В общем случае согласие сотрудника не требуется, если работодатель обрабатывает его персональные данные для целей, предусмотренных трудовым законодательством. То есть при ведении кадрового учёта (оформление трудового договора, приказов о приёме, личных дел, ведение табеля рабочего времени, начисление зарплаты, отчётность в ФНС, ПФР, ФСС) работодатель действует на основании закона, а именно — Трудового кодекса РФ.
Однако согласие необходимо, если работодатель использует персональные данные работников вне рамок трудового законодательства. Например:
- размещение фото и информации о сотруднике на сайте компании или в рекламных материалах;
- передача контактных данных сотрудника сторонним организациям, не связанным с исполнением закона или договора;
- обработка данных в целях, не предусмотренных ТК РФ (например, для участия в конкурсах, публикации биографий в СМИ).
Обоснование по законодательству
- Ст. 6 ФЗ-152, ч. 1, п. 2 — обработка ПДн допускается без согласия субъекта, если это необходимо для исполнения закона (в т. ч. трудового).
- Ст. 86 ТК РФ — работодатель обязан вести учёт персональных данных работников.
- Ст. 88 ТК РФ — персональные данные работников можно передавать только с согласия, за исключением случаев, предусмотренных ТК РФ или иными законами.
- Ст. 9 ФЗ-152 — согласие необходимо, если обработка выходит за рамки требований закона.
Практика проверок Роскомнадзора
- В одной компании кадровый отдел требовал у сотрудников письменные согласия на обработку паспортных данных при приёме на работу. Роскомнадзор разъяснил, что это лишнее: основанием служит ТК РФ.
- В другой организации фото работников публиковались на сайте без согласий. Проверка признала это нарушением — согласие обязательно, так как цель не связана с трудовым учётом.
Важный нюанс
Даже если согласие не требуется, работодатель обязан:
- соблюдать принципы обработки ПДн (законность, минимизация, ограничение цели);
- обеспечивать защиту данных сотрудников;
- ограничивать доступ к кадровой информации.
Рекомендации и выводы
При кадровом учёте сотрудников согласие не нужно — правовым основанием служит Трудовой кодекс. Но оно обязательно для любых действий, выходящих за рамки трудовых обязанностей. Чтобы действовать правильно:
- Включите все категории кадровых ПДн в локальные документы.
- Используйте отдельные формы согласий для публикаций, рекламы, сторонних мероприятий.
- Обеспечьте конфиденциальность кадровых данных.
- Пропишите порядок обработки ПДн сотрудников в комплекте документов по 152-ФЗ.
Компания ICTech поможет вашей организации подготовить пакет документов по ФЗ-152, включая формы согласий работников для случаев, когда они действительно нужны. Это позволит исключить претензии Роскомнадзора и трудовой инспекции.
