Любой бизнес при расширении требует привлечения наемных сотрудников независимо от того осуществляете ли Вы предпринимательскую деятельность как индивидуальный предприниматель или как юридическое лицо. Соответственно, действуя в качестве работодателя при найме сотрудника, Вы неизбежно столкнетесь с необходимостью обработки его персональных данных как для внутреннего использования в рамках рабочего процесса, так и для предоставления их третьим лицам, распространения.

Закон не содержит перечня сведений, которые следует относить к персональным данным. Последние представляют собой любую информацию, которая тем или иным образом характеризует конкретного человека. Как правило, при приеме на работе сотрудник сообщает паспортные данные, информацию об образовании, сведения о счете для начисления зарплаты, информацию о прошлом месте работы, телефон и т.д. Конечно, перечень персональных данных необходимый для оценки кандидата на должность, его приема в штат зависит от специфики вакансии, а также от конкретного работодателя.

Поскольку персональные данные являются личной информацией потенциального сотрудника, их обработка работодателем регулируется специальным законом, а также Трудовым кодексом РФ. Обработка персональных данных включает в себя не только передачу, распространение, а довольно широкий спектр действий с персональными данными (например, хранение, систематизацию, передачу и т.д.).

Обработка персональных данных сотрудника без его согласия допускается для целей выполнения Вами своих функций как работодателя согласно закону, однако Вы как работодатель не можете самостоятельно передавать данные сотрудника или потенциального кандидата третьим лицам, распространять их неограниченному кругу лиц (например, выложить фото с краткой заметкой об опыте и образовании на сайте компании) без его письменного согласия.

Разграничить случаи допустимой обработки и обработки персональных данных, на которую требуется согласие сотрудника, достаточно затруднительно на практике, поэтому следует позаботиться о получении согласия от потенциального сотрудника на обработку персональных данных и их распространение. Такое согласие может быть включено непосредственно в трудовой договор, а может быть подписано в качестве отдельного документа. Кроме того, Вы как работодатель должны разработать и утвердить локальный акт, содержащий правила обработки, хранения персональных данных сотрудников. С данным внутренним документом сотрудника необходимо ознакамливать под роспись, а также обеспечить свободный доступ сотрудников к нему. Для работы с персональными данными сотрудников в компании должно быть назначено ответственное лицо.

До начала работы с персональными данными сотрудников Вам необходимо будет уведомить Роскомнадзор об обработке личной информации своих работников, чтобы попасть в реестр операторов персональных данных. За несоблюдение требований по обработке персональных данных сотрудника Вы можете быть привлечены к административной ответственности в виде штрафа. Размер штрафа зависит от конкретного нарушения, а также кратности его совершения. В среднем Кодексом об административных правонарушениях РФ предусмотрена ответственность от 2 000 р. до 300 000 р., но за отдельные виды правонарушений по обработке персональных данных предусмотрены штрафы от 500 000 р. до 1 млн, за хранение персональных данных на иностранных серверах сумма штрафа составляет от 1 млн до 18 млн.

Выявление нарушений и привлечение к ответственности за нарушение требований законодательства об обработке персональных данных возможно только в случае проверки Роскомнадзором. Такие проверки проводятся в плановом и неплановом порядке (например, в связи с жалобой сотрудника). С планом проверок на соответствующий год можно ознакомиться на сайте Роскомнадзора (Роскомнадзор — Планы проверок (rkn.gov.ru)).

Конечно, учитывая количество работодателей, риск проверки именно Вашей компании, в случае, если Вы не попадаете в компании с большой вероятностью риска, не высокий. Однако это не говорит, что стоит игнорировать требования закона об обработке персональных данных, поскольку штрафы за отдельные виды их несоблюдения достаточно значительны. В этой связи стоит внимательно подходить к составлению шаблона согласия на обработку персональных данных для сотрудника, а также выполнения иных необходимых действий, предусмотренных законом в целях соблюдения требований об обработке персональных данных.