К персональным данным компании сегодня относятся очень осторожно и «трепетно». Хотя бы потому, что в конце 2019 г. штрафы за нарушения могут исчисляться миллионами. О чем ясно говорит ст. 13.11 КоАП РФ. Но без этой информации работа HR все равно невозможно.

Для начала стоит вспомнить Положение о персональных данных. Есть ли такое в вашей компании. Оно должно регулировать все «от А до Я»: что считается такой информации, где, когда и для чего она используется, и как вы согласовываете это с сотрудниками.
Шаблон - Форма согласия обработки персональных данных

А самый показательный пример, связанный с персональными данными, - это начисление зарплаты. Вспомните, подписывают ли ваши сотрудники согласие на отправку личных данных для начисления зарплаты. Скорее всего, такого документа нет. Чаще всего, работники знакомятся с самим Положением о персональных данных, где вопрос зарплаты может быть указан. А может быть – и не указан. В любом случае зарплату вы платите, банк ее начисляет, и никаких вопросов не возникает. И вдруг сотрудник заявляет, что больше не хочет предоставлять вам персональные данные. Как быть? Между прочим, подобная история – отнюдь не редкость.

Один из ярких примеров в нашей практике случился в ноябре 2019 г. Крупной фармацевтической компании мы помогали реализовать проект в сфере защиты персональных данных. Мы как раз готовили документальный фонд, чтобы сотрудники дали свои согласия на обработку данных, а работодатель был полностью защищен перед законом. В этот момент HR получает заявление от одного сотрудника. Работник отозвал свое согласие на передачу его личной информации. В компании сразу же возник вопрос: как теперь начислять зарплату?

По нашему опыту мы прекрасно знаем, лишь немногие готовы организовать кассу у себя: это хлопотно, затратно и крайне неудобно для работодателей. Тем не менее, отозвать свое согласие человек вправе. Вам в этом случае необходимо прекратить обработку данных и уничтожить их в течение 30 дней. Например, если информация обрабатывается страховой компанией или бизнес-центром, в котором находится ваша организация. Но это не повод для паники.

Позиция BLS однозначна – прекращать и уничтожать надо далеко не все. Более того, в ряде случаев вы просто обязаны «продолжать начатое». Есть как минимум 2 причины, когда это надо делать. Например, мы рассказали клиенту, что для документального оформления трудовых отношений вы продолжите обрабатывать данные, а вот для изготовления визиток и банковских карт – нет. Соответственно, для начисления зарплаты вы также можете предоставлять данные в банк и спокойно начислять зарплату. Важно лишь правильно обосновать и оформить этот «порыв» человека, чтобы вы не переживали о возможном нарушении закона о защите персональных данных. А для этого, как правило, достаточно рассказать сотруднику о том, когда вам надо получать его согласие, а когда – нет, потому что этого требует закон. А чтобы вам было легче ориентироваться - скачайте как пример наш образец Положения о ПД.