Добавить в корзинуПозвонить
Найти в Дзене
Дмитрий Карташов | Право в IT и бизнесе
10 подписчиков

Персональные данные в HR: от резюме до архива — как не получить штраф

6
3 мин
Кадровое делопроизводство — это зона повышенного риска. Пока вы нанимаете, переводите и увольняете людей, вы собираете гигантский объем персональных данных (ПДн), который находится под пристальным вниманием государства. Меня зовут Дмитрий, я IT-юрист, и сегодня мы разберем «жизненный цикл» ПДн сотрудника: какие документы собирать, что хранить, а что нужно уничтожить немедленно после собеседования. Многие компании совершают ошибку, храня базу резюме «на всякий случай» годами. Здесь вступают в силу нормы Трудового кодекса, которые выступают правовым основанием для обработки. В процессе работы вы передаете данные сотрудников в массу ведомств (ФНС, СФР, военкоматы). Самый опасный этап. Многие хранят личные дела уволенных «до кучи» в шкафу с текущими сотрудниками. HR — это не просто «папки с бумагами». Это сложная система обработки ПДн, где каждый шаг должен иметь юридическое обоснование. Начните с малого: уберите лишние копии документов, подпишите согласия и начните вести реестр актов об у
Оглавление

Кадровое делопроизводство — это зона повышенного риска. Пока вы нанимаете, переводите и увольняете людей, вы собираете гигантский объем персональных данных (ПДн), который находится под пристальным вниманием государства.

Меня зовут Дмитрий, я IT-юрист, и сегодня мы разберем «жизненный цикл» ПДн сотрудника: какие документы собирать, что хранить, а что нужно уничтожить немедленно после собеседования.

1. Этап «Собеседование»: Резюме и соискатели

Многие компании совершают ошибку, храня базу резюме «на всякий случай» годами.

  • Основной целью обработки ПДн соискателя является рассмотрение кандидатуры для замещения вакансии и возможного заключения трудового договора.
  • Как правильно: Если вы получили резюме через сайт, портал или почту — это еще не значит, что вы имеете право занести человека в свою внутреннюю базу кадрового резерва навечно.
  • Важный нюанс: Если вы хотите сохранить резюме «на будущее» (в кадровый резерв), вы обязаны получить согласие соискателя на хранение его данных в резерве на определенный срок. Нет согласия — после достижения цели обработки данные должны быть уничтожены либо обезличены, если отсутствуют иные законные основания для хранения.

2. Этап «Оформление»: Трудоустройство

Здесь вступают в силу нормы Трудового кодекса, которые выступают правовым основанием для обработки.

  • Для обработки персональных данных работника в целях исполнения трудового законодательства отдельное согласие обычно не требуется. Однако согласие может понадобиться для отдельных операций, не вытекающих непосредственно из трудовых отношений (например, участие в корпоративных мероприятиях, публикация фотографий на сайте компании, включение в кадровый резерв после увольнения и др.).
  • Что можно собирать: Только то, что нужно для заключения трудового договора (паспорт, СНИЛС, ИНН, документы об образовании).
  • Что нельзя собирать: Сведения о политических взглядах, религиозных убеждениях, членстве в профсоюзах (кроме случаев, предусмотренных законом).

3. Этап «Работа»: Зарплата, налоги и отчетность

В процессе работы вы передаете данные сотрудников в массу ведомств (ФНС, СФР, военкоматы).

  • Правовое основание: Здесь основание — выполнение обязанностей, возложенных законом.
  • Как правильно: Вы не обязаны брать согласие на передачу данных в ФНС — вы делаете это потому, что обязаны по закону. Но в вашей Политике обработки ПДн (или Положении о работе с ПДн сотрудников) должно быть четко прописано, кому и зачем вы передаете данные.

4. Этап «Увольнение»: Архивация и уничтожение

Самый опасный этап. Многие хранят личные дела уволенных «до кучи» в шкафу с текущими сотрудниками.

  • Правило №1: Раздельное хранение. Личные дела уволенных должны быть переведены в архив.
  • Правило №2: Сроки хранения. По закону (архивное дело) кадровые документы хранятся долго (до 50 лет и более). Но данные, которые не требуются для архива (например, копия паспорта, если она не нужна для подтверждения стажа), должны быть уничтожены по истечении срока хранения.
  • Правило №3: Акт об уничтожении. Если вы выкидываете папку уволенного (после истечения срока) или ксерокопию паспорта, которую собирали «на всякий случай», — вы обязаны составить Акт об уничтожении ПДн.

Чек-лист: 3 ошибки, которые стоят бизнесу миллиона рублей

  1. Копии паспортов «на всякий случай». Если вы сняли копию паспорта, но для конкретной цели (например, для оформления пропуска) она не нужна — это избыточный сбор данных.
  2. Передача данных в мессенджерах. Передача персональных данных через мессенджеры без оценки рисков и необходимых мер защиты может привести к нарушениям законодательства о ПДн.
  3. Отсутствие доступа. В доступе к личным делам сотрудников должны быть только те, кому это нужно по работе (кадровик, бухгалтер). Начальник отдела маркетинга не должен иметь доступа к медицинской справке своего подчиненного.

Заключение

HR — это не просто «папки с бумагами». Это сложная система обработки ПДн, где каждый шаг должен иметь юридическое обоснование. Начните с малого: уберите лишние копии документов, подпишите согласия и начните вести реестр актов об уничтожении данных.

P.S. У вас есть сомнения в том, как хранятся ваши личные дела или как правильно утилизировать документы после увольнения сотрудников? Напишите мне на kartashovdmitriyi@yandex.ru — помогу провести аудит кадрового делопроизводства и настроить «бумажный» комплаенс, чтобы ни один инспектор не придрался.

Безопасность и правопорядок
95,2 тыс интересуются