Как защитить персональные данные от работодателя

Чтобы их никому не передали
Обсудить

В прошлых статьях я рассказала, как проверить потенциального работодателя до собеседования и во время собеседования, чтобы убедиться, что не будет проблем с зарплатой. Но это не вся проверка.

Аватар автора

Яна Демидович

эксперт по трудовому праву

Работник имеет право на защиту своих персональных данных, а недобросовестный работодатель может обращаться с ними халатно: разглашать, терять и передавать в корыстных целях. Если персональные данные не защищены, работник может поплатиться репутацией и даже лишиться денег.

Поэтому нужно проверить, как потенциальный работодатель поступает с персональными данными. Давайте разберемся, как выбрать такого работодателя, который будет защищать ваши данные.

Зачем переживать о персданных на работе

Каждый работодатель — оператор персональных данных работников. Он обязан обрабатывать их в соответствии с законом: утверждать специальные локальные акты, устанавливать порядок допуска к ним и всячески защищать.

Плохо, если в компании нет специального человека, который организует обработку персданных, нет локального акта по обработке персданных и регламента допуска к ним. Когда ответственных нет и порядок работы четко не определен, высока вероятность, что персданные пойдут по рукам.

Если у работников не спрашивают согласия на обработку персданных и на работе, например, нет сейфов для трудовых книжек и шкафов на замке для кадровых документов — это тоже тревожный знак.

Все это может повлечь для работника разные негативные последствия: от дискомфорта, когда коллеги узнали что-то, что он не хотел рассказывать, до рисков, что персданные будут использовать мошенники в преступных целях.

Халатное обращение с персональными данными бьет по самоуважению и кошельку

Серафиме Ивановне устроили сюрприз: вывесили на входе в офис огромный поздравительный плакат с фото, ФИО и полной датой рождения. Теперь все знают ее настоящий возраст.

Геннадий подал в бухгалтерию заявление на матпомощь к свадьбе сына. Главбух вывесила копию заявления на стенд как образец. Теперь коллеги знают, что у Геннадия плохо с деньгами.

Предприимчивый рекрутер Ольга Петровна выгодно продала контакты работников. Теперь им названивают, чтобы продать то ли форекс, то ли увеличитель члена (говорят неразборчиво).

Секретарь Снежана покупала билеты для командировок: на ее столе лежали копии паспортов вперемешку с гламурными журналами. Проходимость в приемной была высокая, а внимательность Снежаны низкая. Поэтому копии втихаря прибрал к рукам непорядочный гость и оформил по ним кредиты.

До собеседования

Проверьте отношения компании с Роскомнадзором

То, как организации работают с персданными, контролирует Роскомнадзор. Работодатели уведомляют его об обработке данных, после чего их вносят в специальный реестр.

По закону работодатель может не уведомлять Роскомнадзор об обработке данных исключительно в рамках трудового законодательства и силами самой компании. Но таких работодателей крайне мало, поэтому в большинстве случаев компания все-таки должна отправлять уведомление.

Например, уведомлять Роскомнадзор необходимо, если работодатель передает персональные данные работников в аутсорсинговую компанию, которая ведет кадровый и бухучет, или в страховую компанию для оформления полисов ДМС. Если компания заказывает работникам визитки — это тоже обработка данных и Роскомнадзор надо уведомить.

Если компания — потенциальный работодатель входит в Реестр операторов персональных данных Роскомнадзора, посмотрите, какие она выполняет меры по обработке и защите персональных данных. Обычно меры расписывают подробно. Для поиска в реестре нужно знать наименование фирмы, для уточнения — ее ИНН.

Если Роскомнадзор проверял компанию, посмотрите результаты проверок на сайте Роскомнадзора или его местных подразделений: были ли нарушения и если да, то какие. Для поиска достаточно знать наименование компании, для уточнения — ИНН, ОГРН и адрес.

Выявить нарушения правил обработки персданных могут и другие органы.

Например, прокуратура или трудовая инспекция могут выяснить, что в компании нет обязательного локального акта, который устанавливает порядок обработки персданных. Это нарушение закона.

Еще компании должны утверждать политику обработки персональных данных. Она касается не только работников, но и клиентов и контрагентов компании. По закону фирмы обязаны опубликовать такую политику или как-то иначе предоставить доступ к ней. Если у компании есть официальный сайт — политику обычно размещают там. Поэтому информацию о политике обработки персданных вы можете посмотреть на сайте потенциального работодателя.

Сведения о компании в реестре Роскомнадзора
Сведения о компании в реестре Роскомнадзора
Прокуратура выявила отсутствие в компании локального акта по персданным
Прокуратура выявила отсутствие в компании локального акта по персданным
Роскомнадзор выявил нарушения при проверке компании
Роскомнадзор выявил нарушения при проверке компании
До собеседования

Изучите отношения компании с работниками

Если работодатель злостно нарушает законодательство о персданных и работник уличил его в этом, дело может дойти до суда. Иногда после таких разбирательств справедливость восстанавливается: работнику возмещают моральный ущерб, а компания начинает соблюдать закон. Тогда потенциальным работникам уже нечего бояться. В противном случае существует риск, что с персданными новичка могут обращаться столь же небрежно и неаккуратно, как и с данными работника-истца.

Чтобы узнать это, следует посмотреть судебную практику по спорам потенциального работодателя, которые связаны с персданными. Нужно проверить, на что жаловались работники, отличаются ли текущие жалобы от прошлых. Еще стоит почитать отзывы работников о компании на специальных сайтах или пообщаться с ними лично.

Плохо, если у компании много трудовых споров по персональным данным: жалобы на незаконную обработку и передачу третьим лицам, утерю и разглашение.

Проверить прошедшие и текущие споры можно на сайте «Судебные и нормативные акты РФ», на сайтах с отзывами работников и «черными списками» работодателей в интернете. Такую информацию можно также поискать на сайте Роструда в разделе «События в регионах» по тегу «проверки» и на сайтах местных трудинспекций. Для проверки достаточно знать наименование и адрес компании — потенциального работодателя.

  • Например, в одном деле работодатель захотел провести почерковедческую экспертизу и передал заявления работника в экспертную организацию без его согласия. В итоге суд признал это нарушением и обязал компанию выплатить работнику компенсацию морального вреда.
  • В другом судебном споре работодатель допустил разглашение персональных данных работника: на стороннем сайте появилась статья, к которой было приложено дополнительное соглашение к трудовому договору истца. Доступ к статье получил неограниченный круг лиц. Суд обязал работодателя возместить работнику моральный вред.
Компания передала третьим лицам персональные данные работника без его согласия
Компания передала третьим лицам персональные данные работника без его согласия
На собеседовании

Подпишите согласие на обработку данных

В большинстве случаев на собеседовании с вас должны взять согласие на обработку персданных. Без него действия работодателя будут незаконны. Ответственный работодатель позаботится об этом заранее и предоставит бланк согласия без ваших напоминаний. Это уже показатель, что компания в какой-то мере соблюдает закон.

Когда требуется такое согласие. Потенциальный работодатель должен получить согласие на обработку персональных данных на период, когда он будет решать, брать ли соискателя на работу.

Но если вы размещали резюме в свободном доступе в интернете или от вашего имени действует кадровое агентство — согласие на обработку не требуется.

Какие персданные не имеют права узнавать. По общему правилу это данные, которые составляют личную или семейную тайну. Например, на вопросы потенциального работодателя о вероисповедании, интимной жизни, политических взглядах, быте и жилищных условиях можно не отвечать.

Но есть должности, при приеме на которые нужно предоставить более полную информацию о себе. Например, при приеме на госслужбу могут запросить данные о семье или поездках за границу.

Как заполнять согласие. Согласие нужно заполнять самому. Если потенциальный работодатель предложит для быстроты заполнить согласие за вас, не соглашайтесь.

Если вам дают на заполнение анкету, она должна соответствовать типовой форме, в том числе содержать поле для отметки о согласии на обработку персданных и информацию о сроке ее рассмотрения.

Что будет с персданными, если на работу не приняли. Потенциальный работодатель должен уничтожить персональные данные соискателей, которых не приняли на работу, в течение 30 дней. Если речь о госслужбе — персональные данные хранятся 3 года.

Непорядочный работодатель может оставить ваши данные в корыстных целях.

  • Допустим, на собеседовании вы разрешили снять копии с паспорта, диплома и всех страниц трудовой книжки. На работу вас в итоге не приняли, а данные решили применить с пользой для себя: пополнить вами список мертвых душ для важного тендера.
  • Компания подделывает вашу трудовую книжку: делает запись о приеме на работу в копии, снимает копию еще раз — и заверяет. После подделывает штатную расстановку, добавляет копию паспорта и диплома и вместе с пакетом других документов направляет в тендерную комиссию. Если проверяющие не слишком дотошны, компания имеет шансы выиграть тендер. Она обманет заказчика с реальным количеством персонала и получит деньги благодаря вашим бесплатным данным.

Что делать, если вас не приняли на работу. Для подстраховки лучше написать отзыв согласия на обработку персональных данных. Отзыв нужно направить на юридический адрес компании ценным письмом с описью вложения и уведомлением о вручении. Отзыв можно подать и лично с отметкой о принятии.

Отзыв согласия на обработку персданных не гарантирует, что их прекратят обрабатывать. Даже при наличии отзыва недобросовестные компании могут оставить их у себя. Вряд ли вы сможете об этом узнать.

Отзыв согласия на обработку персональных данных соискателя
Отзыв согласия на обработку персональных данных соискателя

Форма отзыва. Унифицированной формы нет, пишите в произвольной форме.

Запрос официального ответа. Подчеркните, что ждете от потенциального работодателя письмо, которое подтвердит окончание обработки данных.

Дата подачи отзыва. Отзыв можно подать в любое время.

Итак, вы проверили потенциального работодателя в реестре Роскомнадзора, изучили его отношения с работниками и подписали согласие на обработку пересданных. Но это не вся проверка.

Чтобы уточнить, как в компании работают с персональными данными, на собеседовании задайте потенциальному работодателю эти 4 вопроса.

На собеседовании: вопрос 1

Уведомляли об обработке персданных Роскомнадзор?

До начала обработки персональных данных потенциальный работодатель в общем случае обязан уведомить Роскомнадзор. Порядочные компании знают об этом и о том, что с 1 июля 2017 года законодательство в области персданных ужесточилось.

👎 Не слышали о Роскомнадзоре

— Не нашла вашу компанию в реестре Роскомнадзора. А как вы работаете с персональными данными соискателей и работников?
— Реестр Роскомнадзора? А что это? Нас трудинспекция проверяла, ошибок не нашла. Этого разве недостаточно?

На собеседовании: вопрос 2

Есть ли ответственный за организацию обработки персданных?

В компании должен быть сотрудник, который занимается организацией обработки персональных данных. Обычно это начальник отдела кадров или заместитель директора. Без организатора обработки персданных наступит хаос.

👎 Ответственного нет

— У вас есть сотрудник, ответственный за организацию обработки персональных данных?
— Нет. А зачем? У нас многие работают с персональными данными, назначить кого-то одного не получится.

На собеседовании: вопрос 3

Кто имеет доступ к персданным?

У каждой компании должен быть локальный акт об обработке персональных данных. Он должен содержать мероприятия по их защите. Еще работодатель должен закрепить список сотрудников, которые работают с персональными данными, и тех, кто имеет к ним доступ.

Окиньте взглядом офис. Посмотрите, не лежат ли в свободном доступе бесхозные документы: трудовые книжки, личные дела, копии паспортов. Если вы заметили это, есть риск, что после трудоустройства с вашими документами могут обращаться так же безответственно.

👎 Доступ к персданным имеют все

— А кто у вас обрабатывает персональные данные, кто имеет доступ к ним? Только кадровики или кто-то еще? Порядок доступа закреплен в локальном акте?
— Кому нужно, тот и спрашивает. Если кому-то требуется копия диплома работника — приходит и получает. Все быстро, никаких локальных актов не надо.

На собеседовании: вопрос 4

Как защищают персданные?

Потенциальный работодатель должен разработать систему защиты персональных данных. Это могут быть технические или организационные меры: собственный защищенный сервер, запираемые шкафы и сейфы, охрана офиса. Если таких мер в компании нет — персданные могут потерять и украсть.

👎 Персданные никак не защищены

— Вы — филиал, а кадровый учет ведет головной офис? Как вы пересылаете туда копии документов сотрудников, по почте? Данные не может кто-нибудь перехватить? Сейчас много хакеров. Или у вас защищенный канал?
— Почтой России пересылаем, и никто еще не жаловался! У нас даже трудовые книжки хранятся так, без сейфа. Кто их украдет? Все свои.

Запомнить

  1. Если компания не защищает персональные данные, есть риск, что их используют во вред вашему кошельку и самоуважению.
  2. Чтобы быть уверенным, что потенциальный работодатель обращается с персональными данными по закону, проверьте, входит ли он в реестр Роскомнадзора, много ли у него споров с работниками о нарушениях по персональным данным. На собеседовании спросите, как в компании защищают персданные и кто имеет к ним доступ.
  3. Если на собеседовании требуют копии ваших документов, но не дают заполнить согласие на обработку персональных данных, это тревожный знак.
  4. Если потенциальный работодатель спрашивает об интимных предпочтениях и политических взглядах, вы вправе не отвечать.
Яна ДемидовичРасскажите, а вы сталкивались с разглашением персональных данных? Какие были последствия:
  • Konstantin Ivanovчто за бредятина, причем тут выбор работодателя? соответствие закону о персональных данных никак не снижает риски сотрудников и не дает им никаких приемуществ. БРЕ-ДЯ-ТИ-НА3
  • Екатерина УшаковаРаботодатель потерял мою трудовую книжку и не понёс за это ответственность.1
  • Ilyas RonefЗаголовок статьи совсем не соответствует содержимому.0
  • AlexВыглядит красиво, но есть один нюанс. Как найти и доказать источник утечки персданных, если они предоставлялись более, чем в одни руки? Как минимум, данные паспорта есть в паспортном столе, значит любой второй, кто их заимеет, сделает задачу невыполнимой. Кстати, в паспортном столе обязаны брать согласие на обработку персональных данных? А на почте, когда отправляешь письмо?2