Что относится к персональным данным с точки зрения кандидата и работодателя?

Персональные данные (ПД) — это любая информация, которая прямо или косвенно относится к физическому лицу. С точки зрения рекрутмента — это почти все сведения, которые собирают о кандидате — субъекте персональных данных: Ф. И. О., опыт работы, доходы, образование.

Оператор — потенциальный работодатель.

Обработчик — тот, кто обрабатывает персональные данные по поручению оператора. Обработчиками в рекрутменте выступают кадровые агентства, job-сайты, ATS и CRM-системы — те, кого работодатель нанял для поиска новых сотрудников.

У потенциального работодателя — как оператора персональных данных — должны быть основания для их обработки. Самое подходящее — согласие кандидата. Важно, что обработчик не отвечает за сбор согласия. Даже если компания собирает персональные данные не напрямую, а через job-сайты, получить основание на обработку ПД — ответственность работодателя.

Важное в работе с персональными данными

За последний год на рассмотрение парламентариев было внесено несколько громких законопроектов, связанных с ПД; часть инициатив утвердили. Один из самых обсуждаемых документов, который уже вступил в силу, меняет порядок обращения с персональными данными граждан.

В первую очередь это касается регулирования распространения ПД. С 1 марта 2021 года вступили в силу изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», а с 1 сентября 2021 года начал действовать приказ Роскомнадзора, в которых прописаны основные требования к форме согласия на обработку ПД.

Согласно статье 10.1 Федерального закона «О персональных данных»:

• Понятие «персональные данные, сделанные общедоступными субъектом персональных данных» заменили на другую формулировку — «персональные данные, разрешённые субъектом персональных данных для распространения».

• Распространение — действия, направленные на раскрытие персональных данных неопределённому кругу лиц. Теперь это вид обработки, требующий получения отдельного согласия у кандидата.

• Перед обработкой данных, полученных из разных источников (социальные сети, сайты по поиску работы), оператор должен проверять наличие согласия или другого основания для обработки таких сведений. Для этого сто́ит уточнять у владельцев job-сайтов, есть ли согласие на распространение ПД и для каких целей оно получено у соискателя.

• Оператор должен доказать законность сбора и последующего использования персональных данных кандидатов из открытых источников.

Что это значит

Объясняет Екатерина Метелкина, юрист hh.ru, эксперт по персональным данным: теперь работодатель должен проверять наличие согласия от кандидата не только на обработку, но и на распространение личной информации о нём (даже если собирает данные из открытых источников).

Галочки под пользовательским соглашением недостаточно — должен быть отдельный документ, электронная форма на сайте. В этом документе должны быть поля, где человек может указать, какие ПД он не разрешает распространять или разрешает с определёнными условиями. Рекрутер обязан отслеживать содержание такого согласия.

9 обязательных пунктов в согласии на обработку персональных данных

Что должно быть в форме сбора ПД, согласно приказу Роскомнадзора от 24.02.2021 № 18:

1. Ф. И. О. кандидата.

2. Контакты (телефон, адрес электронной почты или почтовый адрес).

3. Сведения об операторе: организации (наименование, адрес, ИНН, основной государственный регистрационный номер), физлице — специалисте по подбору персонала (Ф. И. О., место жительства/пребывания), ИП (Ф. И. О., ИНН, основной государственный регистрационный номер).

4. Сведения об информационных ресурсах оператора — адреса, состоящего из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и названия файла веб-страницы, — на которых будут опубликованы персональные данные пользователя.

5. Цели обработки персональных данных. В рекрутменте их две: трудоустройство и кадровый резерв.

6. Категории и перечень ПД, на обработку которых кандидат даёт согласие.

7. Категории и перечень ПД, для обработки которых соискатель устанавливает условия и запреты, список запретов (по желанию).

8. Условия, при которых полученные данные оператор может распространять только по его внутренней сети, к которой есть доступ у определённых сотрудников.

9. Срок действия согласия. Если цель — трудоустройство, согласие действует 30 дней. Если цель — кадровый резерв, срок можно увеличить при согласии соискателя.

Роскомнадзор подготовил сервис, куда можно направить текст согласия на обработку персональных данных, чтобы проверить, соответствует ли оно актуальным требованиям, и получить рекомендации.

Миллионные штрафы — кого коснутся и при чём здесь Google Таблицы

Параллельно с бурными дискуссиями о новых законодательных ужесточениях возникло сразу несколько громких дел зарубежных компаний, связанных с обработкой персональных данных. Претензии Роскомнадзора заключались в нарушении требований локализации ПД граждан на территории РФ.

По мнению наших экспертов, такие проблемы могут затронуть не только крупный международный бизнес, но и российские частные компании, которые, например, используют Google Таблицы для хранения и обработки личной информации кандидатов.

Объясняет Юрий Донников, директор юридического департамента и комплаенса hh.ru: работодатель обязан обеспечить запись, систематизацию, хранение, уточнение и извлечение этих сведений россиян с использованием баз данных на территории РФ. В прошлом году ряд иностранных компаний, причём не только крупных, получили письма с требованием подтвердить факт локализации ПД на территории РФ. Такое положение внесено согласно Федеральному закону № 242-ФЗ от 01.09.2015. Штрафы очень чувствительные — до 6 млн ₽ для юрлица за первое нарушение, до 18 млн ₽ за повторное (ч. 8–9 ст. 13.11 КоАП РФ).

Распространённая ситуация: рекрутер работает с персональными данными кандидатов (Ф. И. О., контакты, ссылка на резюме или выдержки из него) в облачном хранилище. Часто им выступают Google Таблицы. Это плохая практика, так как вы не можете выбрать локацию размещения сервера, где хранятся данные. Облако Google может находиться в странах, не подпадающих под требования российского законодательства о трансграничной передаче ПД другим странам (ст. 12 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

В таком случае при проверке компания не сможет предоставить информацию о том, где хранятся ПД. Отсюда высоки риски штрафов. Кроме того, вы не управляете системой доступа — были прецеденты, когда информация, хранящаяся в облачных файлах, становилась общедоступной.

Как соблюдать закон о ПД? Используйте ATS-систему

ATS (от англ. applicant tracking system — система управления кандидатами) позволяет автоматизировать процесс подбора персонала и соблюдать российское законодательство в части обработки и распространения персональных данных. Сложность в том, что система управления подбором персонала должна соответствовать государственным техтребованиям. Перечень пунктов большой. И помните: техническая защита ПД — это не разовое мероприятие. Вы должны периодически проводить проверку, правильно ли всё настроено и как работает.

Советует Сергей Кортиков, независимый консультант по информационной безопасности: проследите, чтобы у провайдера была лицензия на техническую защиту информации. Удобное решение — ATS как услуга, что снимет с вас риски технического несоответствия. Главное — проанализировать компанию и услугу и убедиться, что все требования 152-ФЗ соблюдены.

В Talantix учтены все аспекты, связанные с получением согласия субъекта и хранением его данных, так как hh.ru учитывает и реализует все технические требования к защите ПД, регулярно привлекает внешних специалистов для анализа соответствия таких требований. Также в Talantix есть автоматический запрос на обработку персональных данных.

5 критериев выбора ATS-системы

Марина Хадина, директор по развитию Talantix, даёт пять советов, как избежать рисков: 

1. Обратите внимание на то, как система запрашивает согласие на обработку персональных данных. Если резюме приходят из разных источников, должно быть предусмотрено согласие на обработку ПД, разрешённых к распространению. Если есть сомнения, что сторонний онлайн-ресурс не собирает согласия соискателей, лучше дополнительно его запросить.

2. Посмотрите, как оформлено согласие на обработку ПД. Должны быть указаны цели сбора — трудоустройство и кадровый резерв.

3. Проверьте, соблюдаются ли в системе требования по локализации данных. Например, серверы Talantix располагаются на территории РФ. В этом случае система может выступать как первичная база данных, при этом вторичная база может находиться за пределами России, что актуально для зарубежных компаний.

4. С точки зрения техтребований — выясните, есть ли у центра обработки данных, где размещается инфраструктура системы, есть ли лицензия на техническую защиту информации, разработана ли модель защиты от киберугроз.

5. Убедитесь, что предусмотрены регулярные обновления системы с учётом изменений в законодательстве.

Закон о распространении ПД — только начало большой работы по ужесточению правил обращения с персональными данными. Но это не должно стать проблемой для компаний, если они следят за автоматизированными решениями и предложениями по хранению и обработке данных. Крупные провайдеры держат руку на пульсе, чтобы помочь HR-сообществу и бизнесу учесть все детали.

Попробовать Talantix