- Работодатель автоматически становится оператором ПД сотрудников
- Для кадрового делопроизводства отдельное согласие обычно не требуется
- Передача данных третьим лицам без основания или согласия запрещена
- Биометрические данные работников требуют отдельного письменного согласия
- Кадровые документы должны храниться по установленным срокам
Работодатель как оператор персональных данных
Любой работодатель — оператор персональных данных. Это возникает автоматически при оформлении первого сотрудника.
ТК РФ и ФЗ-152 применяются одновременно. ТК определяет, КАКИЕ данные можно запрашивать, ФЗ-152 — КАК их обрабатывать.
Работодатель обязан:
- определить цели обработки кадровых данных;
- ограничить доступ к персональным данным сотрудников;
- назначить ответственного за обработку ПД;
- утвердить внутренние документы и регламенты;
- обеспечить защиту кадровых баз и архивов.
Какие данные работодатель вправе собирать
Без согласия работника
Для исполнения трудового договора и соблюдения закона работодатель вправе обрабатывать:
- Паспорт, СНИЛС, ИНН
- Трудовую книжку, диплом
- Военный билет (для военнообязанных)
- Банковские реквизиты для выплаты зарплаты
- Данные для налогового и кадрового учёта
Основанием является Трудовой кодекс РФ и иные обязательные требования законодательства.
С отдельным согласием
Отдельное письменное согласие требуется для:
- обработки биометрических данных;
- публикации фото сотрудника на сайте;
- передачи данных третьим лицам вне обязательных случаев;
- использования данных в маркетинговых целях;
- обработки сведений о членах семьи, если это не связано напрямую с трудовыми обязанностями.
Системы контроля доступа требуют явного письменного согласия. Согласие добровольно. Альтернативный способ доступа обязателен.
Что запрещено работодателю
Работодатель не вправе:
- собирать избыточные сведения о сотруднике;
- требовать данные, не связанные с трудовой функцией;
- передавать кадровые данные без законного основания;
- публиковать персональные данные работников в открытом доступе;
- использовать биометрию без добровольного согласия.
Особенно рискованны:
- общие Excel-файлы без ограничений доступа;
- отправка документов сотрудников через личные мессенджеры;
- хранение копий паспортов без необходимости;
- использование зарубежных HR-сервисов без локализации.
Сроки хранения кадровых документов
| Документ | Срок | |---|---| | Трудовые договоры | 50-75 лет | | Приказы о приёме/увольнении | 50-75 лет | | Личные карточки работников | 50-75 лет | | Расчётные листки | 6 лет | | Заявления, объяснительные | 5 лет | | Табели учёта рабочего времени | 5 лет | | Документы по охране труда | 45 лет |
Даже если сотрудник уволился и просит удалить все данные, работодатель обязан сохранить документы на сроки, установленные архивным законодательством.
Документы работодателя по ПД работников
Минимальный комплект включает:
- Положение об обработке ПД работников;
- приказ о назначении ответственного;
- формы согласий;
- соглашения о конфиденциальности;
- регламент доступа к кадровым данным;
- журнал обращений субъектов ПД;
- инструкции для HR и бухгалтерии.
Все сотрудники, имеющие доступ к кадровым данным, должны быть ознакомлены с документами под подпись.
Практические риски для HR и бизнеса
Наиболее частые нарушения:
- хранение кадровых документов в открытом доступе;
- передача резюме и анкет через незащищённые каналы;
- отсутствие согласий на публикацию фотографий сотрудников;
- использование Face ID без письменного согласия;
- отсутствие сроков уничтожения документов.
При утечке кадровых данных ответственность несёт работодатель как оператор ПД.
- Утверждено Положение об обработке ПД работниковобязательно
- Сотрудники ознакомлены с Положениемобязательно
- Для биометрических систем получены согласия
- Ограничен доступ к кадровым даннымобязательно
- Определены сроки хранения кадровых документов
- Настроено безопасное хранение кадровых архивов