Персональные данные сотрудников – это обширная тема, которую необходимо раскрывать как со стороны работника, так и работодателя. Обе стороны подчас могут нарушать права друг друга, не зная тонкостей этой области права. В статье рассмотрим, как избежать возможных проблем и конфликтов.
Что такое — персональные данные работника
Информация о персональных данных содержится в таких законодательных документах:
- Конституция РФ (ст. 24);
- Трудовой кодекс РФ (гл. 14);
- Закон от 27.07.2006 г. № 125-ФЗ.
На основании указанных НПА установлено, что входит в персональные данные, какие существуют принципы работы с персональными данными, какие предусмотрены права и обязанности сторон.
Персональные данные используются в качестве средства идентификации работника. К ним относятся документы, которые содержат какую-либо информацию о физлице (прямую или косвенную).
Один из принципов защиты персональной информации основан на том, что работодатель вправе работать только с данными физлица, относящимися напрямую к задачам и функциям, которые возлагаются на работника. К примеру, к ним относятся удостоверения личности, документы об образовании и квалификации, медицинские справки (если они нужны для выполнения работы). Информацию, не относящуюся к работе, сотрудник вправе не предоставлять.
Чтобы обеспечить безопасность персональных данных, надо четко понимать, что именно к ним относится. Регулярно по этому моменту у работодателя и сотрудника возникают вопросы, к примеру, какой статус у информации, указанной в резюме. Также работодатели не всегда знают, требуется ли брать согласие на обработку персональной информации при работе с кадровым документооборотом, к примеру, можно ли информацию из резюме размещать на сайте организации.
Защита персональной информации соискателей
Резюме соискателя включает большой объем персональной информации — к ним относятся номер телефона и электронная почта, данные об образовании и о месте жительства.
Роскомнадзор рекомендует работодателям получать согласие на обработку персональных сведений из резюме для обеспечения их защиты. Оно оформляется на время прохождения собеседования, пока не примут окончательное решение.
Согласие не нужно в таких ситуациях:
- резюме соискателя компания получает от агентства по подбору персонала. В этом случае именно агентство обязано защищать персональные данные;
- соискатель сам загружает резюме в открытый доступ, к примеру, на сайте по поиску работы. В этом случае сайт и соискатель совместно несут обязанность по защите персональных данных.
В иных ситуациях требуется согласие, в котором четко нужно указать цель. Если это резюме, то цель обработки персональной информации — рассмотрение соискателя на предмет профпригодности.
Иногда соискатели отправляют резюме по электронной почте. В этой ситуации работодатель должен закрепить, что соискатель действительно самостоятельно направил сведения. Это можно осуществить через подтверждение ответным письмом, звонком или приглашением на собеседование.
Защита персональной информации, полученной из анкет
Зачастую работодатели используют анкеты как инструмент первичного отбора кандидатов. В этой ситуации также надо помнить про защиту персональной информации соискателя. Необходимо обратить внимание на такие моменты:
- любая такая анкета должна включать сведения о сроке ее рассмотрения;
- нужно четко указать цель обработки персональной информации, которая получена через анкетирование. Цель должна обозначаться через указание конкретных действий и сроков их осуществления;
- в анкете должен быть пункт, в котором соискатель указывает, что он согласен на обработку персональной информации;
- у анкеты не должно быть технической возможности объединить поля для внесений информации, цели обработки которой изначально не совместимы.
Для уверенности в законности своих действий нужно разместить в начале анкеты графу о согласии на обработку персональной информации.
Защита персональной информации не принятого на работу соискателя
Когда компания отказывает соискателю в приеме на работу, всю полученную от него персональную информацию нужно уничтожить не позже 30-ти дней с момента ее получения.
Когда речь идет о государственной или муниципальной службе, где по результатам конкурса соискателю отказано, информация хранится в течение 3-х лет. Этот момент обусловлен требованиями законодательства в области кадрового резерва.
Защита персональной информации при вступлении работника в должность
После успешного прохождения соискателем собеседования работодатель получает от него пакет документов для оформления на работу. Их перечень регламентирован законодательством и включает в себя:
- паспорт или иной документ, удостоверяющий личность;
- трудовую книжку;
- документ, который подтверждает регистрацию в системе индивидуального (персонифицированного) учета, в т.ч. в форме электронного документа;
- при необходимости — военный билет или приписное, документ о квалификации, справку о наличии (отсутствии) судимости.
Для обработки персональной информации из этих документов не нужно оформлять отдельное согласие. Оно изначально указывается в трудовом договоре.
Защита персональной информации работника при оформлении зарплатной карты
Зачастую у работодателя оформлен договор с конкретным банком, и зарплатные карты работникам выдаются именно им. Необходимо оформлять согласие на обработку персональной информации при получении этих карт.
В такой ситуации надо учесть следующие моменты:
- требуется проконтролировать, чтобы в согласии указывалась та персональная информация, которая именно передается в банк;
- в согласии должна указываться четкая цель — получение работником зарплатной карты.
В каких случаях разрешено передавать в банк персональную информацию без согласия работника
К таким случаям относятся следующие ситуации:
- договор заключается с сотрудником напрямую, и тогда защита персональной информации — предмет правоотношений банка и физлица;
- работодатель имеет какую-либо форму доверенности на представление интересов работника, в т.ч. в сфере общения с банком;
- работник является участником коллективного соглашения с работодателем, и тогда последний направляет документы сразу по нескольким физлицам.
Важно! Сотрудник вправе не подписывать соглашения, которые связаны с выпуском зарплатных карт в определенном банке. По закону работник вправе самостоятельно выбирать банк и получать зарплату на собственную карту.
Персональные данные при смене работником фамилии
Когда работник меняет фамилию, он обязан уведомить об этом работодателя, который должен внести корректировки в трудовой договор.
Для этого не используется допсоглашение или приложение, поскольку они нужны для изменений условий, а не сведений.
Корректировки нужно внести в сам текст договора, к примеру, можно это сделать вручную с пометкой об исправлении.
Персональная информация для формирования «черного списка» работников
Некоторые работодатели размещают в открытом доступе (на сайтах или сообществах в соцсетях) информацию о бывшем сотруднике, а также причину его увольнения.
Это действие запрещено законом, поскольку такое размещение нарушает принципы защиты персональной информации, создавая возможность ее передачи их третьим лицам.
Защита персональных данных уволенного работника
Работодатель должен хранить документы налогового учета в течение 4-х лет. Кроме того, согласие бывшего работника для этого не требуется — документы должны быть, даже если работник против этого.
По окончании срока хранения в компании личные дела уволенных работников передаются в государственные архивы. Документы хранятся там 75 лет. Работодатель не имеет возможности использовать персональную информацию, переданную в архив.
Защита персональной информации и доски почета
При размещении персональной информации на доске почета требуется оформить согласие на обработку сведений.
На таких досках размещают фотографию работника, его ФИО и должность, а это персональные сведения. Перед поощрением сотрудника таким видом мотивации нужно сначала уточнить его согласие на размещение персональной информации.
Защита персональных данных и система пропусков
Если в качестве способа контроля или для осуществления безопасности в компании используется электронная система пропусков, то нужно решить вопрос с защитой персональной информации работников.
Согласие на обработку персональных данных не нужно, если:
- компания использует свою внутреннюю пропускную систему;
- в организации действует коллективный договор, принятый согласно всем требованиям законодательства.
Если пропускную систему осуществляет сторонняя фирма, то согласие работника нужно оформить обязательно.
Рекомендации по формированию согласия на обработку персональной информации
Госорганы дают следующие рекомендации:
- В согласии должна четко указываться цель, у которой не должно быть нескольких возможных трактовок. Заявление должно быть полным и конкретным — помимо целей указываются способы и действия, применяемые работодателем к персональной информации работника.
- Согласие на обработку персональной информации должно быть или в качестве отдельного документа, или включено в трудовой договор отдельным пунктом.
- Согласие на обработку персональной информации должно соответствовать требованиям законодательства.
Специалисты Первого БИТа решают задачи, связанные с выполнением требований и стандартов в области информационной безопасности, предъявляемые к организациям внешними регуляторами. К таким задачам относятся:
- Обеспечение защиты персональных данных в соответствии законодательством РФ;
- Введение режима коммерческой тайны, защита служебной тайны;
- Выполнение приказов и рекомендаций Росминздрава, Минобрнауки и др.;
- Аттестация рабочих мест и помещений;
- Консалтинг при получении лицензий ФСТЭК и ФСБ.
Работы по обеспечению безопасности информации проводят специалисты имеющие профильное образование, дипломы и сертификаты ведущих производителей средств защиты информации.
Первый БИТ имеет все необходимые лицензии ФСТЭК РФ и ФСБ РФ для ведения соответствующих видов деятельности.