Работа с персональными данными сотрудника
Когда кандидат получает статус сотрудника, начинается новый этап работы с его персональными данными. Здесь мы не можем ограничиться самыми общими сведениями, и должны оформить полученные данные соответствующим образом.
О работнике мы, как правило, знаем, не мало, а закон не дает четкого определения, что же считать персональными данными, кроме формулировки: «любая информация, которая прямо или косвенно относится к субъекту».
Так что же считать персональными данными?
Здесь, как и в случае с соискателями, есть устоявшиеся практики HR. К персональным, безусловно, относятся данные, которые присваивает государство: ИНН,СНИЛС, паспортные данные, банковский счет, номер банковской карты и т.д.
По остальным же данным, есть и ведомственные решения, и судебная практика. Как ни странно, ФИО без дополнительных сведений персональными данными не считается. Но как только мы добавляем к ФИО другие идентификаторы, информация тут же становится персональной, даже если под идентификаторы подпадает целая группа людей, т.к. формулировка закона 100% идентификации не требует.
Что решил суд?
Судебная практика по признанию тех или иных данных персональными весьма противоречива, и пример тому, два судебных решения:
Является ли адрес электронной почты частью персональных данных? С одной стороны, персональные данные – это уникальная сущность, и она может принадлежать только одному лицу. Однако 2023 году, судебное решение по делу СК «Арсенал» признало и почту, и телефон изменяемыми сущностями, ведь эти данные могут быть переданы другому лицу после прекращения договора. На этом основании суд постановил, что адрес электронной почты входит в перечень персональных данных, только если дополнен другой личной информацией.
В том же 2023 году Роскомнадзор озвучил такую позицию о персонификации корпоративных адресов. Например, e-mail в формате info@company.ru не содержит идентификации, и поэтому к персональным данным не относится, а почта в формате MariaIvanova@company.ru содержит не только имя и фамилию, но и позволяет определить место работы, что точно делает такие данные персональными.
Перечень персональных данных
Общая и судебная практика считает персональными данными информацию о работнике, указанную в таблице ниже.
Кроме того, существуют особые категории персональных данных сотрудников, к ним относится информация о состоянии здоровья, сведения о категории годности к той или иной работе и военной службе, наличие и группа инвалидности. Однако получать от сотрудника специальное разрешение на обработку этих категорий данных не нужно, т.к. оперируя ими, HR выполняет свои обязанности и требования законодательства РФ.
Фото? Видео? Биометрия?
Изображение человека, конечно, относится к персональным данным, однако судебная практика не считает обычные фото и видео биометрическими материалами, если они не используются для идентификации личности. Биометрия требует особого контроля и разрешений на использование, но фото в личном деле можно смело хранить без дополнительного на то Согласия.
Роструд дал разъяснение по ведению видео и аудио наблюдения на территории работодателя. Никакого персонального Согласия на это не требуется, т.к. наблюдение ведется с целью безопасности в том числе самих работников.
Форма согласия на обработку персональных данных
Как же работнику дать то самое Согласие на обработку? И какие последствия наступают, если работодатель сочтет его не достаточно легитимным? В компании Nestle Согласие предлагали подписать исключительно по форме компании, однако один из работников предпочел дать его в свободной форме. В результате сотрудник лишился ряда льгот, а именно ДМС и дотаций на питание. Дело дошло до суда, который занял сторону работника. Было постановлено, что компания не может требовать Согласия по строгому образцу, сотрудник может выдать его в любом виде. Более того, суд отметил, что работнику не были разъяснены последствия отказа предоставить персональные данные по форме работодателя.
Согласие не единственное основание для обработки персональных данных
В ряде случаев отдельное Согласие на использование персональных данных вообще не требуется. Основанием для их обработки, хранения, передачи и т.п. может стать, например, исполнение договора, стороной которого является субъект персональных данных, исполнение требований закона и законный интерес.
Исполнение договора
П. 5 ч. 1 ст. 6 Федерального закона № 152-ФЗ не конкретизирует, исполнение какого договора, трудового или ГПХ, дает право на обработку персональных данных. Но существует судебная практика, признающая исполнение трудового договора основанием для обработки персональных данных сотрудника, примеры тому – дела компаний «Аэрофлот» и «Мариллион».
В то же время есть позиция Роскомнадзора, которая применяет п. 5 ч. 1 ст. 6 Федерального закона № 152-ФЗ исключительно к договорам ГПХ. В случае трудовых отношений, по мнению Роскомнадзора, нужно руководствоваться исключительно гл. 14 ТК РФ. Однако сложившаяся HR-практика свидетельствует о том, что позиция Роскомнадзора несколько устарела. Например, дополнительного согласия на передачу данных работника в банк в любом случае не нужно, т.к. перечисляя зарплату работнику, работодатель исполняет договор, и эта обязанность не зависит от того, даст работник согласие на передачу данных или нет.
Законный интерес
Так называемый законный интерес — это, пожалуй, самое сложное, с точки зрения правоприменения, основание для работы с персональными данными. Такое основание хорошо иллюстрирует пример и судебной практики:
Банк ВТБ осуществлял проверку на наличие/отсутствие конфликтов интересов в деятельности работников. При осуществлении проверки был использован «СПАРК», официальный сайт ФНС России. По результатам проверки было установлено, что один из работников банка также является директором и совладельцем (доля в УК 33%) другой организации. Работник в свою очередь обжаловал в Роскомнадзоре действия банка по сбору данных о нем из сторонних источников без его согласия. РКН отказал в возбуждении дела.
Работник обратился в суд, который, вновь принял сторону работодателя и указал, что:
- обработка ПДн допускается, в том числе, для осуществления прав и законных интересов оператора (п. 7 ч. 1 ст. 6 Федерального закона № 152-ФЗ), то есть банка, при условии, что при этом не нарушаются права и свободы субъекта ПДн.
- истребование сведений работодателем о своем работнике из открытого источника, в том числе информационной системы «СПАРК», на предмет занимаемой им иной должности и проверке наличия конфликта интересов не влечет ответственности, установленной ч. 2 ст. 13.11 КоАП РФ.
То есть согласие не является единственным основанием для работы с персональными данными работника. Таких оснований в современной практике, как минимум, четыре: исполнение договора, законный интерес, исполнение требований закона и, собственно, согласие работника.
По материалам вебинара hh.ru
Продолжение следует…