Как обрабатывать персональные данные работника до и после трудоустройства

Роман Власов, Юрист Lidings

Чем поможет: избежать штрафа за обработку и хранение персональных данных соискателя и работника.

Компании грозит штраф до 75 тыс. руб., если она не возьмет у соискателя согласие на обработку его персональных данных. Если не уничтожить данные кандидата, которого не взяли на работу, оштрафуют еще на 50 тыс. руб. Даже если компания запросит согласие и избавится от старых сведений, Роскомнадзор все равно вправе ее оштрафовать. Например, в одном деле проверяющим не понравился бланк, который использовало общество, — в нем не указали цель обработки данных.^СП5 Читайте, как работать с персональными данными соискателей и работников компании, чтобы избежать предписаний проверяющих органов и штрафов.

СП5 Постановление Санкт-Петербургского городского суда от 18.06.2018 по делу № 5–1224/2017–69

Р Разъяснения Роскомнадзора от 14.12.2012

Берите согласие на обработку и уничтожайте данные, если не взяли соискателя в штат

Для обработки персональных данных соискателя на вакансию в компании необходимо взять у него согласие на это в письменном виде.^Р

Без такого согласия собирать и хранить личную информацию можно только в двух случаях. Первый — от имени соискателя действует кадровое агентство, с которым он ранее заключил договор. В данном случае агентство выступает в качестве представителя соискателя. Второй — соискатель разместил резюме в интернете, и неограниченный круг лиц может его просматривать.

Если компания откажет соискателю в приеме на работу, то в таком случае персональные данные, которые он предоставил, необходимо уничтожить. На это есть 30 календарных дней после отказа в приеме на работу.

Роскомнадзор штрафует компании, которые обрабатывают личную информацию кандидатов на вакансию без их согласия и не уничтожают сведения в случае отказа в трудоустройстве. В одном деле компания собирала через анкету на сайте персональные данные кандидатов. При этом она не создала на портале возможность согласиться или отказаться от обработки данных при заполнении анкеты, а также не уничтожала сведения потенциальных кандидатов. Эти нарушения Роскомнадзор выявил на плановой проверке и выписал предписание устранить нарушения.^А40

А40 Постановление Девятого ААС от 16.08.2016 по делу № А40-17595/16

КоАП Ч. 2 ст. 13.11 КоАП

КоАП-1 Ч. 1 ст. 13.11 КоАП

Компании повезло — она получила только предписание, хотя проверяющие могли ее оштрафовать. За оба нарушения максимальный размер штрафа составил бы 125 тыс. руб.: 75 тыс. руб. — за то, что компания обрабатывала данные без согласия соискателей,^КоАП и 50 тыс. руб. — за то, что не уничтожила их личные данные в срок.^КоАП-1

Определите цели хранения персональных данных и не оставляйте лишние сведения

Когда работодатели берут соискателя в штат, то оставляют у себя копии его документов: паспорта, СНИЛС. Закон не запрещает это делать, но необходимо соблюдать три условия. Первое — компания получила согласие работника, второе — определила цели обработки данных, которые содержатся в копиях документов. Третье условие — объем сведений в копиях документов не превышает объем данных, которые необходимы работодателю.

А60 Постановление Семнадцатого ААС от 10.06.2015 по делу № А60-1187/2015

Небезопасно обрабатывать избыточное количество персональных данных работника, даже если получили его согласие. В этом случае со стороны Роскомнадзора могут возникнуть претензии. Но непонятно и то, как определить допустимый для обработки объем сведений. Суды считают: чтобы обрабатывать персональные данные работника, достаточно сверить предоставленные им сведения с оригиналами документов, а хранить копии не нужно. Если возникнет спор, то суд может признать незаконным хранение копий документов работника: паспорта, свидетельства о присвоении СНИЛС, военного билета.^А60 В этом случае компании также грозит штраф.