Защита персональных данных

Защита персональных данных — меры и процедуры по законной обработке, хранению и защите данных сотрудников и кандидатов от утечек и неправомерного доступа.

Каждый раз, когда HR-менеджер открывает личное дело сотрудника, запрашивает справку о доходах или передаёт анкету кандидата руководителю — он работает с персональными данными. Сами по себе эти действия не опасны, но без выстроенных процессов любой такой шаг может обернуться утечкой, штрафом или судебным иском. Беларусское законодательство прямо обязывает нанимателей защищать данные работников, и незнание правил здесь не снижает ответственности.

HR работает с чувствительной информацией: документы, контакты, зарплаты, медданные, результаты оценок. Ошибка в обращении с такими данными может привести к утечке, штрафам и потере доверия сотрудников. Защита персональных данных — это меры и процедуры по законной обработке, хранению и защите данных работников и кандидатов от утечек и неправомерного доступа. Сюда входят правовые основания обработки, ограничения доступа, регламенты хранения, уничтожение данных, техническая защита и обучение персонала.

На практике защита данных требует системного подхода: инвентаризация процессов, классификация данных, контроль доступа по ролям, аудит подрядчиков и регулярные проверки соблюдения правил. Также важно выстраивать прозрачную коммуникацию: сотрудники и кандидаты должны понимать, какие данные собираются и зачем. Чем выше зрелость процессов, тем ниже риск инцидентов и конфликтов.

Правовая база в Беларуси

Основой служит Закон РБ «О персональных данных» от 7 мая 2021 г. № 99-З, который вступил в силу в 2022 году. Он определяет понятие персональных данных, условия их обработки, права субъектов и обязанности операторов. Трудовой кодекс РБ дополняет эти требования применительно к трудовым отношениям: наниматель обязан обеспечить конфиденциальность сведений о работнике и использовать их только в служебных целях.

Для HR ключевые требования закона: наличие правового основания обработки (согласие, договор, законодательство), соразмерность собираемых данных цели, ограничение срока хранения, уведомление сотрудников об их правах. Уполномоченный орган по защите персональных данных в Беларуси — Национальный центр защиты персональных данных (НЦЗПД).

Какие данные HR обрабатывает и как их классифицировать

Не все данные одинаково чувствительны, и подход к ним должен это отражать. Практичная классификация помогает расставить приоритеты защиты и не тратить ресурсы там, где риски минимальны.

Категория данных Примеры Уровень чувствительности
Идентификационные ФИО, паспортные данные, адрес, телефон Высокий
Финансовые Зарплата, реквизиты счёта, налоговые сведения Высокий
Специальные категории Здоровье, инвалидность, беременность Максимальный
Трудовые Должность, стаж, взыскания, результаты оценок Средний
Рекрутинговые Анкеты кандидатов, результаты тестов Средний
Технические Логины, IP-адреса систем, данные пропусков Средний

Специальные категории (здоровье, вероисповедание, политические взгляды) требуют отдельного согласия на обработку данных и повышенного уровня защиты. Их нельзя передавать без явного правового основания даже внутри компании.

Организационные меры защиты

Организационные меры — это политики, регламенты и процедуры, которые определяют, кто, как и зачем работает с данными. Без них даже самые современные технические средства не дают реальной защиты.

  • Политика обработки персональных данных — документ, который описывает все процессы работы с данными в компании.
  • Ролевой доступ — каждый сотрудник HR видит только те данные, которые нужны для его функции.
  • Соглашения о конфиденциальности с сотрудниками и подрядчиками, получающими доступ к данным.
  • Регламент уничтожения данных — порядок и сроки удаления информации по истечении её необходимости.
  • Журнал инцидентов — фиксация любых событий, связанных с нарушением режима данных.

Технические меры защиты

Технические средства дополняют организационные: они снижают вероятность ошибки и ограничивают последствия инцидентов. Для HR-отдела критически важны несколько направлений.

  • Шифрование файлов с персональными данными и каналов их передачи.
  • Двухфакторная аутентификация для доступа к HR-системам и личным делам.
  • Журналирование доступа — запись о том, кто и когда открывал данные.
  • Антивирусная защита и своевременное обновление программного обеспечения.
  • Резервное копирование с контролем доступа к резервным копиям.

HR и жизненный цикл данных сотрудника

Данные о человеке появляются ещё на этапе отклика на вакансию и сопровождают его весь трудовой путь вплоть до нескольких лет после увольнения. Понимание этого цикла помогает HR грамотно выстраивать процессы на каждом этапе.

Этап Данные Ключевые требования
Рекрутинг Резюме, анкета, результаты тестов Получить согласие кандидата, удалить данные при отказе
Приём на работу Паспорт, трудовая книжка, договор Хранить строго в личном деле с ограниченным доступом
Работа в компании Зарплата, отпуска, взыскания, оценки Доступ только у профильных HR и прямого руководителя
Увольнение Приказ, расчётный лист, трудовая книжка Часть данных хранится по срокам архива
После увольнения Архив личного дела Соблюдать сроки хранения по законодательству РБ

Оформление срочного трудового договора или обычного контракта — это уже момент, когда данные фиксируются документально, и с этой точки начинается обязательный режим их защиты.

Права сотрудников в отношении их данных

Закон «О персональных данных» наделяет каждого работника рядом прав, о которых HR должен информировать. Эти права нельзя ограничить внутренними документами компании — они установлены законодательно.

  • Право на получение информации о том, какие данные хранятся и обрабатываются.
  • Право на исправление неточных или устаревших данных.
  • Право на удаление данных по истечении срока их обработки.
  • Право на отзыв согласия — если обработка велась на основании согласия на обработку данных.
  • Право на обращение в НЦЗПД при нарушении своих прав.

На встречах формата One-on-One сотрудник может задать HR вопросы о своих данных — специалист обязан ответить или направить к ответственному лицу компании.

Какие данные HR обязан защищать в первую очередь?

Паспортные и контактные данные, сведения о зарплате, документы трудовых отношений, данные о здоровье и любые другие персональные данные сотрудников и кандидатов. Особое внимание — специальным категориям: здоровье, беременность, инвалидность. Они обрабатываются только при наличии явного правового основания.

Что чаще всего нарушают при обработке персональных данных?

Избыточный сбор данных, отсутствие ограничений доступа, некорректное хранение, несоблюдение сроков удаления и передача данных без достаточных оснований. Также распространённая ошибка — отсутствие актуального согласия на обработку данных при обращении с данными кандидатов.

Как снизить риск утечки персональных данных в HR?

Ввести ролевой доступ, шифрование и журналирование, обучать сотрудников, регулярно проверять процессы и проводить аудит подрядчиков. Начните с инвентаризации: составьте список всех точек, где данные собираются, хранятся и передаются.

Нужно ли брать согласие у кандидатов на обработку резюме?

Да. По белорусскому законодательству при сборе данных кандидата необходимо правовое основание — как правило, это согласие на обработку данных. Если кандидат не принят, его данные следует удалить в разумный срок, если иное не предусмотрено его согласием.

Что делать, если произошла утечка персональных данных?

Зафиксировать инцидент, локализовать источник, уведомить НЦЗПД в установленные сроки и информировать пострадавших субъектов данных. В компании должен быть утверждённый план реагирования на инциденты — его наличие смягчает последствия при проверке.

Как защита данных связана с социальным партнёрством?

Социальное партнёрство предполагает открытость в трудовых отношениях, и вопросы защиты персональных данных могут быть включены в коллективный договор. Профсоюз вправе инициировать аудит и следить за соблюдением прав работников в части обработки их персональных данных.