Российское законодательство обязывает работодателей соблюдать строгие правила при работе с персональными данными сотрудников. HR-менеджеры, руководители отделов и специалисты по безопасности часто задаются вопросом: нужно ли получать отдельное согласие от сотрудника на обработку его персональных данных в рамках трудовых отношений? Проще говоря, обязаны ли мы при каждой ситуации брать у работника письменное согласие, или закон допускает обработку данных и без него? Рассмотрим это на основе российского Федерального закона № 152-ФЗ «О персональных данных» и разъяснений Роскомнадзора, простым языком.
Закон 152-ФЗ: когда можно обрабатывать данные без согласия
Закон № 152-ФЗ перечисляет основания, которые позволяют работодателю обрабатывать персональные данные законно – не всегда требуется согласие. В общем случае обработка личных данных проводится с согласия самого работника. Однако существуют исключения, особенно в сфере трудовых отношений. Роскомнадзор разъясняет, что если работодатель собирает и использует только те данные, которые необходимы для исполнения трудового договора и выполнения требований законодательства, отдельное согласие сотрудника не требуется. Например, при приёме на работу работодатель вправе запросить паспортные данные для оформления трудового договора, сведения об образовании для подтверждения квалификации, информацию о ИНН и СНИЛС, реквизиты банковского счёта для перечисления зарплаты – всё это напрямую вытекает из обязанностей работодателя и норм закона. Важно соблюдать принцип минимизации данных: объем собираемой информации должен быть ограничен целями её обработки. Нельзя требовать у сотрудника лишние сведения, не связанные с работой – например, предоставлять номера всех его банковских счетов, если для выплаты зарплаты достаточно одного счета.
Кроме того, трудовое законодательство (ст. 86 ТК РФ) предусматривает, что персональные данные работника обрабатываются исключительно для обеспечения соблюдения законов и содействия работнику в трудоустройстве, обучении и продвижении. То есть, всё, что необходимо для трудовых отношений и предусмотрено законом, можно делать без отдельного согласия. Например, работодатель может без согласия издать приказ и передать необходимые сведения в бухгалтерию для начисления зарплаты, отправить данные в налоговую службу и внебюджетные фонды (Пенсионный фонд, Фонд социального страхования) для расчёта налогов и взносов – такие передачи прямо вытекают из обязанностей работодателя consultant.ruconsultant.ru. При выполнении установленных законом обязанностей согласие работника не требуется.
Локальные акты организации также играют роль. Если сбор и использование определённых данных сотрудников прописаны во внутренних документах компании (коллективном договоре, соглашениях, правилах трудового распорядка и т.п.), утверждённых согласно ст. 372 ТК РФ, то это считается частью трудовых условий consultant.ru. В рамках этих внутренних правил работодатель также может обрабатывать данные без отдельного согласия. Разумеется, такие локальные акты не должны противоречить закону и запрашивать избыточные данные.
Примеры без необходимости согласия: Вашей компании нужно изготовить пропуск для сотрудника – вы собираете его ФИО, должность и фотографию для бейджа. Если эта мера безопасности закреплена внутренним порядком, отдельное согласие не требуется. Или, допустим, вы направляете работника в командировку: чтобы забронировать гостиницу и билеты, придётся сообщить его имя, фамилию и паспортные данные третьим лицам (турфирме, отелю). Это часть служебных обязанностей, и закон позволяет передать такие данные без согласия, так как это необходимо для выполнения трудового договора и обеспечения прав работника consultant.ru.
Отдельно про публикации по требованию закона: Есть ситуации, когда сам закон обязывает работодателя раскрыть некоторые персональные данные работников. Например, медицинские организации должны на своих сайтах публиковать сведения о врачах – ФИО, специализация, квалификация consultant.ru. Учебные заведения по требованиям законодательства размещают информацию о своих педагогических работниках (ФИО, должность, образование и т.д.). В таких случаях согласие сотрудников тоже не требуется, поскольку это прямая законодательная обязанность consultant.ru. Однако обратите внимание: размещаться должны только те данные, которые прямо указаны в законе. Любая дополнительная информация о работнике может публиковаться только с его согласия consultant.ru.
Подводя итог этого раздела: если вы обрабатываете персональные данные в пределах того, что нужно для работы и предписано законами, отдельное согласие работника обычно не понадобится. Законы уже дают на это право работодателю.
Когда согласие сотрудника обязательно
Теперь рассмотрим ситуации, когда без согласия не обойтись. Закон выделяет ряд случаев, в которых работодатель обязан получить от работника информированное добровольное согласие (чаще всего в письменной форме), прежде чем собрать или использовать данные. Ниже перечислим основные такие случаи, с разбором примеров.
Сбор дополнительных данных, не связанных с работой
Если работодатель хочет запросить у сотрудника информацию, выходящую за рамки служебной необходимости, потребуется письменное согласие. Разъяснения Роскомнадзора уточняют: когда запрашиваются персональные данные сверх объёма, требуемого для исполнения трудовых обязанностей, работодатель обязан получить письменное согласие сотрудника. К примеру, сбор фотографий сотрудников или сведений об их аккаунтах в социальных сетях без очевидной производственной необходимости требует согласия. Фото сотрудника само по себе относится к персональным данным, а при использовании для идентификации даже рассматривается как биометрическое (см. ниже про биометрию). Поэтому, если фотография нужна не для обязательного пропуска или другого обоснованного внутреннего процесса, а, скажем, для размещения на корпоративном сайте или в буклете – не забудьте получить согласие работника на использование его изображения и имени. То же самое касается любых анкет с «дополнительными» вопросами (о хобби, семьях, аккаунтах в соцсетях): если эти сведения не продиктованы законом или трудовым договором, сотрудник вправе их не предоставлять, и собирать их можно лишь на добровольной основе.
Передача персональных данных третьим лицам
Отдельное внимание – передаче данных сотрудников сторонним организациям. Российское трудовое законодательство прямо говорит: нельзя сообщать персональные данные работника третьей стороне без его письменного согласия. Иными словами, если вы привлекаете внешнюю компанию для обработки каких-либо данных – например, аутсорсинговую фирму для расчёта зарплаты, облачный сервис для хранения резюме или кадровое агентство – вы обязаны заручиться согласием работников на передачу их данных. Статья 88 Трудового кодекса РФ запрещает передавать сведения о сотруднике сторонней организации без согласия самого сотрудника. Пример: компания заключила договор с аутсорсером на ведение бухгалтерии. Чтобы бухгалтерская фирма начисляла зарплату, ей потребуется доступ к персональным данным работников (ФИО, должности, оклады, ИНН и пр.). Данные передаются вне компании – значит, от каждого сотрудника нужно получить согласие на такую передачу. Это согласие можно оформить отдельным документом или включить отдельным пунктом в трудовой договор при приёме на работу consultant.ru. Важно подробно указать, кому именно и с какой целью будут переданы данные consultant.ru. Без таких согласий передача информации аутсорсеру будет нарушением.
Обратите внимание: не всякое взаимодействие с внешними организациями требует согласия работника. Если речь идет о государственных органах (например, запрос из налоговой инспекции, передача данных в Пенсионный фонд, Фонд соцстраха или прокуратуру) в рамках закона, то согласие не нужно – у госорганов есть законное право запрашивать такие сведения consultant.ru. Но если любая другая организация запрашивает информацию о вашем сотруднике (банки, партнеры, клиенты и т.д.), сначала убедитесь, что у вас есть согласие работника на предоставление этих данных consultant.ru. Исключение может быть лишь при чрезвычайных обстоятельствах – например, когда нужно срочно передать данные медучреждению для защиты жизни и здоровья человека (и то, в рамках закона).
Публикация персональных данных в интернете
Размещение любых сведений о сотрудниках в открытом доступе (интернет, СМИ, публичные отчеты) – отдельная тема. Если обязанность опубликовать информацию не закреплена законом, как мы обсуждали ранее, то решение раскрыть персональные данные должно приниматься только с согласия самого сотрудника. Например, компания хочет разместить на своем веб-сайте фотографии и биографии сотрудников (для страницы “Наша команда” или в новостях о корпоративных событиях). Такие данные становятся доступными неограниченному кругу лиц, поэтому требуются отдельные согласия на распространение персональных данных. С 2021 года в закон № 152-ФЗ введена специальная статья 10.1, которая вводит понятие согласия на распространение персональных данных – фактически, это отдельное разрешение человека сделать его данные общедоступными. Работодатель должен получить именно такое, отдельное согласие перед публикацией сведений о сотруднике в интернете или передачи их кому бы то ни было для публичного использования. В согласии нужно указать, какие конкретно данные можно публиковать и где consultant.ru. Без выполнения этих условий размещать личные фото, имя или другие сведения о работнике на сайте компании, в соцсетях, рекламных материалах и т.п. нельзя – это грозит штрафами. Практический пример: вы готовите новость о профессиональном достижении сотрудника и хотите разместить её в соцсетях компании с фотографией героя. Обязательно получите у этого сотрудника письменное согласие (например, в виде заявления или разрешающей анкеты) на публикацию его имени, должности, фотографии и других упоминаемых данных. В согласии пропишите, где именно будет размещена информация (интернет-сайт, аккаунты в таких-то соцсетях) и цель – например, информирование о корпоративной жизни. Если сотрудник возражает, нельзя публиковать о нём материалы вопреки его желанию.
Биометрические данные: особый случай
Биометрические персональные данные – это информация о физиологических и биологических особенностях человека, позволяющая установить его личность, например отпечатки пальцев, изображение лица, радужка глаза, голосовые данные, ДНК и т.д. Российское законодательство и Роскомнадзор относят к биометрии даже фотографию или видеозапись с изображением лица, поскольку по ним тоже можно однозначно идентифицировать человека klerk.ru. Обработка любых биометрических данных сотрудников требует строгого соблюдения правил и всегда отдельного письменного согласия. Закон № 152-ФЗ прямо указывает: биометрические персональные данные работника можно собирать и использовать только с его письменного согласия (за исключением специальных случаев, вроде требований безопасности или правопорядка). Например, если в офисе вводится система контроля доступа по отпечаткам пальцев или распознавания лица, необходимо получить от всех сотрудников письменные согласия на обработку биометрии. Причем работник имеет полное право отказаться сдавать свои биометрические данные. С 1 сентября 2022 года в закон о персональных данных внесена норма, запрещающая ущемлять права человека за отказ дать биометрию. Это значит, что если сотрудник не хочет, например, чтобы вы сканировали его отпечаток пальца для учета рабочего времени, работодатель не вправе применять к нему какие-либо санкции за отказ. Нельзя отказать в приёме на работу, лишить премии или уволить лишь потому, что человек не согласен на обработку его биометрических данных. Работодателю в такой ситуации следует предложить альтернативу (к примеру, использовать обычные электронные пропускные карты вместо биометрического терминала для тех, кто не дал согласие).
Важно помнить, что биометрические и иные чувствительные категории персональных данных (например, сведения о здоровье, о частной жизни, о судимостях, религиозных взглядах и т.п.) обладают повышенной защитой по закону. Их обработка либо запрещена, либо допускается только в ограниченных случаях, предусмотренных законом, либо с явного согласия работника. Например, данные о состоянии здоровья работодатель может обрабатывать без согласия лишь в том объеме, который связан с трудовыми обязанностями (медицинские заключения о профпригодности, результаты обязательных медосмотров). Во всех прочих случаях (скажем, сбор справок о состоянии здоровья, не требуемых напрямую для работы) нужно сперва получить согласие сотрудника.
Отзыв согласия и право отказаться
Стоит упомянуть ещё два важных момента, связанных с согласием. Во-первых, сотрудник вправе в любой момент отозвать ранее данное согласие на обработку своих данных. Закон не требует указывать причину – человек может просто передумать, и работодатель обязан прекратить ту обработку, которая основана исключительно на согласии. Однако это не означает, что нужно сразу удалить все сведения о сотруднике: если для каких-то данных есть другие законные основания обработки (например, хранение документов для налогового учета, выполнение трудового договора), работодатель может продолжить их обработку уже без согласия. Во-вторых, как уже отмечалось, недача или отказ от согласия не может влечь отрицательных последствий для работника. Если человек, к примеру, отказался заполнить анкету с дополнительными сведениями о себе или не согласился на фотосъёмку для сайта, это не может быть основанием для отказа в приеме на работу, увольнения или дисциплинарного взыскания. Работодатель должен уважать решение сотрудника и либо не обрабатывать эти данные, либо найти другой законный способ достижения цели.
Штрафы и последствия нарушений
Несоблюдение требований закона о персональных данных может обернуться для работодателя серьезными проблемами. Роскомнадзор уполномочен проверять компании и привлекать нарушителей к ответственности. Основной риск – административные штрафы. С мая 2025 года размеры штрафов были повышены: для организации (юридического лица) штраф за незаконную обработку персональных данных или отсутствие нужного согласия может достигать до 300 000 рублей. Должностные лица (например, ответственные менеджеры) могут быть оштрафованы на сумму до 100 000 рублей. Если нарушение совершается повторно, штрафы возрастают вплоть до 500 000 рублей для компании. Замечу, что штрафы предусмотрены за каждый эпизод нарушения, поэтому цена несоблюдения закона может оказаться высокой.
Кроме денежных санкций, возможны и другие неприятности. Роскомнадзор может выдать предписание об устранении нарушений, и компании приходится срочно приводить свои процессы в порядок. В тяжелых случаях (например, систематическое нарушение или утечка персональных данных) дело может дойти до судебных разбирательств, приостановки операций с данными и даже уголовной ответственности должностных лиц. В частности, разглашение личной информации без согласия может подпадать под статью 137 УК РФ (нарушение неприкосновенности частной жизни) или повлечь иски от пострадавших работников о компенсации морального вреда. Не стоит забывать и о репутационных потерях: сотрудники, узнавшие о пренебрежении их правами, теряют доверие к работодателю, а информация о штрафах за нарушение закона может негативно сказаться на имидже компании.
Пример из практики: в одном случае работодатель без согласия разослал персональные данные уволенного сотрудника (контакты, причину увольнения) другим организациям. Бывший сотрудник пожаловался, и в результате компании был выписан штраф по ст. 13.11 КоАП РФ за незаконную передачу данных, а она же вынуждена была приносить публичные извинения. Такой ситуации можно было легко избежать, соблюдая требования закона.
Выводы и рекомендации для работодателей
Таким образом, нужно помнить главное правило: отдельное согласие работника на обработку персональных данных требуется не всегда, а только тогда, когда вы выходите за рамки обычных трудовых нужд и законов. Все, что продиктовано трудовым договором и прямыми обязательствами работодателя, можно делать без согласия. Во всех остальных случаях – особенно при сборе дополнительных сведений, передаче данных наружу, обработке чувствительной информации – необходимо получить информированное согласие сотрудника. Ниже мы сформулировали рекомендации, которые помогут соблюсти баланс между эффективной работой с данными и выполнением законодательных норм:
Собирайте и используйте только нужные данные. Придерживайтесь принципа минимизации: не запрашивайте у работников сведения «про запас». Если данные требуются по закону или для исполнения договора – смело обрабатывайте. Если информация дополнительная – лучше перестраховаться и взять согласие, либо отказаться от избыточного сбора.
Получайте согласия в письменном виде для особых случаев. Когда планируется что-то вне обычной рутины (например, разместить фото на сайте, передать информацию подрядчику, внедрить систему распознавания лиц), оформляйте у сотрудников письменные согласия. В них пропишите цель, перечень данных, действия с ними и получателей данных. Такой документ защитит в случае проверки. Согласие можно включить в трудовой договор при приёме или оформить отдельным бланком – оба способа законны, если выполнены требования к содержанию согласия.
Уважайте право сотрудника отказаться. Объясняйте работникам, зачем вам нужно их согласие в том или ином случае, но помните: человек имеет право сказать «нет». Не давите и не наказывайте за отказ предоставить данные или согласие – это противозаконно. Лучше заранее продумать альтернативные варианты (не хочет сотрудник сдавать биометрию – предоставьте ему другой способ учета рабочего времени и доступа).
Обеспечьте конфиденциальность и безопасность данных. Даже законно получив данные (с согласия или без), работодатель обязан хранить их в тайне и защищать от утечки. Убедитесь, что в компании приняты меры защиты: ограничен круг лиц, имеющих доступ к персональным данным, используются пароли, шифрование, шкафы с замками для бумажных носителей и т.д. Если привлекаете сторонние организации, заключайте с ними соглашения о конфиденциальности и соблюдении 152-ФЗ.
Будьте в курсе актуальных требований. Закон о персональных данных периодически обновляется, а Роскомнадзор выпускает разъяснения. Например, недавно ужесточились штрафы за нарушения. Назначьте ответственного за персональные данные в организации (это требование ст. 22.1 152-ФЗ) и регулярно обучайте ответственных сотрудников основам законодательства. В случае сомнений – проконсультируйтесь с нами.
Следуя этим рекомендациям, вы сведёте к минимуму риски штрафов и споров, а главное – выстроите доверительные отношения с персоналом в вопросах их персональных данных. Уважение права на приватность сотрудников – часть современной корпоративной культуры. Работодатель, который грамотно и законно обращается с персональными данными, защищает не только работников от нарушений, но и себя от претензий и санкций. Сделайте работу с персональными данными прозрачной и законной – и тогда вопрос согласия сотрудников перестанет быть «головной болью», а станет рабочей рутинной процедурой, понятной всем участникам процесса.
Больше информации в телеграмм-канале.
