Можно ли в одном согласии указать несколько целей обработки данных, что делать, если работник отозвал согласие на обработку данных и можно ли без согласия экс-работника давать отзывы о нем его потенциальным работодателям, — об этом рассказали в своей статье августовского номера журнала «Трудовые споры» Георгий Мжаванадзе и Нина Могутова.
Проблема 1. Получение отдельного согласия на каждую цель обработки данных.
Работодатели не должны без письменного согласия работника сообщать его персональные данные третьей стороне. Исключения — случаи, когда передача данных нужна в целях предупреждения угрозы жизни и здоровью работника, а также иные случаи, когда такая передача требуется в силу закона (ст. 88 ТК РФ).
Чтобы облегчить себе жизнь, работодатели часто используют в согласиях на обработку данных максимально широкие формулировки. Так компании пытаются покрыть одним согласием сразу все потенциальные случаи обработки данных работника, включая их передачу различным третьим лицам во всех возможных целях обработки. Однако не так давно Роскомнадзор стал признавать такую практику незаконной.
Проблема №2. Отказ работника дать согласие.
Еще одна проблема, с которой сталкиваются компании, — это отказ работника дать согласие на обработку персональных данных. Причины такого поведения могут быть разными: правовая неграмотность, конфликт с работодателем, понимание того, что согласие составлено некорректно, и т. д.
Само по себе отсутствие согласия вовсе не означает, что работодатель не сможет обрабатывать персональные данные работника. Обработка без согласия возможна, если она нужна для исполнения обязанностей работодателя по закону, исполнения условий трудового договора, защиты интересов работодателя в суде и в иных случаях, указанных в ч. 2 ст. 9 Закона № 152-ФЗ. Другими словами, если вы обрабатываете только те данные работника, которые необходимы для исполнения трудового договора, согласие на это не требуется.
Если же цель обработки персональных данных под случаи, указанные в ч. 2 ст. 9 Закона № 152-ФЗ, не подпадает, обрабатывать информацию без согласия работника нельзя.
Проблема № 3. Отзыв согласия работником.
Отзыв согласия, как и его дача, — право работника. Работодатель не может уволить работника за отзыв согласия (ответ на сайте «онлайнинспекция.рф» на вопрос от 06.09.2019 № 113651). При этом, как и в случае с отказом дать согласие, сам по себе отзыв не означает, что работодатель не вправе продолжать обрабатывать данные. Компания может делать это и дальше, если изначально на обработку данных согласие не требовалось (ч. 2 ст. 9 Закона № 152-ФЗ).
Если сохранение данных больше не требуется для целей их обработки, то такие данные необходимо уничтожить или обеспечить их уничтожение третьими лицами в течение 30 дней с момента получения заявления работника. Уничтожать данные не нужно, если они еще нужны работодателю для того, чтобы исполнить возложенные на него законом обязанности.
Проблема № 4. Локализация персональных данных.
Суть локализации в том, чтобы при сборе персональных данных граждан России обеспечить их запись, систематизацию, накопление, хранение, уточнение и извлечение с использованием баз данных, которые находятся на территории нашей страны.
Чтобы требование о локализации соблюдалось, процесс обработки персональных данных нужно построить следующим образом.
1. Персональные данные изначально собираются в базе данных, расположенной в России. Например, в локальной IT-системе или в структурированном файле на локальном компьютере работодателя.
2. Изменения в персональные данные вносятся через российскую базу данных.
3. После того как данные локализованы в российской базе данных, их можно передавать в любые глобальные системы, расположенные за границей, при условии соблюдения требований о передаче данных.
Проблема № 5. Соблюдение правил обработки данных при проверках соискателей.
Часто работодатели хотят проверить соискателей и провести так называемый background checks. Например, позвонить прежнему работодателю и узнать его отзыв. Чтобы сделать все правильно с точки зрения законодательства о персональных данных, для проведения проверки надо получить согласие кандидата на обработку данных.
В согласии рекомендуем указать данные, которые вы планируете обработать, например отзывы, кредитная история и т. п., а также лиц, которым вы собираетесь передавать данные. Если в силу закона на обработку данных нужно письменное согласие субъекта, то указывать в согласии соответствующие данные обязательно.
Дополнительные трудности возникают, если работодатель хочет проверить данные о судимости кандидата, а по закону такая проверка необязательна. Дело в том, что такие данные кандидат может получить только лично, компании их не выдадут.
Юристы МКА «Корпоративная защита» обращают внимание, на необходимость правильно строить процесс обработки персональных данных. Когда данные попадают в распоряжение работодателя, он должен действовать таким образом, чтобы способствовать трудовому процессу, поддерживать его и при этом не навредить сотрудникам (по страницам журнала «Трудовые споры» №8, 2020).
