- Необходимость согласия от соискателя
Как показывает практика, неправомерные действия работодателя вероятны не только в отношениях с работниками, но и на стадии рассмотрения кандидатов на вакантные должности. Сложности возможны уже на стадии ознакомления с резюме кандидата.
Так, если резюме кандидата опубликовано в неограниченном доступе, например на известных сайтах по поиску работы в Интернете, то работодатель может ознакомиться с данными соискателя без получения соответствующего согласия на обработку персональных данных (ПД). Однако если понравившееся резюме распечатывается или сохраняется на компьютер, то закон обязывает получить согласие кандидата на обработку его ПД. Это относится и к случаю направления резюме непосредственно в организацию.
Обратите внимание, что поделиться хорошим резюме с контрагентом без согласия самого соискателя также неправомерно. Такая позиция законодателя подтверждается судебной практикой.
Судебная практика. Таганский районный суд в решении от 01.04.2015 по делу N 2-1464/2015 признал правомерным привлечение к дисциплинарной ответственности сотрудника, в трудовые обязанности которого входила работа с персональными данными, за распространение анкет соискателей без их согласия путем направления с корпоративной почты на адреса третьих лиц, не являющихся работниками организации. Данный факт был обнаружен службой безопасности компании. Выяснилось, что резюме кандидатов были направлены в качестве примера, без согласия соискателей и иных законных оснований, что стало нарушением не только локальных нормативных актов организации, но и Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ).
- Какую информацию можно собирать
Большое количество возможных рисков для работодателя связано со сбором персональных данных соискателей и работников. При приеме на работу во многих организациях кандидаты заполняют анкеты с разными вопросами: об образовании, опыте работы, хобби, поведении в различных ситуациях и т.д. Важно, чтобы такие анкеты не содержали вопросов, не связанных с кандидатом и/или требующих предоставления излишней информации.
Судебная практика. Прокурорская проверка установила, что работодатель ведет обработку персональных данных не только сотрудников и их близких родственников, но и данные лиц, не отнесенных законодательством к близким родственникам. Причем подтверждения извещения компанией лиц, не отнесенных законодательством к близким родственникам сотрудника, об обработке их ПД, не предоставлено (решение Благовещенского городского суда от 17.01.2017 по делу N АА-12-1912/16).
- Что нужно включить
в состав согласия на обработку персданных
Согласие на обработку персональных данных должно быть оформлено с учетом требований ст. 9 Закона N 152-ФЗ. Согласие в письменной форме субъекта ПД на их обработку должно включать в себя:
- Ф.И.О., адрес субъекта ПД, его паспортные данные;
- наименование или Ф.И.О. и адрес оператора, получающего согласие субъекта ПД (или аналогичные данные лица, которому оператор поручил обработку ПД);
- цель обработки ПД;
- перечень персональных данных, на обработку которых дается согласие субъекта ПД;
- перечень действий с ПД, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПД;
- срок, в течение которого действует согласие субъекта персональных данных и способ его отзыва (если иное не установлено законом);
- подпись субъекта ПД.
Судебная практика. Роскомнадзор проверил организацию и вынес предписание об устранении нарушений ст. 9 Закона N 152-ФЗ в части несоответствия содержания письменного согласия субъекта на обработку ПД требованиям законодательства Российской Федерации. Среди нарушений были зафиксированы следующие:
- в заявлении о согласии на обработку персональных данных не указан перечень действий с ПД, указан неверный срок их хранения;
- в бланке заявления о согласии на обработку ПД (при заключении трудового договора) не указаны перечень действий с ПД, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных и пр.
Работодатель не согласился с результатами проверки и попытался их оспорить, однако суд не поддержал его, признав вынесенное предписание законным (постановление ФАС Московского округа от 19.08.2011 N КА-А40/8753-11 по делу N А40-129864/10-21-809).
- Наличие локального нормативного акта
Часто компании относятся достаточно поверхностно к ЛНА об обработке ПД, используя готовые формы из Интернета или справочных систем, а это, в свою очередь, приводит к многочисленным нарушениям. Работодателю важно подойти к созданию локального нормативного акта об обработке ПД в компании не формально, а с особой тщательностью. В частности, закрепить:
- принцип максимально возможного ограничения доступа к обрабатываемым данным;
- персональную ответственность лиц, допущенных до обработки персональных данных, за сохранность и обеспечение конфиденциальности данной информации.
Судебная практика. В рассматриваемом деле суд признал законным вынесенный Роскомнадзором акт проверки, в котором указано, что в организации отсутствовали:
- локальные нормативные акты о мерах, необходимых для обеспечения сохранности персональных данных и исключающих несанкционированный к ним доступ, порядок принятия мер, а также перечень лиц, ответственных за реализацию указанных мер;
- список лиц, допущенных в помещения, где хранятся обработанные бланки оператора почтовой связи (постановление ФАС Московского округа от 12.08.2011 N КА-А40/7477-11 по делу N А40-129865/10-79-813).
- Надлежащее хранение персданных
Как показывает практика, работодатели нередко нарушают принцип ограничения доступа к персональным данным, который выражается в ненадлежащем хранении. Например, в несгораемых шкафах, запирающихся на ключ, или в специально оборудованных помещениях (п. 7 ст. 86 ТК РФ, ч. 1 ст. 19 Закона N 152-ФЗ).
В этом случае Государственная инспекция труда может привлечь работодателя к ответственности. При этом суд признает действия контролирующего органа правомерными.
Судебная практика. Так посчитал Московский городской суд в решении от 18.08.2017 по делу N 7-9931/2017. В числе прочих нарушений работодателя были зафиксированы следующие: хранение личных дел работников в общедоступном месте, в обычных (сгораемых) шкафах, не имеющих дверей, не закрывающихся на ключ. Доступ к личным персональным данным работников имели в том числе посторонние лица.
Работодателю рекомендуется в локальном нормативном акте предусмотреть требования к помещениям, в которых хранятся персональные данные сотрудников.
Подводя итог сказанному, можно с уверенностью утверждать, что в Законе N 152-ФЗ нет мелочей, отделу кадров необходимо изучить установленные требования, для того чтобы минимизировать риск возникновения споров и возможности привлечения к административной ответственности. Каждый шаг работодателя на пути обработки персональных данных как работников, так и иных лиц должен быть обдуман и совершен в четком соответствии нормам закона.
Более подробно с данным материалом Вы можете ознакомиться в СПС КонсультантПлюс
