Обработка персональных данных работников: что необходимо знать кадровику

Для специалиста отдела кадров обработка персональных данных работников — неотъемлемая часть работы, к тому же HR часто назначают ответственными. Несоблюдение требований ФЗ от 27.07.2006 №152-ФЗ может привести к серьезным штрафам и потере работы. Важно понимать, какие данные относятся к персональным, как их правильно хранить и защищать, и когда требуется согласие сотрудников на те или иные действия.

Какие данные считаются персональными

Согласно ст. 3 ФЗ№152-ФЗ, персональные данные (ПДн) представляют собой любую информацию, позволяющую прямо или косвенно идентифицировать физическое лицо — субъект ПДн:

• ФИО, пол, дата и место рождения;
• фотографии и видеозаписи, позволяющие установить личность;
• адрес проживания или регистрации;
• образование, профессиональная квалификация и данные о дополнительном обучении;
• текущая профессия и сведения о трудовой деятельности;
• финансовое положение (доходы, зарплата);
• личные и деловые качества.

Таким образом, в ФЗ №152-ФЗ предусмотрен комплексный подход к защите ПДн, охватывающий как базовые идентификационные данные, так и более специфические сведения, которые могут использоваться для установления личности.

Проведем бесплатный аудит вашей организации или ИП на предмет соблюдения новых требований закона «О персональных данных»

Сделаем заключение на соблюдение требований Роскомнадзора

Запишитесь на бесплатный аудит

Заполните форму и мы свяжемся с вами

Нажимая кнопку "Отправить", я соглашаюсь на обработку моих персональных данных в соотв. с ФЗ от 27.07.2006 №152-ФЗ на условиях и для целей, определенных Согласием на обработку персональных данных

Нажимая кнопку "Отправить", я соглашаюсь на получение рассылки в соотв. с ФЗ от 13.03.2006 №38-ФЗ на условиях и для целей, определенных Политикой конфиденциальности

Отправить

Какие документы содержат ПДн

Работодатель собирает и обрабатывает персональные данные сотрудников для оформления трудовых отношений. Эти сведения содержатся в документах:

• анкета и автобиография (при приеме на работу);
• трудовой договор;
• паспорт или иной документ, удостоверяющий личность;
• личная карточка Т-2;
• трудовая книжка и сведения о трудовой деятельности (СТД-Р, СТД-СФР, ЕФС-1);
• свидетельства о браке и рождении детей;
• СНИЛС;
• военный билет (для военнообязанных);
• диплом или иной документ об образовании;
• ИНН;
• водительские права (если требуются для работы);
• медкнижка (для отдельных профессий);
• справка о доходах с предыдущего места работы.

Важно! Персональные данные конфиденциальны. Работодатель не вправе разглашать их без письменного согласия сотрудника (ст. 3 ФЗ №152-ФЗ). Однако согласие на обработку в рамках трудового договора не требуется (ст. 6 ФЗ №152-ФЗ). Работники, осуществляющие обработку персональных данных, должны быть ознакомлены с Положением и Политикой работы с ПДн. Также работодатель обязан предоставить им допуск к конфиденциальным сведениям и документам, которые их содержат.

Правила работы с ПДн сотрудников

Обработка персональных данных сотрудников — это сбор, хранение и использование личной информации при приеме на работу, оформлении договоров, кадровых перемещениях и других трудовых процессах. Работодатель обязан соблюдать требования ст. 5 ФЗ №152-ФЗ и ст. 86 ТК РФ :

1. Законность и целесообразность: обработка возможна только для конкретных и законных целей. Запрещено смешивать базы данных с персональными сведениями, если их обработка преследует разные цели.
2. Соответствие объема данных:обрабатывать можно только ту информацию, которая необходима для заявленных целей.
3. Сроки и форма хранения:данные должны храниться в форме, позволяющей идентифицировать сотрудника, но не дольше установленного срока. После этого их нужно обезличить или уничтожить.
4. Конфиденциальность: передача ПДн третьим лицам без письменного согласия работника запрещена, за исключением случаев, предусмотренных законом.
5. Права и обязанности работодателя: ПДн можно обрабатывать только для соблюдения трудового законодательства, содействия в карьерном росте и обучении сотрудников, обеспечения безопасности и контроля работы, защиты имущества компании.
6. Организация защиты данных: для соблюдения закона работодатель должен: разработать Положение об обработке персональных данных работников и ознакомить с ним сотрудников под подпись; назначить ответственных за обработку и защиту информации, издать соответствующий приказ, обеспечить безопасное хранение данных.
7. Документы для работы с ПДн:Положение о персональных данных, согласие работника на передачу данных, приказ о назначении ответственного и обеспечении безопасности данных. Всего может понадобиться до 60 разных документов — все зависит от особенностей компании.
8. Регистрация в реестре операторов. Для этого нужно подать уведомление об обработке персональных данных работников и иных категорий субъектов еще до начала работы с ними.

Соблюдение этих правил защитит HR-специалиста и работодателя от нарушений закона.

Обработка ПДн соискателей

При рассмотрении анкет соискателей действуют общие требования ФЗ №152-ФЗ, но с некоторыми особенностями:

1. Обязательное получение согласия. Компания должна взять его до начала каких-либо переговоров о трудоустройстве.
   Важно:
   • запрещено принуждать к даче согласия любыми способами;
   • молчание или бездействие соискателя не считаются согласием.
2. Требования к оформлению согласия. Согласно ч. 1 ст. 9 ФЗ№152-ФЗ, согласие должно быть:
   • конкретным и понятным;
   • содержать четкое определение целей обработки персональных данных;
   • осознанным и добровольным.
3. Срок действия согласия:
   • согласие не может быть бессрочным;
   • срок должен соответствовать целям обработки;
   • данные соискателей обрабатываются только до принятия решения о приеме/отказе.
4. Электронная форма согласия.
   При сборе резюме через сайт:
   • обязательно использование чекбокса для согласия;
   • запрещено предварительное проставление галочки;
   • необходима дополнительная верификация личности (по email, телефону и т.д.).
5. Сроки хранения данных. При отказе в трудоустройстве:
   • данные должны быть удалены в течение 30 дней
6. Для кадрового резерва:
   • требуется отдельное согласие соискателя;
   • необходимо установить четкий срок нахождения в резерве;
   • нужно ознакомить субъекта с правилами исключения из резерва;
   • по истечении срока данные подлежат уничтожению.

Ответственность за нарушения

За несоблюдение общих требований обработки персональных данных работников и другие нарушения ФЗ №152-ФЗ оператору или кадровику грозит административная ответственность по ст. 13.11 КоАП РФ.

Основные нарушения и размеры штрафов:

1. Обработка данных без законных оснований или не в соответствии с заявленными целями:
   • для граждан: от 10 000 до 15 000 рублей;
   • для должностных лиц (кадровиков, HR-специалистов): от 50 000 до 100 000 рублей;
   • для организаций: от 150 000 до 300 000 рублей; Повторное нарушение увеличивает штрафы в 2-3 раза.
2. Отсутствие согласия работника, когда оно обязательно:
   • для граждан: от 10 000 до 15 000 рублей;
   • для должностных лиц: от 100 000 до 300 000 рублей;
   • для организаций: от 300 000 до 700 000 рублей; При повторном нарушении штрафы достигают 1 000 000 — 1 500 000 рублей для компаний.
3. Неопубликование политики обработки персональных данных:
   • для организаций: от 30 000 до 60 000 рублей;
   • для должностных лиц: от 6 000 до 12 000 рублей.
4. Утечка данных (размер штрафа зависит от масштаба):
   • при компрометации данных 1 000-10 000 человек: 3 000 000 — 5 000 000 рублей для компании;
   • более 100 000 пострадавших: до 15 000 000 рублей;
   • утечка биометрических данных: 15 000 000 — 20 000 000 рублей, повторно — до 500 млн рублей.

Заключение

Получение и обработка персональных данных работников — процесс, в рамках которого должно строго соблюдаться законодательство. От корректного оформления документов до обеспечения конфиденциальности — каждый этап работы с ПДн должен быть продуман. Соблюдение этих правил не только защитит бизнес от штрафов, но и укрепит доверие сотрудников.