Персональные данные работников. Что надо знать кадровику?

2021 год «подарил» много изменений в персональных данных. Миллионные штрафы для Facebook (Запрещенная в РФ организация), Google и др. – дело серьезное для каждого работодателя. Чтобы избежать санкций, HR должен знать, что и как можно делать с личной информацией сотрудников. Этой теме был посвящен вебинар BLS 30 сентября.

В этой связи отметим самые распространенные ошибки в сфере персональных данных. В их числе: не оформляется согласие с кандидатами, их данные хранятся более 30 дней, в компании есть общие источники данных – сайт, сетевые диски, где хранятся данные, но на это нет согласия сотрудников, в компании нет ответственности за этот процесс, наконец, в согласии указывается несколько целей обработки. Каждая из них чревата штрафом до 150 тыс. рублей, а если серверы находятся за рубежом – штраф может достигать 6 млн. рублей. Кстати, именно с этим связаны санкции для мировых соцсетей.

Прежде всего, надо отталкиваться от понятия персональных данных. Это любая информация, которая относится к конкретному человеку. Данные бывают обычные, специальные и биометрические. К первым относятся ФИО, документы, даты, паспорт, доход, ко вторым – раса, национальность, вера, политические взгляды, здоровье. Биометрия – это отпечатки пальцев, оболочка глаз, рост, вес, фото и видео. Например, оформляя сотруднику пропуск с фото, вы используете биометрические данные.

Второе, каждая компания использует данные сотрудников, а значит, является оператором персональных данных. Проверить это можно на сайте Роскомнадзора в «Реестре операторов персональных данных». Так или иначе надо получать согласие людей на обработку (сбор, запись, хранение, передача). Если обработка нужна для выполнения закона (начисление зарплаты, оформление договора, передача данных в фонды), по закону согласие не нужно, во всех других целях – для каждой потребуется разрешение от человека.

Еще один блок – соискатели. Правильный вариант – с каждым кандидатом, информацию о котором обрабатывает компания, подписывать соответствующее соглашение. И, если человека не взяли в штат, прекратить использовать данные и удалить их в течение 30 дней – как гласит закон.

Поэтому важнейшая часть работы – документальный фонд. В компании должно быть минимум несколько документов: Положение, Политика по обработке, форма согласия, назначение ответственного по обработке. И, как минимум, уведомление для Роскомнадзора. Скажем, если вы передаете данные третьим лицам в случаях, не предусмотренных законом, об этом обязательно надо сообщить в ведомство, иначе это признают нарушением. А еще проверьте, размещена ли информация о политике обработки данных в общедоступном месте. Изменения в законе в 2021 г. гласят: у сотрудников должен быть свободный доступ к этой информации, они должны знать, как обрабатывается их личная информация.