Обычно почетный знак включает в себя фотографию человека и его имя. И все это — личные данные, которые работодатель не имеет права выставлять в своем офисе, даже если он хочет поощрить успешных сотрудников и тем самым мотивировать остальной коллектив.
Как работать с персональными данными работника, чтобы не оштрафовали
Когда работодатель получает персональные данные1 от работника, он обязан хранить их и обрабатывать определенным образом. Работодатель может быть привлечен к ответственности за раскрытие таких данных различными способами. В этой статье мы узнаем, как следует обращаться с персональными данными и каковы могут быть последствия нарушения правил.
У каждого человека есть определенный «набор» информации, по которой его можно идентифицировать: Имя, дата рождения, образование, семейное положение, национальность, религия и многое другое.
При приеме на работу работодатель обязан запросить у работника определенные персональные данные для оформления трудовых отношений. Трудовой кодекс Российской Федерации обязывает при приеме на работу предъявлять паспорт, трудовую книжку и т.д., то есть документы, содержащие персональные данные.
ПОРЯДОК РАБОТЫ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
Прежде всего, необходимо знать, какая информация является персональными данными и в каких документах она содержится.
Обработка персональных данных регулируется Федеральным законом № 152-ФЗ от 27 июля 2006 года «О персональных данных «2 и главой 14 Трудового кодекса Российской Федерации.
Персональные данные работника включают следующую информацию.
— Фамилия, имя, отчество,
— дата и место рождения,
— образование, квалификация, профессиональная подготовка и информация о непрерывном образовании,
— семейное положение, дети, семейные отношения
— Биографическая справка и история работы (место работы, зарплата, наличие судимости, служба в армии, работа на выборных должностях, государственное управление и т.д.)
— изображение человека (фото и видео), позволяющее его идентифицировать,
— деловые и другие личные качества меритократического характера,
— другую информацию, которая может идентифицировать человека.
Эти документы, будь то в бумажной или электронной форме, должны храниться таким образом, чтобы персональные данные не были раскрыты неуполномоченным лицам.
Документы, хранящиеся в организации и содержащие персональные данные сотрудников, включают:
— анкета, биографическая справка, кадровая карточка, заполненные работником при приеме на работу,
— копии документов, хранящихся в личном деле работника: Удостоверение личности (паспорт), паспорт военнослужащего, карточка пенсионного страхования, свидетельство о браке, свидетельство о рождении и свидетельство об образовании,
— личная карточка формы Т-2,
— трудовой договор и дополнительные соглашения
— Оригиналы и копии инструкций по обслуживанию
— Документы, касающиеся вознаграждения за работу,
— документы по обучению, оценке и аттестации сотрудников,
— автоматически обрабатываемые базы данных (например, электронные таблицы Excel, базы данных 1С),
— где это применимо, другие документы, содержащие персональные данные работников.
Основное правило обработки персональных данных содержится в статье 7 Федерального закона № 152-ФЗ:
Этим правилом должны руководствоваться работодатели при организации обработки персональных данных работников. После определения документов, содержащих персональные данные, и способов получения персональных данных работодатель должен создать систему защиты персональных данных.
Шаг 2. Разрабатываем и вводим в действие положение о защите персональных данных
В соответствии со статьей 86 Трудового кодекса РФ работодатель обязан принять локальный нормативный акт (далее «локальный акт»), регулирующий хранение и использование персональных данных. Таким правовым актом обычно является положение о защите персональных данных работников.
Согласно статье 86 (8) Трудового кодекса РФ, работники должны быть ознакомлены с этим положением при подписании трудового договора. Если работник принимается на работу и в компании есть такое положение, на него необходимо указать работнику до подписания трудового договора в соответствии со статьей 68, часть 3 Трудового кодекса РФ.
Обязательное наличие НПА, определяющего порядок хранения и использования персональных данных, подтверждается и судебной практикой (см. решение мирового судьи Воробьевского судебного участка № 1 Воронежской области от 30.06.2017 по делу № 5-209/2017).
Пример положения о защите данных приведен в приложении.
Обычно почетный знак включает в себя фотографию человека и его имя. И все это — личные данные, которые работодатель не имеет права выставлять в своем офисе, даже если он хочет поощрить успешных сотрудников и тем самым мотивировать остальной коллектив.
Что включают персональные данные работника
Персональные данные — это любая информация, относящаяся прямо или косвенно к конкретному физическому лицу (субъекту данных). Такие данные обычно позволяют идентифицировать конкретное лицо.
В контексте трудовых отношений работодатель может запрашивать только те личные данные, которые необходимы для выполнения рабочего задания. Сюда входят имя, фамилия, предыдущее место работы, документы, необходимые для трудоустройства (паспорт, трудовая книжка и т.д.) и квалификация. Работодатель не имеет права запрашивать такую информацию, как ваша религиозная принадлежность, поскольку это не является необходимым для выполнения ваших должностных обязанностей.
Сложность обработки персональных данных заключается в том, что работодатель может задавать вопросы на разных этапах взаимодействия и при решении различных рабочих задач. Например, считается ли информация, содержащаяся в резюме соискателя, персональными данными? Должен ли он в этом случае дать свое согласие, даже если он не был принят на работу? Нужно ли договариваться с работником о том, что данные для ID-карты будут переданы? Может ли фотография работника быть опубликована на доске цен без его согласия? Допустимо ли публиковать «черные списки» сотрудников на сайте компании? Что делать с данными уволенных работников?
Важно знать ответы на все эти вопросы. Это тем более верно, что Минтруд, Роструд и Роскомнадзор регулярно публикуют заявления.
Что делать с персональными данными кандидата
Уже при просеивании резюме компания начинает собирать персональные данные о соискателях. Они могут сохранять конспекты в специальных программах, распечатывать их, сохранять контакты для дальнейшего общения и т.д.
В резюме обычно содержится целый ряд личных данных — от номеров телефонов до образования и предыдущих мест работы.
Роскомнадзор отмечает, что для обработки персональных данных соискателей требуется их согласие. Согласие должно быть получено на период, в течение которого принимается решение о приеме на работу или об отказе в приеме на работу.
Однако существуют исключения, когда такое согласие не требуется:
- если кадровое агентство, с которым у заявителя заключен договор, действует от имени заявителя,
- где резюме размещается в Интернете.
В согласии всегда должна быть указана цель сбора персональных данных — рассмотрение кандидата на вакансию. Для обработки персональных данных можно использовать шаблон согласия.
Если работодатель получает резюме соискателя по электронной почте, он должен дополнительно убедиться, что соискатель сам отправил резюме. Это может быть, например, приглашение на собеседование или ответ на электронное письмо от заявителя.
Что делать, если персональные данные собираются с помощью анкеты
Нередко работодатели собирают личные данные о соискателях с помощью стандартной анкеты. Во-первых, анкета должна содержать информацию о сроках проведения собеседования и решения о приеме на работу или отказе.
- Анкета должна содержать информацию о цели обработки персональных данных, наименование и адрес оператора, наименование и адрес субъекта данных, источник персональных данных, условия обработки персональных данных, перечень действий, которые необходимо совершить с персональными данными при обработке, общее описание используемых работодателем методов обработки данных, имя и адрес оператора данных, имя и адрес субъекта данных, источник персональных данных, условия обработки персональных данных, перечень операций, которые будут выполняться над персональными данными в процессе обработки, общее описание методов обработки данных, используемых работодателем, а также имя и адрес оператора данных.
- Анкета должна содержать поле, в котором субъект данных может указать свое согласие на обработку,
- анкета должна быть составлена таким образом, чтобы любой субъект данных, указанный в документе, мог ознакомиться со своими данными, не нарушая прав и законных интересов других лиц,
- анкета не содержит полей для ввода персональных данных, цели обработки которых заведомо несовместимы.
Обычно анкета размещается в электронном виде на сайте компании, а согласие на обработку персональных данных подтверждается проставлением галочки в соответствующем поле.
Что делать с данными кандидата, которого не взяли на работу
В этом случае данные, представленные заявителем, должны быть уничтожены в течение 30 дней.
Из этой ситуации есть некоторые исключения, предусмотренные Законом о государственном управлении. В этих случаях личные данные должны храниться в течение 3 лет.
Направление запросов на прежние места работы
На этапе собеседования работодателю может понадобиться уточнить определенную информацию о работнике или получить дополнительную информацию от предыдущих работодателей.
Для этого необходимо получить согласие заявителя.
Сбор и обработка персональных данных при приеме на работу
Трудовой кодекс содержит перечень документов, которые работодатель требует от работника при приеме на работу. Согласно статье 65 Трудового кодекса РФ, на этом этапе требуются следующие документы
- Паспорт или другое удостоверение личности
- Трудовая книжка,
- Документ, подтверждающий регистрацию работника в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа,
- При необходимости: документы о воинском учете, документы об образовании и/или квалификации или специальных знаниях, справка об отсутствии судимости.
Для включения персональных данных из этих документов в трудовой договор согласие работника не требуется. Подписывая трудовой договор, он/она уже дал/а свое согласие.
