Что нужно знать о работе с персональными данными

Биометрические данные

Также согласие необходимо при обработке биометрических данных. Хотя есть некоторая неопределенность с тем, что именно к ним относится.

Согласно общему положению закона о персональных данных, биометрия — это сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность.

Ранее к биометрии относились фотографии, дактилоскопические данные, сведения о ДНК и иная информация, указывающая на физиологические особенности человека (разъяснения Роскомнадзора от 02.09.2013). При этом 19 ноября 2021 года Роскомнадзор выпустил информационное письмо о неактуальности приведенного перечня, но новых данных не предоставил.

Так что работодателям стоит руководствоваться общими положениями закона и брать письменное согласие на обработку персональных данных, если нужно изготовить пропуск или для иных целей использовать фото или видео с человеком.

Политика обработки персональных данных

Юристам компании нужно разработать политику обработки персональных данных, которая будет действительна как для сотрудников, так и для соискателей, клиентов, контрагентов и других третьих лиц.

Документ должен раскрывать:

• чью личную информацию хранит компания (например, сотрудников, клиентов, контрагентов);
• какие виды персональных данных обрабатывает — в том числе биометрических и из специальных категорий (расовая и национальная принадлежность, религиозные убеждения, состояние здоровья и др.);
• цели хранения — для чего нужна эта информация;
• законы, на которые организация опирается при работе с личной информацией. Например, Федеральный закон о защите персональных данных от 27.07.2006 № 152-ФЗ, нормативные акты о воинском учете, трудовых книжках.

Компания должна разместить политику обработки персональных данных в открытом доступе — на сайте, стенде и т. п.

Если этого не сделать, директора оштрафуют на сумму от шести тысяч до 12 тысяч рублей, а организацию — на сумму от 30 до 60 тысяч.

4 факта о хранении персональных данных

1. Резюме, анкеты соискателя нужно уничтожить в течение 30 дней с момента, как вы выслали ему оффер или отказали в найме. Если рекрутер хочет сохранить данные о кандидате для кадрового резерва, он должен прописать это в согласии на обработку персональных данных.

2. Сроки хранения документов бывших и настоящих сотрудников регулирует законодательство. Например, приказы о приеме на работу и увольнении нельзя уничтожать в течение 75 и 50 лет соответственно.

3. Хранить копии паспортов, дипломов, свидетельств о браке, рождении детей и т. д. небезопасно даже с согласия сотрудника — Роскомнадзор может обвинить компанию в сборе избыточных персональных данных и назначить штраф:

• для должностных лиц — от 10 тысяч до 20 тысяч рублей,
• для юридических лиц — от 60 до 100 тысяч.

При повторном нарушении штраф для должностного лица увеличится до 50 тысяч, а для компании — до 300 тысяч.

4. Работодатель не обязан проставлять гриф ограничения доступа на папках с документами, которые содержат персональные данные. Но может сделать это, чтобы исключить неправомерный или случайный доступ к персональным данным, в том числе к тем, которые хранятся на материальных носителях: личным делам, трудовым книжкам, приказам.