Имеет ли право кадровик собирать персональные данные соискателя из его аккаунта в социальных сетях

Обновлено: 15.05.2024

Вот небольшая загадка: вы нанимаете людей в компанию. Приходит резюме кандидата и надо бы собрать побольше информации о нем. Вы залезаете в его аккаунт и видите, что на аватарке – изображение человека с бензопилой и чьей-то отрезанной головой. Внимание, вопрос: на какую позицию претендует кандидат?

Рекрутеры правда часто проверяют соцсети?

По данным HeadHunter, так делают 84 % работодателей перед собеседованием, причем в 22 % случаев – на любые позиции.

Чаще всего – в 76 % случаев – рекрутеры проверяют профили кандидатов на руководящие должности.

Для меня в процессе поиска и найма кандидатов просмотр соцсетей не является обязательным этапом. Это связано и со спецификой вакансий: мы IT-компания, чаще всего ищем редких и ценных технических специалистов. Соответственно, поток не такой большой, и мы охотно со всеми общаемся на собеседованиях.

Обычно личной встречи офлайн или онлайн-общения с видео бывает достаточно, чтобы оценить общую адекватность и все необходимые характеристики кандидата.

Иногда профиль в соцсети – это первое, что я вижу о человеке. Но я прекрасно понимаю, что он создавался не для поиска работы, а для иных целей. В личном пространстве человек может делать что угодно в разумных пределах, так что не особо придаю этому значение.

На что рекрутеры обращают внимание?

По данным сервиса Work.ua, чаще всего рекрутеры просматривают соцсети, чтобы узнать вас как личность: интересы, хобби увлечения. Это важно для 45 % работодателей. 26 % обращают внимание на фото, треть – сверяют информацию с резюме, 4 % – проверяют друзей и подписки.

33 % нанимателей откажут, если на найдут на странице соискателя экстремистские публикации. 23 % – если им покажется, что человек не разделяет ценностей компании. 14% не оценят откровенные фотографии.

Как предстать в наилучшем свете

Хорошо, если на аватаре – ваше фото, а не котики или просто черный фон. При этом фото должно показывать вас как открытого, адекватного и готового к общению человека.

Также рекрутеры сверяют личные данные вашей страницы с теми, что указаны в резюме: уровень образования, предыдущие места работы и т. д.

Сразу вспомнился случай, как в одной из компаний у моих коллег были сомнения насчет кандидатки на позицию рекрутера. Решающим моментом стала ее аватарка в соцсети – человек с бензопилой и отрезанной головой. Коллеги решили, что такой выбор для человека, который своими действиями и даже по сути своей личностью должен формировать HR-бренд компании, немного настораживает. Но конечно, это был лишь один из факторов при принятии решения: кандидатке в итоге отказали.

Прежде всего, оценивается круг общения кандидата. Если у вас в друзьях есть знакомые из компании, в которой вы хотите работать, возможно, это вызовет расположение рекрутера. Но полагаться на такую схему не стоит.

Позитивный сигнал для нас при анализе социальных сетей – интересный контент.
Например, много постов про путешествия, посещение различных конференций и профессиональных мероприятий, репосты или посты об интересных событиях общественной жизни, отражение в постах каких-либо увлечений, публикации про семейную жизнь и домашних питомцев, посты с размышлениями и умозаключениями человека.

Всегда хочется видеть в своей команде цельного, зрелого в эмоциональном смысле сотрудника. Предположим, если кандидат много путешествует, это как минимум говорит о его активной жизненной позиции, стремлении познакомиться с чем-то новым, о высокой степени самоорганизации. Или, как вариант, он делится впечатлениями о прочитанных книгах – для нас это, конечно, огромный плюс.

Мы всегда смотрим на содержание страницы. Например, если у человека на странице есть фото детей и семьи, то для него, вероятно, важен стабильный доход и стабильность компании. Его в первую очередь будут интересовать финансовые условия и ипотечные программы. На этом мы делаем акцент при описании условий работы на собеседовании.

Негативные сигналы для рекрутера

Большинство постов были посвящены потокам энергии, поиску высшего разума и прочей эзотерике. После поста о том, что счастье утекает из квартиры потому, что унитаз расположен не в том месте, мы закрыли ее аккаунт и отложили резюме в сторону. Кто знает, вдруг ей наш санузел чакры перекроет.

В целом стоит руководствоваться здравым смыслом. Попытайтесь посмотреть на свою страницу со стороны: когда человек составляет первое впечатление по вашему профилю, каким оно будет?

Если какой-то контент вам очень дорог, но чувствуете, что он может смутить работодателя, такую информацию лучше скрыть или удалить.

Анализ соцсетей – занятие трудоемкое, и не всегда у рекрутера есть время на эту активность по всем вакансиям. В основном анализируются профили кандидатов на руководящие позиции и вакансии, имеющие отношение к внешним коммуникациям (маркетинг, продажи, HR).

Для управленца важно иметь правильный посыл для подчиненных.
Сотрудники, связанные с коммуникациями, являются лицом компании, поэтому мы ожидаем, что у них на страницах не будет резких текстов и откровенных фотографий.

Прежде всего нужно понимать, в какой сфере вы планируете развиваться. Если вы креативный дизайнер или интернет-маркетолог, то размещение у себя на странице популярных мемов или фотоподборок допустимо. Это покажет, что вы в тренде и понимаете отрасль. Работодателю это даже, скорее всего, понравится. Но если вы финансовый аналитик, инженер или проектировщик, то постоянное размещение у себя фотографий с котиками или непристойными анекдотами может заставить работодателя задуматься над своим выбором. Причем этот выбор будет не в вашу пользу.

Помимо очевидных моментов, вроде постов с эзотерикой, порно и прочим, как в историях выше, есть еще несколько негативных сигналов:

  • Удаленный или полностью закрытый профиль

Закрытый профиль или его отсутствие могут вызвать подозрение у рекрутера. Работодатель может подумать, что вам есть что скрывать.

У меня был не особо приятный опыт, когда я взяла на работу сотрудника, на первый взгляд хорошо разбирающегося в площадках, но не имеющего собственных страниц по определенным убеждениям. Работать в команде с ним было достаточно тяжело, так как он всегда был обособлен, довольно закрыт и мало шел на контакт во время каких-либо совместных обсуждениях идей. Именно поэтому важно обращать внимание не на то, как человек ведет аккаунты в социальных сетях, а на то, ведет ли он их вообще.

  • Подробные сведения о ваших рабочих проектах

Если вы хотите поделиться кейсом о том, как решили сложную задачу или поучаствовали в интересном проекте, не стоит описывать все в деталях. Личные заслуги и результаты могут показать, что вы эксперт в этом вопросе, но не все работодатели оценят такую откровенность. Тем более информация часто бывает конфиденциальной.

  • Негативные записи о прошлом и настоящем местах работы

Как бы вам ни хотелось, не нужно публично плохо отзываться о начальнике, бывшем руководителе, коллегах, клиентах. Будущий наниматель сразу представит, что точно также вы будете вести себя с его компанией.

Есть категории страниц, которые для нас будут стоп-сигналами: иногда встречаются любители публично высмеивать рекрутеров всех компаний. Есть ощущение, что таких людей обидели на одном собеседовании, и теперь они пошли по пути мести всем и сразу. С такими мы, конечно, стараемся не связываться.

Многие HR-ры отмечают, что слишком строгий профиль не дает оценить человека как личность. А ведь именно с этой целью они просматривают ваши соцсети. Для оценки профессиональных качеств достаточно тестового задания и личного общения на собеседовании.

Старайтесь, чтобы ваша страница была сбалансирована: пусть здесь будет информация о вашем отдыхе, обязательно немного постов о профессиональной деятельности, какой-то сторонний контент, немного развлекательной информации. В этом случае работодатель будет понимать, что он берет профессионала, который знает свою работу. Но в то же время это человек, который умеет отдыхать, у которого есть хобби, есть семья. Все это говорит о том, что такой сотрудник не будет зациклен только на чем-то одном, а будет развиваться в разных направлениях, что положительно скажется и на рабочих процессах.

Во всем важен баланс, и в социальных сетях в том числе. Здорово, когда у кандидата в ленте здоровый микс постов о профессиональных достижениях и публикаций личного характера. Например, сегодня он посетил рабочую конференцию, поделился статьей на бизнес-тему, а завтра отправился в поход с детьми или на прогулку с собакой. Такой смешанный контент в профиле кандидата свидетельствует о гармоничной, здоровой личности, у которой находится время как на карьерные достижения, так и на хобби, общение с близкими. Именно такими мы и хотим видеть наших будущих сотрудников.

Лучше подготовиться к проверке

Хотя для некоторых должностей вероятность проверки соцсетей кандидата ниже, стоит действовать исходя из того, что вас проверят – просто на всякий случай.

Раньше мы никогда не проверяли соцсети дизайнеров, ведь для них важнее всего портфолио. Но один случай научил нас не лениться и смотреть страницы кандидатов перед собеседованием.

В описании профиля кандидата в инстаграме была ссылка на YouTube-канал: там наш соискатель публиковал десятки видео со скрытой камеры, записанных на собеседованиях в разных компаниях. Понимаю, если бы контент был создан для людей, что ни разу не проходили собеседования, – показать им, как всё работает, но его видео сделаны для развлечения и хайпа: на собеседованиях молодой человек странно себя вел и задавал провокационные вопросы. В создании такого контента мне участвовать не хотелось, поэтому в первую же минуту видеособеседования мы мягко ему отказали.

Теперь перед каждым новым собеседованием этот случай приходит мне на ум, и я не ленюсь посмотреть соцсети кандидатов.

Наши персональные данные, которые мы размещаем в социальных сетях и на различных платформах - это не просто ФИО, фото и сведения об образовании. Искусственный интеллект при анализе размещенной нами информации может делать удивительно точные выводы о нас, это может быть безобидное - какой вы психотип, или более существенные - где человек живет, работает, его благосостояние и пр.

Можно ли свободно брать наши персональные данные из открытых источников, анализировать и делать выводы, формировать базы данных или пополнять уже сформированные недостающими данными?

Обратимся к двум законам и двум решениям суда (если у вас есть еще - напишите пожалуйста в комментариях).

Статья 8

1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.

Статья 22

2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

4) сделанных субъектом персональных данных общедоступными;

Статья 7. Общедоступная информация

1. К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен.

2. Общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации.

4. Информация, размещаемая ее обладателями в сети "Интернет" в формате, допускающем автоматизированную обработку без предварительных изменений человеком в целях повторного ее использования, является общедоступной информацией, размещаемой в форме открытых данных.

Лица, обрабатывающие данные в открытых источниках апеллируют к вышеуказанным нормам подтверждая и гарантируя законность своих действий. Однако, Суд и РКН не согласился с их позицией.

Постановление Арбитражного Суда Московского округа от 9 ноября 2017 г. по делу N А40-5250/2017

Суды указали, что не являются общедоступными обрабатываемые персональные данные, содержащиеся в открытых источниках (социальных сетях: ВКонтакте, Одноклассники, МойМир, Instragram, Twitter; интернет-порталов Авито и Авто.ру).

Размещение персональных данных в указанных открытых источниках, исходя из положений Закона о персональных данных не делает их автоматически общедоступными.

Доводы заявителя о том, что согласие пользователей на обработку персональных данных не требуется, обоснованно отклонены судами.

Судами сделан обоснованный вывод о том, что персональные данные, обрабатываемые в социальных сетях не были сделаны общедоступными субъектом персональных данных в связи с чем, в действиях заявителя усматриваются нарушения части 3 статьи 22 и пункта 1 части 1 статьи 6 Закона о персональных данных.

Такой же вывод, мы можем проследить в Апелляционном определение Нижегородского областного суда от 11.10.2016 по делу N 33-12355/2016.

Если кратко резюмировать, то :

  • социальные сети - не общедоступные источники персональных данных;
  • наши персональные данные в социальных сетях - не сделаны нами общедоступными путем размещения в социальной сети;
  • для того, чтобы обрабатывать наши ПД из социальных сетей, в том числе использовать для пополнения готовых баз данных, необходимо получать прямое согласие на такую обработку.

Что интересно, сами сервисы РКН к ответственности не привлекает. Возможно, их законность можно оправдать п. 3 - 5 ст. 6 ФЗ 152: если Оператор, получивший согласие на обработку ПД субъекта в социальных сетях, поручит эту обработку сервису - то такая обработка будет вполне законной. Ведь, пока нет поручения и вводных данных от Оператора (пр. ФИО или телефон), сервис обработкой данных пользователей не занимается.

О незаконности функционала сервиса (который был использован заявителем в приведенном выше Постановлении) поднимало вопрос МВД и одна из социальных сетей, данные из которой агрегирует сервис. Причем в последнем случае заявлялись нарушения в сфере интеллектуальной собственности (смежные права на базу данных) и судебная тяжба продолжается до сих пор.

В прошлых статьях я рассказала, как проверить потенциального работодателя до собеседования и во время собеседования, чтобы убедиться, что не будет проблем с зарплатой. Но это не вся проверка.

Работник имеет право на защиту своих персональных данных, а недобросовестный работодатель может обращаться с ними халатно: разглашать, терять и передавать в корыстных целях. Если персональные данные не защищены, работник может поплатиться репутацией и даже лишиться денег.

Поэтому нужно проверить, как потенциальный работодатель поступает с персональными данными. Давайте разберемся, как выбрать такого работодателя, который будет защищать ваши данные.

Зачем переживать о персданных на работе

Каждый работодатель — оператор персональных данных работников. Он обязан обрабатывать их в соответствии с законом: утверждать специальные локальные акты, устанавливать порядок допуска к ним и всячески защищать.

Плохо, если в компании нет специального человека, который организует обработку персданных, нет локального акта по обработке персданных и регламента допуска к ним. Когда ответственных нет и порядок работы четко не определен, высока вероятность, что персданные пойдут по рукам.

Если у работников не спрашивают согласия на обработку персданных и на работе, например, нет сейфов для трудовых книжек и шкафов на замке для кадровых документов — это тоже тревожный знак.

Все это может повлечь для работника разные негативные последствия: от дискомфорта, когда коллеги узнали что-то, что он не хотел рассказывать, до рисков, что персданные будут использовать мошенники в преступных целях.

Халатное обращение с персональными данными бьет по самоуважению и кошельку

Серафиме Ивановне устроили сюрприз: вывесили на входе в офис огромный поздравительный плакат с фото, ФИО и полной датой рождения. Теперь все знают ее настоящий возраст.

Геннадий подал в бухгалтерию заявление на матпомощь к свадьбе сына. Главбух вывесила копию заявления на стенд как образец. Теперь коллеги знают, что у Геннадия плохо с деньгами.

Предприимчивый рекрутер Ольга Петровна выгодно продала контакты работников. Теперь им названивают, чтобы продать то ли форекс, то ли увеличитель члена (говорят неразборчиво).

Секретарь Снежана покупала билеты для командировок: на ее столе лежали копии паспортов вперемешку с гламурными журналами. Проходимость в приемной была высокая, а внимательность Снежаны низкая. Поэтому копии втихаря прибрал к рукам непорядочный гость и оформил по ним кредиты.

То, как организации работают с персданными, контролирует Роскомнадзор. Работодатели уведомляют его об обработке данных, после чего их вносят в специальный реестр.

По закону работодатель может не уведомлять Роскомнадзор об обработке данных исключительно в рамках трудового законодательства и силами самой компании. Но таких работодателей крайне мало, поэтому в большинстве случаев компания все-таки должна отправлять уведомление.

Например, уведомлять Роскомнадзор необходимо, если работодатель передает персональные данные работников в аутсорсинговую компанию, которая ведет кадровый и бухучет, или в страховую компанию для оформления полисов ДМС . Если компания заказывает работникам визитки — это тоже обработка данных и Роскомнадзор надо уведомить.

Если компания — потенциальный работодатель входит в Реестр операторов персональных данных Роскомнадзора, посмотрите, какие она выполняет меры по обработке и защите персональных данных. Обычно меры расписывают подробно. Для поиска в реестре нужно знать наименование фирмы, для уточнения — ее ИНН .

Если Роскомнадзор проверял компанию, посмотрите результаты проверок на сайте Роскомнадзора или его местных подразделений: были ли нарушения и если да, то какие. Для поиска достаточно знать наименование компании, для уточнения — ИНН , ОГРН и адрес.

Выявить нарушения правил обработки персданных могут и другие органы.

Например, прокуратура или трудовая инспекция могут выяснить, что в компании нет обязательного локального акта, который устанавливает порядок обработки персданных. Это нарушение закона.

Еще компании должны утверждать политику обработки персональных данных. Она касается не только работников, но и клиентов и контрагентов компании. По закону фирмы обязаны опубликовать такую политику или как-то иначе предоставить доступ к ней. Если у компании есть официальный сайт — политику обычно размещают там. Поэтому информацию о политике обработки персданных вы можете посмотреть на сайте потенциального работодателя.

Если работодатель злостно нарушает законодательство о персданных и работник уличил его в этом, дело может дойти до суда. Иногда после таких разбирательств справедливость восстанавливается: работнику возмещают моральный ущерб, а компания начинает соблюдать закон. Тогда потенциальным работникам уже нечего бояться. В противном случае существует риск, что с персданными новичка могут обращаться столь же небрежно и неаккуратно, как и с данными работника-истца.

Чтобы узнать это, следует посмотреть судебную практику по спорам потенциального работодателя, которые связаны с персданными. Нужно проверить, на что жаловались работники, отличаются ли текущие жалобы от прошлых. Еще стоит почитать отзывы работников о компании на специальных сайтах или пообщаться с ними лично.

Плохо, если у компании много трудовых споров по персональным данным: жалобы на незаконную обработку и передачу третьим лицам, утерю и разглашение.

Например, в одном деле работодатель захотел провести почерковедческую экспертизу и передал заявления работника в экспертную организацию без его согласия. В итоге суд признал это нарушением и обязал компанию выплатить работнику компенсацию морального вреда.

В другом судебном споре работодатель допустил разглашение персональных данных работника: на стороннем сайте появилась статья, к которой было приложено дополнительное соглашение к трудовому договору истца. Доступ к статье получил неограниченный круг лиц. Суд обязал работодателя возместить работнику моральный вред.

В большинстве случаев на собеседовании с вас должны взять согласие на обработку персданных. Без него действия работодателя будут незаконны. Ответственный работодатель позаботится об этом заранее и предоставит бланк согласия без ваших напоминаний. Это уже показатель, что компания в какой-то мере соблюдает закон.

Когда требуется такое согласие. Потенциальный работодатель должен получить согласие на обработку персональных данных на период, когда он будет решать, брать ли соискателя на работу.

Но если вы размещали резюме в свободном доступе в интернете или от вашего имени действует кадровое агентство — согласие на обработку не требуется.

Какие персданные не имеют права узнавать. По общему правилу это данные, которые составляют личную или семейную тайну. Например, на вопросы потенциального работодателя о вероисповедании, интимной жизни, политических взглядах, быте и жилищных условиях можно не отвечать.

Но есть должности, при приеме на которые нужно предоставить более полную информацию о себе. Например, при приеме на госслужбу могут запросить данные о семье или поездках за границу.

Как заполнять согласие. Согласие нужно заполнять самому. Если потенциальный работодатель предложит для быстроты заполнить согласие за вас, не соглашайтесь.

Если вам дают на заполнение анкету, она должна соответствовать типовой форме, в том числе содержать поле для отметки о согласии на обработку персданных и информацию о сроке ее рассмотрения.

Что будет с персданными, если на работу не приняли. Потенциальный работодатель должен уничтожить персональные данные соискателей, которых не приняли на работу, в течение 30 дней. Если речь о госслужбе — персональные данные хранятся 3 года.

Непорядочный работодатель может оставить ваши данные в корыстных целях.

Допустим, на собеседовании вы разрешили снять копии с паспорта, диплома и всех страниц трудовой книжки. На работу вас в итоге не приняли, а данные решили применить с пользой для себя: пополнить вами список мертвых душ для важного тендера.

Компания подделывает вашу трудовую книжку: делает запись о приеме на работу в копии, снимает копию еще раз — и заверяет. После подделывает штатную расстановку, добавляет копию паспорта и диплома и вместе с пакетом других документов направляет в тендерную комиссию. Если проверяющие не слишком дотошны, компания имеет шансы выиграть тендер. Она обманет заказчика с реальным количеством персонала и получит деньги благодаря вашим бесплатным данным.

Отзыв согласия на обработку персданных не гарантирует, что их прекратят обрабатывать. Даже при наличии отзыва недобросовестные компании могут оставить их у себя. Вряд ли вы сможете об этом узнать.

Отзыв согласия на обработку персональных данных соискателя

Запрос официального ответа: подчеркните, что ждете от потенциального работодателя письмо, которое подтвердит окончание обработки данных

Форма отзыва. Унифицированной формы нет, пишите в произвольной форме.

Запрос официального ответа. Подчеркните, что ждете от потенциального работодателя письмо, которое подтвердит окончание обработки данных.

Дата подачи отзыва. Отзыв можно подать в любое время.

Итак, вы проверили потенциального работодателя в реестре Роскомнадзора, изучили его отношения с работниками и подписали согласие на обработку пересданных. Но это не вся проверка.

Чтобы уточнить, как в компании работают с персональными данными, на собеседовании задайте потенциальному работодателю эти 4 вопроса.

До начала обработки персональных данных потенциальный работодатель в общем случае обязан уведомить Роскомнадзор. Порядочные компании знают об этом и о том, что с 1 июля 2017 года законодательство в области персданных ужесточилось.

👎 Не слышали о Роскомнадзоре

— Не нашла вашу компанию в реестре Роскомнадзора. А как вы работаете с персональными данными соискателей и работников?
— Реестр Роскомнадзора? А что это? Нас трудинспекция проверяла, ошибок не нашла. Этого разве недостаточно?

В компании должен быть сотрудник, который занимается организацией обработки персональных данных. Обычно это начальник отдела кадров или заместитель директора. Без организатора обработки персданных наступит хаос.

👎 Ответственного нет

— У вас есть сотрудник, ответственный за организацию обработки персональных данных?
— Нет. А зачем? У нас многие работают с персональными данными, назначить кого-то одного не получится.

У каждой компании должен быть локальный акт об обработке персональных данных. Он должен содержать мероприятия по их защите. Еще работодатель должен закрепить список сотрудников, которые работают с персональными данными, и тех, кто имеет к ним доступ.

Окиньте взглядом офис. Посмотрите, не лежат ли в свободном доступе бесхозные документы: трудовые книжки, личные дела, копии паспортов. Если вы заметили это, есть риск, что после трудоустройства с вашими документами могут обращаться так же безответственно.

👎 Доступ к персданным имеют все

— А кто у вас обрабатывает персональные данные, кто имеет доступ к ним? Только кадровики или кто-то еще? Порядок доступа закреплен в локальном акте?
— Кому нужно, тот и спрашивает. Если кому-то требуется копия диплома работника — приходит и получает. Все быстро, никаких локальных актов не надо.

Потенциальный работодатель должен разработать систему защиты персональных данных. Это могут быть технические или организационные меры: собственный защищенный сервер, запираемые шкафы и сейфы, охрана офиса. Если таких мер в компании нет — персданные могут потерять и украсть.

👎 Персданные никак не защищены

— Вы — филиал, а кадровый учет ведет головной офис? Как вы пересылаете туда копии документов сотрудников, по почте? Данные не может кто-нибудь перехватить? Сейчас много хакеров. Или у вас защищенный канал?
— Почтой России пересылаем, и никто еще не жаловался! У нас даже трудовые книжки хранятся так, без сейфа. Кто их украдет? Все свои.

image_pdf
image_print

П равомерно ли это с учетом закона о защите персональных данных? Рассмотрим, как нужно поступать с документами и личной информацией сотрудников, чтобы не получить штраф от Роскомнадзора.

О ведении личных дел

Работодатель обязан вести личные дела сотрудников, если это прямо предписано нормативными актами. Например, такое требование установлено для органов исполнительной власти. У тех компаний, кто не попадает под действие таких актов, обязанности вести личные дела сотрудников нет. Однако иногда работодатели начинают их формировать по своей инициативе. В таком случае они сами составляют перечень документов, которые нужно включить в личное дело. Но при этом важно соблюдать закон о конфиденциальности персональных данных.

Итак, по той или иной причине в компании решено формировать личные дела работников. Прежде всего нужно составить локальный нормативный акт, который определит важные моменты и правила. Это может быть стандарт или положение. В нем целесообразно отразить все нормы оформления личных дели и состав документов.

Главное правило: не стоит собирать лишнюю информацию о сотруднике про запас — только то, что действительно важно. Иначе будут нарушены принципы работы с персональными данными.

Защита личных сведений

О работнике можно собирать только ту информацию, которая отвечает определенным целям обработки персональных данных. Иначе организация может быть оштрафована по статье 13.11 КоАП на сумму от 30 до 50 тыс. рублей. Должностное лицо получить штраф в размере 5-10 тыс. рублей, а гражданин — в сумме 1-3 тыс. рублей.

Как же правильно поступать с документами сотрудника? Обратимся к статье 65 Трудового кодекса. В ней сказано, что документы предъявляются физическим лицом при приеме на работу. Иначе говоря, документы должны быть предъявлены работодателю, после чего они возвращаются сотруднику. При этом в ТК РФ не говорится о том, что специалист работодателя вправе снимать с них копии.

Итак, без согласия работника кадровый специалист может сделать лишь следующее: взять документы сотрудника и внести информацию из них в его личную карточку Т-2.

На практике работодатели часто любят собирать разную информацию о своих сотрудниках и хранить копии их дипломов, СНИЛС, паспортов. Однако все это все эти документы содержат персональные данные работников, которые защищаются законом. Собирать личную информацию, которая соответствует законной цели. Причем цель должна быть вполне конкретной. Например, нельзя хранить персональные данные сотрудника на тот случай, если вдруг их запросит прокуратура или Служба судебных приставов. Пока такого запроса нет, эта информация работодателю не нужна. Соответственно, если он заранее ее собрал и хранит, тем самым он нарушает закон о защите персональных данных.

Важно! Обработка персональных данных гражданина допустима, если это необходимо, чтобы исполнить договор, стороной которого он является. Это сказано в части 1 статьи 6 закона о персональных данных от 27 июля 2006 года № 152-ФЗ.

Казалось бы, проблема решается просто — можно взять с работника документ о том, что он разрешает обработку своей информации. Но на самом деле этого недостаточно. Даже если сотрудник согласился, это не значит, что появилась законная конкретная цель для обработки данных.

Важно! Работодателям нужно запомнить простое правило: если нет цели, то нет и права хранить копии личных документов сотрудника.

В упомянутом законе определены принципы защиты персональных данных. Суть в следующем:

  1. Должны стоять конкретные, заранее определенные цели, в соответствии с которыми собираются личные данные человека. Как только эти цели достигнуты, обработка его персональных данных должна прекращаться.
  2. Нельзя собирать информацию, которая не соответствует упомянутым выше целям.
  3. Обработке подлежат только те сведения, которые соответствуют указанным целям.
  4. Содержание и объем обрабатываемых данных должен соответствовать цели обработки.

О согласии на обработку персональных данных сказано в статье 9 закона. Оно должно содержать опять же цель обработки, а также перечень действий, которые с этими данными могут быть совершены.

Вывод: хранить копии документов сотрудников в кадровом делопроизводстве можно только в том случае, если это нужно для конкретных целей.

О копии паспорта

В копии паспорта есть не только имя, дата рождения и прочая информация — она может являться источником биометрических персональных данных. В частности, на фото можно заметить особенности внешности человека. Такая информация охраняется законом. Соответственно, хранить копии паспортов работников нужно, во-первых, при наличии адекватных целей а, во-вторых, взяв с них согласие на это.

Подведем итоги

Итак, если работодатель планирует вести личные дела своих сотрудников, то просто приложить к ним копии документов неправомерно. Для этого необходимо, чтобы:

  • было законное основание (правовой акт или внутренний документ);
  • была определенная, законная и адекватная цель обработки информации;
  • было письменное согласие работника на обработку его персональных данных;
  • в согласии была указана цель обработки.

Эти выводы подтверждаются судебной практикой. В частности, постановлениями Пятнадцатого арбитражного апелляционного суда от 14.03.2014 № 15АП-22502/2013 по делу № А53-12557/2013 и ФАС Северо-Кавказского округа от 21.04.2014 по делу № А53-13327/2013.

Читайте также: