Передача персональных данных предполагает раскрытие личной информации о сотрудниках третьим лицам, например государственным органам, профсоюзам или подрядчикам. В процессе такой передачи важно соблюсти законодательные нормы, чтобы не навлечь на себя штрафы и обеспечить безопасность данных. В статье – можно ли передавать персональные данные работника и как правильно это организовать.
Что такое персональные данные
Компания публикует объявления о вакансиях в открытом доступе и получает в ответ резюме, сопроводительные письма и контакты для связи. С этого момента у работодателя возникает ответственность за обработку, хранение и передачу персональных данных.
Требования по защите персональных данных установлены ст.14 ТК РФ и Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
Персональными данными называют информацию, которая прямо или косвенно помогает идентифицировать личность человека:
- ФИО, дата и место рождения, адрес регистрации;
- номера СНИЛС, ИНН;
- паспортные данные;
- семейный статус, количество детей;
- информация об образовании, квалификации;
- данные военного билета и др.
Что такое передача персональных данных и кому их передают
Передача персональных данных представляет собой любое раскрытие, предоставление или доведение сведений о работнике до круга лиц за пределами внутренней структуры компании, либо до конкретного третьего лица.
Компания может передавать персональные данные на законных основаниях и в строго определенных целях в:
- ФНС;
- СФР;
- военкоматы;
- суды;
- прокуратуру;
- профсоюзные организации.
Помимо этого, персональные данные передают контрагентам и партнерам организации:
- банкам (для зарплатных проектов);
- страховым компаниям (ДМС);
- медицинским учреждениям (обязательные медосмотры);
- обучающим центрам;
- аудиторам;
- юридическим фирмам и другим организациям, с которыми компания взаимодействует.
Каждая такая передача требует четко определять правовое основание и соблюдать установленные законом процедуры.
Передача персональных данных предполагает одно из трех действий с личной информацией сотрудника:
1. Доступ к персональным данным;
2. Предоставление информации о человеке;
3. Распространение персданных.
В первом случае это возможность увидеть личную информацию и воспользоваться ей. Во втором – раскрытие персональных данных определенному кругу лиц. А в третьем происходит предоставление личной информации работника неопределенному кругу лиц. К примеру, если работодатель опубликовал на своем сайте список сотрудников, с указанием должности и мобильного телефона.
Обратите внимание! При передаче персональных данных работника неопределенному кругу лиц компания фактически утрачивает контроль за конфиденциальностью, и это может нарушать права сотрудников. Поэтому на распространение персданных обязательно оформляется отдельное письменное согласие – статья 10.1 Закона № 152-ФЗ.
Требования к компании при передаче персональных данных работников
В статье 88 ТК РФ перечислены основные требования, которые нужно соблюдать компании при распространении и передаче персональных данных работников.
В соответствии с законом:
- нельзя разглашать и передавать персональные данные третьим без письменного согласия сотрудника;
- требуется разрешать доступ к персональным данным работника только определенному числу лиц в объеме, достаточном для работы;
- передавать персональные данные внутри компании согласно положениям локального нормативного акта или другого документа.
Внутренняя передача персональных данных
Работодатель закрепляет правила передачи персональных данных сотрудников внутри компании в специальном документе – ЛНА. Основной принцип внутреннего движения личных данных заключается в том, что адресат получает информацию о сотрудниках только в том объеме, который ему нужен для работы. При передаче персональных данных внутри компании могут возникать ошибки.
Самые распространенные:
- ИП не разрабатывают локальный нормативный акт с порядком обработки персональных данных, ошибочно трактуя освобождение от разработки ЛНА по ст. 309.2 ТК РФ;
- Компании не устанавливают правила работы с персональными данными кандидатов на должности. Например, не знают, что учесть, когда поиск ведет одно юрлицо, а работать новый сотрудник будет в другом. Или, что сделать, чтобы легально хранить резюме кандидата в базе для следующих контактов. Обо всем этом поговорим на конференции «HR-вызовы: персданные, нейросети и поколенческие стратегии» с HRD, профессиональным рекрутером и юристом по трудовому праву Ольгой ЧУМАКИНОЙ.
- Работодатели не назначают ответственного за организацию обработки персональных данных и не проводят внутренние аудиты в этой сфере.
Как передавать персональные данные третьим лицам
Работодатель в рамках профессиональной деятельности по управлению персоналом по разным каналам передачи персональных данных предоставляет данные работников:
- в ФНС, СФР, Центр занятости и другие ведомства, госучреждения;
- в медицинские организации;
- в головную компанию, если компания ‒ работодатель входит в холдинговую структуру;
- представителям заказчиков или подрядчиков;
- аутсорсинговые компании.
Чтобы снизить риск утечки личной информации при передаче персональных данных работодателю нужно обязательно:
- получить согласие сотрудника на использование информации о нем в коммерческих целях, в том числе согласие на передачу персональных данных – например, в PR-целях, на корпоративном портале, в рекламе HR-бренда компании;
- внимательно относится к практике обмена информацией с другими компаниями холдинга;
- не давать по своему усмотрению клиентам номера мобильных телефонов сотрудников без их согласия;
- обязательно получать согласие при передаче персональных данных по электронной почте или другими способами в бухгалтерию на аутсорсинге.
Алгоритм. Как организовать передачу персональных данных внутри компании
Шаг 1. Издать приказ и назначить ответственного за работу с персданным, как этого требует законодательство.
Шаг 2. Внести информацию о новых обязанностях в должностную инструкцию сотрудника или в трудовой договор. Он будет разрабатывать документы и контролировать других работников в этой области.
Шаг 3. Издать положение о порядке обработки персональных данных работников. Прописать цели, объем и категории персданных для каждого случая обработки, а также порядок передачи персональных данных внутри компании.
Шаг 4. Определить должности работников, которые будут иметь доступ к персональным данным. Для каждой из них установить перечень разрешенных к обработке персональных данных.
Шаг 5. Ознакомить работников под подпись с локальным нормативным актом и приказом.
Обратите внимание! Нарушение правил передачи персональных данных портят репутацию компании. Утечка чувствительной информации подрывает доверие кандидатов и действующих сотрудников. Кроме того, политика государства в области защиты персональных данных ужесточается. Выросли санкции за обработку ПД без согласия гражданина по ч. 2 ст. 13.11 КоАП РФ. Штраф составит: от 100 000 до 300 000 рублей для должностных лиц и от 300 000 до 700 000 для организаций.
