Что важно знать работодателю при обработке персональных данных сотрудника

Рассмотрим, что важно знать работодателю при обработке персональных данных сотрудника.

Не получили согласие на обработку – штраф

Сотрудник обратился к кадровику с просьбой подтвердить кредитному менеджеру банка, когда тот позвонит о его должности и зарплате в банк, иначе ему откажут в кредите. Кадровик, не сомневаясь, что имеет право передать эти сведения по просьбе сотрудника, подтвердил их по телефону.

Это явное нарушение, которое будет обнаружено Роскомнадзором, так как не было письменного согласия на подобные действия. Сотрудник должен был не просто попросить кадровика передать данные банку для получения кредита, а передать кадровику письменное согласие на передачу сведений в банк.

В данном случае директору грозит штраф от 20 000 до 40 000 рублей, а организации – от 30 000 до 150 000. Если кадровик не возьмет у сотрудника согласие или не укажет в документе полную информацию, то он нарушит норму «обработка персональных данных работника без его письменного согласия», ч. 2 ст. 13.11 КоАП.

Если организацию уже оштрафовывали, однако кадровик снова обработал персональные данные без письменного согласия сотрудника, то в этом уже случае директору грозит штраф от 40 000 до 100 000 руб., а организации – от 300 000 до 500 000 руб., ч. 2.1 ст. 13.11 КоАП.

Использовать данные работника из Интернета запрещено

Запрещено использовать данные, взятые со страницы сотрудника в соцсети. Несмотря на открытость сведений, их использовать и переносить, например, в личную карточку или личное дело нельзя. Работник должен дать отдельное письменное согласие на обработку сведений и в нем перечислить те персональные данные, которые открывает для работодателя.

Теперь кадровик без согласия работник не имеет право распространять его персональные данные, даже если он сам их разместил в открытых источниках, например, в Интернете. Любые данные о человеке можно использовать только с его прямого письменного согласия.

Выставлять данные на корпоративном сайте без согласия нельзя

Необходимо получать отдельное согласие на распространение персональных данных в случае предоставления сведений о сотруднике неопределенному кругу лиц. Так, например, если на корпоративном сайте организации размещается информация для контрагентов с указанием данных о руководителях и иных сотрудниках с указанием Ф. И. О., должности, сведения об образовании и опыте работы, электронную почту и телефон, то в этом случае у каждого сотрудника, чьи данные станут известны кому угодно в Интернете, необходимо брать согласие на распространение этих сведений.

Указывать данные в доверенности без согласия нельзя

При привлечении работника, например, в суд как представителя организации, ему в соответствии с законодательством выдается доверенность, в которой необходимо указать Ф. И. О., паспортные данные и другие личные данные, которые требует ГПК. В данном случае происходит передача сведений о сотруднике третьим лицам, следовательно, без письменного его согласия это не допускается.

Важно отличать распространение персональных данных и передачу сведений о сотруднике третьим лицам. Это не одно и то же. При распространении сведений о сотруднике узнает кто угодно, а когда передаете данные третьему лицу, всегда известен адресат.

Как оформить согласие?

Согласие работник должен оформить письменно в соответствии со статьей 88 ТК. Если согласие выражено в виде электронного документа, то работник подписывает его простой электронной подписью.

С 1 июля представиться возможность разрешать распространение персональных данных через информационную систему Роскомнадзора.

Сколько хранить согласия на обработку персональных данных?

Хранить согласия нужно после увольнения сотрудника, окончания срока действия согласия или в случае, если сотрудник его отозвал. С 1 января 2022 года после одного из этих событий срок хранения составит 3 года. Например, сотрудник уволился в мае текущего года, то срок хранения начинает течь с 1 января 2022 года и таким образом составит до 1 января 2025 года.