Можно ли хранить резюме кандидатов после отказа? А что будет, если опубликовать фото сотрудника без его разрешения? А можно обойтись галочкой на сайте и не соблюдать письменную форму согласия на обработку персональных данных?
Мы разобрались в законе «О персональных данных» и главах Трудового кодекса — сейчас расскажем, что узнали.
Общие принципы обработки персональных данных
Правило простое: если вы обрабатываете персональные данные, только чтобы исполнять трудовой договор, то согласие сотрудника не требуется (п.5 ч.1 ст. 6 закона «О персональных данных»). В других случаях согласие нужно.
Здесь есть тонкая грань, которую не так-то просто увидеть. Например, работодатель должен запросить и обрабатывать ФИО, паспортные данные, СНИЛС работника — без этого не получится заключить трудовой договор и перечислять часть средств в фонд будущей пенсии сотрудника. В таких случаях получать согласие не требуется.
Но допустим, работодатель отправляет сотрудника на конференцию и передает организаторам мероприятия его фотографию, ФИО, должность и контактный телефон. Такая обработка персональных данных совсем не относится к трудовому договору, а потому требует отдельного согласия.
Или же работодатель обрабатывает персональные данные кандидата, тогда согласие нужно, ведь с ним еще не заключен трудовой договор.
Как сформулировать цели обработки
В тексте согласия нужно указать, какие персональные данные вы намерены обрабатывать и зачем. Цели обработки должны быть конкретными и законными, а перечень данных — не избыточным по отношению к заявленным целям.
? Цель | ✅ Достаточный список персональных данных | ❌ Избыточный список персональных данных |
Оформление пропуска для сотрудника | ФИО, фотография | ФИО, фотография, рост, вес, вероисповедание |
Для каждой цели обработки персональных данных, которая выходит за рамки трудового договора, нужно составлять отдельное согласие.
Вдумчиво подходите к формулированию целей. Вполне вероятно, что у вас одна крупная цель, которую можно не разбивать на несколько мелких, — тогда не придется брать для каждой из них отдельное согласие.
Скажем, взяли согласие кандидата на обработку его данных с целью «принятия решения о приеме на работу или отказе». После достижения цели обработка должна быть прекращена: как только вакансия закроется, вам придется удалить резюме кандидата из базы.
Если же вы хотите поместить кандидата в базу, то придется брать дополнительное согласие. Хотя в Яндексе нашли такое решение этой проблемы:
Цель обработки и хранения данных в этом случае звучит так: «чтобы группа компаний „Яндекс“ могла предлагать вакансии». Такая формулировка позволяет внести кандидата в кадровый резерв и поддерживать с ним связь даже после закрытия вакансии.
Когда обязательна письменная форма согласия
Письменная форма нужна только для некоторых видов операций:
- Обработка биометрических данных. Такими данными могут быть фотография, отпечатки пальцев и другие биологические и физиологические особенности человека.
- Операции со специальными категориями персональных данных — расовой, национальной принадлежностью, политическими взглядами, религиозными или философскими убеждениями, состоянием здоровья, интимной жизни.
- Трансграничная передача данных. Письменное согласие требуется, если вы будете передавать информацию по территории государств, которые не входят в перечень участников конвенции «О защите физических лиц при автоматизированной обработке персональных данных». А для передачи персональных данных в страны, обеспечивающие адекватную защиту прав субъектов персональных данных, или для исполнения трудового договора достаточно обычного согласия.
Сложнее всего, когда трансграничная передача происходит в рамках трудового договора. Допустим, вам нужно отправить данные о сотруднике в канадскую аутсорс-компанию, которая организует КДП и начисление зарплаты вашим сотрудникам, — эта страна пока не присоединилась к конвенции.
С одной стороны, вроде бы можно обойтись без согласия, ведь есть трудовой договор. С другой — согласие нужно, потому что это трансграничная передача. Налицо законодательная коллизия: чтобы не рисковать, мы советуем получить хотя бы обычное согласие сотрудника.
Что должно включать письменное согласие
- Информацию о субъекте персональных данных — кандидате или сотруднике, чью информацию вы собираетесь обрабатывать. Сюда входят ФИО, адрес и паспортные данные.
- Информацию о представителе субъекта персональных данных: ФИО и адрес, паспортные данные, реквизиты доверенности или другого документа, который подтверждает его полномочия. Такое сложно представить, но вдруг кандидат поручит вести переговоры о трудоустройстве своему представителю по доверенности. Вот тогда-то вы и впишете информацию о нем в этот пункт.
- Наименование и адрес оператора обработки персональных данных. В нашем случае оператор — это работодатель.
- Цель обработки персональных данных — уже рассказывали, как ее сформулировать.
- Перечень персональных данных, на обработку которых дается согласие.
- Наименование или ФИО и адрес лица, осуществляющего обработку персональных данных по поручению оператора. Если вы собираетесь привлечь к обработке кого-то еще, например кадровое агентство или внешних консультантов, то должны указать в согласии информацию об этом человеке или организации.
- Перечень действий с персональными данными, на совершение которых дается согласие, общее описание способов обработки персональных данных.
- Срок действия согласия, а также способ, как его отозвать.
- Подпись субъекта персональных данных.
Источник: ч. 4 ст. 9 закона «О персональных данных».
Когда можно обойтись без письменной формы согласия
В остальных случаях достаточно обычного согласия в любой форме: подойдет электронное письмо от кандидата или галочка в специальной форме. Главное, чтобы такое согласие было:
- конкретным,
- информированным,
- сознательным.
Человек должен понимать цель и способы обработки данных и дать согласие в «активной форме» — поставить подпись в документе или нажать на кнопку.
Виды согласий и для чего они нужны
Согласие на сбор персональных данных кандидата от третьих лиц
Получение данных гражданина от третьих лиц возможно только с его согласия (ст. 6 закона «О персональных данных»). Поэтому если вам нужно получить отзыв о кандидате с его предыдущего места работы — просите кандидата дать на это согласие.
Согласие на обработку данных кандидата
Расскажем про 4 основных цели обработки, когда такое согласие необходимо.
Чтобы принять решение о приеме на работу или отказе. Если вы получили резюме с вашего карьерного сайта, джоб-сайта или от кадрового агентства, то для обработки персональных кандидата потребуется обычное согласие.
Некоторые работные сайты сами просят кандидатов разрешить распространение и передачу данных потенциальным работодателям. Если согласие уже получено джоб-сайтом, то вы можете как бы пользоваться им. Однако вам придется каждый раз проверять, не изменились ли условия на этом сайте и нет ли новых ограничений или запретов на дальнейшее распространение. Поэтому надежнее брать согласие без посредников — напрямую у самих кандидатов.
То же самое с кадровыми агентствами: уточняйте, на каких условиях кандидаты предоставляют резюме сотрудникам агентства, и при необходимости просите соискателей дать согласие на обработку данных.
Для формирования кадрового резерва. Если вы не сформулировали цель обработки персональных данных обтекаемо, как в примере с Яндексом, то после закрытия вакансии возьмите у кандидата дополнительное согласие, чтобы внести его резюме в кадровый резерв.
Для оценки личностных данных. Если вы проводите тестирования для определения мотивации, темперамента и гибких навыков кандидата, то вам потребуется взять у него обычное согласие.
Чтобы оценить политические взгляды или философские убеждения — то есть данные, входящие в специальную категорию, — нужно письменное согласие. Убедитесь в том, что сбор таких данных соответствует целям обработки, а сама цель конкретная и законная.
Для прохождения тестового задания. Если вам нужен адрес электронной почты кандидата, чтобы прислать ему тестовое задание, не забудьте получить от него на это согласие.
Согласие на передачу персональных данных сотрудника
Компания может передавать данные сотрудника в государственные органы — для этого не нужно согласие (пункт 4 разъяснения Роскомнадзора). Например, пришла проверка из Инспекции труда и запросила трудовой договор, где есть персональные данные работника. Работодатель обязан предоставить документ, даже если сотрудник против.
Чтобы передавать данные любым контрагентам — страховым компаниям, образовательным организациям, аутсорсинговым компаниям, фирмам по ведению кадрового и бухгалтерского учета, — потребуется согласие.
Например, вы оформляете пропуск на сотрудника в охранной организации, которая обслуживает офисное здание. Охрана просит выслать им фотографию, ФИО и должность сотрудника — прежде чем это делать, получите его согласие на передачу персональных данных.
Согласие на распространение персональных данных сотрудников
Если вы хотите опубликовать информацию о сотрудниках с упоминанием имен и должностей на сайте компании или в социальных сетях, придется собрать с них согласия на распространение персональных данных.
В приказе Роскомнадзора есть требования к содержанию такого согласия. Оно должно включать:
- ФИО субъекта персональных данных.
- Контакты субъекта: номер телефона, адрес электронной почты или почтовый адрес субъекта.
- Наименование оператора персональных данных, ИНН, ОГРН и адрес из ЕГРЮЛ. Если оператор — индивидуальный предприниматель, то необходимо указать фамилию, имя, отчество, ИНН и ОГРН.
- Сведения об информационных ресурсах, где будут распространяться персональные данные. Здесь нужно указать адрес сайта, состоящий из протокола (http или https), сервера (www), домена, имени каталога на сервере и имени файла веб-страницы.
- Цель или цели распространения персональных данных.
- Категории и перечень персональных данных, которые разрешены к распространению:
- персональные данные — ФИО, год, месяц, дата рождения, место рождения, адрес, семейное положение, образование, профессия, социальное положение, доходы, другая информация, относящаяся к субъекту персональных данных;
- специальные категории персональных данных — расовая и национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни, сведения о судимости.
Важно, что сотрудник не обязан давать согласие на распространение всех категорий данных. Он может ограничить этот перечень на свое усмотрение.
- Категории и перечень персональных данных, для распространения которых установлены условия и запреты.
- Условия передачи персональных данных по сети. Человек вправе определить, как будут передаваться его персональные данные, после того как станут доступны неопределенному кругу лиц.
- Четко определенный срок действия согласия.
Больше деталей — в статье про публикацию сотрудников на карьерном сайте.
Но есть и исключения. Например, если вы публикуете на сайте медклиники информацию о врачах, их специализации и образовании, то вам не нужно получать их согласие. В этой ситуации публикация и размещение персональных данных сотрудников — это обязанность работодателя (п. 7 ч. 1 ст. 79 закона о «Об основах охраны здоровья граждан в Российской Федерации»).
То же самое относится и к публикации на сайте школы или университета персональных данных директора или ректора, завучей, проректоров, деканов, учителей и преподавателей (постановление Правительства Российской Федерации от 18.04.2012 № 343).
Согласие на обработку персональных данных родственников сотрудника
Работодатель может хранить и обрабатывать информацию о родственниках сотрудника, если это связано с исполнением трудового договора. Например, вам нужно заполнить раздел «Состав семьи» в личной карточке работника по форме Т-2. Форма унифицирована — то есть это не вы придумали собирать информацию о родственниках, а Госкомстат России.
В карточке требуется указать степень родства, ФИО родственника и год его рождения. Любые другие сведения можно обрабатывать только с разрешения самого родственника или его законного представителя.
Допустим, вы хотите подшить в личное дело копии свидетельств о браке и о рождении ребенка. Но эти документы касаются не только самого сотрудника, но его родственников — нужно получать согласие от совершеннолетних членов семьи или законных представителей несовершеннолетних.
Когда и какие согласия нужно брать у кандидатов и сотрудников
- Если обработка персональных данных выходит за пределы трудового законодательства, нужно брать согласие сотрудника.
- Для каждой цели обработки персональных данных нужно составлять отдельное согласие.
- Письменное согласие необходимо, если вы:
- обрабатываете биометрические персональные данные;
- работаете со специальными категориями персональных данных;
- передаете информацию в страны, которые не входят в перечень участников конвенции «О защите физических лиц при автоматизированной обработке персональных данных».
- Требования к содержанию письменного согласия описаны в ч.4 ст.9 закона «О персональных данных».
- Поскольку с кандидатом еще не заключен трудовой договор, то для обработки его персональных данных в любом случае нужно получить согласие.
- Обычно работодатели просят согласие кандидатов:
- на сбор персональных данных кандидата от третьих лиц;
- на обработку данных с разными целями — для решения о приеме на работу, проведения тестирования и профилирования, формирования кадрового резерва.
- При приеме на работу, как правило, берут:
- согласие на передачу персональных данных третьим лицам, в том числе трансграничную передачу;
- согласие на распространение персональных данных;
- согласие на обработку персональных данных родственников.