Персональные данные сотрудников: какие документы нужны работодателю

Работодатель обрабатывает персональные данные сотрудников каждый день: принимает резюме, оформляет трудовой договор, ведет кадровый учет, начисляет зарплату, передает сведения в государственные органы, хранит документы, ведет табели, оформляет отпуска, больничные и командировки. Поэтому документы по персональным данным работников нужны практически любой компании, даже если у нее нет сложного сайта и клиентской базы.

Особенность кадровых данных в том, что обработка регулируется не только 152-ФЗ, но и трудовым законодательством. Не все действия требуют согласия работника: многие данные обрабатываются для исполнения трудового договора и требований закона. Но это не означает, что работодатель может собирать любые сведения и передавать их кому угодно без документов.

• положение об обработке персональных данных работников;
• приказ о назначении ответственного за организацию обработки персональных данных;
• перечень лиц, имеющих доступ к кадровым данным;
• обязательства о неразглашении для работников с доступом;
• порядок хранения бумажных и электронных документов;
• согласия работников для отдельных целей, где они действительно нужны;
• договоры поручения с внешними обработчиками;
• регламент ответа на запросы работников;
• порядок уничтожения или архивного хранения данных.

Согласие не нужно подменять все основания обработки. Работодатель вправе обрабатывать многие данные для заключения и исполнения трудового договора, ведения кадрового учета, начисления заработной платы и исполнения обязанностей перед государственными органами. Но согласие может понадобиться для передачи данных третьим лицам вне обязательных требований, размещения фото на сайте, публикации информации о сотруднике, оформления добровольных сервисов, некоторых медицинских программ или иных дополнительных целей.

Если согласие нужно, оно должно быть конкретным. Нельзя брать у работника одно универсальное согласие «на все случаи жизни» и затем использовать его для любых передач и публикаций.

Кадровые данные должны быть доступны только тем сотрудникам, которым они нужны для работы: кадровику, бухгалтеру, руководителю, юристу, ответственному за охрану труда, IT-специалисту в части обслуживания систем. Доступ должен быть ограничен, а работники, имеющие доступ, должны понимать обязанность конфиденциальности.

Отдельно нужно проверить электронные папки, облачные диски, общие чаты и таблицы. Частая ошибка — сканы паспортов, трудовых договоров и больничных лежат в общей папке, доступной широкому кругу сотрудников.

Работодатель может передавать данные бухгалтерскому аутсорсеру, кадровому провайдеру, банку, страховой компании, сервису электронного документооборота, медицинской организации, IT-подрядчику. Для каждой передачи нужно определить правовое основание и проверить договор. Если подрядчик обрабатывает данные по поручению оператора, договор должен содержать условия поручения обработки персональных данных.

Резюме кандидатов — тоже персональные данные. Если компания собирает отклики через сайт, почту, мессенджеры или сервисы подбора персонала, нужно указать цель обработки, срок хранения резюме и порядок удаления. Нельзя бесконечно хранить базу кандидатов «на всякий случай» без понятной цели и основания.

• нет положения об обработке персональных данных работников;
• доступ к кадровым данным открыт лишним сотрудникам;
• согласие работника используется вместо анализа законного основания;
• фото и сведения о сотрудниках публикуются без отдельного основания;
• договоры с бухгалтерией и IT не содержат условий о персональных данных;
• резюме кандидатов хранятся бессрочно;
• нет порядка уничтожения и архивного хранения документов.

Если нужно быстро понять, какие документы и действия нужны именно вашей компании, можно направить сайт, форму сбора данных, договоры с подрядчиками или письмо Роскомнадзора на предварительный разбор через kurnev.ru. Такой аудит помогает отделить реальные риски от формальных замечаний и подготовить понятный план исправлений.