Персональные данные
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному физическому лицу.
Каждый раз, когда кандидат отправляет резюме, а сотрудник подписывает трудовой договор, компания начинает обрабатывать персональные данные. ФИО, контакты, паспортные данные, сведения о зарплате, медицинские справки — всё это информация, которая касается конкретного человека и требует особого обращения. Персональные данные — любые сведения, относящиеся к прямо или косвенно идентифицированному физическому лицу: от имени и адреса до записей о трудовой деятельности и результатах оценки.
В HR-процессах персональные данные проходят через весь жизненный цикл сотрудника: найм, оформление трудового договора, Performance Review, кадровый учёт, расчёт зарплаты, обучение и увольнение. На каждом этапе данные собираются, хранятся, передаются внутри компании и нередко — внешним подрядчикам. Именно поэтому системный подход к их защите важен не как формальность, а как реальный инструмент управления рисками.
Для сотрудника знание о том, как компания работает с его данными, — часть трудовых прав. Работник вправе знать, какие данные о нём хранятся, на каком основании, кто имеет к ним доступ и как долго они будут использоваться. Прозрачность в этих вопросах — признак зрелой кадровой политики и одна из составляющих социального партнёрства на предприятии.
Какие данные считаются персональными в HR-контексте
Не всякая информация о человеке является персональными данными в правовом смысле — важно, позволяет ли она идентифицировать конкретное лицо. В HR-практике перечень таких данных охватывает несколько уровней чувствительности.
| Категория | Примеры данных | Уровень чувствительности |
|---|---|---|
| Идентификационные | ФИО, дата рождения, паспортные данные, личный номер | Высокий |
| Контактные | Адрес, телефон, email | Средний |
| Трудовые | Должность, стаж, сведения о взысканиях, результаты оценки | Средний–высокий |
| Финансовые | Номер банковского счёта, размер зарплаты, налоговые данные | Высокий |
| Специальные категории | Состояние здоровья, инвалидность, беременность, судимость | Очень высокий |
Правовые основания для обработки данных
Обработка персональных данных в Беларуси регулируется Законом «О защите персональных данных». Наниматель не вправе собирать любые данные по своему усмотрению — для каждого вида обработки необходимо законное основание. Основные из них: исполнение трудового договора, согласие работника, выполнение требований законодательства (например, ведение кадрового учёта), защита жизненно важных интересов.
На практике это означает: при найме компания вправе запросить документы, необходимые для оформления трудового договора. Собирать данные «на всякий случай» или хранить их дольше, чем требует закон, — нарушение. Сотрудник также вправе отозвать согласие на обработку данных, не связанную с исполнением договора, — например, на публикацию фотографии в корпоративных материалах.
Обязанности нанимателя как оператора данных
Компания, обрабатывающая персональные данные сотрудников и кандидатов, является оператором и несёт полный спектр обязанностей по их защите. Это не только технические меры (шифрование, доступ по ролям), но и организационные: регламенты, обучение персонала, контроль подрядчиков.
| Обязанность оператора | Что это значит на практике |
|---|---|
| Принцип минимизации данных | Собирать только то, что необходимо для конкретной цели |
| Ограничение доступа | Доступ к данным — только у тех сотрудников, кому это нужно по роли |
| Сроки хранения | Данные хранятся не дольше, чем требует законодательство или цель обработки |
| Уведомление субъекта | Работник должен быть информирован о том, какие данные и зачем собираются |
| Защита при передаче | Передача данных третьим лицам — только при наличии оснований и мер защиты |
| Реагирование на инциденты | Утечка данных требует уведомления регулятора и пострадавших лиц |
Права работника в отношении своих данных
Сотрудник как субъект персональных данных имеет конкретные права, закреплённые законом. Он вправе запросить, какие данные о нём хранит компания, потребовать их исправления при ошибках, а в ряде случаев — удаления. На этапе найма кандидат вправе отказаться предоставлять данные, не предусмотренные законодательством.
На практике сотрудники редко пользуются этими правами активно — зачастую потому, что не знают о них. HR-специалисту полезно включать краткую информацию о правах работника в документы при оформлении: это снижает риск претензий и формирует доверие. При проведении Performance Review или при работе со средствами индивидуальной защиты на производстве компания также собирает данные — и обязана информировать об этом работника.
Типичные риски при работе с персональными данными в HR
Большинство инцидентов с персональными данными в HR возникают не из-за злого умысла, а из-за небрежности: отправка документов на неверный адрес, хранение данных в открытых папках, передача резюме без согласия кандидата, долгое хранение анкет отказников. Каждый из этих случаев — потенциальное нарушение закона и повод для претензий.
Особую зону риска представляют подрядчики: рекрутинговые агентства, провайдеры HR-систем, аутсорсинговые бухгалтерии. Передавая им данные, компания остаётся ответственным оператором. Договоры с такими контрагентами должны включать обязательства по защите данных и право на аудит.
Какие персональные данные работодатель вправе запрашивать при найме?
Документы, необходимые для заключения трудового договора и выполнения требований законодательства: паспорт, трудовая книжка, документы об образовании, военный билет (при необходимости), справка о состоянии здоровья (для отдельных должностей). Данные, не предусмотренные законом или не связанные с трудовыми функциями, можно запрашивать только с письменного согласия кандидата.
Как долго компания может хранить персональные данные уволенного сотрудника?
Сроки хранения определяются законодательством об архивном деле и кадровом делопроизводстве. Часть документов (личные карточки, приказы) хранится 75 лет. Данные, не имеющие установленного срока хранения, должны уничтожаться после достижения цели обработки. Хранить данные «на всякий случай» без законного основания недопустимо.
Вправе ли работодатель передавать данные сотрудника третьим лицам?
Да, но только при наличии законного основания: согласия работника, требования закона (например, передача данных в ФСЗН, налоговые органы) или договорной необходимости. Передача данных рекрутинговым агентствам, HR-системам, страховым компаниям оформляется отдельно — с указанием цели и мер защиты.
Что делать сотруднику, если он обнаружил утечку своих данных?
Зафиксировать факт, письменно обратиться к нанимателю с требованием объяснить обстоятельства и принятые меры. При неудовлетворительном ответе — обратиться в уполномоченный орган по защите персональных данных. Если утечка нанесла ущерб, работник вправе требовать его возмещения.
Нужно ли согласие на обработку данных при заключении трудового договора?
Для данных, необходимых для исполнения трудового договора, отдельное согласие не требуется — это законное основание само по себе. Согласие нужно для обработки данных, выходящих за рамки трудовых обязанностей: публикация фотографий, передача данных партнёрам для немедицинских целей, сбор биометрии.
Как HR защитить данные при работе с внешними подрядчиками?
Включить в договор с подрядчиком обязательства по защите данных и условия об ответственности за нарушения. Передавать только минимально необходимый объём данных. Регулярно проверять, как подрядчик выполняет эти условия. При использовании облачных HR-систем убедиться, что данные хранятся на серверах в допустимых юрисдикциях согласно белорусскому законодательству.