Персональные данные (ПДн) — основа работы кадровых служб. Паспортные данные, СНИЛС, ИНН, сведения о трудовой деятельности, адреса и телефоны сотрудников — всё это нужно работодателю для оформления и сопровождения трудовых отношений. Переход на КЭДО не создает «новых правил» в этой части — действуют те же законы и требования. Важно лишь понимать, какие документы оформлять, как правильно настроить систему и кто отвечает за защиту данных.

- - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Правовая основа

Обработку ПДн регулирует Федеральный закон № 152-ФЗ «О персональных данных» и глава 14 Трудового кодекса «Защита персональных данных работника». Они определяют, какие данные можно собирать, как их хранить и использовать, какие согласия нужны, а также устанавливают права работников и обязанности работодателя.

Для кадрового ЭДО это означает: любые операции с персональными данными (сбор, запись, передача, хранение, уничтожение) должны проходить в строгом соответствии с законом.

Какие документы нужны работодателю

Чтобы работать с персональными данными законно, у компании должны быть оформлены:

• Политика или Положение об обработке ПДн — описывает цели, категории данных, меры защиты и права сотрудников.
• Приказы и локальные акты — например, о назначении ответственного за работу с ПДн, о порядке доступа, хранения и уничтожения данных.
• Согласия сотрудников — требуются в случаях, прямо предусмотренных законом: например, при обработке специальных категорий данных, биометрии или передаче данных за границу.
• Поручение обработчику — отдельный договор или раздел в контракте с КЭДО-провайдером. В нём прописываются цели и действия с ПДн, меры защиты, порядок уведомления об инцидентах.

Кто за что отвечает

Здесь важно разделить роли:

• Работодатель (оператор ПДн) определяет цели и состав данных, отвечает перед сотрудниками и регулятором за законность обработки.
• КЭДО-провайдер (обработчик) действует строго по поручению работодателя, технически обеспечивает процессы и отвечает перед оператором.

Для сотрудника это означает: ответственность за его данные несёт компания-работодатель.

Права сотрудников

У работника всегда есть возможность запросить у работодателя:

• копию своих персональных данных;
• уточнение или исправление неточной информации;
• прекращение обработки и удаление данных, если цель достигнута или согласие отозвано.

Срок ответа на такие запросы ограничен законом, и компании важно выстроить процесс так, чтобы не нарушать эти требования.

Инциденты и уведомления

Если произошла утечка или неправомерный доступ к персональным данным, работодатель обязан уведомить Роскомнадзор в течение 24 часов, а в течение 72 часов — предоставить результаты внутреннего расследования.

На практике это значит, что компания должна заранее продумать порядок действий и распределить ответственность, чтобы в случае ЧП отреагировать вовремя.

Где чаще всего ошибаются

Опыт показывает, что основные трудности связаны не с КЭДО, а с подготовкой:

• отсутствует или неполное Положение о ПДн;
• не назначен ответственный за работу с данными;
• не подписано поручение с провайдером КЭДО;
• нет четкого регламента работы с запросами сотрудников.

Заключение

Важно понимать: КЭДО не вводит никаких особых правил для персональных данных. Все нормы и обязанности определяются не системой, а законом. Если компания уже соблюдает требования 152-ФЗ и ТК, то переход на КЭДО не принесёт дополнительных сложностей. Наоборот — электронные инструменты помогают сделать работу с персональными данными более прозрачной и управляемой.