Какие персональные данные работодатель не имеет права запрашивать у работника

Казалось бы, есть всего один закон 152-ФЗ о персональных данных. Но в нем все так описано, что тонут даже юристы. Не всегда понятно, может ли работодатель не уведомлять Роскомнадзор, когда нужно согласие работника на обработку персональных данных, а когда можно работать без него. Нужно ли согласие на обработку от соискателя.

• Что считается персональными данными работника
• Как наказывают работодателей и кадровиков за нарушения в работе с персональными данными
• Должен ли работодатель уведомлять Роскомнадзор
• Когда не нужны согласия на обработку персональных данных
• Сколько хранить согласия о персональных данных
• Могут ли согласия на обработку быть электронными
• Частые вопросы
• Проверьте себя и пройдите тест

Что считается персональными данными работника

Персональные данные — это ФИО работника, ИНН, СНИЛС, телефон, размер зарплаты и даты рождения его детей. Это любая информация, прямо или косвенно относящаяся к сотруднику, как указано в ст. 3 закона о персональных данных 152-ФЗ. Даже просто ФИО «Иванов Иван Иванович» без даты рождения или номера телефона Роскомнадзор считает персональными данными.

Кадровик сталкивается с персональными данными, когда получает резюме соискателя, сообщает охраннику данные кандидата для оформления пропуска, заполняет трудовой договор или отправляет СЗВ-ТД в Пенсионный фонд.

Любые действия кадровика с персданными работника называются обработкой персональных данных. По п. 3 ст. 3 закона о персданных обработка персданных включает в себя сбор, запись, систематизацию, использование, распространение, удаление данных.

Что относится к персональным данным работника

• фамилия, имя, отчество;
• пол, возраст;
• паспортные данные, СНИЛС, ИНН;
• образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
• место жительства;
• семейное положение, наличие детей, родственные связи;
• факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
• финансовое положение. Сведения о заработной плате также являются персональными данными (Письмо Роскомнадзора от 07.02.2014 N 08КМ-3681);
• деловые и иные личные качества, которые носят оценочный характер;
• номер телефона или электронная почта;
• прочие сведения, которые могут идентифицировать человека.

Из указанного списка работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора. Когда при заключении трудового договора работодатель запрашивает паспортные данные и другие сведения у работников, тем самым он проводит обработку персональных данных.

Может ли работодатель предоставить персональные данные работника

Сбор информации о соискателях, необходимой для принятия решения о вступлении с ними в трудовые отношения, также подпадает под обработку персональных данных. В данных ситуациях работодатель выступает в роли оператора персональных данных.

Обработка персональных данных

В соответствии с п. 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

До начала обработки персональных данных вы обязаны уведомить Роскомнадзор о намерении их обрабатывать (ч. 1 ст. 22 Закона о персональных данных)

Что делать с персональными данными кандидата

Еще на этапе просмотра резюме компания начинает собирать персональные данные кандидатов. Она может сохранять резюме в специальных программах, распечатывать их, сохранять контакты для дальнейшей связи и т.д.

В резюме обычно представлен целый перечень персональных данных — от номера телефона до сведений об образовании и предыдущих местах работы.

Роскомнадзор предупреждает о том, что обработка персональных данных соискателей предполагает получение соответствующего согласия от них. Согласие следует оформлять на период принятия решения о приеме либо отказе в приеме на работу.

Но есть и исключения, когда такое согласие не требуется:

• если от имени соискателя действует кадровое агентство, с которым кандидат заключил договор;
• при самостоятельном размещении резюме в интернете.

В согласии нужно обязательно указать цель получения персональных данных — рассмотрение кандидата на вакантную должность. Можно воспользоваться образцом согласия на обработку персональных данных.

Если работодатель получает резюме соискателя по электронной почте, ему нужно дополнительно провести мероприятия, которые бы служили подтверждением факта направления резюме самим соискателем. Например, это может быть приглашение соискателя на собеседование или ответ на его письмо по электронной почте.

Что делать, если персональные данные собираются с помощью анкеты

Нередко работодатель осуществляет сбор персональных данных кандидатов с помощью типовой анкеты. Во-первых, такая анкета должна содержать информацию о сроке её рассмотрения и принятия решения о приеме либо отказе в приеме на работу.

• в анкете должны быть сведения о цели обработки персональных данных, имя (наименование) и адрес оператора, ФИО и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых работодателем способов обработки данных;
• в анкете должно быть поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку;
• анкета должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими данными, не нарушая прав и законных интересов других;
• в анкете не должно быть предусмотрено объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

Обычно анкета размещается в электронном виде на сайте компании, и согласие на обработку персональных данных подтверждается с помощью проставления «галочки» в соответствующем поле.

Что делать с данными кандидата, которого не взяли на работу

В таком случае предоставленные соискателем данные нужно уничтожить в течение 30 дней.

Есть в этой ситуации исключения — случаи, предусмотренные законодательством о государственной гражданской службе. Тогда хранить персональные данные соискателя придется в течение 3-х лет.

Направление запросов на прежние места работы

На этапе собеседования работодателю может потребоваться уточнение некоторых данных о работнике или получение дополнительной информации у прежних работодателей.

Для этого ему обязательно нужно заручиться согласием соискателя.

Сбор и обработка персональных данных при приеме на работу

Трудовое законодательство определяет перечень документов, которые работодатель запрашивает у работника при приеме на работу. На этом этапе, согласно ст. 65 ТК РФ, запрашиваются:

• паспорт или иной документ, удостоверяющий личность;
• трудовая книжка;
• документ, подтверждающий регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа;
• при необходимости: документы воинского учета, документ об образовании и (или) о квалификации или наличии специальных знаний, справка о наличии (отсутствии) судимости.

На то, чтобы внести персональные данные из этих документов в трудовой договор, согласие работника не требуется. Когда он подписывает трудовой договор, то тем самым уже дает свое согласие.

Отдельные вопросы порядка работы с персональными данными

Работодатель вправе обрабатывать персональные данные уволенного работника в случаях и в сроки, предусмотренные федеральным законодательством. К таким случаям, в частности, относится обработка персональных данных для целей бухгалтерского и налогового учета. Также в случаях наличия согласия работника работодатель вправе хранить копию трудовой книжки уволенного работника.

Интересна позиция Роструда при оформлении пропусков для доступа к месту работы, которые представляют собой копию паспорта работника. Так, на сайте Роструда был задан вопрос, нарушает ли положение о защите персональных данных предъявление такого рода пропуска сотрудникам охранной организации (то есть третьему лицу). По мнению Роструда, оформление такого рода пропусков и обязание работников предъявлять такие пропуска сторонней организации возможно только с письменного согласия работника.

Необходимо отметить, что в случае хранения в личном деле каких-либо документов, касающихся родственников работников (например, копия свидетельства о рождении ребенка для получения вычета, копии свидетельства о заключении брака, др.), работодатель должен получить согласие на обработку персональных данных либо от совершеннолетних членов семьи, либо от самого работника, как полномочного представителя своих несовершеннолетних детей.

Кроме того, в целях соблюдения положений законодательства о персональных данных, не допускается издание одного приказа, например, о переводе нескольких работников на новые должности, так как такой приказ будет нарушать конфиденциальность персональных данных: в приказ включается информация о заработной плате каждого работника, а такие сведения не подлежат разглашению третьим лицам.

Многих работодателей интересует вопрос о возможности ведения видеонаблюдения на территории организации и необходимости получения согласия работников. Из статьи 22 ТК РФ вытекает право работодателя осуществлять контроль за трудовой деятельностью работников. Формы такого контроля законодательством не установлены. Они закрепляются локальными нормативными актами, действующими в организации. Следовательно, для введения системы видеонаблюдения работодателю необходимо издать соответствующий локальный нормативный акт, с которым ознакомить работников.

При осуществлении контроля работодатель обязан соблюдать конституционные права граждан, а также требования законодательства о защите персональных данных работников.

Ответственность за нарушения в сфере обработки персональных данных

Статьей 13.11 КоАП РФ предусмотрена ответственность за обработку персональных данных в случаях, не предусмотренных законодательством РФ, либо их обработка, не совместимая с целями сбора персональных данных. Организация по этой норме будет оштрафована на сумму от 30 000 до 50 000 рублей.

Частью 2 статьи 13.11 КоАП РФ выделен самостоятельный состав правонарушения, который образует обработка персональных данных без письменного согласия их субъекта (работника) либо обработка персональных данных с нарушением требований к составу сведений, включаемых в письменное согласие. Должностному лицу компании-работодателя грозит штраф в размере от 10 000 до 20 000 рублей, а организации — от 15 000 до 75 000 рублей.

Нормативная база о персональных данных

Иногда работодатели публикуют в интернете «чёрные» списки сотрудников, с которыми у них возникали проблемы. При этом они не учитывают тот факт, что персональные данные работника — это защищаемая законом информация, и её нельзя использовать по своему усмотрению. Основы для этого заложены в Конституции Российской Федерации.

Нормы регулирования вопросов, связанных с персональными данными, содержатся:

• в Трудовом кодексе РФ (ТК РФ);
• в Федеральном законе от 27.07.2006 №152-ФЗ “О персональных данных”;
• в Кодексе РФ об административных правонарушениях (КоАП РФ);
• в Уголовном кодексе РФ (УК РФ).

Если Конституция гарантирует права граждан на контроль публикации информации о себе, в трудовом законодательстве речь уже идёт о регулировании деятельности работодателей. Например, сбор персональных данных кадровой службой допускается только с чёткими и ограниченными целями. В КоАП РФ и УК РФ прописывается ответственность за игнорирование и нарушение действующих правил о защите данных.

Особенности работы с персональными данными

Сталкиваться с понятием персональных данных работника приходится уже на этапе публикации вакансий на сайте работодателя или на ином интернет-ресурсе. В ответ на них потенциальные кандидаты отправляют свои данные, а получатели начинают нести ответственность за их нераспространение. Можно игнорировать отсутствие договора на обработку данных, если кандидат сам разместил резюме в интернете.

На следующем этапе — при трудоустройстве будущему работнику нужно будет предоставить:

1. паспорт гражданина РФ (или иной документ для подтверждения личности);
2. трудовую книжку;
3. ИНН и СНИЛС;
4. диплом об образовании или квалификации;
5. документы о воинской обязанности.

Также работодатель может запросить справку об отсутствии судимостей или отрицательный тест на употребление наркотиков. Ввод информации из предоставленных документов в трудовой договор отдельного согласия не требует. После его подписания работник по умолчанию разрешает обрабатывать информацию о нём, так как это необходимо для начисления заработной платы, отправки отчётности в ИФНС и в Фонды, и т.д.

При выпуске зарплатной карты допускается отсутствие согласия на обработку персональных данных, если договор был заключен сотрудником напрямую с банком. В этом случае работодателю будет передаваться ограниченная информация.

Что делать с данными, собираемыми при помощи анкетирования

Распространённым способом сбора информации о соискателе считается анкета. Она обязательно имеет указание по сроку её рассмотрения и выдачи ответа о приёме или об отказе в приёме на работу. Также к анкете предъявляются требования пункта 7 “Положения об особенностях обработки персональных данных, осуществляемой без применения средств автоматики”, утверждённого Постановлением Правительства РФ от 15.09.2008 №687.

Важные моменты требований:

• в анкете указывают цель обработки персональных данных, наименование оператора и перечень действий с информацией, какие могут совершаться с ними;
• в любом месте документа кандидату предлагают оставить отметку о согласии на обработку данных (чаще всего внизу рядом с датой и подписью);
• в теле анкеты не должно присутствовать совмещённых полей, предполагающих указание не взаимосвязанных данных.

Если анкета высылается соискателю в электронном виде, то согласие на обработку подтверждают постановкой отметки в соответствующем поле. В любом случае, обе стороны анкетирования должны чётко понимать, что такое персональные данные работника, почему нельзя их свободно распространять. Например, электронные анкеты хранят на накопителе с закрытым от посторонних лиц доступом.

Что делать с данными, если кандидат не подошёл

При отказе в приёме на должность или при закрытии вакансии по другим причинам, персональные данные несостоявшихся работников следует удалять. Срок на исполнение этой обязанности установлен в 30 календарных дней. Если по истечении указанного периода информация осталась в базе данных работодателя, его могут привлечь к административной ответственности. Речь идет о сроках хранения законно полученных данных (из анкеты или резюме предоставленного соискателем).

В учреждениях с государственной гражданской службой срок хранения персональных данных кандидатов составляет 3 календарных года.

Тут к достоверности информации подходят более жёстко — за предоставление кандидатом искажённых предусмотрена ответственность согласно статье 19.7 КоАП РФ (штраф от 100 до 300 рублей).

Как направлять запросы на прежние места работы

Привычные вопросы о предыдущей трудовой деятельности также имеют отношение к сбору персональных данных сотрудников. Если текущий работодатель планирует запрашивать какие-либо сведения о сотруднике его бывшего работодателя, сначала нужно получить письменное согласие от сотрудника. При этом незаконно просить номера личных телефонов бывших коллег и руководителя.

Что делать с данными по уволенным работникам

Отдельно рассматриваются периоды хранения информации о людях, уволенных из организации. Их данные попали в бухгалтерский и налоговый учёт и в отчётность, и поэтому то, что касается налоговых начислений и платежей, должно храниться в течение 5 лет (подпункт 5 пункта 3 статьи 24 НК РФ).

А вот личные личные дела или личные карточки сотрудников необходимо передавать в архив для дальнейшего хранения в течение 50 лет (пункт 2 статьи 22.1 Федерального закона от 22.10.2004 №125-ФЗ).

Организации не обязательно выяснять, что входит в персональные данные работника, достаточно обеспечить сохранность кадровых документов и документов, ранее используемых при начислении, удержании и перечислении налогов.

Не тратьте время на задачи, которые не приносят прибыль!

Передайте бухгалтерию на аутсорсинг. Мы возьмём на себя всё ведение и безопасное хранение вашей документации.