Что ИТ-системы знают о вас на работе: шокирующая правда

Вопрос о том, какие данные о сотрудниках собирают и обрабатывают информационные системы и инструменты информационной безопасности, становится всё более актуальным в контексте цифровой трансформации организаций. С одной стороны, ИТ-системы и ИБ-инструменты необходимы для эффективной работы компании, с другой — они создают серьёзные риски нарушения приватности сотрудников. Российское законодательство, в частности Федеральный закон № 152-ФЗ «О персональных данных», устанавливает строгие требования к сбору, обработке и защите информации о людях. Понимание того, какие данные собирают корпоративные системы и как их использовать законно, критически важно для руководителей, специалистов по кадрам и ИБ.

Что понимается под сбором данных в корпоративной среде

Обработка персональных данных — это не только сохранение информации в базе данных. Это комплексный процесс, который включает сбор, запись, накопление, систематизацию, использование и передачу информации. В корпоративной среде оператором персональных данных выступает работодатель или уполномоченное им лицо. Важно понимать, что даже простые действия — копирование данных кандидата в файл, звонок сотруднику по номеру телефона, удаление резюме из системы — уже считаются обработкой персональных данных и требуют правового основания. ИТ-системы и инструменты информационной безопасности постоянно взаимодействуют с информацией о сотрудниках. Это может быть автоматизированная система управления талантами (ATS), которая хранит резюме и данные кандидатов, системы контроля доступа, которые фиксируют время прихода и ухода сотрудников, или программное обеспечение для мониторинга рабочего времени. Каждая из этих систем собирает, обрабатывает и часто передаёт данные третьим лицам — поставщикам услуг, банкам, органам государственной власти.

Типы данных, которые собирают корпоративные системы

Персональные данные подразделяются на несколько категорий в зависимости от чувствительности информации и требований к их обработке.

Общие персональные данные

К этой категории относятся фамилия, имя, отчество, дата рождения, контактная информация (телефон, электронная почта), адрес проживания, индивидуальный номер налогоплательщика (ИНН) и номер страхового свидетельства государственного пенсионного страхования (СНИЛС). Также сюда входят сведения об образовании, трудовой истории, должности и подразделении. Эти данные можно обрабатывать на основании трудового договора, однако они всё равно требуют защиты от утечек и несанкционированного доступа. Типичный пример: система управления человеческими ресурсами (HRMS) автоматически собирает и хранит информацию о каждом сотруднике — от ФИО до истории зарплаты. Такие системы часто интегрируются с бухгалтерским ПО, что подразумевает передачу данных третьему лицу и требует письменного согласия сотрудника.

Специальные категории персональных данных

Закон выделяет особо чувствительные категории информации: сведения о расе, национальности, религии, политических взглядах, состоянии здоровья, сексуальной ориентации и судимости. Собирать такие данные запрещено без явного письменного согласия сотрудника, за исключением отдельных случаев, предусмотренных законом (например, медицинские осмотры, требуемые трудовым законодательством). На практике ИБ-инструменты могут косвенно собирать информацию о здоровье сотрудников. Например, системы мониторинга активности на рабочем месте фиксируют периоды неактивности, которые могут указывать на болезнь или личные проблемы. Системы контроля доступа, отслеживающие посещения офиса, могут выявить закономерности, связанные со здоровьем (частые отсутствия, ранние уходы).

Биометрические данные

Отпечатки пальцев, сканы лица, сканы радужки глаза, голосовые записи и даже фотографии (если они используются для идентификации, а не просто для портрета в пропуске) — всё это биометрические данные. Для их сбора и обработки требуется отдельное письменное согласие, особенно если они не связаны напрямую с трудовой деятельностью. Система контроля доступа с распознаванием лица, установленная в офисе, требует согласия каждого сотрудника. Аналогично, использование отпечатков пальцев для регистрации рабочего времени или доступа в защищённые помещения — это обработка биометрических данных, которая должна быть задокументирована.

Какие данные собирают ИТ-системы: практические примеры

Современные корпоративные системы собирают данные на каждом этапе взаимодействия с сотрудником — от момента подачи резюме до увольнения. На этапе рекрутмента: Автоматизированные системы управления талантами (ATS) сохраняют все резюме, портфолио, результаты тестирований, оценки интервьюеров, информацию о звонках и встречах. Каждое действие — от загрузки файла до отправки отказа кандидату — это обработка персональных данных. Компания становится оператором данных с момента получения первого резюме. Во время работы: Системы управления проектами (Jira, Monday.com, Asana) фиксируют, над какими задачами работает сотрудник, сколько времени он тратит на каждую задачу, когда был активен в системе. Системы видеоконференций (Zoom, Teams, Meet) записывают время подключения, продолжительность участия в совещаниях, иногда — содержание разговоров. Системы мониторинга рабочего времени отслеживают активность на компьютере, посещение веб-сайтов, использование приложений. В системах безопасности: Инструменты информационной безопасности собирают данные о попытках доступа, неудачных входах, скачивании файлов, отправке писем во внешние домены, подключении USB-устройств. Системы SIEM (Security Information and Event Management) агрегируют логи со всех источников, создавая детальный профиль поведения каждого сотрудника. При взаимодействии с третьими лицами: Когда компания передаёт данные в банк для оформления зарплатной карты, в страховую компанию для ДМС, в туристическое агентство для организации командировки — это тоже обработка персональных данных. Каждая такая передача требует письменного согласия.

Требования законодательства к сбору и обработке данных

Российское законодательство устанавливает чёткие рамки для работы с персональными данными сотрудников.

Определение целей обработки

Прежде всего, работодатель должен определить конкретные, заранее установленные цели сбора и обработки данных. Согласно Федеральному закону № 152-ФЗ, нельзя собирать данные «просто так» или «на всякий случай». Цели должны быть задокументированы в политике обработки персональных данных и уведомлении Роскомнадзору. Типичные цели для обработки данных сотрудников включают: - Трудоустройство и ведение трудовых отношений - Формирование и ведение личных дел - Начисление заработной платы и иные расчёты - Направление отчётности в государственные органы - Контроль количества и качества выполняемой работы - Обеспечение безопасности и сохранности имущества - Выдача служебных документов и пропусков Критически важно, что состав собираемых данных должен соответствовать установленным целям. Например, для перечисления заработной платы не нужны данные обо всех банковских счётах сотрудника — достаточно номера счёта, на который переводится зарплата.

Получение согласия

С 1 сентября 2025 года вступили в силу новые требования к согласию на обработку персональных данных. Согласие должно быть оформлено отдельным письменным документом, а не включено в текст трудового договора или другого соглашения. Согласие должно быть добровольным — работник имеет право его не дать, и работодатель не может заставлять его подписывать. В согласии должны быть указаны: - Цель обработки персональных данных - Наименование оператора (работодателя) - Перечень действий, которые будут производиться с данными - Информация о передаче данных третьим лицам (если применимо) Если целей обработки несколько, рекомендуется составить отдельную форму согласия для каждой цели.

Уведомление Роскомнадзора

С 1 сентября 2024 года организации обязаны уведомлять Роскомнадзор о намерении обрабатывать персональные данные сотрудников, включая ФИО, данные лиц, получающих разовый доступ в офис, и подрядчиков. Уведомление можно подать через портал «Госуслуги», сайт Роскомнадзора или отправив заявление в территориальный орган. Исключение составляют случаи, когда персональные данные обрабатываются исключительно в ручном виде (без использования ИТ-систем).

Получение данных от третьих лиц

По общему правилу, работодатель должен получать персональные данные непосредственно от самого сотрудника. Если компания хочет запросить информацию о сотруднике у его бывшего работодателя или других источников, она должна предварительно получить письменное согласие. При этом незаконно просить личные номера телефонов бывших коллег или руководителей.

Защита данных и ответственность компании

Даже при наличии согласия работодатель обязан обеспечить конфиденциальность персональных данных и использовать их только в указанных целях.

Внутренние документы и политики

Каждая организация должна принять Положение о хранении и использовании персональных данных работников (в соответствии со статьёй 87 Трудового кодекса). В этом документе должна быть информация о том, какие данные запрашивает работодатель, кому он имеет право их передавать, как организовано хранение и защита информации в компании. Кроме того, все сотрудники, имеющие доступ к персональным данным (специалисты отдела кадров, бухгалтерии, ИБ, администраторы ИТ-систем), должны подписать Соглашение о неразглашении персональных данных и быть проинформированы о возможной ответственности за нарушение конфиденциальности.

Хранение и уничтожение данных

Персональные данные должны храниться безопасно, защищены от несанкционированного доступа и утечек. Работодатель обязан своевременно уничтожать данные, когда они больше не нужны для достижения целей обработки. Например, данные кандидата, который не был нанят, должны быть удалены в разумный срок после завершения рекрутмента.

Административная ответственность

Нарушение требований законодательства о персональных данных может привести к административной ответственности. Например, если выяснится, что компания обрабатывает персональные данные в целях, несовместимых с теми, что указаны в политике и уведомлении, это нарушение может быть квалифицировано по части 1 статьи 13.11 Кодекса об административных правонарушениях РФ.

Практические рекомендации для компаний

Чтобы избежать нарушений и обеспечить корпоративную приватность, компаниям следует придерживаться нескольких принципов. Во-первых, проведите аудит ИТ-систем и определите, какие данные они собирают и обрабатывают. Это могут быть очевидные системы (HRMS, ATS), но также и менее заметные (системы видеоконференций, мониторинга активности, логирования в ИБ-инструментах). Во-вторых, документируйте все цели обработки и убедитесь, что они соответствуют действительному использованию данных. Не указывайте в политике одно, а делайте другое. В-третьих, получайте отдельное письменное согласие для каждой цели обработки. Не пытайтесь включить согласие в трудовой договор — это запрещено с 1 сентября 2025 года. В-четвёртых, обучите сотрудников, имеющих доступ к персональным данным, требованиям законодательства и мерам безопасности. Убедитесь, что они подписали соглашения о неразглашении. Наконец, регулярно обновляйте политики и процедуры в соответствии с изменениями законодательства. Российское законодательство о персональных данных постоянно развивается, и компании должны быть готовы к новым требованиям. Вопрос корпоративной приватности — это не просто вопрос соответствия законодательству. Это вопрос доверия между работодателем и сотрудниками. Компании, которые серьёзно относятся к защите персональных данных, демонстрируют уважение к приватности своих сотрудников и строят более здоровые трудовые отношения.