Закон о персональных данных: как его соблюдать и на что обратить внимание, если вы собираете команду
на главную спецпроекта
Talantix
Лучшее из мира digital #5 Лучшее из мира digital #3 Россия первая в Европе по числу интернет-пользователей. Что это значит для Рунета? Shoppertainment: почему стримы точно помогут вашим интернет-продажам Проект «Пищевая ценность»: как мы достигли более 3 миллионов охватов практически без вложений
Закон о персональных данных: как его соблюдать и на что обратить внимание, если вы собираете команду

Разбираемся в главных терминах, актуализируем форму сбора ПД и выбираем правильную ATS-систему, чтобы избежать рисков.

Что относится к персональным данным с точки зрения кандидата и работодателя?

Персональные данные (ПД) — это любая информация, которая прямо или косвенно относится к физическому лицу. С точки зрения рекрутмента — это почти все сведения, которые собирают о кандидате — субъекте персональных данных: Ф. И. О., опыт работы, доходы, образование.

Оператор — потенциальный работодатель.

Обработчик — тот, кто обрабатывает персональные данные по поручению оператора. Обработчиками в рекрутменте выступают кадровые агентства, job-сайты, ATS и CRM-системы — те, кого работодатель нанял для поиска новых сотрудников.

Если вы сохраняете резюме на свой компьютер, значит уже занимаетесь обработкой персональных данных.

У потенциального работодателя — как оператора персональных данных — должны быть основания для их обработки. Самое подходящее — согласие кандидата. Важно, что обработчик не отвечает за сбор согласия. Даже если компания собирает персональные данные не напрямую, а через job-сайты, получить основание на обработку ПД — ответственность работодателя.

Важное в работе с персональными данными

За последний год на рассмотрение парламентариев было внесено несколько громких законопроектов, связанных с ПД; часть инициатив утвердили. Один из самых обсуждаемых документов, который уже вступил в силу, меняет порядок обращения с персональными данными граждан.

В первую очередь это касается регулирования распространения ПД. С 1 марта 2021 года вступили в силу изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», а с 1 сентября 2021 года начал действовать приказ Роскомнадзора, в которых прописаны основные требования к форме согласия на обработку ПД.

Согласно статье 10.1 Федерального закона «О персональных данных»:

  • Понятие «персональные данные, сделанные общедоступными субъектом персональных данных» заменили на другую формулировку — «персональные данные, разрешённые субъектом персональных данных для распространения».

  • Распространение — действия, направленные на раскрытие персональных данных неопределённому кругу лиц. Теперь это вид обработки, требующий получения отдельного согласия у кандидата.

  • Перед обработкой данных, полученных из разных источников (социальные сети, сайты по поиску работы), оператор должен проверять наличие согласия или другого основания для обработки таких сведений. Для этого сто́ит уточнять у владельцев job-сайтов, есть ли согласие на распространение ПД и для каких целей оно получено у соискателя.

  • Оператор должен доказать законность сбора и последующего использования персональных данных кандидатов из открытых источников.

Что это значит

Объясняет Екатерина Метелкина, юрист hh.ru, эксперт по персональным данным: теперь работодатель должен проверять наличие согласия от кандидата не только на обработку, но и на распространение личной информации о нём (даже если собирает данные из открытых источников).

Галочки под пользовательским соглашением недостаточно — должен быть отдельный документ, электронная форма на сайте. В этом документе должны быть поля, где человек может указать, какие ПД он не разрешает распространять или разрешает с определёнными условиями. Рекрутер обязан отслеживать содержание такого согласия.

9 обязательных пунктов в согласии на обработку персональных данных

Что должно быть в форме сбора ПД, согласно приказу Роскомнадзора от 24.02.2021 № 18:

  1. Ф. И. О. кандидата.

  2. Контакты (телефон, адрес электронной почты или почтовый адрес).

  3. Сведения об операторе: организации (наименование, адрес, ИНН, основной государственный регистрационный номер), физлице — специалисте по подбору персонала (Ф. И. О., место жительства/пребывания), ИП (Ф. И. О., ИНН, основной государственный регистрационный номер).

  4. Сведения об информационных ресурсах оператора — адреса, состоящего из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и названия файла веб-страницы, — на которых будут опубликованы персональные данные пользователя.

  5. Цели обработки персональных данных. В рекрутменте их две: трудоустройство и кадровый резерв.

  6. Категории и перечень ПД, на обработку которых кандидат даёт согласие.

  7. Категории и перечень ПД, для обработки которых соискатель устанавливает условия и запреты, список запретов (по желанию).

  8. Условия, при которых полученные данные оператор может распространять только по его внутренней сети, к которой есть доступ у определённых сотрудников.

  9. Срок действия согласия. Если цель — трудоустройство, согласие действует 30 дней. Если цель — кадровый резерв, срок можно увеличить при согласии соискателя.

Роскомнадзор подготовил сервис, куда можно направить текст согласия на обработку персональных данных, чтобы проверить, соответствует ли оно актуальным требованиям, и получить рекомендации.

Миллионные штрафы — кого коснутся и при чём здесь Google Таблицы

Параллельно с бурными дискуссиями о новых законодательных ужесточениях возникло сразу несколько громких дел зарубежных компаний, связанных с обработкой персональных данных. Претензии Роскомнадзора заключались в нарушении требований локализации ПД граждан на территории РФ.

По мнению наших экспертов, такие проблемы могут затронуть не только крупный международный бизнес, но и российские частные компании, которые, например, используют Google Таблицы для хранения и обработки личной информации кандидатов.

Объясняет Юрий Донников, директор юридического департамента и комплаенса hh.ru: работодатель обязан обеспечить запись, систематизацию, хранение, уточнение и извлечение этих сведений россиян с использованием баз данных на территории РФ. В прошлом году ряд иностранных компаний, причём не только крупных, получили письма с требованием подтвердить факт локализации ПД на территории РФ. Такое положение внесено согласно Федеральному закону № 242-ФЗ от 01.09.2015. Штрафы очень чувствительные — до 6 млн ₽ для юрлица за первое нарушение, до 18 млн ₽ за повторное (ч. 8–9 ст. 13.11 КоАП РФ).

Обратите на это внимание при выборе места, где будут храниться резюме кандидатов. Серверы должны размещаться в России.

Распространённая ситуация: рекрутер работает с персональными данными кандидатов (Ф. И. О., контакты, ссылка на резюме или выдержки из него) в облачном хранилище. Часто им выступают Google Таблицы. Это плохая практика, так как вы не можете выбрать локацию размещения сервера, где хранятся данные. Облако Google может находиться в странах, не подпадающих под требования российского законодательства о трансграничной передаче ПД другим странам (ст. 12 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

В таком случае при проверке компания не сможет предоставить информацию о том, где хранятся ПД. Отсюда высоки риски штрафов. Кроме того, вы не управляете системой доступа — были прецеденты, когда информация, хранящаяся в облачных файлах, становилась общедоступной.

Как соблюдать закон о ПД? Используйте ATS-систему

ATS (от англ. applicant tracking system — система управления кандидатами) позволяет автоматизировать процесс подбора персонала и соблюдать российское законодательство в части обработки и распространения персональных данных. Сложность в том, что система управления подбором персонала должна соответствовать государственным техтребованиям. Перечень пунктов большой. И помните: техническая защита ПД — это не разовое мероприятие. Вы должны периодически проводить проверку, правильно ли всё настроено и как работает.

Если у вас собственная ATS-система, вы несёте полную ответственность за соблюдение всех требований по закону. Если размещаете систему у провайдера, часть технических требований ляжет на него.

Советует Сергей Кортиков, независимый консультант по информационной безопасности: проследите, чтобы у провайдера была лицензия на техническую защиту информации. Удобное решение — ATS как услуга, что снимет с вас риски технического несоответствия. Главное — проанализировать компанию и услугу и убедиться, что все требования 152-ФЗ соблюдены.

В Talantix учтены все аспекты, связанные с получением согласия субъекта и хранением его данных, так как hh.ru учитывает и реализует все технические требования к защите ПД, регулярно привлекает внешних специалистов для анализа соответствия таких требований. Также в Talantix есть автоматический запрос на обработку персональных данных.

CRM-система Talantix — облачное решение, которое работает в браузере на ПК и смартфоне и не требует установки специального ПО. Данные Talantix хранятся там же, где и данные самого hh.ru — в дата-центрах DataPro, находящихся на территории РФ.

Инфраструктура сервиса Talantix локальная и дополнительно защищена двойным firewall: аппаратным — на границе сети, и программным — на прокси‑серверах с WEB.

Все данные между серверами HeadHunter и браузером передаются по защищённому протоколу TLS 1.2.

hh.ru и Talantix не хранят пароли пользователей в открытом виде. Они хешируются функцией bcrypt, что практически исключает их подбор. Кроме того, в сервис авторизации встроены мониторинг и защита от перебора паролей.

5 критериев выбора ATS-системы

Марина Хадина, директор по развитию Talantix, даёт пять советов, как избежать рисков: 

  1. Обратите внимание на то, как система запрашивает согласие на обработку персональных данных. Если резюме приходят из разных источников, должно быть предусмотрено согласие на обработку ПД, разрешённых к распространению. Если есть сомнения, что сторонний онлайн-ресурс не собирает согласия соискателей, лучше дополнительно его запросить.

  2. Посмотрите, как оформлено согласие на обработку ПД. Должны быть указаны цели сбора — трудоустройство и кадровый резерв.

  3. Проверьте, соблюдаются ли в системе требования по локализации данных. Например, серверы Talantix располагаются на территории РФ. В этом случае система может выступать как первичная база данных, при этом вторичная база может находиться за пределами России, что актуально для зарубежных компаний.

  4. С точки зрения техтребований — выясните, есть ли у центра обработки данных, где размещается инфраструктура системы, есть ли лицензия на техническую защиту информации, разработана ли модель защиты от киберугроз.

  5. Убедитесь, что предусмотрены регулярные обновления системы с учётом изменений в законодательстве.

Закон о распространении ПД — только начало большой работы по ужесточению правил обращения с персональными данными. Но это не должно стать проблемой для компаний, если они следят за автоматизированными решениями и предложениями по хранению и обработке данных. Крупные провайдеры держат руку на пульсе, чтобы помочь HR-сообществу и бизнесу учесть все детали.

Попробовать Talantix