Всегда ли работодателю нужно согласие на обработку персональных данных сотрудника

Какие ПД могут оказаться в распоряжении работодателя

Персональные данные (ПД) — это любая информация о человеке, по которой можно определить его личность. Такую информацию о работнике можно разделить на три группы.

Группа 1. Основные ПД — это сведения о человеке, которые всегда требуются для оформления и ведения трудовых отношений. Это, в частности:

•паспортные данные — ф. и. о., дата рождения, реквизиты паспорта, адрес регистрации;

•адрес проживания, телефон, email;

•сведения об образовании, квалификации, трудовом стаже;

•ИНН, СНИЛС, реквизиты банковских счетов.

Обычно такие сведения работодатель видит из документов, предъявляемых сотрудником при устройстве на работу (например, это паспорт, диплом, трудовая книжка) или получаемых для работника самим работодателем (допустим, реквизит СНИЛС при его оформлении впервые или реквизиты банковского счета при оформлении зарплатной карты).

Внимание: Обработка ПД — это их сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Группа 2. Специальные ПД — это информация о расовой и национальной принадлежности, политических и религиозных взглядах, состоянии здоровья, интимной жизни, наличии судимости.

Для работодателя такие сведения доступны на правомерной основе, только если они требуются по законодательству. Например, сведения:

•о здоровье — при проведении обязательных медосмотров при трудоустройстве или плановых медосмотров в дальнейшем при работе, для обеспечения специальных условий труда для сотрудников с ограниченными возможностями;

•о судимости работника — если это прямо предусмотрено отраслевым законодательством, допустим, при устройстве водителем легкового такси или в педагогическую сферу.

Если в вашей отрасли не установлена обязанность запрашивать информацию о судимости или о состоянии здоровья работника, а вы это делаете, то это будет считаться незаконной обработкой ПД, за что может последовать штраф:

•для должностных лиц, ИП — 50 000—100 000 руб.;

•для малых компаний — 75 000—150 000 руб.;

•для остальных организаций — 150 000—300 000 руб.

Группа 3. Биометрические ПД — это сведения, характеризующие физиологические или биологические особенности человека, при помощи которых можно установить его личность (дактилоскопия, радужная оболочка глаз, голос, анализы ДНК, изображение человека (фотография, видеозапись)).

К примеру, фотографии работника, содержащиеся в системе контроля и управления доступом (СКУД), — это биометрия, поскольку с их помощью можно определить, принадлежит ли конкретному человеку предъявляемый СКУД пропуск, установить личность человека путем сравнения фото с лицом предъявителя пропуска и указываемых им ф. и. о. с содержащимися в СКУД.

Когда ПД можно обрабатывать без письменного согласия работника

Согласие работника можно не брать, если вы обрабатываете ПД из групп 1 и 2 в целях исполнения трудового законодательства, в частности:

•для оформления сотрудника в штат, ведения внутреннего кадрового документооборота, проведения обучения по охране труда, оформления больничных, отпусков, командировок, медосмотров, обеспечения безопасности на рабочем месте и сохранности имущества работодателя. Кстати, не требуется согласие и на обработку ПД близких родственников работника, например, при внесении сведений о них для заполнения формы № Т-2 (если работодатель ее ведет), для социальных выплат или направления алиментов через работодателя;

•для опубликования и размещения ПД работников в Интернете, если такая обязанность предусмотрена законодательством. Например, на сайте образовательных или медицинских организаций должна содержаться информация о педагогических и медицинских работниках, об уровне их образования и квалификации;

•для передачи ПД работника третьим лицам в случаях, когда это необходимо в целях предупреждения угрозы его жизни и здоровью;

•для передачи ПД сотрудников в военкоматы, СФР, ФНС, профсоюзы;

•для направления ПД по мотивированным запросам органов прокуратуры, правоохранительных органов, судов, органов безопасности, трудинспекторов при проведении ими контрольных мероприятий;

•для пропускного режима у работодателя, если он самостоятельно его организует и порядок организации прохода на территорию работодателя предусмотрен коллективным договором или ЛНА;

•для предоставления ПД в банк, обслуживающий платежные карты работников, если в ЛНА, коллективном договоре или в договоре на выпуск карты предусмотрена передача работодателем ПД.

_{^{Радужная оболочка глаз — это биометрические персональные данные человека, и без его письменного согласия обработка таких ПД невозможна}}

Если сотрудник не давал письменного согласия на обработку своих ПД для перечисленных случаев или давал его, например, при приеме на работу, но потом отозвал, вы вправе обрабатывать ПД без его согласия. С 1 сентября 2025 г. никакие отдельные документы в виде согласия вам оформлять не нужно.

Но помните, что любая обработка ПД должна сопровождаться выполнением совокупности таких условий.

Условие 1. Доступ к ПД разрешен строго определенному кругу лиц, отвечающих за обработку личных сведений о работниках. Перечень должностей, на которых сотрудники отвечают за обработку ПД, должен быть закреплен в положении о защите персональных данных, утвержденном работодателем. А все ответственные за обработку ПД люди, а также имеющие доступ к ПД должны быть ознакомлены под подпись с ЛНА и иными документами (трудовым договором, должностной инструкцией), из которых следует, что они уполномочены, например, на сбор, систематизацию и хранение ПД сотрудников.

Условие 2. Все работники под подпись ознакомлены с ЛНА, в которых регулируются правила обращения с ПД. То есть все работники в курсе, какие сведения у них берутся, для чего и в каких случаях не нужно их согласие на обработку личной информации.

Условие 3. Работодатель обеспечивает правильное хранение и ограниченный доступ к документам, содержащим ПД работников.

Когда без письменного согласия не обойтись

Письменное согласие от работника нужно обязательно, если вы собираетесь обрабатывать биометрию (группа 3) или передавать ПД из групп 1 и 2 вне обязательств работодателя по трудовому законодательству. В частности, когда личная информация предоставляется:

•для взаимодействия с контрагентами. Например, ф. и. о. и личный телефон работника, который по роду деятельности должен контактировать с другими организациями, указывают в договорах с ними как данные контактного лица;

•для организации пропускного режима иной компанией, а не самим работодателем;

•для оказания услуг связи работникам;

•в маркетинговых целях, допустим, если сотрудники участвуют в опросах или маркетинговых исследованиях;

•для обслуживания зарплатных карт, если в ЛНА, коллективном договоре или в договоре на выпуск карты не предусмотрена передача работодателем ПД;

•при привлечении сторонних организаций для ведения кадрового и бухгалтерского учета;

•для размещения в открытом доступе, если обязанность выкладывать сведения о специалистах компании не предусмотрена законом;

•для заключения договоров ДМС;

•для организации мероприятий, например корпоративов или тимбилдингов.

В таких случаях:

•если сотрудник не дал письменное согласие или отозвал предоставленное ранее согласие, вы обязаны прекратить обработку ПД и не вправе передавать их третьим лицам;

•при необходимости обработки ПД с 1 сентября 2025 г. берите согласие в виде отдельного документа. Это может быть как бумажная версия, так и электронный документ, если у работодателя ведется электронный документооборот. Имеющиеся согласия, поданные в ином виде ранее указанной даты, переделывать не надо.

Внимание:

Если у работодателя нет согласия работника на обработку ПД, когда оно необходимо, или в согласии нет всех требующихся по закону сведений, то штраф:

•для должностных лиц и ИП — от 100 000 до 300 000 руб.;

•для малых компаний — от 150 000 до 350 000 руб.;

•для остальных организаций — от 300 000 до 700 000 руб.

Как составить согласие на обработку ПД

Унифицированной формы согласия законодательством не установлено, поэтому составьте его в свободной форме с учетом требований к наличию в документе необходимых сведений. В качестве примера приведем согласие на передачу ПД страховой компании для оформления ДМС.

Согласие на передачу персональных данных

Я, Васильева Ирина Анатольевна (паспорт 4500 106289, выдан 12.11.2005 ОВД «Крюково» УВД Зеленоградского округа г. Москвы, место жительства: г. Москва, Панфиловский пр-т, корп. 1539, кв. 41), в соответствии со ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» даю свое согласие работодателю — ООО «Планета» (ОГРН 1127785175231, ИНН 7723344668, адрес: г. Москва, Варшавское шоссе, д. 33) на передачу моих персональных данных для их обработки в целях оформления договора добровольного страхования со мной в качестве застрахованного ПАО «РЕОстрах» (адрес: г. Москва, Комсомольский пр-т, д. 49).

Согласна на обработку таких персональных данных:
— фамилия, имя, отчество, дата и место рождения, пол, гражданство;
— паспортные данные, адрес места жительства;
— семейное положение, сведения о членах семьи;
— номер телефона, адрес электронной почты;
— номер страхового свидетельства государственного пенсионного страхования;
— фотография;
— сведения о месте работы;
— сведения о состоянии здоровья.

Обработка — это сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных в документальной и/или электронной форме.

Настоящее согласие действует со дня его подписания до дня его отзыва мною в письменной форме.

08.08.2025

И.А. Васильева

Если работник не дает согласие или отзывает свое согласие на обработку ПД, сообщите ему под подпись о последствиях. Например, вручите уведомление, в котором бы содержалось следующее: «Ваше согласие на передачу персональных данных в ПАО “РЕОстрах” для оформления договора добровольного медицинского страхования (ДМС) не получено. Уведомляем вас о том, что при отказе дать такое согласие договор ДМС для вас оформлен не будет и вы не сможете пользоваться медицинскими услугами в рамках добровольного страхования».

Тогда у работника, отказавшегося предоставить согласие на передачу ПД, не будет оснований обвинить вас в том, что вы не обеспечили ему, скажем, ДМС, корпоративную сотовую связь или не позвали на корпоративный тимбилдинг.

* * *

Еще такой момент в отношении соискателей. Некоторые работодатели ведут базу соискателей, добавляя их в свой кадровый резерв. Его ведение действующим законодательством не регламентировано. Роскомнадзор указывает на то, что обрабатывать ПД соискателей, включенных в кадровый резерв, можно только с их согласия. Обязательным является условие ознакомления соискателя с условиями ведения кадрового резерва в организации, сроком хранения его ПД, а также с порядком исключения его из кадрового резерва. При этом согласие у соискателя на обработку его ПД с 1 сентября 2025 г. берите в виде отдельного документа.