Кадровый электронный документооборот и обработка персональных данных
Многие говорят, что сервис КЭДО — это удобно, и мы не исключение. КЭДО помогает кадровику быстрее работать с документами, HR — расширить географию поиска кандидатов, а сотрудникам — подписывать документы удалённо. Но во внедрении сервиса КЭДО есть нюансы, например, обработка персональных данных. Во время перехода на электронное подписание кадровых документов работодатель может передавать данные сотрудника сервису. Как это сделать правильно, разбираемся в статье.
Административный штраф за нарушение ФЗ-152 «Об обработке персональных данных» для юридических лиц: 60 — 100 тысяч рублей, для должностных лиц: 10 — 20 тысяч рублей.
Оглавление
Что относится к персональным данным сотрудника?
Обработку персональных данных сотрудника регулирует ФЗ-152 и Трудовой Кодекс. Согласно этому закону, персональные данные сотрудника — любая информация, прямо или косвенно относящаяся к физическому лицу: ФИО, данные паспорта, дата рождения, фото.
Может ли сервис КЭДО обрабатывать данные сотрудника?
Сотрудник является субъектом персональных данных, а компания — оператором. Когда в компании бумажный документооборот, работодатель может сам обрабатывать персональные данные сотрудника: запрашивать их, чтобы сформировать документ, отправляет в архив, чтобы сохранить, уничтожает в шредере после истечения срока хранения. Без привлечения сторонних компаний.
В некоторых процессах работодателю может потребоваться привлечь к обработке лицо, не являющееся стороной трудовых отношений — передать данные сотрудника. Таким процессом может быть кадровый ЭДО. Когда компания переходит на КЭДО, данные сотрудника попадают в сторонний сервис: работодатель вносит информацию о сотруднике в сервис КЭДО, а сервис обрабатывает данные:
- хранит данные на защищённых серверах;
- уничтожает данные по запросу пользователя или по истечении срока хранения;
- предоставляет доступ к данным, например, техподдержка сервиса может взять контакты пользователя, чтобы помочь ему подписать документ;
- обезличивает — собирает статистику по запросам, например, сколько пользователей зарегистрировалось в сервисе. Такая статистика не содержит персональные данные и используется для контроля стабильности работы сервиса.
Чтобы это всё было законно, работодателю необходимо взять согласие на обработку персональных данных у сотрудника и заключить лицензионное соглашение с разработчиком сервиса.
Обработка персональных данных сотрудника: какие документы нужно подписать при переходе на КЭДО?
Cогласие сотрудника на обработку персональных данных.
Возможно, у вас уже есть шаблон такого согласия с правом передачи данных другому лицу, например, для присоединения сотрудника к зарплатному проекту. Можно взять шаблон и дополнить его. В согласие на передачу данных в сервис КЭДО пропишите:
- юридическое лицо, куда передаются данные
- какие данные сотрудника вы будете передавать сервису КЭДО,
- для каких целей (например, ведение кадрового электронного документооборота)
- что с ними будет делать сервис. Например, ФИО, паспорт и СНИЛС сотрудника может понадобиться сервису для регистрации аккаунта и выпуска подписи.
Поручение на обработку данных с сервисом
Большинство сервисов сами разрабатывают его, вам остаётся только проверить его. Оно может быть включено в лицензионное соглашение, по которому вам предоставили использование сервиса, или в политику обработки данных в сервисе.
В лицензионном соглашении точно должно быть прописано, кто за что отвечает, принимаемые сторонами меры для безопасности и защиты данных, какую информацию и куда сервис может передавать. Например, сервис КЭДО может отвечать за хранение документов, но для этого ему нужно передать данные сотрудника в облачное хранилище.
Проверьте алгоритм взаимодействия при утечке данных, инцидентах, запросах на уничтожение информации о сотруднике.
Кроме этих документов, для перехода на КЭДО нужно подготовить локальные нормативные акты и уведомить сотрудников. Скачивайте их шаблоны по ссылке:
К шаблонам документов
Обработка персональных данных кандидата: нужно ли согласие при подписании трудового договора через сервис КЭДО?
Если кандидат сам регистрируется в сервисе КЭДО, то именно сервис будет являться оператором его данных. Работодателю не нужно брать согласие. Кандидат сам предоставляет данные сервису, а сервис сам берёт у него согласие на обработку персональных данных. Например, в Nopaper пользователь может самостоятельно зарегистрироваться в сервисе и подписывать документы.
Но, если данные кандидата в сервис отправляет HR или кадровик — то на эти действия нужно согласие, так как это уже считается передачей данных третьему лицу, в нашем случае это сервис.
Сотрудник уволился, его данные тоже нужно удалить из сервиса КЭДО?
Всё зависит от цели обработки — зачем сервис собирал эти данные. Например, если сервис взял прочту сотрудника для рассылок полезных материалов и анонсов мероприятий, то после увольнения сотрудника его почта должна быть удалена из рассылки. Но если данные собирались для выполнения закона: обеспечения хранения, подтверждения юридической значимости подписи, то такие данные хранятся до истечения срока хранения документа. Например, трудовой договор нужно хранить 75 лет.
Как убедиться, что сервису КЭДО можно доверить обработку персональных данных?
Прочитайте лицензионное соглашение, политику обработки данных в сервисе
Уточните, какие данные собирает сервис, для каких целей. Сервис может собирать только те данные, которые могут понадобиться для подписания документов и подтверждения законности подписи. Для этого могут собираться: ФИО, пол, ИНН, СНИЛС, номер телефона, почта, паспортные данные, фото сотрудника, место работы, данные электронной подписи, данные о поведении пользователя в сервисе.
Узнайте, где будут храниться данные
По закону данные сотрудника могут храниться только на территории РФ. За хранение данных сотрудников на иностранных серверах на работодателя могут наложить штраф 1 — 6 миллионов рублей.
Критерии, на которые ещё стоит обратить внимание при выборе сервиса КЭДО?
Способ добавления пользователя в сервис
Например, если кандидат может самостоятельно зарегистрироваться в сервисе, вам не придётся брать у него согласие на обработку персональных данных, чтобы заключить с ним трудовой договор. Отвечать за обработку данных будет сервис.
Возможность интеграции с другими системами
Например, если вы используете 1С, то будет удобней, если из 1С можно сразу отправить документ на подписание. Без переключения между программами.
Гибкость работы над документом
Позволяет ли сервис отправить документ на подписание и согласование сразу нескольким участникам. В Nopaper вы можете определить, кто должен согласовать документ, какой подписью этот документ должен подписать сотрудник, а какой — работодатель.
Возможность выпускать несколько видов подписи
Для разных типов кадровых документов, нужны разные виды подписей. Например, трудовой договор сотрудник может подписать только неквалифицированной электронной подписью, а работодатель — квалифицированной подписью на токене. Подробнее об этом в статье.
Удобство сервиса
Обратите внимание, как быстро в новом сервисе вы сможете найти документ и подписать его.
Стоимость сервиса
В сервисе КЭДО вы платите за рабочее место — аккаунт сотрудника. Но кроме этого, некоторые решения берут дополнительную плату за внедрение, выпуск подписи, интеграцию и место в хранилище.
Чтобы оценить популярные системы КЭДО по этим критериям, скачивайте таблицу.
А если только начинаете погружаться в тему КЭДО, наши эксперты проведут для вас консультацию и помогут разобраться во всех нюансах.