать за сбор согласий с работников и хранение данных. Обычно это делает HR работодателя, но может любой другой работник, директор или ИП. Ответственного назначают приказом в свободной форме.

Подготовить форму согласия на обработку персональных данных. Каждый раз, когда нужны данные работника и закон не предусматривает их получения, нужно подписывать согласие. О том, как его составить, расскажем ниже.

Уведомить Роскомнадзор. Каждый новый работодатель должен уведомить Роскомнадзор, что собирается обрабатывать или передавать персональные данные сотрудников. Проще всего это сделать на Госуслугах или на сайте ведомства, если есть квалифицированная электронная подпись.

Отправлять уведомление нужно каждый раз, когда собираетесь запросить новые данные сотрудников — сделать это нужно в течение 10 рабочих дней. Допустим, сначала сообщили Роскомнадзору, что хотите узнать реквизиты счета, чтобы переводить туда зарплату. Если решите получить новую информацию, например узнать имена и даты рождения детей для новогодних подарков, нужно снова отправить уведомление.

Как получить согласие работника на обработку персональных данных

Получить согласие нужно письменно. Составить документ можно в свободной форме, вот что в нем обязательно:

  • данные работодателя — название компании или ФИО предпринимателя;
  • место и дата составления документа;
  • ФИО работника, его паспортные данные и сведения о месте жительства;
  • какие именно персональные данные обрабатываете;
  • для чего нужны данные работника — например, реквизиты карты для выплаты зарплаты;
  • что будете делать с данными — хранить у себя или передавать другим;
  • срок действия согласия — на какой период нужны данные.

Можно разработать свой шаблон или взять шаблон Роскомнадзора.

Нельзя собирать данных больше, чем надо для достижения целей в согласии. Если цель — оформить сотруднику ДМС, надо получить согласие на передачу только паспортных данных. Запросить заодно медицинские справки нельзя — они не нужны для ДМС.

Что грозит работодателю за несоблюдение правил обработки персональных данных

Если нарушить правила закона «О персональных данных» или 14‑й главы трудового кодекса, работодателя могут оштрафовать. Например, недовольный работник может пожаловаться в Роскомнадзор или прокуратуру.

Штраф зависит от вида нарушения.

Какое правило нарушилиШтрафОснование
Обрабатывали данные с иными целями, чем указаны в согласииЗа первое нарушение:
для ИП — от 10 000 до 20 000 ₽;

для малых предприятий — от 30 000 до 50 000 ₽;

для средних и крупных компаний — от 60 000 до 100 000 ₽.

За повторное нарушение:

для ИП и малых предприятий — от 50 000 до 100 000 ₽;

для средних и крупных компаний — от 100 000 до 300 000 ₽
ч. 1 и 1.1 ст. 13.11 КоАП РФ
Использовали данные работника без согласия, или форма согласия не соответствует законуЗа первое нарушение:
для ИП — от 20 000 до 40 000 ₽;

для малых предприятий — от 15 000 до 75 000 ₽;

для средних и крупных компаний — от 30 00 до 150 000 ₽.

За повторное нарушение:

для ИП и малых предприятий — от 100 000 до 300 000 ₽;

для средних и крупных компаний — от 300 000 до 500 000 ₽
ч. 2 и 2.1 ст. 13.11 КоАП РФ
Не уничтожили персональные данные по требованию работникаЗа первое нарушение:
для ИП и малых предприятий — от 20 000 до 40 000 ₽;

для средних и крупных компаний — от 50 000 до 90 000 ₽.

За повторное нарушение:

для ИП и малых предприятий — от 50 000 до 100 000 ₽;

для средних и крупных компаний — от 300 000 до 500 000 ₽
ч. 5 и 5.1 ст. 13.11 КоАП РФ
За утечку персональных данных на бумаге из-за неправильного храненияДля ИП и малых предприятий — от 20 000 до 40 000 ₽;

для средних и крупных компаний — от 50 000 до 150 000 ₽.
ч. 6 ст. 13.11 КоАП РФ
Вовремя не подали уведомление в РоскомнадзорДля ИП — от 300 до 500 ₽;

для малых предприятий — от 1500 до 2500 ₽;

для средних и крупных компаний — от 3000 до 5000 ₽
ст. 19.7 КоАП РФ
Распространили информацию о частной жизни через интернет или СМИДля человека-нарушителя — штраф до 200 000 ₽ или в размере дохода за 18 месяцев.

В редких случаях возможно даже лишение свободы до двух лет с запретом заниматься определенной деятельностью до трех лет
ч. 1 ст. 137 УК РФ

Также работник может потребовать в суде компенсацию морального вреда за распространение фактов его частной жизни, например о разводе. Окончательную сумму такой компенсации определяет суд.

Частые вопросы по работе с персональными данными сотрудников

Собрали частые вопросы работодателей про работу с персональными данными сотрудников.

Распространяются ли эти правила на исполнителей по договорам ГПХ?
Да, но только если вам понадобились дополнительные персональные данные, не нужные для заключения договора. Так, ФИО и реквизиты паспорта можно использовать без согласия. А если, например, человек запросит стандартный вычет по НДФЛ на ребенка, согласие придется оформить — для передачи работодателю ФИО ребенка и реквизитов свидетельства о рождении.

Распространяются ли эти правила на сотрудников-иностранцев? Да.

Нужно ли получать согласие у кандидата на должность? Если нашли резюме в интернете, например на HeadHunter, получать разрешение не надо — человек сам разместил свои данные.

Если пригласили человека на собеседование, надо — обычно кандидаты рассказывают о себе уже больше деталей, чем указали в резюме.

В согласии с кандидатом нужно указать цель получения персональных данных — «для рассмотрения претендента на вакансию». Если кандидат в итоге не подойдет, его данные нужно уничтожить. Если хотите сохранить данные в резерв, нужно также прописать такое условие — «данные будут храниться, если в будущем снова готовы рассмотреть его кандидатуру».

Можно ли уволить сотрудника, если он отказывается подписать согласие на обработку персональных данных? Нет, нельзя. В случаях, когда данные нужны для трудоустройства, работодателю и так не нужно разрешение сотрудника.

Если нужно получить информацию у бывшего работодателя или из университета, нужно ли разрешение кандидата? Да, нужно.

Нужно ли получать согласие, чтобы переводить зарплату на карту? Да, нужно. По закону сотрудник не обязан получать зарплату только на карту.

Если не нашли ответ на свой вопрос, можете спросить в комментариях к статье.

Главное

  1. Персональные данные — это любая информация о человеке, по которой можно установить его личность. Например, ФИО, паспортные данные, дата рождения, реквизиты счета в банке.
  2. Работодатели обрабатывают персональные данные работников — спрашивают, хранят, передают. Чтобы устроить человека на работу, перевести ему зарплату на карту, нужно знать его персональные данные.
  3. Если работодатель обрабатывает персональные данные, надо получать согласие работника на это. Оно не нужно в одном случае — когда данные сотрудника понадобились работодателю по закону.
  4. Получать согласие на обработку персональных данных лучше всегда письменно. Это защитит работодателя в случае споров.
  5. Работодатель должен составить положение о защите персональных данных работников, выбрать ответственного за персональные данные, уведомить Роскомнадзор о работе с персональными данными и обеспечивать их сохранность.
  6. За нарушения правил работы с персональными данными грозят штрафы. Например, за утечку персональных данных на бумаге из-за неправильного хранения ИП могут оштрафовать на сумму от 20 000 до 40 000 ₽.
Расчетный счет для бизнеса

Предложение Тинькофф

Расчетный счет для бизнеса

  • Бесплатное открытие, онлайн. Реквизиты — в день заявки
  • Первые два месяца — бесплатное обслуживание
  • Любые платежи ИП и юрлицам внутри банка — 0 ₽
Узнать больше
Безопасность бизнеса

Найдите больше ответов на вопросы о бизнесе


Больше по теме

Как селлеру с минимальными вложениями выйти на глобальный рынок. Разбор пяти рисков от Everink Tattoo
Как селлеру с минимальными вложениями выйти на глобальный рынок. Разбор пяти рисков от Everink Tattoo

Максим Артюшенков о том, когда нужен всего один глобальный фулфилмент, и о сложностях при выходе на рынки других стран