1 сентября вступили в силу требования по обязательной обработке персональных данных россиян через базы данных, расположенные в России. Кроме того, начинает действовать реестр запрещенных сайтов – нарушителей законодательства о персональных данных. В СМИ уже целый год обсуждаются возможные последствия этих изменений для популярных интернет-сервисов и крупных иностранных компаний, которым придется переносить информацию на серверы в России.
Однако закон распространяется не только на таких гигантов, как Twitter и Facebook. Он касается большинства компаний, работающих с персональными данными, в том числе и рекрутинговых агентств. Закон почти не изменился, добавилось всего несколько статей. Однако, во-первых, изменения коснулись способов хранения данных, а, во-вторых, привлекли к себе так много внимания и случились в такое политически непростое время, что можно ожидать скорого усиления проверок и роста размера штрафов за нарушения. Чего ждать рекрутерам от закона «О персональных данных», агентству iChar помог разобраться руководитель практики «Интеллектуальная собственность и информационные технологии», советник юридической фирмы «Борениус» Павел Савицкий.
Понадобится ли дополнительное согласие кандидатов на обработку резюме с работных сайтов?
Нет, правила о локализации персональных данных не требуют новых согласий. Продолжает действовать общее правило, в соответствии с котороым согласие на обработку персональных данных должна получить первая компания, которая эти данные собирает. Заключив с работным сайтом договор об оказании услуг, компания автоматически освобождается от необходимости спрашивать у каждого кандидата согласие на обработку персональных данных. Однако если на сайте вашей компании (не обязательно агентства) есть возможность отправить резюме, будет нелишним добавить к кнопке «Отправить резюме» галочку «Согласен на обработку персональных данных», а текст согласия разработать с помощью юриста.
Закон «О персональных данных» и LinkedIn
С LinkedIn всё уже не так однозначно. По мнению Павла Савицкого, пока кандидат не дал согласия на обработку его данных, всё, что этот человек выложил в социальную сеть, должно оставаться в сети. Следовательно, рекрутер не может собирать свою базу данных со сведениями о кандидатах из LinkedIn’а. Здесь единственный «пуленепробиваемый» способ искать кандидатов — специальный пакет услуг для рекрутеров (к сожалению, платный). Оплачивая его, вы ставите галочки под всеми необходимыми соглашениями и получаете инструмент для поиска и отбора кандидатов внутри самой социальной сети, без необходимости что-либо записывать и учитывать отдельно.
Увы, подобными сервисами пользуются далеко не все рекрутеры: LinkedIn ценят скорее за возможность личного контакта с кандидатами. Если вы собираетесь представлять работодателю данные, полученные в ходе переписки, лучше спросите об этом у кандидата прямо в диалоге и сделайте скриншот его ответа. Конечно, это не подпись под согласием на обработку персональных данных, но всё же в случае спорной ситуации скриншот будет доказательством вашего стремления соблюдать закон.
Закон «О персональных данных» и соцсети
Закон гласит: если персональные данные взяты из открытых источников, то согласия на их обработку не требуется. При этом остается неясным, относятся ли к числу открытых источников соцсети.
Следует помнить, что политика конфиденциальности сайта может изменяться, а пользователь не всегда в силах за этим уследить. Помните, раньше во «ВКонтакте» были полностью закрытые профили? Потом privacy policy сайта изменилась, и на таких страницах стало больше публичной информации. Каждый раз, когда происходит нечто подобное, в общем доступе могут оказаться сведения, которые пользователь не хотел делать общедоступными. Поэтому считать соцсети заведомо открытым источником информации не стоит.
Сервер на территории РФ
Вот в этом вопросе новости действительно есть, и новости существенные. Если ваш сайт предусматривает загрузку резюме, принципиально важно, чтобы сервер, куда попадают данные после загрузки, находился в России. Если вы пользуетесь услугами по хранению данных за рубежом, подумайте о срочном переносе в Россию хотя бы баз данных со сведениями о кандидатах, а также данных о собственных работниках. Павел отмечает, что под вопросом остается использование облачного хранения данных Apple, Microsoft и Google (DropBox, OneDrive и Google Drive, соответственно). То же самое относится и к недорогому зарубежному хостингу для хранения сайтов и другой информации.
В соответствии с законом «О персональных данных», теперь хранить и обрабатывать персональные данные россиян необходимо, прежде всего, на территории Российской Федерации. Вместе с тем, нет запрета на передачу персональных данных россиян за границу по мере необходимости. Главное – основное хранение и обработка должны осуществляться в России.
Обязательное уведомление в Роскомнадзор
Все рекрутинговые компании обязаны отправить в Роскомнадзор уведомление о том, что занимаются обработкой персональных данных, если до сих пор этого не сделали. Это требование распространяется на все компании, обрабатывающие персональные данные людей, которые не являются их работниками. На основании уведомления Роскомнадзор включает компанию в реестр операторов персональных данных. Уведомив государство, компания выполнит норму закона и не должна будет платить штраф за нарушение (в настоящее время – от 3 до 5 тыс. руб.).
Положение об обработке персональных данных
В каждой рекрутинговой компании (как и у любого бизнеса, который обрабатывает персональные данные) должны быть утверждены правила обработки персональных данных, назначен ответственный за соблюдение этих правил, должны проводиться регулярные внутренние проверки соблюдения правил. Как замечает Савицкий, Роскомнадзор при проведении проверок интересуется не только наличием «правильных документов», но и планомерностью реализации тех правил, которые в таких документах предусмотрены. В правилах указывается, кто отвечает за обработку персональных данных, как она происходит, сколько времени, с какой целью и какие именно персональные данные хранит компания, где эти правила должны публиковаться и т. п. Помимо этого, закон требует, чтобы компании оценили уровень безопасности хранения данных (это касается сведений о кандидатах как в электронной форме, так и на бумаге) и обеспечивали их конфиденциальность. Прогнозируемо, что со временем число проверок будет увеличиваться, а штрафы — возрастать. Поэтому создать корпоративные стандарты обработки персональных данных и привести все процессы в порядок нужно как можно скорее.
***
Закон «О персональных данных» вряд ли способен качественно изменить жизнь рекрутера: задать в LinkedIn на один вопрос больше обычного не составит особого труда. А вот руководителям рекрутинговых агентств предстоит кропотливая перепроверка бизнеса на соответствие всем требованиям законодательства. По словам главы Роскомнадзора Александра Жарова, строгих наказаний в 2015 году не предвидится. Поэтому у бизнеса есть время исправить все недоработки.
chieftain_yu
Я, может, чего не понимаю, но мне кажется, это верно только если в существующем согласии на обработку персданных была оговорена возможность передачи персданных третьим лицам.
Если субъект такого согласия не давал — за ним придется побегать.
Кроме того, насколько понимаю, субъекта еще надо известить о передаче обработки его ПД — статья 18 152-ФЗ.
kotovnick
поскольку в посте речь идет о работных сайтах вроде hh.ru, пользователь, публикуя там свое резюме, заведомо соглашается на передачу предоставляемых данных третьим лицам. в этом и есть весь смысл использования сайтов, созданных для поиска работы. в согласии на обработку персональных данных обязан содержаться пункт о согласии пользователя на передачу его персональных данных работодателям.
ibrin
В самом деле, на сколько законно переносить ответственность с пользователей на сервис, обрабатывающий персональные данные, когда эти самые пользователи буквально кричат «возьмите все мои персональные данные и обработайте их как можно скорее!» Достаточно ли согласия под формой ввода «подтверждаю, что данные не являются персональными», чтобы обрабатывать эти данные вне закона?