Закрывайте больше вакансий за меньшее время
Хантфлоу — профессиональная программа для рекрутинга, которая помогает освободить время рекрутера, систематизировать процесс подбора и автоматизирует формирование отчетности

А когда можно обрабатывать персональные данные без разрешения
Можно ли хранить резюме кандидатов после отказа? А что будет, если опубликовать фото сотрудника без его разрешения? А можно обойтись галочкой на сайте и не соблюдать письменную форму согласия на обработку персональных данных?
Мы разобрались в законе «О персональных данных» и главах Трудового кодекса — сейчас расскажем, что узнали.
Правило простое: если вы обрабатываете персональные данные, только чтобы исполнять трудовой договор, то согласие сотрудника не требуется (п.5 ч.1 ст. 6 закона «О персональных данных»). В других случаях согласие нужно.
Здесь есть тонкая грань, которую не так-то просто увидеть. Например, работодатель должен запросить и обрабатывать ФИО, паспортные данные, СНИЛС работника — без этого не получится заключить трудовой договор и перечислять часть средств в фонд будущей пенсии сотрудника. В таких случаях получать согласие не требуется.
Но допустим, работодатель отправляет сотрудника на конференцию и передает организаторам мероприятия его фотографию, ФИО, должность и контактный телефон. Такая обработка персональных данных совсем не относится к трудовому договору, а потому требует отдельного согласия.
Или же работодатель обрабатывает персональные данные кандидата, тогда согласие нужно, ведь с ним еще не заключен трудовой договор.
В тексте согласия нужно указать, какие персональные данные вы намерены обрабатывать и зачем. Цели обработки должны быть конкретными и законными, а перечень данных — не избыточным по отношению к заявленным целям.
? Цель | ✅ Достаточный список персональных данных | ❌ Избыточный список персональных данных |
Оформление пропуска для сотрудника | ФИО, фотография | ФИО, фотография, рост, вес, вероисповедание |
Для каждой цели обработки персональных данных, которая выходит за рамки трудового договора, нужно составлять отдельное согласие.
Вдумчиво подходите к формулированию целей. Вполне вероятно, что у вас одна крупная цель, которую можно не разбивать на несколько мелких, — тогда не придется брать для каждой из них отдельное согласие.
Скажем, взяли согласие кандидата на обработку его данных с целью «принятия решения о приеме на работу или отказе». После достижения цели обработка должна быть прекращена: как только вакансия закроется, вам придется удалить резюме кандидата из базы.
Если же вы хотите поместить кандидата в базу, то придется брать дополнительное согласие. Хотя в Яндексе нашли такое решение этой проблемы:
Цель обработки и хранения данных в этом случае звучит так: «чтобы группа компаний „Яндекс“ могла предлагать вакансии». Такая формулировка позволяет внести кандидата в кадровый резерв и поддерживать с ним связь даже после закрытия вакансии.
Письменная форма нужна только для некоторых видов операций:
Сложнее всего, когда трансграничная передача происходит в рамках трудового договора. Допустим, вам нужно отправить данные о сотруднике в канадскую аутсорс-компанию, которая организует КДП и начисление зарплаты вашим сотрудникам, — эта страна пока не присоединилась к конвенции.
С одной стороны, вроде бы можно обойтись без согласия, ведь есть трудовой договор. С другой — согласие нужно, потому что это трансграничная передача. Налицо законодательная коллизия: чтобы не рисковать, мы советуем получить хотя бы обычное согласие сотрудника.
Источник: ч. 4 ст. 9 закона «О персональных данных».
В остальных случаях достаточно обычного согласия в любой форме: подойдет электронное письмо от кандидата или галочка в специальной форме. Главное, чтобы такое согласие было:
Человек должен понимать цель и способы обработки данных и дать согласие в «активной форме» — поставить подпись в документе или нажать на кнопку.
Получение данных гражданина от третьих лиц возможно только с его согласия (ст. 6 закона «О персональных данных»). Поэтому если вам нужно получить отзыв о кандидате с его предыдущего места работы — просите кандидата дать на это согласие.
Расскажем про 4 основных цели обработки, когда такое согласие необходимо.
Чтобы принять решение о приеме на работу или отказе. Если вы получили резюме с вашего карьерного сайта, джоб-сайта или от кадрового агентства, то для обработки персональных кандидата потребуется обычное согласие.
Некоторые работные сайты сами просят кандидатов разрешить распространение и передачу данных потенциальным работодателям. Если согласие уже получено джоб-сайтом, то вы можете как бы пользоваться им. Однако вам придется каждый раз проверять, не изменились ли условия на этом сайте и нет ли новых ограничений или запретов на дальнейшее распространение. Поэтому надежнее брать согласие без посредников — напрямую у самих кандидатов.
То же самое с кадровыми агентствами: уточняйте, на каких условиях кандидаты предоставляют резюме сотрудникам агентства, и при необходимости просите соискателей дать согласие на обработку данных.
Для формирования кадрового резерва. Если вы не сформулировали цель обработки персональных данных обтекаемо, как в примере с Яндексом, то после закрытия вакансии возьмите у кандидата дополнительное согласие, чтобы внести его резюме в кадровый резерв.
Для оценки личностных данных. Если вы проводите тестирования для определения мотивации, темперамента и гибких навыков кандидата, то вам потребуется взять у него обычное согласие.
Чтобы оценить политические взгляды или философские убеждения — то есть данные, входящие в специальную категорию, — нужно письменное согласие. Убедитесь в том, что сбор таких данных соответствует целям обработки, а сама цель конкретная и законная.
Для прохождения тестового задания. Если вам нужен адрес электронной почты кандидата, чтобы прислать ему тестовое задание, не забудьте получить от него на это согласие.
Компания может передавать данные сотрудника в государственные органы — для этого не нужно согласие (пункт 4 разъяснения Роскомнадзора). Например, пришла проверка из Инспекции труда и запросила трудовой договор, где есть персональные данные работника. Работодатель обязан предоставить документ, даже если сотрудник против.
Чтобы передавать данные любым контрагентам — страховым компаниям, образовательным организациям, аутсорсинговым компаниям, фирмам по ведению кадрового и бухгалтерского учета, — потребуется согласие.
Например, вы оформляете пропуск на сотрудника в охранной организации, которая обслуживает офисное здание. Охрана просит выслать им фотографию, ФИО и должность сотрудника — прежде чем это делать, получите его согласие на передачу персональных данных.
Если вы хотите опубликовать информацию о сотрудниках с упоминанием имен и должностей на сайте компании или в социальных сетях, придется собрать с них согласия на распространение персональных данных.
В приказе Роскомнадзора есть требования к содержанию такого согласия. Оно должно включать:
Важно, что сотрудник не обязан давать согласие на распространение всех категорий данных. Он может ограничить этот перечень на свое усмотрение.
Больше деталей — в статье про публикацию сотрудников на карьерном сайте.
Но есть и исключения. Например, если вы публикуете на сайте медклиники информацию о врачах, их специализации и образовании, то вам не нужно получать их согласие. В этой ситуации публикация и размещение персональных данных сотрудников — это обязанность работодателя (п. 7 ч. 1 ст. 79 закона о «Об основах охраны здоровья граждан в Российской Федерации»).
То же самое относится и к публикации на сайте школы или университета персональных данных директора или ректора, завучей, проректоров, деканов, учителей и преподавателей (постановление Правительства Российской Федерации от 18.04.2012 № 343).
Работодатель может хранить и обрабатывать информацию о родственниках сотрудника, если это связано с исполнением трудового договора. Например, вам нужно заполнить раздел «Состав семьи» в личной карточке работника по форме Т-2. Форма унифицирована — то есть это не вы придумали собирать информацию о родственниках, а Госкомстат России.
В карточке требуется указать степень родства, ФИО родственника и год его рождения. Любые другие сведения можно обрабатывать только с разрешения самого родственника или его законного представителя.
Допустим, вы хотите подшить в личное дело копии свидетельств о браке и о рождении ребенка. Но эти документы касаются не только самого сотрудника, но его родственников — нужно получать согласие от совершеннолетних членов семьи или законных представителей несовершеннолетних.
Два раза в месяц мы будем присылать вам свежие статьи, полезные кейсы, подкасты, анонсы событий и интервью со звездами HR.
Нас читают более 35 000 ваших коллег — присоединяйтесь к хорошей компании.
Хантфлоу — профессиональная программа для рекрутинга, которая помогает освободить время рекрутера, систематизировать процесс подбора и автоматизирует формирование отчетности