Обязательно ли получать согласие на обработку персональных данных сотрудников, если их данные используются только для кадрового учета

Все организации, которые обрабатывают персональные данные сотрудников, — операторы ПДн и по общему правилу не могут обрабатывать персональные данные физлиц без правового основания, к которому относится и согласие (ст. 6, ст. 9 закона № 152-ФЗ).

Для некоторых целей кадрового учета согласие работника не требуется. Рассмотрим на конкретных примерах:

1. Обработка ПДн для исполнения трудового договора (пп. 5 ч. 1 ст. 6 закона № 152).

Согласие не нужно, если паспортные данные сотрудника вносят в трудовой договор или сохраняют номер банковской карты для перечисления зарплаты. Но обязательно получить согласие от работника, если его данные передаются в страховую компанию для заключения ДМС или в банк для оформления зарплатной карты.

2. Обработка данных для исполнения возложенных на работодателя полномочий, функций и обязанностей (пп. 2 ч. 1 ст. 6 закона № 152-ФЗ).

Для работы в опасном цехе компания может обрабатывать размер одежды и обуви работников без их согласия, так как по закону обязана обеспечивать средствами индивидуальной защиты. Если компания запрашивает размеры одежды в иных корпоративных целях, то согласие получать нужно.

Работодатели направляют сведения в СФР, трудовую инспекцию, ФНС, военкомат в соответствии с требованиями законодательства, и могут делать это без согласия. Однако, сообщить поставщику данные водителя-работника компания может только с его согласия.

3. Обработка данных о состоянии здоровья сотрудника, если связана с исполнением трудовых функций (п. 2.3 и 3 ч. 2 ст. 10 закона № 152-ФЗ).

Школа может обрабатывать данные о психическом состоянии учителей без их согласия. Заведениям общепита не нужно согласие официантов и поваров, чтобы обрабатывать их медицинские справки.

4. ПДн нужны по условиям коллективного договора, по правилам внутреннего трудового распорядка или другим ЛНА (абз. 1 п. 5 разъяснений Роскомнадзора от 14.12.2012).

Предприятию не нужно согласие работников, чтобы выдать им пропуск для прохождения на работу, если это прописано во внутренних регламентах.

5. Законная обязанность работодателя по размещению данных в интернете (п. 1 разъяснений Роскомнадзора).

Медицинское учреждение вправе публиковать информацию об образовании врачей на своем сайте без их согласия. А вот, например, автосервис может опубликовать данные об образовании механиков только с их согласия.

6. Обработка ПДн близких родственников, получение соцвыплат, оформление алиментов (п. 2 разъяснений Роскомнадзора).

Без согласия нельзя использовать дату рождения детей для новогодних поздравлений. Компания не вправе разглашать информацию о зарплате сотрудника, даже если ее запрашивает супруга для взыскания алиментов.

7. Обработка данных уволенных работников в рамках бухгалтерского или налогового учета (абз. 6 п. 5 разъяснений Роскомнадзора).

Работодатели как налоговые агенты обязаны в течение 5 лет хранить заявления уволенных работников о предоставлении налоговых вычетов с данными о рождении детей (ч. 3 ст. 24 НК).

«Действительно, согласие является одним из правовых оснований для обработки персональных данных. Однако, законодательство предусматривает и другие основания. В каждой ситуации необходимо анализировать процесс обработки и определять подходящие основания, чтобы не запрашивать согласие там, где в нем нет необходимости», — Дмитрий Будаев, технический директор Центра безопасности данных.