Передача персональных данных предполагает раскрытие личной информации о сотрудниках третьим лицам, например государственным органам, профсоюзам или подрядчикам. В процессе такой передачи важно соблюсти законодательные нормы, чтобы не навлечь на себя штрафы и обеспечить безопасность данных. В статье – можно ли передавать персональные данные работника и как правильно это организовать.
|
Содержание
Что такое передача персональных данных и кому их передают Требования к компании при передаче персональных данных работников |
|
Памятка «Действия работодателя до передачи персональных данных работника»
Таблица «Обязанности организации по работе с персональными данными» |
Что такое персональные данные
Компания публикует объявления о вакансиях в открытом доступе и получает в ответ резюме, сопроводительные письма и контакты для связи. С этого момента у работодателя возникает ответственность за обработку, хранение и передачу персональных данных.
Требования по защите персональных данных установлены ст.14 ТК РФ и Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
Персональными данными называют информацию, которая прямо или косвенно помогает идентифицировать личность человека:
-
ФИО, дата и место рождения, адрес регистрации;
-
номера СНИЛС, ИНН;
-
паспортные данные;
-
семейный статус, количество детей;
-
информация об образовании, квалификации;
-
данные военного билета и др.
Что такое передача персональных данных и кому их передают
Передача персональных данных представляет собой любое раскрытие, предоставление или доведение сведений о работнике до круга лиц за пределами внутренней структуры компании, либо до конкретного третьего лица.
Компания может передавать персональные данные на законных основаниях и в строго определенных целях в:
-
ФНС;
-
СФР;
-
военкоматы;
-
суды;
-
прокуратуру;
-
профсоюзные организации.
Помимо этого, персональные данные передают контрагентам и партнерам организации:
-
банкам (для зарплатных проектов);
-
страховым компаниям (ДМС);
-
медицинским учреждениям (обязательные медосмотры);
-
обучающим центрам;
-
аудиторам;
-
юридическим фирмам и другим организациям, с которыми компания взаимодействует.
Каждая такая передача требует четко определять правовое основание и соблюдать установленные законом процедуры.
Передача персональных данных предполагает одно из трех действий с личной информацией сотрудника:
1. Доступ к персональным данным;
2. Предоставление информации о человеке;
3. Распространение персданных.
В первом случае это возможность увидеть личную информацию и воспользоваться ей. Во втором – раскрытие персональных данных определенному кругу лиц. А в третьем происходит предоставление личной информации работника неопределенному кругу лиц. К примеру, если работодатель опубликовал на своем сайте список сотрудников, с указанием должности и мобильного телефона.
|
Обратите внимание! При передаче персональных данных работника неопределенному кругу лиц компания фактически утрачивает контроль за конфиденциальностью, и это может нарушать права сотрудников. Поэтому на распространение персданных обязательно оформляется отдельное письменное согласие – статья 10.1 Закона № 152-ФЗ. |
Требования к компании при передаче персональных данных работников
В статье 88 ТК РФ перечислены основные требования, которые нужно соблюдать компании при распространении и передаче персональных данных работников.
В соответствии с законом:
-
нельзя разглашать и передавать персональные данные третьим без письменного согласия сотрудника;
-
требуется разрешать доступ к персональным данным работника только определенному числу лиц в объеме, достаточном для работы;
-
передавать персональные данные внутри компании согласно положениям локального нормативного акта или другого документа.
Внутренняя передача персональных данных
Работодатель закрепляет правила передачи персональных данных сотрудников внутри компании в специальном документе – ЛНА. Основной принцип внутреннего движения личных данных заключается в том, что адресат получает информацию о сотрудниках только в том объеме, который ему нужен для работы. При передаче персональных данных внутри компании могут возникать ошибки.
Самые распространенные:
-
ИП не разрабатывают локальный нормативный акт с порядком обработки персональных данных, ошибочно трактуя освобождение от разработки ЛНА по ст. 309.2 ТК РФ;
-
Компании не устанавливают правила работы с персональными данными кандидатов на должности. Например, не знают, что учесть, когда поиск ведет одно юрлицо, а работать новый сотрудник будет в другом. Или, что сделать, чтобы легально хранить резюме кандидата в базе для следующих контактов. Обо всем этом поговорим на конференции «HR-вызовы: персданные, нейросети и поколенческие стратегии» с HRD, профессиональным рекрутером и юристом по трудовому праву Ольгой ЧУМАКИНОЙ.
-
Работодатели не назначают ответственного за организацию обработки персональных данных и не проводят внутренние аудиты в этой сфере.
|
Совет. Откажитесь от привычной практики, когда сотрудник одного подразделения просит сотрудника другого подразделения передать документы в приемную или занести в отдел продаж. Или отдает важные документы с оказией, чтобы секретарь или офис менеджер раздал их коллегам. Это примеры нарушений при передаче персональных данных работников. |
Как передавать персональные данные третьим лицам
Работодатель в рамках профессиональной деятельности по управлению персоналом по разным каналам передачи персональных данных предоставляет данные работников:
-
в ФНС, СФР, Центр занятости и другие ведомства, госучреждения;
-
в медицинские организации;
-
в головную компанию, если компания ‒ работодатель входит в холдинговую структуру;
-
представителям заказчиков или подрядчиков;
-
аутсорсинговые компании.
Чтобы снизить риск утечки личной информации при передаче персональных данных работодателю нужно обязательно:
-
получить согласие сотрудника на использование информации о нем в коммерческих целях, в том числе согласие на передачу персональных данных – например, в PR-целях, на корпоративном портале, в рекламе HR-бренда компании;
-
внимательно относится к практике обмена информацией с другими компаниями холдинга;
-
не давать по своему усмотрению клиентам номера мобильных телефонов сотрудников без их согласия;
-
обязательно получать согласие при передаче персональных данных по электронной почте или другими способами в бухгалтерию на аутсорсинге.
|
Алгоритм. Как организовать передачу персональных данных внутри компании
Шаг 1. Издать приказ и назначить ответственного за работу с персданным, как этого требует законодательство.
Шаг 2. Внести информацию о новых обязанностях в должностную инструкцию сотрудника или в трудовой договор. Он будет разрабатывать документы и контролировать других работников в этой области.
Шаг 3. Издать положение о порядке обработки персональных данных работников. Прописать цели, объем и категории персданных для каждого случая обработки, а также порядок передачи персональных данных внутри компании.
Шаг 4. Определить должности работников, которые будут иметь доступ к персональным данным. Для каждой из них установить перечень разрешенных к обработке персональных данных.
Шаг 5. Ознакомить работников под подпись с локальным нормативным актом и приказом.
|
|
|
Обратите внимание! Нарушение правил передачи персональных данных портят репутацию компании. Утечка чувствительной информации подрывает доверие кандидатов и действующих сотрудников. Кроме того, политика государства в области защиты персональных данных ужесточается. Выросли санкции за обработку ПД без согласия гражданина по ч. 2 ст. 13.11 КоАП РФ. Штраф составит: от 100 000 до 300 000 рублей для должностных лиц и от 300 000 до 700 000 для организаций. |
 |
Читайте на сайте статьи по теме Как составить положение о персональных данных
Как получить согласие работника на обработку персональных данных на работе
|
