Персональные данные работников: инструкция для работодателя

В современном мире персональные данные стали одной из самых ценных форм информации — особенно когда речь идёт о сотрудниках компании. Телефоны, адреса, паспортные данные, ИНН, сведения о зарплате и здоровье — всё это требует бережного и ответственного обращения. Нарушение правил защиты персональных данных может обернуться не только штрафами, но и потерей доверия со стороны коллектива.

Эта статья — простой и понятный гид по управлению и защите персональных данных работников. Мы расскажем, что должен знать каждый руководитель и кадровик, как выстроить систему защиты информации и избежать типичных ошибок. Без лишней «бюрократии» — только важное, полезное и применимое на практике.

Закон строго регулирует, как работодатель должен обращаться с персональными данными сотрудников — и не зря. Это не просто формальность, а способ защитить каждого из нас от утечки личной информации, недобросовестного использования или дискриминации. Вот основные принципы, которые должен соблюдать каждый работодатель:

1. Только по делу. Обрабатывать персональные данные можно лишь в чётко определённых целях: чтобы соблюдать законы, помочь сотруднику в обучении или карьерном росте, следить за безопасностью, учитывать результаты труда и беречь имущество компании.
2. Минимум — только нужное. Работодатель не может собирать всё подряд. Только те данные, которые действительно необходимы. При этом он обязан опираться на Конституцию и федеральные законы.
3. Сначала — у сотрудника. Персональные данные должны запрашиваться напрямую у работника. Если данные нужно получить у третьих лиц, необходимо предупредить сотрудника и получить от него письменное согласие.
4. Никакой лишней информации. Данные о здоровье, религии, политике, личных взглядах или членстве в профсоюзах нельзя собирать, если это не прямо предусмотрено законом.
5. Решения — не от робота. Работодатель не имеет права принимать важные решения, которые касаются сотрудника, только на основе автоматизированной обработки данных. Человеческий подход обязателен.
6. Безопасность — за счёт работодателя. Именно работодатель отвечает за защиту данных: чтобы они не утекли и не были использованы не по назначению.
7. Ознакомить под роспись. Сотрудников нужно знакомить с тем, как в компании обрабатываются их данные, какие у них есть права и обязанности.
8. Никаких “отказов от прав”. Сотрудник не может отказаться от защиты своих данных. Это — его неотъемлемое право.
9. Совместная защита. Работодатель, сотрудники и их представители должны вместе продумывать и внедрять меры безопасности.

А если дело доходит до передачи данных — тут тоже есть чёткие правила:

• Без согласия — никак, если только это не экстренная ситуация, связанная с угрозой жизни и здоровью.
• Никакой коммерции. Продажа или использование данных в бизнес-целях без разрешения сотрудника запрещены.
• Секретность обязательна. Получатель данных обязан использовать их строго по назначению и хранить в тайне.
• Доступ — только по делу. Видеть персональные данные могут только те сотрудники, которым это нужно для выполнения их работы.
• Меньше — лучше. Например, запрашивать медицинскую информацию можно только тогда, когда речь идёт о допуске к работе.

Проще говоря, закон требует уважения к человеку и его личной информации. А правильная организация работы с персональными данными — это не только юридическая обязанность, но и знак профессионализма компании.
 

Персональные данные — это не только паспорт или СНИЛС. Это всё, что может рассказать о человеке больше, чем просто его имя: номер телефона, адрес электронной почты, образование, опыт работы и даже фото в резюме. Всё это — личная информация, которую нужно беречь.

Работодатель начинает собирать персональные данные уже на этапе отклика на вакансию. Получил резюме? Вот и началась обработка. Часто компании сохраняют такие данные в специальных базах, распечатывают или оставляют «на будущее». Но просто так брать и использовать эту информацию нельзя — по закону требуется согласие соискателя.

Когда согласие нужно?
Если работодатель собирает резюме напрямую (например, по почте или в мессенджере), он обязан получить от кандидата письменное согласие на обработку данных. В нём должно быть указано:

• зачем собираются данные (например, для рассмотрения на вакансию);
• кто будет их обрабатывать;
• и как долго это будет происходить.

А когда можно без согласия?
Есть два исключения:

• Если резюме прислал кадровый агент от имени соискателя;
• Или если сам кандидат выложил своё резюме в интернете (например, на hh.ru или другом портале).

Даже если резюме пришло по электронной почте, работодатель должен подтвердить, что оно действительно от кандидата. Обычно это делается через ответное письмо или приглашение на собеседование.

Что делать, если используется анкета?
Многие компании просят кандидатов заполнить анкету — бумажную или электронную. В этом случае нужно:

• Указать, кто собирает данные, зачем, как долго будет их хранить и как с ними будет обращаться;
• Дать человеку возможность поставить «галочку» или подпись, подтверждая своё согласие;
• Обеспечить конфиденциальность — чтобы никто не увидел чужие данные.

Важно: нельзя в одной анкете мешать несовместимые цели. Например, не стоит спрашивать о медицинском состоянии и одновременно об увлечениях — это нарушение.

А если кандидата не взяли?
Если человека не приняли на работу, его данные нужно уничтожить в течение 30 дней. Исключение — госслужба: там документы могут храниться до 3 лет.

Хочу узнать мнение прошлого работодателя. Можно?
Можно, но только с разрешения кандидата. Запросить информацию у бывшего начальника без согласия — нарушение закона.
 

Персональные данные при приеме на работу — что нужно знать
Когда человек устраивается на работу, работодатель начинает собирать его персональные данные. Это не просто формальность — это важный процесс, который регулируется Трудовым кодексом и законом о персональных данных. Разберёмся по шагам, что и как можно делать.

Какие документы запрашивает работодатель?
При приеме на работу по закону (ст. 65 ТК РФ) от сотрудника запрашиваются:

• паспорт или другой документ, удостоверяющий личность;
• трудовая книжка;
• СНИЛС (или электронный документ о регистрации в системе персонифицированного учета);
• документы об образовании, воинском учете, справка о судимости — если это необходимо для конкретной должности.

Эти данные используются, чтобы оформить трудовой договор — и отдельное согласие тут не нужно. Подписал договор — значит, дал согласие на обработку этих данных.

Зарплатная карта: можно ли передавать данные в банк?
Да, но не просто так. Если работодатель помогает оформить зарплатную карту, он должен получить от сотрудника согласие на передачу персональных данных банку. В согласии указываются:

• конкретные данные, которые будут переданы (например, ФИО и паспортные данные);
• цель — оформление зарплатной карты

Когда согласие не нужно:

• если сотрудник сам заключает договор с банком;
• если работодатель действует по доверенности от сотрудника;
• если оформление карт прописано в коллективном договоре.
  Важно: у работника есть право выбрать любой банк. Принуждать его к «зарплатному рабству» — запрещено. За это теперь предусмотрена ответственность.

Пропускной режим и персональные данные
Если у компании есть пропускная система (например, турникеты или бейджи), она тоже работает с персональными данными. Но:

• если пропуска оформляются внутри компании — согласие не требуется;
• если доступ организует сторонняя фирма (например, охрана бизнес-центра) — нужно согласие на передачу данных третьей стороне.

Что делать с данными уволенных сотрудников?
Уволили — не значит забыли. Персональные данные бывших работников хранятся:

• минимум 4 года — для налоговых и бухгалтерских целей;
• 75 лет — в архиве (например, личные дела, приказы и трудовые договоры).

После увольнения новое согласие на обработку данных не требуется — всё регулируется законами, и работодатель обязан хранить документы даже без желания бывшего сотрудника.

Когда в компании появляется даже один сотрудник, это значит, что начинаются процессы по сбору и обработке его персональных данных. Чтобы всё было по закону и без штрафов, работодателю нужно выстроить систему работы с этими данными. Вот как это сделать — просто и по шагам.

Шаг 1. Подготовить два главных документа
Без этих бумаг — никак:

• Положение об обработке и защите персональных данных
• Политика в области обработки персональных данных

Это — как инструкция для всех: что за данные собираются, зачем, как хранятся и кто отвечает за их безопасность. Эти документы нужно разместить в общем доступе — например, в корпоративной сети или на внутреннем сайте.

Шаг 2. Назначить ответственного
Обработка персональных данных — не дело "всех понемногу". Назначьте одного человека, который будет за это отвечать. Он должен знать законы и контролировать, чтобы доступ к персональным данным был только у тех сотрудников, кому это нужно по работе.
По закону, этот ответственный должен подчиняться напрямую руководителю. И если нужно — его стоит обучить.

Шаг 3. Уведомить Роскомнадзор
Если вы начали собирать персональные данные — сообщите об этом в Роскомнадзор, чтобы вас включили в реестр операторов персональных данных.
Также важно:

• если поменялись данные в уже поданном уведомлении — сообщите об этом до 15 числа следующего месяца;
• если передаёте данные за границу — тоже уведомьте ведомство;
• если вы больше не обрабатываете персональные данные, обязательно сообщите об этом.

Шаг 4. Сделать правила понятными для всех
Внутренние документы по защите данных должны касаться не только сотрудников, но и:

• кандидатов на вакансию (соискателей),
• бывших сотрудников,
• родственников работников (например, если оформляется ДМС),
• клиентов и контрагентов.

Так требует п. 3.4 рекомендаций Роскомнадзора от 27.07.2017. То есть политика обработки персональных данных — это не только про "кадры", а про всех, чьи данные вы получаете.

Шаг 5. Используйте шаблоны
Не обязательно всё писать с нуля — Роскомнадзор предлагает готовые образцы Политики и Положения. Их можно взять за основу и адаптировать под свою компанию. Это поможет избежать ошибок и сэкономит время.

Как выглядит правильное согласие на обработку персональных данных

Когда вы принимаете на работу нового сотрудника, часто требуется его согласие на обработку персональных данных. Без него — ни шага в сторону. Но что это за документ такой, и каким он должен быть, чтобы всё было по закону?
Вот простое объяснение.

Согласие должно быть понятным и точным
Сотрудник должен чётко понимать, что, зачем и как с его данными будут делать. Поэтому в согласии обязательно указываются:

• цель обработки (например: «для оформления трудового договора» или «для выдачи зарплатной карты»),
• какие именно данные собираются (ФИО, паспорт, ИНН и т.д.),
• что с ними будет происходить (сбор, хранение, передача банку и т.д.),
• кому передаются (например, бухгалтерии, банку, страховой компании).
  Важно: никаких размытых формулировок. Всё — по делу.

Согласие можно оформить двумя способами

1. Как отдельный документ — обычно это лист с заголовком "Согласие на обработку персональных данных", где всё расписано.
2. Внутри трудового договора — отдельный пункт, где сотрудник соглашается на обработку своих данных.
   Оба варианта допустимы — выбирайте, как удобнее вашей компании.

Документ должен соответствовать закону
Есть специальная статья в законе — часть 4 статьи 9 Федерального закона №152-ФЗ, — она чётко описывает, что должно быть в согласии. Лучше всего использовать шаблон, основанный на этих требованиях (или проконсультироваться с юристом).

И не забывайте…
Если вы меняете цели обработки данных или передаёте их новым организациям, нужно получить новое согласие. Старое на такие изменения уже не действует.

Подводим итог
Правильное согласие — это документ, в котором всё чётко: какие данные, зачем и кому. Он может быть отдельным или частью трудового договора. Главное — чтобы человек знал, на что именно он соглашается.

Для того чтобы избежать ошибок и обеспечить соответствие всем актуальным требованиям законодательства, необходимо непрерывно повышать свою квалификацию и проходить актуальное обучение.  У нас есть более 20 курсов повышения квалификации и переподготовки по кадровому делу. Обучение проходит онлайн в сжатые сроки, а для групп действуют скидки

• Персональные данные — это любая информация, позволяющая идентифицировать человека.
• Сбор данных при приеме на работу требует согласия, кроме случаев с открытыми резюме или кадровыми агентствами.
• При подписании трудового договора отдельное согласие не нужно.
• Для передачи данных банку или сторонним организациям нужно отдельное согласие.
• Анкеты и документы должны содержать цель обработки и поле для согласия.
• Данные кандидатов и уволенных сотрудников хранятся строго по срокам закона.
• Компания обязана утвердить Политику, назначить ответственного и уведомить Роскомнадзор.
• Согласие на обработку должно быть конкретным, информированным и соответствовать закону.