Персональные данные в HR: как работать с данными кандидатов и сотрудников по 152-ФЗ

HR-специалисты ежедневно работают с персональными данными сотрудников – от анкет до копий паспортов и медицинских справок. Любое действие с такими сведениями регулируется Федеральным законом №152-ФЗ «О персональных данных». Аккуратное обращение с персданными показывает уровень ответственности компании и укрепляет доверие кандидатов.

Что такое персональные данные работника и какие виды персданных существуют? Что относится к персональным данным работника и как организовать работу с такими сведениями? Разберем в нашем материале.

Что закон считает персональными данными работника

Согласно закону № 152-ФЗ «О персональных данных» и главе 14 ТК РФ, персональные данные работника — это любая информация, которая прямо или косвенно позволяет определить личность человека.

Большинство таких сведений о работнике необходимо работодателю для заключения трудового договора, начисления зарплаты и других кадровых процедур. При этом использовать данные работников просто так нельзя — их защита строго регулируется законом.

В большинстве случаев для работы с информацией о кандидатах и сотрудниках требуется получение согласия на обработку.

Согласие становится обязательным, если:

• перечень собираемых данных выходит за рамки стандартных требований ТК РФ;
• нужно уточнить сведения у третьих лиц (например, у предыдущего работодателя);
• запрашиваются данные о здоровье, религиозных или политических взглядах;
• информация будет использоваться в коммерческих целях (например, при передаче данных водителей партнерам);
• собираются биометрические сведения;
• данные планируется публиковать в открытом доступе.

Важно! С 1 сентября 2025 года согласие на обработку данных должно оформляться отдельно. Так, его нельзя включать в трудовой договор или анкету.

Если же данные сотрудника собираются распространять для неограниченного круга лиц, оформляется согласие на распространение.

Согласие на распространение необходимо, если:

• компания собирается опубликовать на сайте информацию о ФИО, контактных данных, дипломе работника;
• при запросе сведений госорганами, если запрос от них составлен неправильно (нет подписи ответственного лица, адреса ведомства).

Таблица: какие данные кандидатов и сотрудников относятся к персональным

В работе HR-специалистов к персональным данным относятся все сведения, которые компания получает от кандидата или сотрудника. Это относится и к резюме, и к анкетам, и к договорам.

Где в работе HR сталкивается с персданными:

HR-специалисты работают с персональными данными на всех этапах – от подбора до увольнения сотрудника. Личные сведения встречаются уже на этапе проверки кандидата до приема на работу.

Только получив согласие кандидата на обработку его персональных данных можно проводить оценку благонадежности соискателя.

В том числе — с помощью автоматизированных сервисов проверки, например, инструмента от SpectrumData. Он поможет узнать о долгах соискателя, наличии ИП, сомнительных связей с другими компаниями. Сервис объединяет информацию из открытых и официальных источников в единый отчет и помогает убедиться в благонадежности человека.

Виды и категории персональных данных в кадровой работе

Выделяют 4 категории персональных данных: общие, специальные, биометрические и общедоступные. Каждая из них требует особого подхода от HR-специалиста при сборе и хранении.

Рассмотрим, какие есть категории и виды персональных данных в работе HR.

Общие персданные

Это стандартные сведения, которые позволяют идентифицировать человека. Встречаются в резюме, анкетах, трудовых договорах и личных делах.

К общим персданным относят:

• ФИО;
• дата рождения;
• контакты;
• адрес проживания;
• уровень образования;
• занимаемая должность;
• опыт работы.

Специальные (чувствительные) персданные

Специальная категория сведений требует повышенной защиты, так как их раскрытие может повлиять на права и свободы человека.

Чувствительными данными считаются:

• сведения об интимной жизни и состоянии здоровья (медицинские справки, подтверждающие инвалидность документы, результаты медосмотров);
• сведения о расовой или национальной принадлежности;
• политические, религиозные взгляды.

Эти данные хранятся отдельно, доступ к ним строго ограничен, а обработка допускается только при наличии согласия человека.

Биометрические персданные

Информация, с помощью которой можно идентифицировать человека по его физическим признакам, называется биометрическими данными. К ним относятся, например, фотографии для пропусков, отпечатки пальцев.

Работа с биометрическими данными требует обязательного согласия сотрудника и применения усиленных мер защиты.

Общедоступные персданные

Это сведения о работнике, которую он разрешил сделать публичной или которая уже доступна в открытых источниках.

К общедоступным данным можно отнести:

• имя и должность на сайте компании;
• рабочий e-mail в подписи писем;
• профиль на профессиональных платформах с информацией о человеке.

Эти данные не требуют строгой защиты, но их использование должно соответствовать внутренним правилам компании.

Ключевые процессы: обработка и защита данных

Работа HR-специалиста с персональными данными не ограничивается только их сбором. Любое действие считается обработкой персональных данных.

Проще говоря, обработка персональных данных — это весь путь, который проходит информация в компании: от момента, когда рекрутер открывает резюме, до момента, когда данные удаляются после завершения отбора. Этот процесс включает сбор, хранение, использование, передачу и уничтожение данных.

Читайте подробнее в нашем материале о том, как правильно обрабатывать персданные и сколько их хранить.

Любые собранные данные компания обязана защищать от утечек. Это совокупность мер, которые помогают компании предотвратить утечку или потерю информации. Сюда входит ограничение доступа к базам данных, использование паролей, шифрование, а также обучение сотрудников правилам безопасной работы с персданными.

О том, как выстроить надежную систему, читайте в гайде для HR по защите персональных данных.

Корректная обработка, хранение и защита персональных данных — это не только юридическое требование, но и показатель надежности компании.

Положение о персональных данных работников: зачем нужно и что включить

Положение о персональных данных работников — это основной внутренний документ компании, который регулирует работу с информацией о сотрудниках и кандидатах. Он закрепляет правила обращения с персональными данными.

Положение об обработке персональных данных работников помогает определяет зоны ответственности сотрудников и HR-специалистов. Такой документ снижает риски утечки данных и споров с персоналом.

В положении должны быть прописаны следующие разделы:

• Общие положения.

Здесь фиксируется цель документа (оформление, ведение учета), ссылка на законодательную базу и область его действия. Указывается, кто именно подпадает под действие положения – сотрудники, кандидаты, бывшие работники.

• Состав персональных данных работника.

В документе нужно указать, какие данные обрабатываются: общие, специальные, биометрические, общедоступные.

• Порядок обработки персональных данных.

Описывается, как именно данные собираются, где хранятся и кто имеет к ним доступ. Прописывается порядок передачи данных третьим лицам (например, в бухгалтерию), а также сроки хранения и условия уничтожения информации.

• Права работников как субъектов данных.

Работники имеют право знать, какие их данные обрабатываются, получать к ним доступ, требовать исправления или удаления сведений. Также фиксируется порядок обращения с такими запросами – куда писать, в какие сроки организация обязана ответить.

• Обязанности работодателя и ответственных лиц.

Работодатель обязан обеспечить законную обработку данных, защиту от утечек и ограничить доступ к ним. В положении стоит указать, кто конкретно отвечает за организацию работы с персональными данными.

• Меры по защите данных.

Включают организационные (ограничение доступа, режим конфиденциальности) и технические меры (пароли, антивирус, шифрование).

• Ответственность за нарушение.

Закрепляется ответственность за разглашение или незаконное использование персданных.

Часто задаваемые вопросы

Что не является персональными данными?

Не все сведения, с которыми работает HR, относятся к персданным. К ним не относят обезличенные данные, по которым невозможно установить личность человека. К примеру, статистика текучести персонала, данные о среднем возрасте сотрудников, результаты опросов без указания ФИО или должности.

Кто такой субъект и оператор персональных данных?

Субъект персональных данных — это человек, чьи сведения подвергаются обработке. В HR-практике к ним относятся кандидаты, сотрудники и бывшие работники. Оператор персональных данных — это организация, которая осуществляет работу с этими сведениями.

Оператором обычно выступает работодатель, а субъектами — все лица, чьи персональные данные находятся в его распоряжении.

Как правильно оформить изменение персональных данных работника?

Если у сотрудника изменились персональные данные, он должен уведомить об этом работодателя.

Как происходит изменение персданных сотрудника:

1. Работник подает заявление об изменении данных.
2. Вносятся изменения в кадровые документы.
3. Работодатель уведомляет бухгалтерию и другие подразделения.

Автор: Дилара Ильясова