Что нужно знать при работе с персональными данными сотрудника
Персональные данные сотрудников – это область юридического и управленческого контроля. Обширная тема, которую необходимо раскрывать как со стороны работника, так и работодателя. Обе стороны подчас могут нарушать права друг друга, не зная тонкостей этой области права. Из этого вытекают проблемы и конфликты. В материале рассмотрим, что нужно знать и как избежать возможных конфликтов. Защита персональных данных – вопрос требующий высокой степени контроля.
Что такое персональные данные сотрудника?
Ответ на этот вопрос можно найти в трёх основных источниках:
- 24 статья Конструкции РФ;
- Глава 14 Трудового кодекса РФ;
- Федеральный закон от 27.07.2006 № 125-ФЗ.
Эти нормы права определяют: что включают в себя персональные данные, принципы работы с персональными данными, права и обязанности субъектов.
Персональные данные – служат средством идентификации сотрудника. К ним относятся документы, содержащие какие-либо сведения физического лица, прямые или косвенные.
Одним из принципов защиты персональных данных является то, что работодатель имеет право работать лишь с теми персональными данными сотрудника, которые относятся напрямую к задачам и функциям, которые возлагаются на сотрудника. К таким данным могут относиться удостоверения личности, документы об образовании и квалификации. Медицинские справки, если того требует выполняемая работа. Те данные, которые не относятся к работе, сотрудник имеет право не предоставлять.
Для обеспечения безопасности персональных данных необходимо четко понимать, что именно считается таковыми. Такие вопросы регулярно возникают и у работодателя, и у работника. Наиболее частым вопросом является статус данных, содержащихся в резюме. Работодатели часто не знаю, нужно ли брать согласие на обработку персональных данных при работе с кадровым документооборотом. Например, можно ли размещать данные из резюме на сайте компании и так далее. Разберем вопрос подробнее.
Защита персональных данных соискателей
Резюме будущего сотрудника содержит целый спектр персональных данных. К таким данным относятся: номер телефона и электронная почта, сведения об образовании, данные о месте жительства.
Нужно ли согласие на обработку персональных из резюме? Да. Роскомнадзор дает такую рекомендацию работодателям. Для обеспечения защиты персональных данных, организация обязана получить согласие на их обработку от соискателя. Такое согласие оформляется на период прохождения собеседования, пока решение не будет окончательно принято.
Однако согласие требуется не во всех случаях, например:
- если резюме соискателя передает в организацию агентство по подбору персонала. В этом случае защита персональных данных – их обязанность;
- если соискатель самостоятельно загрузил резюме в открытый доступ. Например, на сайт по поиску работы. В этом случае защиту персональных данных несет сайт и сам соискатель.
В остальных случаях нужно согласие. В нем необходимо четко прописать цель. В случае резюме целью обработки персональных данных является рассмотрение соискателя на предмет профессиональной пригодности.
Что важно знать о требованиях Роскомнадзора? Ознакомьтесь с материалом
Часто кандидаты высылают резюме по электронной почте. В таком случае работодателю необходимо закрепить факт того, что соискатель действительно отправил данные сам. Это можно сделать подтверждением через ответное письмо, звонок или приглашение на первый этап собеседования.
Не хотите разбираться самостоятельно в требованиях 152ФЗ?
Мы проведем аудит и оценим состояние вашей системы, а затем составим ТЗ с перечнем необходимых решений для вашей организации. Все решения будут соответствовать 152–ФЗ.
Заказать аудитЗащита персональных данных, полученных из анкет
Часто организации в качестве инструмента первичного отбора кандидатов используют анкеты. В этом случае также необходимо помнить о защите персональных данных соискателя. Обратим внимание на основные нюансы.
- Любая подобная анкета должна иметь в себе информацию о сроке ее рассмотрения.
- Необходимо четко прописать цель обработки персональных данных, полученных путем анкетирования. Цели должны быть раскрыты, с указанием конкретных действий, а также сроки совершения этих действий.
- Анкета должна содержать пункт, где соискатель должен указать свое согласие на обработку данных.
- Анкета не должна иметь технической возможности объединять поля для внесения данных, цели обработки которых изначально не совместимы.
Чтобы быть уверенными в законности своих действий, размещайте графу о согласии на обработку персональных данных в начало анкеты.
Защита персональных данных непринятого соискателя
Если организация отказала соискателю в приеме на работу, все полученные от него персональные данных необходимо уничтожить в течение 30 дней с момента получения.
Если речь идет о государственной и муниципальной службе, где по итогам конкурса соискателю было отказано, данные хранятся на протяжении трех лет. Это обусловлено требованиями законодательства в области кадрового резерва.
Скачайте образец типового соглашения на обработку персональных данных
Скачать документЗащита персональных данных при вступлении сотрудника в должность
Когда этап собеседований успешно пройдет, работодателю необходимо получить пакет документов будущего сотрудника для его оформления. Эти документы регламентированы законодательством. Работодатель запрашивает:
- удостоверение личности;
- трудовая книжка;
- документ, подтверждающий регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа;
- Также могут быть запрошены: военный билет или приписное, документ подтверждающий квалификацию, справка о наличии (отсутствии) судимости.
Для обработки персональных данных из перечисленных документов не требуется отдельное согласие. Такое согласие изначально содержится в трудовом договоре.
Защита персональных данных сотрудника при оформлении зарплатной карты
Чаще всего у организаций заключен договор с конкретным банком. Зарплатные карты сотрудников выдаются этим конкретным банком. В связи с этим возникает вопрос: нужно ли согласие сотрудника на обработку персональных данных при получении такой карты? Скажем сразу – такое согласие нужно.
При этом нужно учесть:
- необходимо проконтролировать, чтобы в согласие были указаны те персональные данные, которые отправляются в банк, не больше – не меньше;
- как и в случаях ранее, в согласии на обработку должна быть четкая цель. В данном случае, цель – это получение сотрудником зарплатной карты.
В каких ситуациях можно передать банку персональные данные без согласия сотрулника?
- если договор заключается с работником напрямую. В этом случае защита персональных данных – предмет правоотношений банка и физического лица;
- работодатель обладает какой-либо формой доверенности на представление интересов сотрудника, в том числе в сфере общения с банком;
- если работник является участников коллективного соглашения с работодателей. В этом случае работодатель направляет документы сразу нескольких сотрудников.
Обратите внимание!
Работник оставляет за собой право не подписывать соглашения, связанные с выпуском карты в определенном банке. Согласно законодательству, сотрудник имеет право выбирать удобный ему банк и получать зарплату на собственную карту.
Поможем обеспечить защиту персональных данных организации и сотрудников:
- проведем аудит и оценим состояние вашей системы;
- составим ТЗ с перечнем необходимых решений для вашей организации;
- все решения будут соответствовать 152–ФЗ.
Необычные ситуации, связанные с защитой персональных данных
Как быть, если сотрудник сменил фамилию?
Сотрудник обязан уведомить об этом работодателя, а тот в свою очередь – внести изменения в трудовой договор.
Не используйте для подобных изменений дополнительное соглашения или приложения. Таким типом документов меняются условия, но не сведения. Изменения необходимо внести в текст договора. Это можно сделать даже вручную, с пометкой об исправлении.
Можно ли использовать персональные данные для формирования «черных списков» сотрудников?
Некоторые работодатели выкладывают в общий доступ, сайты или сообщества в социальных сетях, данные бывшего сотрудника и причину его увольнения.
Обратите внимание: это нарушение закона.
Размещая причину увольнения сотрудника, а также его личные данные, вы нарушаете принципы защиты персональных данных, передавая их третьим лицам.
Должен ли работодатель обеспечивать защиту персональных данных уволенного сотрудника?
Работодатель обязан хранить документы налогового учета на протяжении четырех лет. Более того, согласие бывшего сотрудника для этого не нужно, документы обязаны быть, даже если сотрудник против этого.
По истечению срока хранения в организации, личные дела бывших сотрудников перемещаются в государственные архивы. Документы хранятся в них 75 лет. Однако работодатель уже не имеет возможности использовать персональные данные из архивных дел.
Каким должно быть согласие на обработку персональных данных
Государственные контролирующие органы дают такие рекомендации:
- Согласие должно иметь четкую цель. Оно не должно иметь возможность нескольких трактовок. Заявление должно быть полным и конкретным: помимо целей, должны быть указаны и способы, действия, которые будут применимы работодателем к персональным данным сотрудника.
- Согласие на обработку персональных данных может быть прописано в качестве отдельного документа, либо быть включенным в трудовой договор обособленным пунктом.
- Согласие на обработку персональных данных должно соответствовать требованиям законодательства. Выше мы привели перечень нормативных правовых актов, содержащих такие требования.
Защита персональных данных и доски почета
Выше мы привели пример «черных списков», размещение которых незаконно. Но как быть, когда речь идет о поощрении, тут ведь согласие не нужно? Нужно.
На досках почета, как правило, используют фотографию, ФИО и должность работника. Все это – персональные данные. Чтобы поощрить сотрудника таким видом мотивации, необходимо сперва уточнить его согласие на размещение персональных данных.
Защита персональных данных и система пропусков
Сегодня во многих организация действует электронная система пропусков. Это удобный способ контроля, а также осуществление безопасности. Но как быть с безопасностью персональных данных?
В данном случае есть два варианта. Отдельное согласие на обработку персональных данных не требуется, если:
- организация имеет собственную внутреннюю пропускную систему;
- действует коллективный договор, принятый в соответствии со всеми требованиями законодательства
Если же в организации нет собственной пропускной системы и этим занимается стороннее предприятие, согласие сотрудника должно быть обязательно.
Защита персональных данных сотрудников – сложный, многофакторный процесс. Но разбираться в нем необходимо, так как данная сфера строго охраняется законом, и ему нужно соответствовать.
Как не попасть под санкции из-за нарушения правил защиты персональных данных? Обратитесь к нам.
- Проведем аудит и оценим состояние вашей системы;
- составим ТЗ с перечнем необходимых решений для вашей организации;
- все решения будут соответствовать 152–ФЗ.