Поправки в закон о защите персональных данных: где опасность для рекрутера и работодателя

закон об обработке персональных данных

С июля 2017 года вступили в силу поправки в закон о персональных данных. Штрафы для всех, кто неправильно собирает, обрабатывает и хранит любые персональные данные, ощутимо выросли.

Директор юридического департамента hh.ru Юрий Донников объяснил, что значит статья «О нарушении законодательства Российской Федерации в области персональных данных» для работодателей и рекрутеров.

Что такое персональные данные, за неправильную работу с которыми наказывают?

Персональные данные — это любая информация, которая прямо или косвенно относится к физическому лицу. В нашем случае — к соискателю.

Даже если в наборе персональных данных отсутствуют фамилия и имя, но набор этих данных принадлежит одному конкретному физическому лицу — это все равно персональные данные. То есть резюме без имени и фамилии подпадают под закон.

Резюме — это персональные данные.

Кто такой оператор персональных данных?

Оператором персональных данных может быть государственный или муниципальный орган, юридическое или физическое лицо, которые:

  • организуют или осуществляют обработку персональных данных,
  • определяют цели обработки и состав персональных данных,
  • совершают с этими данными какие-то действия.

Скорее всего, вы являетесь оператором персональных данных, если получаете от любых людей следующую информацию:

  • фамилия, имя, отчество;
  • какой-то физический адрес или электронная почта;
  • телефон;
  • дата или место рождения;
  • фотография;
  • ссылка на персональный сайт или соцсети;
  • профессия, образование, уровень доходов и другие личные сведения.

Это значит, что все владельцы сайтов, на которых есть личные кабинеты, формы обратной связи, подписки или регистрации — это операторы персональных данных.

Соискатель — это субъект персональных данных. Рекрутер или работодатель — операторы персональных данных.

Я рекрутер, у меня есть база соискателей. Значит, я оператор персональных данных?

Да. Даже когда рекрутер не является юридическим лицом.

Я работодатель и я храню резюме кандидатов — я что-то нарушаю?

Если эти кандидаты не прошли собеседование либо вакансия, на которую они откликались, уже закрыта, то хранение таких резюме незаконно, и вот почему. Первоначально работодатель обрабатывал эти данные в целях приема на работу. Как только соискатель получил отказ — цель достигнута. А при достижении цели обработки требуется уничтожать персональные данные.

На практике регулятор допускает, что достижение цели может быть не сразу очевидно, так что вы должны установить срок, в течение которого такие данные должны быть удалены — желательно не более 1-2 месяцев. Но если достижение заявленной цели обработки однозначно — то нужно удалять, конечно, сразу.

Если вам нужно хранить данные кандидатов даже после закрытия вакансии, то вы должны взять с них отдельное согласие на обработку данных в целях учета в кадровом резерве.

Именно так расценивает хранение резюме кандидатов регулирующий орган в отдельном разъяснении.

Я рекрутер, я передаю данные работодателю через HRspace. Я могу это делать или нужно какое-то согласие на обработку?

Если вы получаете персональные данные соискателей из базы резюме hh.ru, то все в порядке. Вы купили доступ и заключили договор на услуги по доступу к этой базе данных. hh.ru за вас получает согласие на обработку у всех, кто публикует там резюме.

Если нет, то нужно убедиться, что у вас или у вашего работодателя (если вы представляете кадровое агентство) есть согласие от соискателей на обработку их персональных данных.

Я публикую вакансии на других площадках, мне пишут кандидаты и скидывают свои резюме. Я что-то нарушаю?

Зависит от формата, в котором вы получаете резюме. Если соискатели скидывают вам ссылки на резюме, опубликованные на том же hh.ru или других сайтах с базами данных резюме, то все в порядке. Крупные сайты сами собирают согласие на обработку.

Если вы сами просите кандидата заполнить веб-форму или получаете резюме в виде готовых файлов, заполненных кандидатами, то на сайте с формой нужно разместить и текст согласия на обработку персональных данных, и Политику обработки персональных данных как публичный документ оператора.

как оформить ссылки на политику обработки данных
Вот так это может выглядеть: формы на сайте hh.ru ссылаются на полный текст соглашения

Я публикую вакансии на своем сайте и делаю лендинги с описанием вакансий. На сайте и на лендинге есть форма. Я что-то нарушаю?

Такую веб-форму нужно сопроводить текстом согласия на обработку персональных данных, а на сайте должна быть размещена Политика обработки персональных данных, в противном случае это будет нарушением закона.

Что грозит за отсутствие Политики обработки персональных данных на сайте?

В соответствии с п. 3 ст. 13.11 Кодекса об административных правонарушениях РФ — предупреждение или административный штраф:

  • физическим лицам — от 700 до 1 500 рублей;
  • должностным лицам — от 3 000 до 6 000 рублей;
  • индивидуальным предпринимателям — от 5 000 до 10 000 рублей;
  • юридическим лицам — от 15 000 до 30 000 рублей.

Что грозит за обработку персональных данных без согласия соискателя?

В соответствии с п.1. ст.13.11 Кодекса об административных правонарушениях РФ —
предупреждение или административный штраф:

  • физическим лицам — от 1 000 до 3 000 рублей;
  • должностным лицам — от 5 000 до 10 000 рублей;
  • юридическим лицам — от 30 000 до 50 000 рублей.

Есть случаи, когда согласие на обработку должно быть письменным. Например, это касается обработки сведений о здоровье. Здесь работает пункт 2 этой же статьи 13.11 Кодекса и суммы штрафа другие:

  • физическим лицам — от 3 000 до 5 000 рублей;
  • должностным лицам — от 10 000 до 20 000 рублей;
  • юридическим лицам — от 15 000 до 75 000 рублей.

Как правильно написать Политику обработки персональных данных, чтобы разместить ее на сайте?

Следуйте официальным рекомендациям от Роскомнадзора.

Еще можно посмотреть, как это сделали другие. Например:

И что мне делать, если я что-то нарушаю?

Обратитесь к юристу!

По закону каждому оператору персональных данных нужно разработать от 10 до 20 внутренних документов, внедрить и настроить средства защиты (например специализированное ПО), установить несгораемые запираемые шкафы для хранения персональных данных в бумажном виде, организовать контроль за допущенными к обработке лицами и много чего еще.

Требования закона касаются не только форм и Политики на сайте. Чтобы быть спокойным, если придут с проверкой, обратитесь за консультацией к юристу. Он объяснит, какие меры нужно принять в вашем конкретном случае.

___
Иллюстрация к статье: istockphoto.com

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *