Работа с персональными данными – важная компетенция HR. Ошибки в получении, обработке и хранении персональных данных – это большой риск. Требования в этой сфере ужесточаются, а утечки данных могут испортить репутацию работодателя. В статье – что такое персональные данные, как они регулируются, в каких ситуациях HR с ними сталкивается.
|
Содержание
Как регулируется работа с персональными данными Согласие на обработку персональных данных работника |
|
Таблица «Документы для организации работы с персональными данными»
Таблица «Ответственность за нарушения в области персональных данных» |
Что такое персональные данные
Персональные данные – это любая информация, которая позволяет установить личность человека. По Федеральному закону №152-ФЗ персданными считаются любые сведения, которые прямо или косвенно относятся к конкретному физическому лицу и используются в комплексе.
Например, при приеме на работу работодатели собирают информацию не только об имени и фамилии, но и:
-
дату рождения;
-
СНИЛС;
-
ИНН;
-
домашний адрес;
-
номер телефона;
-
семейное положение;
-
сведения об образовании;
-
биометрические данные.
Именно такой набор сведений уже однозначно считается персональными данными. Закон не устанавливает полного перечня персональных данных.
Однако для удобства их классификации выделяют несколько категорий:
-
общие персданные;
-
биометрические персданные;
-
специальные персональные данные;
-
другие или иные.
Как регулируется работа с персональными данными
Работа с персональными данными в РФ регулируется федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». Этот документ устанавливает общие принципы и правила обработки персональных данных работников.
Кроме Закона 152-ФЗ важно учитывать главы 14 ТК РФ «Защита персональных данных работника», постановления Правительства и приказы Роскомнадзора, ФСТЭК и ФСБ, детализирующие требования к защите данных.
Внутри компании работу регламентируют «Положение о работе с персональными данными», «Политика конфиденциальности», приказы и инструкции.
Закон устанавливает ключевые принципы обработки персональных данных работников:
-
обработка ПД должна быть на законной и справедливой основе;
-
персданные нужно собирать для конкретных, заранее определенных и законных целей. Не допускается обработка, несовместимая с целями сбора;
-
объем и содержание обрабатываемых персональных данных работника должны быть соразмерны заявленным целям обработки. Не допускается избыточность данных;
-
персданные должны быть точными, достаточными и актуальными по отношению к целям обработки;
-
хранить ПД необходимо не дольше, чем этого требуют цели обработки, если срок хранения не установлен федеральным законом или договором;
-
операторы и иные лица, получившие доступ к персданным, обязаны не раскрывать третьим лицам и не распространять их без согласия субъекта, если иное не предусмотрено федеральным законом;
-
субъект персданных имеет право на доступ ним, чтобы уточнить, блокировать или уничтожить, а также отозвать согласие на обработку.
|
Совет. Внутри компании необходимо назначить ответственного за работу с персональными данными. С учетом статьи 22.1 Закона № 152-ФЗ сотрудник будет готовить локальные акты в сфере защиты персональных данных, взаимодействовать с Роскомнадзором и системой ГосСопка, а также ознакамливать работников с требованиями законодательства и локальных актов. Эти обязанности закрепляются в должностной инструкции или трудовом договоре работника. |
Согласие на обработку персональных данных работника
В большинстве случаев коммуникаций сотрудника с HR, обработка персональных данных требует его добровольного письменного согласия. В согласии должно быть указано, какие именно данные будут обрабатываться. При этом работник должен понимать, для каких целей, кем, как долго будут обрабатываться его данные.
Для передачи данных в СФР, ФНС, военкомат и другие госорганы отдельное согласие сотрудника не требуется, так как это обязанность работодателя. Однако других целей, которые прямо не связаны с трудовой функцией, согласие нужно. Например, для заключения договора корпоративного страхования, размещения фото на сайте компании, участия в корпоративных мероприятиях с передачей данных третьим лицам.
В каких ситуациях HR сталкивается с персональными данными
Специфика работы HR-специалистов и рекрутеров делает их одними из ключевых держателей и операторов персональных данных внутри компании. Работа с персональными данными проводится практически на каждом этапе жизненного цикла сотрудника в организации. Ниже в таблице – основные HR-процессы и персданные, которые получает компания.
Основные источники персональных данных для HR-процессов
| HR-процесс | Откуда и какие ПД получаем |
|
Рекрутинг и подбор персонала |
|
|
Оформление на работу (онбординг) |
|
|
Ведение кадрового учета в процессе работы |
|
|
Прекращение трудовых отношений (оффбординг) |
|
|
Взаимодействие с государственными органами |
|
О том, что упускают из вида до 99% рекрутеров при работе с персональными данными кандидатов и почему Роскомнадзор считает управление персоналом ключевыми «нарушителями» в этой области, обсудим с экспертами-практиками в сфере HR и работе с персональными данными на конференции HR-вызовы 2025.
Как хранить и передавать персональные данные сотрудников
Бумажные носители с персональными данными работников (личные дела, трудовые книжки) должны храниться в сейфах или запирающихся шкафах в помещениях с ограниченным доступом. Электронные данные – на защищенных серверах с ограниченным доступом, с регулярным резервным копированием.
Хранить данные можно только в течение срока, установленного законодательством или внутренними политиками компании, которые должны соответствовать закону. Например, трудовые договоры и личные дела хранятся 50/75 лет, налоговые документы – 5 лет. По истечении срока хранения данные должны быть уничтожены способом, исключающим возможность их восстановления, а сам факт уничтожения зафиксирован соответствующими актами.
Передача персональных данных сотрудников разрешена только в случаях, прямо предусмотренных законом. Например, в государственные органы ФНС, СФР, военкомат или при наличии письменного согласия сотрудника. При передаче данных третьим лицам для оформления ДМС или обучения необходимо заключать соглашение о конфиденциальности или поручение на обработку персональных данных, где четко прописаны условия обработки, меры защиты и ответственность. Важно убедиться, что контрагент также соблюдает требования Закона 152-ФЗ.
|
Обратите внимание! Передача данных между отделами возможна только в случае служебной необходимости и при условии, что получающая сторона также обеспечивает их защиту. А все сотрудники, имеющие доступ к работе с персональными данными, должны быть ознакомлены с внутренней политикой конфиденциальности. |
