Обработка персональных данных: что необходимо знать HR специалисту
Содержание статьи
Небрежное отношение к обработке персональных данных (ПДн) сотрудников и соискателей может мгновенно превратить вашу компанию из надежного работодателя в нарушителя закона. Требования ФЗ от 27.07.2006 №152 постоянно ужесточаются, а штрафы достигают астрономических сумм. Мы рассмотрим, как HR-специалисту работать с персональными данными в новых реалиях: какие сведения требуют особого внимания, в каких случаях необходимо получать согласие и как выстроить процессы, чтобы защитить компанию от рисков.
Какие данные считаются персональными
Персональные данные (ПДн) — это любая информация, относящаяся к конкретному человеку и позволяющая его прямо или косвенно идентифицировать.
Примеры персональных данных:
-
Законность обработки персональных данных:
- Сведения из документов:ИНН, СНИЛС, серия и номер паспорта.
- Комбинация сведений: ФИО + дата рождения, место работы, адрес и другое.
- Контактная информация: номер телефона, email, мессенджеры.
- Биометрические данные: фотографии, видеозаписи, сканы документов.
- Данные субъекта ПДн: ФИО, адрес, паспортные данные.
- Ф. И. О.;
- адрес;
- реквизиты документа, удостоверяющего личность (номер, дата выдачи, наименование выдавшего органа).
- Сведения о работодателе/получателе данных: наименование организации или ФИО предпринимателя, адрес.
- Цели обработки персональных данных: для рассмотрения анкеты соискателя или формирования кадрового резерва.
- Перечень ПДн:конкретный список сведений, на обработку которых дается согласие.
- Исполнитель обработки (если привлекается третье лицо):наименование и адрес организации, которой оператор поручает обработку.
- Способы и виды обработки: перечень действий с данными (сбор, хранение, передача и т. д.).
- Срок действия согласия и порядок отзыва: период, в течение которого согласие действительно.
- Подпись субъекта ПДн — обычная или ЭЦП.
- Согласие на обработку ПДн от кандидатов на вакантные должности — обязательно. Они должны знать, какие данные вы обрабатываете: собираете, храните, передаете. В последнем случае нужно еще и согласие на передачу ПДн третьему лицу.
- Полученные сведения соответствуют целям, для которых они собираются. Например, HR-специалист не может запрашивать ПДн соискателя, чтобы в дальнейшем отправлять ему рекламные рассылки от компании.
- Данные обрабатываются только способами, указанными в согласии: автоматизированная, ручная или смешанная обработка.
- Срок обработки ПДн ограничен. При заключении трудового договора — до момента его расторжения. При работе с ПДн соискателя с целью рассмотрения возможности трудоустройства их нужно уничтожить в общем порядке в течение 30 дней с момента принятия решения о его кандидатуре.
- При обработке персональных данных в информационной системе должны соблюдаться требования к безопасности, предусмотренные Приказом ФСТЭК России от 18.02.2013 №21.
- Доступ к ПДн должен быть ограничен. HR-специалист не может разглашать их другим сотрудникам организации, а также обязан следить, чтобы посторонние лица не могли завладеть ими: например, использовав его логин и пароль при входе в систему электронного документооборота.
Даже отдельные данные в сочетании с другой информацией могут стать персональными. Например, просто ФИО и место работы — это уже персональные данные, даже если они не хранятся в совокупности с номером телефона или адресом.
Проведем бесплатный аудит вашей организации или ИП на предмет соблюдения новых требований закона «О персональных данных»
Сделаем заключение на соблюдение требований Роскомнадзора
Запишитесь на бесплатный аудит
Заполните форму и мы свяжемся с вами
Нужно ли согласие на обработку от соискателя
В ст. 6 ФЗ №152-ФЗ сказано, что согласие не требуется, если данные обрабатываются для исполнения трудового договора и других обязанностей, возложенных на работодателя в рамках ТК РФ. Например, оно не нужно, если обработка осуществляется для начисления зарплаты.
Но соискатель — еще не участник трудовых правоотношений, и в 2025 году с него необходимо взять согласие на обработку персональных данных. Что в нем должно быть указано:
Правила работы с ПДн для HR-специалиста
ФЗ №152-ФЗ касается оператора и самого субъекта ПДн — соискателя или сотрудника, который их предоставляет. Некоторые функции при обработке возлагаются и на HR-специалиста в интересах оператора — компании или ИП: он может проводить собеседования, запрашивать документы об образовании и опыте работы, паспортные данные.
Полномочия HR-специалиста определяются должностной инструкцией, но, если в компании хранятся ПДн работников и соискателей, важно соблюдать несколько правил:
Кроме того, оператор должен разработать ряд документов и направить уведомление об обработке персональных данных в Роскомнадзор. В этом тоже может участвовать HR-специалист.
Заключение
При обработке персональных данных HR-специалисты должны быть внимательны: отсутствие согласия соискателя или нарушение правил хранения данных может привести к серьезным штрафам.. Важно не только правильно оформлять документы, но и строго соблюдать сроки хранения информации, ограничивать доступ к ней и использовать защищенные системы. Уже сегодня стоит провести аудит всех процессов, проверить наличие согласий и убедиться в надежности систем хранения данных.
Помните: в вопросах работы с ПДн лучше проявить излишнюю бдительность, чем столкнуться с разрушительными последствиями их утечки или неправомерного использования, поскольку штрафы за нарушения с 30 мая 2025 года могут достигать 18 млн, а в некоторых случаях — 500 млн рублей.
Остались вопросы?
Наш менеджер вас проконсультирует
Наши ключевые услуги
Вам может быть интересно
Подобрать пакет документов
