С необходимостью обработки персональных данных сталкивается каждая компания, и уже на этапе поиска персонала. Мы попросили юриста рассказать, о каких правилах работы с личной информацией соискателей и сотрудников нужно помнить, чтобы не получить штраф.
Подписывайтесь на наш telegram-канал для всех, кто нанимает
Подписаться
Персональные данные при найме
Компания обязана запросить письменное согласие на обработку персональных данных, если соискатель или сотрудник раскрывает личную информацию, которая не имеет прямого отношения к работе:
номер мобильного телефона,
адрес личной электронной почты,
свидетельство о рождении ребенка и т. д.
Рекрутер не имеет права работать с резюме, если соискатель не разрешил ему использовать свои личные данные. Чтобы не писать каждому кандидату отдельно, используйте CRM для рекрутеров СберПодбор:
отправляйте запросы на обработку персональных данных в один клик,
создавайте воронки найма,
формируйте кадровый резерв.
Подключение и доступ к базовой версии бесплатны.
Биометрические данные
Также согласие необходимо при обработке биометрических данных. Хотя есть некоторая неопределенность с тем, что именно к ним относится.
Согласно общему положению закона о персональных данных, биометрия — это сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность.
Ранее к биометрии относились фотографии, дактилоскопические данные, сведения о ДНК и иная информация, указывающая на физиологические особенности человека (разъяснения Роскомнадзора от 02.09.2013). При этом 19 ноября 2021 года Роскомнадзор выпустил информационное письмо о неактуальности приведенного перечня, но новых данных не предоставил.
Так что работодателям стоит руководствоваться общими положениями закона и брать письменное согласие на обработку персональных данных, если нужно изготовить пропуск или для иных целей использовать фото или видео с человеком.
Скидки до 50% для тех, кто продолжает нанимать
Все акции и спецпредложения сервиса Работа.ру на одной странице
Юристам компании нужно разработать политику обработки персональных данных, которая будет действительна как для сотрудников, так и для соискателей, клиентов, контрагентов и других третьих лиц. Документ должен раскрывать:
чью личную информацию хранит компания (например, сотрудников, клиентов, контрагентов);
какие виды персональных данных обрабатывает — в том числе биометрических и из специальных категорий (расовая и национальная принадлежность, религиозные убеждения, состояние здоровья и др.);
цели хранения — для чего нужна эта информация;
законы, на которые организация опирается при работе с личной информацией. Например, Федеральный закон о защите персональных данных от 27.07.2006 № 152-ФЗ, нормативные акты о воинском учете, трудовых книжках.
Компания должна разместить политику обработки персональных данных в открытом доступе — на сайте, стенде и т. п.
Если этого не сделать, директора оштрафуют на сумму от шести тысяч до 12 тысяч рублей, а организацию — на сумму от 30 до 60 тысяч.
4 факта о хранении персональных данных
1
Резюме, анкеты соискателя нужно уничтожить в течение 30 дней с момента, как вы выслали ему оффер или отказали в найме. Если рекрутер хочет сохранить данные о кандидате для кадрового резерва, он должен прописать это в согласии на обработку персональных данных.
2
Сроки хранения документов бывших и настоящих сотрудников регулирует законодательство. Например, приказы о приеме на работу и увольнении нельзя уничтожать в течение 75 и 50 лет соответственно.
3
Хранить копии паспортов, дипломов, свидетельств о браке, рождении детей и т. д. небезопасно даже с согласия сотрудника — Роскомнадзор может обвинить компанию в сборе избыточных персональных данных и назначить штраф:
для должностных лиц — от 10 тысяч до 20 тысяч рублей,
для юридических лиц — от 60 до 100 тысяч.
При повторном нарушении штраф для должностного лица увеличится до 50 тысяч, а для компании — до 300 тысяч.
4
Работодатель не обязан проставлять гриф ограничения доступа на папках с документами, которые содержат персональные данные. Но может сделать это, чтобы исключить неправомерный или случайный доступ к персональным данным, в том числе к тем, которые хранятся на материальных носителях: личным делам, трудовым книжкам, приказам.
Ответственность за разглашение персональных данных
Работодатель имеет право уволить сотрудника, который разгласил персональные данные коллеги, только если виновный:
подписал обязательство о неразглашении персональных данных,
получил сведения в связи с исполнением им трудовых обязанностей.
То есть в трудовом договоре сотрудника должно быть указано, что он занимается обработкой персональных данных.
Кроме того, работник должен входить в утвержденный приказом перечень лиц, которые имеют доступ к персональным данным, — обычно это генеральный директор, его заместители, сотрудники кадровой службы, бухгалтерии, службы безопасности, юридического отдела.