Работодатель не имеет права запрашивать следующие персональные данные у работника

Содержание

В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:
1) обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
2) при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, настоящим Кодексом и иными федеральными законами;
3) все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;
4) работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством Российской Федерации в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных настоящим Кодексом и другими федеральными законами;
5) работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных настоящим Кодексом или иными федеральными законами;
6) при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;
7) защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном настоящим Кодексом и иными федеральными законами;
8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;
9) работники не должны отказываться от своих прав на сохранение и защиту тайны;
10) работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.

Дата изменения: 05.01.2016 15:06:19
Количество показов: 824

БЕРЕГИТЕ СВОИ ПД 🔥 СОГЛАСИЯ НА ОБРАБОТКУ НИКОМУ НЕ ДАВАТЬ👊

Что включают персональные данные работника

Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных). Как правило, эти данные позволяют идентифицировать конкретного человека.

В рамках трудовых отношений работодатель может запрашивать только те персональные данные, которые нужны для выполнения трудовой функции. К ним относятся ФИО, сведения о предыдущей работе, документы, которые необходимы для устройства на работу (паспорт, трудовая книжка и т.д.), сведения об образовании. Такие сведения, как вероисповедание, работодатель запрашивать не имеет права, так как они не требуются для выполнения трудовой функции.

Сложность обработки персональных данных заключается в том, что на разных этапах взаимодействия и при решении различных трудовых задач у работодателя могут возникнуть вопросы. Например, считается ли та информация, которая содержится в резюме кандидата, персональными данными? Должен ли он давать согласие в этом случае, даже если его не возьмут на работу?

Нужно ли как-то согласовывать с работником факт передачи данных для оформления пропуска? Можно ли размещать фотографию работника на доске почета без его согласия? Допускается ли размещение «черных списков» сотрудников на сайте компании? Что делать с данными уволенных сотрудников?

На все эти вопросы важно знать ответы. Тем более что периодически разъяснения по ним публикуют Минтруд, Роструд, Роскомнадзор.

Что делать с персональными данными кандидата

Еще на этапе просмотра резюме компания начинает собирать персональные данные кандидатов. Она может сохранять резюме в специальных программах, распечатывать их, сохранять контакты для дальнейшей связи и т.д.

В резюме обычно представлен целый перечень персональных данных — от номера телефона до сведений об образовании и предыдущих местах работы.

Роскомнадзор предупреждает о том, что обработка персональных данных соискателей предполагает получение соответствующего согласия от них. Согласие следует оформлять на период принятия решения о приеме либо отказе в приеме на работу.

Но есть и исключения, когда такое согласие не требуется:

если от имени соискателя действует кадровое агентство, с которым кандидат заключил договор;
при самостоятельном размещении резюме в интернете.

В согласии нужно обязательно указать цель получения персональных данных — рассмотрение кандидата на вакантную должность. Можно воспользоваться образцом согласия на обработку персональных данных.

Если работодатель получает резюме соискателя по электронной почте, ему нужно дополнительно провести мероприятия, которые бы служили подтверждением факта направления резюме самим соискателем. Например, это может быть приглашение соискателя на собеседование или ответ на его письмо по электронной почте.

Что делать, если персональные данные собираются с помощью анкеты

Нередко работодатель осуществляет сбор персональных данных кандидатов с помощью типовой анкеты. Во-первых, такая анкета должна содержать информацию о сроке её рассмотрения и принятия решения о приеме либо отказе в приеме на работу.

в анкете должны быть сведения о цели обработки персональных данных, имя (наименование) и адрес оператора, ФИО и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых работодателем способов обработки данных;
в анкете должно быть поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку;
анкета должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими данными, не нарушая прав и законных интересов других;
в анкете не должно быть предусмотрено объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

Обычно анкета размещается в электронном виде на сайте компании, и согласие на обработку персональных данных подтверждается с помощью проставления «галочки» в соответствующем поле.

Что делать с данными кандидата, которого не взяли на работу

В таком случае предоставленные соискателем данные нужно уничтожить в течение 30 дней.

Есть в этой ситуации исключения — случаи, предусмотренные законодательством о государственной гражданской службе. Тогда хранить персональные данные соискателя придется в течение 3-х лет.

Направление запросов на прежние места работы

На этапе собеседования работодателю может потребоваться уточнение некоторых данных о работнике или получение дополнительной информации у прежних работодателей.

Для этого ему обязательно нужно заручиться согласием соискателя.

Работа с персональными данными

Согласие на обработку персональных данных оформляется исключительно в письменной форме.

Однако из данного правила имеются исключения. В частности, допускается обработка персональных данных в случаях, когда такая обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных. Данное правило распространяется и на стороны трудового договора, то есть работника и работодателя.

Из сказанного следует, если работодатель получает от работника, хранит и передает лишь ту информацию, которая необходима для исполнения трудового договора, получение согласия работника на такие действия не требуется.

Возникает большое количество вопросов относительно контактных данных работника, ведь отсутствие такой информации не влечет невозможность исполнения трудового договора. Согласно статье 65 ТК РФ предоставление каких-либо документов с контактными данными не требуется. Поэтому, если работодатель желает получить такого рода информацию (а также иную информацию, неполучение которой не влечет невозможность исполнения договора), ему необходимо получить на это согласие работника.

Между тем, даже если у работника не берется согласие на обработку персональных данных, в целях соблюдения положений статьи 86 ТК РФ работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

Статьей 88 ТК РФ установлены требования к передаче персональных данных работника.

Так, работодатель не вправе сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника и в иных предусмотренных законодательством случаях.

Были даны разъяснения, в каких случаях при передаче персональных данных работника третьим лицам согласия работника не требуется:

в Фонд социального страхования РФ, Пенсионный фонд РФ;
в банковские организации, открывающие и обслуживающие банковские карты для начисления заработной платы в случаях:
когда договор на выпуск банковской карты заключался напрямую с работником и в его тексте предусмотрены положения, предусматривающие передачу работодателем персональных данных работника;
наличия у работодателя доверенности на представление интересов работника;
когда соответствующая форма и система оплаты труда прописана в коллективном договоре

Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований законодательства, а именно путем утверждения Положения о хранении и использовании персональных данных работников. В Положении стоит указать порядок допуска к работе с персональными данными, перечень данных, с которыми работают должностные лица, порядок передачи данных внутри и за пределы организации.

Доступ к персональным данным работника должен быть разрешен только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций.

Защита персональных данных работника от неправомерного их использования или утраты обеспечивается работодателем за счет собственных средств.

Отдельные вопросы порядка работы с персональными данными

Работодатель вправе обрабатывать персональные данные уволенного работника в случаях и в сроки, предусмотренные федеральным законодательством. К таким случаям, в частности, относится обработка персональных данных для целей бухгалтерского и налогового учета. Также в случаях наличия согласия работника работодатель вправе хранить копию трудовой книжки уволенного работника.

Интересна позиция Роструда при оформлении пропусков для доступа к месту работы, которые представляют собой копию паспорта работника. Так, на сайте Роструда был задан вопрос, нарушает ли положение о защите персональных данных предъявление такого рода пропуска сотрудникам охранной организации (то есть третьему лицу). По мнению Роструда, оформление такого рода пропусков и обязание работников предъявлять такие пропуска сторонней организации возможно только с письменного согласия работника.

Необходимо отметить, что в случае хранения в личном деле каких-либо документов, касающихся родственников работников (например, копия свидетельства о рождении ребенка для получения вычета, копии свидетельства о заключении брака, др.), работодатель должен получить согласие на обработку персональных данных либо от совершеннолетних членов семьи, либо от самого работника, как полномочного представителя своих несовершеннолетних детей.

Кроме того, в целях соблюдения положений законодательства о персональных данных, не допускается издание одного приказа, например, о переводе нескольких работников на новые должности, так как такой приказ будет нарушать конфиденциальность персональных данных: в приказ включается информация о заработной плате каждого работника, а такие сведения не подлежат разглашению третьим лицам.

Многих работодателей интересует вопрос о возможности ведения видеонаблюдения на территории организации и необходимости получения согласия работников. Из статьи 22 ТК РФ вытекает право работодателя осуществлять контроль за трудовой деятельностью работников. Формы такого контроля законодательством не установлены. Они закрепляются локальными нормативными актами, действующими в организации. Следовательно, для введения системы видеонаблюдения работодателю необходимо издать соответствующий локальный нормативный акт, с которым ознакомить работников.

При осуществлении контроля работодатель обязан соблюдать конституционные права граждан, а также требования законодательства о защите персональных данных работников.

Должен ли работодатель уведомлять Роскомнадзор

По ч. 1 ст. 22 закона о персданных все компании обязаны уведомить Роскомнадзор о своем намерении обрабатывать данные.

Но работодатель может не уведомлять Роскомнадзор, если обрабатывает данные:

в соответствие с трудовым законодательством;
для однократного пропуска на территорию;
на основании согласия работника на обработку данных, разрешенных им для распространения (не путайте с согласием на обработку);
в иных случаях, указанных в ч. 2 ст. 22 того же закона.

Например, работодатель получает номер паспорта для приема на работу, может не уведомлять. Но должен уведомить Роскомнадзор, если запрашивает у работников справки о судимости. В первом случае работодатель собирает информацию «в соответствии с трудовым законодательством», во втором «на основании согласия на обработку данных» (но не согласия на обработку данных, разрешенных для распространения).

Автосалон не подал уведомление и ошибся

Один автосалон не отправлял уведомление в Роскомнадзор, считал, что подпадает под исключения из ч. 2 ст. 22 закона о персданных, поскольку:

обрабатывает данные работников только в пределах трудового законодательства;
получает данные клиентов только в рамках договоров купли — продажи машины;
пропускает на территорию по разовым пропускам.

Роскомнадзор потребовал подать уведомление. Автосалон не учел следующее:

Работники автосалона в программе передают дилерам свои персональные данные и данные покупателей.

На передачу данных нужно согласие и уведомление Роскомнадзора.

Онлайн-магазин не подавал уведомление и был прав

Еще пример. Онлайн-магазин подпадает под исключения ч. 2 ст. 22 закона 152-ФЗ, поскольку:

использует резюме кандидатов, полученные от кадровых агентств, и обрабатывает персданные соискателей в пределах трудового законодательства;
обрабатывает сведения о работниках, пусть и в информационной системе, но в пределах трудового законодательства;
применяет программы для обработки данных клиентов при дистанционной продаже товаров;
получает данные покупателей в рамках договоров купли-продажи;
не рассылает покупателям рекламные рассылки.

Не нужно уведомлять Роскомнадзор.

Когда уведомлять Роскомнадзор и как

Уведомлять нужно до начала обработки данных. До получения первого резюме и до приема работников. На момент написания статьи штраф за несвоевременное уведомление невысокий — до 500 рублей для руководителя и до 5 тыс. рублей для компании по ст. 19.7 КоАП РФ.

Уведомление заполняют на сайте Роскомнадзора. Отправляют на бумаге или электронно. После получения уведомления Роскомнадзор включает компанию в реестр операторов. Правила уведомления описаны в методических рекомендациях, утвержденных приказом Роскомнадзора 94 от 30.05.2017.

Когда не нужны согласия на обработку персональных данных

По ч. 1 ст. 6, ст. 9 закона 152-ФЗ компании должны запрашивать у граждан согласие на обработку персданных, как только получают к ним доступ.

Но есть ситуации, когда компании работодателей могут не получать согласия работников на обработку персданных:

Обрабатывают данные для исполнения заключенного с работником трудового договора (пп. 5 ч. 1 ст. 6 закона 152-ФЗ). Без согласия кадровик внесет паспортные данные в трудовой договор, а бухгалтер сохранит номер карты для перечисления зарплаты. Но согласие потребуется, если компания сообщает данные работника в банк для открытия зарплатной карты.
Обрабатывают данные для исполнения возложенных на работодателя обязанностей, функций и полномочий (пп. 2 ч. 1 ст. 6 закона 152-ФЗ). Информацию о размере одежды сварщиков работодатель обрабатывает без согласия, потому что по требованиям охраны труда обязан выдавать им средства индивидуальной защиты. А если компания собирает размеры для выдачи рубашек корпоративного цвета, тогда нужно согласие работников. Без согласия работодатель передает данные работника в налоговую, Пенсионный фонд, ФСС, трудовую инспекцию и военный комиссариат. Но должен получить у работника письменное согласие для передачи данных водителя-работника своему контрагенту (ч. 2 ст. 88 ТК РФ).
Обработка сведений о состоянии здоровья работника связана с возможностью выполнения трудовой функции (п. 2.3 и 3 ч. 2 ст. 10 закона 152-ФЗ). Школа обрабатывает данные о психическом здоровье учителей без согласия, поскольку обязана это делать по ч. 2 ст. 331 ТК РФ. Кафе обрабатывает данные о медосмотрах поваров, поскольку иначе не может допустить их к работе. В остальных случаях нужно получить согласие работников.
Данные нужны по условиям коллективного договора, ПВТР или других локальных нормативных актов компании (абз. 2 п. 5 разъяснений Роскомнадзора). Завод обрабатывает данные работников для организации пропускного режима без согласия, если порядок организации предусмотрен ЛНА работодателя.
Обязанность по опубликованию данных в сети Интернет предусмотрена законом (п. 1 разъяснений Роскомнадзора). Больница без согласия врачей публикует на сайте данные об их образовании, потому что обязана это делать в силу закона. А вот кафе может рассказывать об образовании шеф-повара только с его согласия.
Обрабатываются данные близких родственников работника для заполнения карточки Т-2, оформления соцвыплат, получения алиментов (п. 2 разъяснений Роскомнадзора). Но нельзя без согласия работников собирать сведения о датах рождения детей для вручения подарков к Новому году. Нельзя без согласия разглашать сведения о доходах сотрудника, даже если об этом просит его бывшая супруга для взыскания алиментов.
Обрабатываются данные уволенных работников для выполнения требований налогового, бухгалтерского учета (п. 5 разъяснений Роскомнадзора). Работодатели без согласия хранят заявления уволенных работников о предоставлении налоговых вычетов с копиями свидетельств о рождении детей. Поскольку по ч. 3 ст. 24 НК РФ работодатели, как налоговые агенты, обязаны 5 лет хранить документы, необходимые для исчисления налогов.

2 вида согласий работников на обработку персданных

Выше мы выявили случаи, когда можно обрабатывать данные без согласия работников. Во всех остальных ситуациях согласие нужно.

Есть 2 вида согласий на обработку:

Согласие на обработку персональных данных.
Согласие на обработку персданных, разрешенных работником для распространения.

Согласие на обработку персональных данных

Это «то самое, основное» согласие, про которое многие знают. В текст включают перечень персональных данных и список действий работодателя, которые он может делать с данными. Тут важно упомянуть нужные и не написать лишние данные, которые работодателю не нужны. Поэтому текст согласия для работников отличается от согласий для клиентов компании.

В этом же документе при необходимости прописывают согласия на обработку специальных категорий персональных данных (о национальности, состоянии здоровья, религиозных взглядах), биометрических (отпечатки пальцев, фотографии, видеоизображения) и на трансграничную передачу данных (передача данных кандидата на согласование учредителю компании заграницей).

Текст согласия можно оформить в виде отдельного документа или включить в состав трудового договора, п. 5 разъяснений Роскомнадзора. Его составляют по правилам ст. 9 закона о персональных данных.

Когда нужно

Работодатель должен получить согласие на обработку в следующих случаях:

Запрашивает данных больше, чем ему нужно по трудовому законодательству. Сравните:Нужно согласие Не нужно

Личный телефон работника для корпоративных визиток	ФИО и паспортные данные. Они нужны для оформления трудового договора
Фотография для пропуска	Номер диплома об образовании. Нужен для заполнения карточки Т-2
Личный электронный адрес для внутреннего справочника работодателя	Личный электронный адрес для выпуска неквалифицированной электронной подписи при кадровом ЭДО

Согласие на обработку персданных, разрешенных работником для распространения

Оно потребуется, если работодатель предоставляет данные работника неограниченному кругу лиц. Например, публикует фотографию работника на доске почета или на сайте компании.

Это самостоятельный документ, он оформляется отдельно от предыдущего согласия по требованиям ст. 10.1. закона о ПД и приказа Роскомнадзора 18 от 24.02.2021. Шаблон согласия можно составить онлайн, на сайте Роскомнадзора.

Когда нужно

Работодатель должен получить у работника согласие на обработку персональных данных, разрешенных работником для распространения, если раскрывает персональные данные работников неопределенному кругу лиц, п. 5 ст. 3 закона о ПД. И согласие не нужно, если распространение происходит по требованию закона.

Информация о дипломе на сайте компании

Нужно согласие работников на публикацию на сайте их ФИО, данных об образовании.

Без согласия врачей больница публикует ФИО медработников, их должности, даты выдачи диплома об образовании, специальности, квалификации, срока действия сертификата специалиста. Поскольку обязана это делать по подп. 7 ч. 1 ст. 79 закона 323-ФЗ от 21.11.2011 Об основах охраны здоровья граждан.

Без согласия учителей школа публикует на сайте ФИО, должность, преподаваемые предметы и информацию об образовании педагогического работника. Поскольку обязана это делать по п. 11 Правил, утв. Постановлением Правительства 1802 от 20.11.2021.

Публикация ФИО и телефона

Нужно согласие менеджера на публикацию его ФИО, электронной почты, телефона.

Но без согласия администрация города публикует ФИО и телефон должностного лица, которое обязано вести приемы граждан. Это предусмотрено пп. б ч. 1 ст. 13 закона 8-ФЗ от 09.02.2009 об обеспечении доступа к информации о деятельности госорганов и ОМСУ.

Предоставление персданных по запросу адвоката

Нужно согласие работника на передачу его данных третьим лицам, в том числе адвокату.

Но согласие не нужно, если адвокат действует по поручению работника. Например, по доверенности от этого работника, на основании соглашения об оказании юридической помощи с этим работником или ордера на оказание услуг этому работнику. См. п. 1 ст. 6.1 закона 63-ФЗ от 31.05.2002 «Об адвокатской деятельности и адвокатуре в РФ», Постановление Костромского областного суда 4А-97/2018 от 21.03.2018.

Предоставление персданных по запросу полиции

Нужно согласие, если запрос полицейского не соответствует закону, не содержит нужных реквизитов, подписан неуполномоченным лицом.

Но без согласия работника работодатель обязан передать персональные данные полиции, если запрос корректно оформлен и поступил в связи с расследованием уголовных дел, административных правонарушений, проверкой зарегистрированных сообщений о преступлениях (ч. 1 ст. 13 закона о полиции 3-ФЗ от 07.02.2011).

Работодатели обязаны предоставлять персональные данные граждан по запросам госорганов в случаях, установленных федеральными законами (п. 2 ст. 88 ТК РФ).

Что относится к персональным данным

Формально в категорию персональных данных работника входят любые сведения, которые прямо или косвенно относятся к конкретному человеку. Есть два обязательных условия:

такая информация даёт возможность бесспорно идентифицировать их обладателя;
эти данные будут нужны для трудовой деятельности (например, фамилия, имя, отчество сотрудника необходимы для организации работы, а вот вероисповедание никак не влияет на её исполнение).

Важно, чтобы запрашиваемые организацией данные не были избыточными и имели чёткую цель получения. Такой подход поможет избежать разбирательств в судах.

Самые распространённые и востребованные персональные данные, это:

фамилия и имя (отчество — при наличии);
число, месяц и год рождения;
место рождения;
адрес регистрации и фактического проживания;
семейный статус, количество детей;
информация об образовании, квалификации;
идентификаторы — ИНН, СНИЛС;
паспортные данные (или данные иного документа удостоверения личности);
данные документа о воинской обязанности;
диагнозы различных медицинских учреждений (при наличии ограничений).

Могут запрашиваться и биометрические данные — фотографию лица, отпечатки пальцев, радужную оболочку глаз, рост, вес, и т.д.

Часть информации предоставляется уже на этапе проведения собеседования (данные об образовании и дипломах, фотографии), а оставшаяся часть — при устройстве на работу.

Нормативная база о персональных данных

Иногда работодатели публикуют в интернете «чёрные» списки сотрудников, с которыми у них возникали проблемы. При этом они не учитывают тот факт, что персональные данные работника — это защищаемая законом информация, и её нельзя использовать по своему усмотрению. Основы для этого заложены в Конституции Российской Федерации.

Нормы регулирования вопросов, связанных с персональными данными, содержатся:

в Трудовом кодексе РФ (ТК РФ);
в Федеральном законе от 27.07.2006 №152-ФЗ “О персональных данных”;
в Кодексе РФ об административных правонарушениях (КоАП РФ);
в Уголовном кодексе РФ (УК РФ).

Если Конституция гарантирует права граждан на контроль публикации информации о себе, в трудовом законодательстве речь уже идёт о регулировании деятельности работодателей. Например, сбор персональных данных кадровой службой допускается только с чёткими и ограниченными целями. В КоАП РФ и УК РФ прописывается ответственность за игнорирование и нарушение действующих правил о защите данных.

Как настроить работу с персональными данными: инструкция

Чтобы законно собирать и хранить информацию о персонале, надо составить несколько скучных документов и кому-то поручить постоянную бумажную работу (возможно, самому себе). Это не так сложно, как кажется на первый взгляд.

1. Составьте и утвердите локальный нормативный акт — Положение о защите персональных данных работников.

Обычно положение дублирует закон. Знакомьте с ним письменно каждого работника. Подписи удобно собирать на обратной стороне положения.

2. Назначьте ответственного за персональные данные.

Так нужно в силу ст. 22.1 Закона № 152-ФЗ.

Назначенный человек будет отвечать за сбор согласий с работников и физическую защиту документов. Возьмите с него обязательство о неразглашении данных. Брать трудовые книжки, договоры и копии паспортов сможет только он.

ИП и организации с одним учредителем ответственным назначают себя.

3. Берите с каждого работника письменное согласие на обработку персональных данных.

Отсутствие согласия — популярный повод для штрафа. Отдельно оформлять согласие не надо, если пользуетесь типовой формой трудового договора для микропредприятия. В форме есть строка о согласии на обработку.

Если планируете получать сведения о человеке у третьих лиц, например, рекомендации с прошлых мест работы или справки о судимости, возьмите согласие и на это.

4. Храните документы с персональными данными в надёжном месте.

Критериев надёжности нет. Какие конкретно нужны меры безопасности и как не допустить утечку, решает работодатель. Это его право по ст. 18.1 Закона № 152-ФЗ и п. 15 Положения.

Для хранения подойдёт сейф или ящик на замке. К такому месту не должно быть доступа у других людей, кроме ответственного за персональные данные.

Хранить информацию в электронном виде разрешено только на сервере в России по ст. 18 Закона № 152-ФЗ.

5. Уничтожайте персональные данные полностью.

Отслужившие документы нельзя просто взять и выбросить в мусорное ведро или отправить на черновики. Нельзя даже хранить на всякий случай — это нарушение.

Ненужные резюме, заявления и копии паспортов уничтожают. Сделать это надо так, чтобы никто не смог посмотреть и взять данные из них. Такое требование прописано в п. 10 Положения. Пользуйтесь шредером или мелко порвите бумаги.

Аналогичное требование к удалению данных с сервера: чтобы не осталось копий.

6. Если нужно, уведомляйте Роскомнадзор.

По общему правилу работодатель не обязан сообщать Роскомнадзору о сборе и хранении персональных данных.

Однако при использовании информации о людях не только в кадрах и бухгалтерии, работодатель отправляет уведомление — ст. 22 Закона № 152-ФЗ.

Например, когда сообщает банку о заработке сотрудника или подтверждает визовому центру место работы. В обоих случаях это передача персональных данных. Надо уведомлять Роскомнадзор.

А при работе через сайт с именами и контактами клиентов, вам совершенно точно нужен важный документ — Политика конфиденциальности.

Сделали все документы? Пройдите самопроверку на сайте Роструда. Это бесплатно и штрафов за найденные нарушения не будет.

7. Исполняйте требования закона не только формально.

Работодатель в курсе личной жизни подчинённых. Он давал справку о доходах для кредита, видел больничный лист на ребёнка и знает о недавнем разводе администратора.

Постарайтесь никому не рассказывать о жизни работников. Так вы не нарушите закон.

Статья актуальна на 27.01.2022