С июля 2017 года вступили в силу поправки в закон о персональных данных. Штрафы для всех, кто неправильно собирает, обрабатывает и хранит любые персональные данные, ощутимо выросли.
Директор юридического департамента hh.ru Юрий Донников объяснил, что значит статья «О нарушении законодательства Российской Федерации в области персональных данных» для работодателей и рекрутеров.
Что такое персональные данные, за неправильную работу с которыми наказывают?
Персональные данные — это любая информация, которая прямо или косвенно относится к физическому лицу. В нашем случае — к соискателю.
Даже если в наборе персональных данных отсутствуют фамилия и имя, но набор этих данных принадлежит одному конкретному физическому лицу — это все равно персональные данные. То есть резюме без имени и фамилии подпадают под закон.
Резюме — это персональные данные.
Кто такой оператор персональных данных?
Оператором персональных данных может быть государственный или муниципальный орган, юридическое или физическое лицо, которые:
- организуют или осуществляют обработку персональных данных,
- определяют цели обработки и состав персональных данных,
- совершают с этими данными какие-то действия.
Скорее всего, вы являетесь оператором персональных данных, если получаете от любых людей следующую информацию:
- фамилия, имя, отчество;
- какой-то физический адрес или электронная почта;
- телефон;
- дата или место рождения;
- фотография;
- ссылка на персональный сайт или соцсети;
- профессия, образование, уровень доходов и другие личные сведения.
Это значит, что все владельцы сайтов, на которых есть личные кабинеты, формы обратной связи, подписки или регистрации — это операторы персональных данных.
Соискатель — это субъект персональных данных. Рекрутер или работодатель — операторы персональных данных.
Я рекрутер, у меня есть база соискателей. Значит, я оператор персональных данных?
Да. Даже когда рекрутер не является юридическим лицом.
Я работодатель и я храню резюме кандидатов — я что-то нарушаю?
Если эти кандидаты не прошли собеседование либо вакансия, на которую они откликались, уже закрыта, то хранение таких резюме незаконно, и вот почему. Первоначально работодатель обрабатывал эти данные в целях приема на работу. Как только соискатель получил отказ — цель достигнута. А при достижении цели обработки требуется уничтожать персональные данные.
На практике регулятор допускает, что достижение цели может быть не сразу очевидно, так что вы должны установить срок, в течение которого такие данные должны быть удалены — желательно не более 1-2 месяцев. Но если достижение заявленной цели обработки однозначно — то нужно удалять, конечно, сразу.
Если вам нужно хранить данные кандидатов даже после закрытия вакансии, то вы должны взять с них отдельное согласие на обработку данных в целях учета в кадровом резерве.
Именно так расценивает хранение резюме кандидатов регулирующий орган в отдельном разъяснении.
Я рекрутер, я передаю данные работодателю через HRspace. Я могу это делать или нужно какое-то согласие на обработку?
Если вы получаете персональные данные соискателей из базы резюме hh.ru, то все в порядке. Вы купили доступ и заключили договор на услуги по доступу к этой базе данных. hh.ru за вас получает согласие на обработку у всех, кто публикует там резюме.
Если нет, то нужно убедиться, что у вас или у вашего работодателя (если вы представляете кадровое агентство) есть согласие от соискателей на обработку их персональных данных.
Я публикую вакансии на других площадках, мне пишут кандидаты и скидывают свои резюме. Я что-то нарушаю?
Зависит от формата, в котором вы получаете резюме. Если соискатели скидывают вам ссылки на резюме, опубликованные на том же hh.ru или других сайтах с базами данных резюме, то все в порядке. Крупные сайты сами собирают согласие на обработку.
Если вы сами просите кандидата заполнить веб-форму или получаете резюме в виде готовых файлов, заполненных кандидатами, то на сайте с формой нужно разместить и текст согласия на обработку персональных данных, и Политику обработки персональных данных как публичный документ оператора.
Я публикую вакансии на своем сайте и делаю лендинги с описанием вакансий. На сайте и на лендинге есть форма. Я что-то нарушаю?
Такую веб-форму нужно сопроводить текстом согласия на обработку персональных данных, а на сайте должна быть размещена Политика обработки персональных данных, в противном случае это будет нарушением закона.
Что грозит за отсутствие Политики обработки персональных данных на сайте?
В соответствии с п. 3 ст. 13.11 Кодекса об административных правонарушениях РФ — предупреждение или административный штраф:
- физическим лицам — от 700 до 1 500 рублей;
- должностным лицам — от 3 000 до 6 000 рублей;
- индивидуальным предпринимателям — от 5 000 до 10 000 рублей;
- юридическим лицам — от 15 000 до 30 000 рублей.
Что грозит за обработку персональных данных без согласия соискателя?
В соответствии с п.1. ст.13.11 Кодекса об административных правонарушениях РФ —
предупреждение или административный штраф:
- физическим лицам — от 1 000 до 3 000 рублей;
- должностным лицам — от 5 000 до 10 000 рублей;
- юридическим лицам — от 30 000 до 50 000 рублей.
Есть случаи, когда согласие на обработку должно быть письменным. Например, это касается обработки сведений о здоровье. Здесь работает пункт 2 этой же статьи 13.11 Кодекса и суммы штрафа другие:
- физическим лицам — от 3 000 до 5 000 рублей;
- должностным лицам — от 10 000 до 20 000 рублей;
- юридическим лицам — от 15 000 до 75 000 рублей.
Как правильно написать Политику обработки персональных данных, чтобы разместить ее на сайте?
Следуйте официальным рекомендациям от Роскомнадзора.
Еще можно посмотреть, как это сделали другие. Например:
- Политика на hh.ru;
- у «Коммерсанта» сложно — смотрите пункт 1.14;
- в Школе Бюро Горбунова оферта и договор на обучение составлены просто, но юридическая сила та же — смотрите пункт 6.
И что мне делать, если я что-то нарушаю?
Обратитесь к юристу!
По закону каждому оператору персональных данных нужно разработать от 10 до 20 внутренних документов, внедрить и настроить средства защиты (например специализированное ПО), установить несгораемые запираемые шкафы для хранения персональных данных в бумажном виде, организовать контроль за допущенными к обработке лицами и много чего еще.
Требования закона касаются не только форм и Политики на сайте. Чтобы быть спокойным, если придут с проверкой, обратитесь за консультацией к юристу. Он объяснит, какие меры нужно принять в вашем конкретном случае.
___
Иллюстрация к статье: istockphoto.com