Основные ошибки при обработке персональных данных: что важно знать

В этом материале разбираем 10 ошибок, которые чаще всего допускают работодатели, взаимодействуя с персональными данными сотрудников и соискателей. 

1) Данные кандидата неправильно обрабатывают с помощью анкеты

В анкете нужно указать: с какой целью обрабатываются персональные данные, имя (наименование) и адрес оператора, ФИО и адрес субъекта персональных данных, источник их получения, сроки обработки, перечень действий, которые будут совершаться в процессе их обработки и общее описание способов обработки данных, которые использует работодатель. Еще в анкете нужно поле, где субъект данных подтвердит свое согласие на их обработку. При этом анкета составляется так, чтобы каждый из субъектов персональных данных, содержащихся в документе, мог ознакомиться со своими данными, не нарушая прав и законных интересов других.

2) Направление запросов на прежние места работы

Порой работодатель уточняет ряд данных о потенциальном сотруднике, запрашивая их с его прежних мест работы. Для этого обязательно нужно заручиться согласием соискателя.

3) Оформление зарплатной карты 

Роскомнадзор уточнил, когда передача персональных данных работника банку для открытия зарплатных карт должна происходить без согласия, их всего три: а) договор на выпуск банковской карты заключался напрямую с работником и в его тексте прямо предусмотрены положения о передаче данных работника; б) работодатель по доверенности представляет интересы работника, заключая договор с банком на выпуск карты и ее обслуживание; в) соответствующая форма и система оплаты труда прописана в коллективном договоре.

4) Рассказы про лучших и худших сотрудников

Нельзя публиковать в открытом доступе данные работников, которых уволили по «плохой» статье (неоднократное неисполнение должностных обязанностей, утрата доверия, прогул). Об этом предупреждает Минтруд в Письме от 8 октября 2018 года N 14-2/В-803. Публикация тех же данных на доске почета или ее виртуальном аналоге без согласия работника тоже запрещена. 

5) Оформление пропуска

Если пропускной режим в офис находится под контролем сторонней организации, то от работника надо получить согласие на оформление этого документа. Не потребуется оно в двух случаях: а) компания сама ведет пропускной режим; б) обработка данных соответствует порядку, предусмотренному коллективным договором, локальными актами, принятыми в соответствии со ст. 372 ТК РФ.

6) Кадровый и бухгалтерский учет на аутсорсе 

При аутсорсе работодатель должен действовать по инструкции, которая  прописана в ч. 3 ст. 6 Закона о персональных данных.

7) Не получают согласие от работника, когда это нужно

Если работник перечисляет свою зарплату родственникам (супруге или матери), то от этих людей тоже нужно получить согласие на обработку ПД.

8) Получают данные для одной цели, а используют для другой

Работодатель взял копию диплома, чтобы оформить прием в фирме. А потом опубликовал скан документа на сайте компании, чтобы подтвердить экспертность этого сотрудника. Так делать нельзя. 

9) Не публикуют политику обработки персональных данных

Политика обработки ПД нужна обязательно, и у работников должен быть к ней свободный доступ. Документ выкладывается на сайте, если там выложены вакансии с возможностью откликнуться на них.

10) Неправильная реакция на запросы и утечки данных

Работодатель должен ознакомить сотрудникам с обрабатываемыми данными в течение месяца после получения запроса работника. Для защиты в Политике обработки ПД компании указывают адрес для таких запросов. Кроме того, по закону субъект персональных данных вправе получать информацию, которая касается его данных: о причинении вреда ПД субъекта и сведения об их утечке.