Сначала приведем очень емкое определение персональных данных:
1. Данные, которые идентифицируют, т.е. позволяют однозначно идентифицировать человека (ФИО, паспортные данные)
2. Данные, которые позволяют идентифицировать, т.е. 2 каких-то фактора, которые позволяют однозначно идентифицировать человека (например, единственный Святозар в аудитории)
3. Данные, которые относятся к идентифцированному лицу, т.е. мы знаем человека и что-то дополнительно о нем (например, результаты оценки), и сразу весь пул информации становится личными данными
Таким образом, практически все данные, с которыми работают HR, как внутренние, так и внешние, становятся персональными и требуют особых условий оформления и обработки.
Как показывает текущая практика, при проверках невозможно доказать, что те данные, с которыми работает специалист по работе с персоналом, не являются персональными. В данном случае, презумпция невиновности не действует, поэтому надо всегда относится к данным как к личным, в т.ч. иметь сертификацию «оператора персональных данных».
Вторым следствием из текущих законов является то, что на каждую новую процедуру оценки/тестирования/прочего, необходимо получать с сотрудников согласие на эту конкретную процедуру и (или) на передачу данных поставщику услуг. Единое согласие на обработку данных, которое многие берут при приеме на работу, признано не соответствующим требованиям, и при отсутствии согласия компанию ждут штрафы.
ВЫВОДЫ ДЛЯ ВСЕХ:
- В каждой компании должен быть разработан пакет внутренних документов, регламентирующих процессы обработки и защиты данных и должно быть ответственное лицо за соблюдение нормативов по обработке персональных данных,способное отвечать на запросы физических лиц по поводу обработки их ПД, понимая их права.
- Важно подписать с сотрудниками обязательства о неразглашении персональных данных, согласие на обработку персональных данных и под роспись ознакомить всех с внутренними документами по обработке персональных данных,
- Необходимо вести предупредительную и разъяснительную работу со службами безопасности компании, особенно на оценочных проектах, предварительно убедившись, что ваш провайдер сертифицирован на работу с персональными данными.
- Как одну из мер минимизации рисков взлома персональных данных следует хранить информацию про человека отдельно от его действий, а при передаче данных пользоваться шифрованием и передавать ключи по другому каналу связи (например, зашифрованные списки по эл.почте, а пароль – в смс).
ЧТО ДЕЛАТЬ HR, РЕЗЮМЕ
1. Назначить ответственных лиц и разработать пакет внутренних документов, регламентирующих процессы обработки и защиты ПД.
2. Отрегулировать взаимодействие с физическими лицами, государственными органами и контрагентами:
- Подписать с сотрудниками обязательства о неразглашении ПД, согласие на обработку ПД и под роспись ознакомить их с внутренними документами по ПД.
- Вести предупредительную и разъяснительную работу со СБ вашей компании — особенно на оценочных проектах.
- Убедиться, что ваш провайдер сертифицирован на работу с ПД.
- Отвечать на запросы физических лиц по поводу обработки их ПД — понимая их права.
Источник : hr-academy.ru