В эпоху цифровизации персональные данные (ПД) называют информационным товаром и «нефтью XXI века». В 2021 году серьезно изменился порядок обращения с ПД. Законопроект о распространении персданных привел к масштабным изменениям — часть из них вступила в силу в марте, а с 1 сентября 2021 года вводятся новые требования к получению согласия на распространение ПД.
Разбираемся вместе с экспертами в нюансах новых требований закона применительно к рекрутменту. Вопросов много. Как теперь HR-менеджерам работать с личной информацией кандидатов? Какие новшества нужно строго соблюдать и за что компаниям грозят многомиллионные штрафы?
Сперва разберемся, что относится к персональным данным с точки зрения кандидата и работодателя.
Персональные данные — это любая информация, которая прямо или косвенно относится к физическому лицу (субъекту персональных данных — кандидату). С точки зрения рекрутмента — это почти все сведения, которые собирают о соискателе, субъекте ПД: Ф. И. О., опыт работы, доходы, образование и пр.
Оператор — потенциальный работодатель.
Обработчик — тот, кто обрабатывает персональные данные по поручению оператора. Обработчиками в рекрутменте выступают те, кого работодатель нанял для поиска новых сотрудников (кадровые агентства, job-сайты, ATS- и CRM-системы). Кстати, если вы сохраняете резюме на свой компьютер, значит, уже занимаетесь обработкой персональных данных.
ВАЖНО:
У потенциального работодателя как оператора персональных данных должны быть основания для их обработки, самое подходящее — это согласие кандидата. Обработчик не отвечает за сбор согласия, ответственность за это несет работодатель как оператор, даже если компания собирает ПД не напрямую, а через job-сайты.
Новый закон и его последствия
За последний год на рассмотрение парламентариев было внесено несколько громких законопроектов, связанных с ПД, часть инициатив утвердили. Один из самых обсуждаемых документов, который уже вступил в силу, вносит изменения в порядок обращения с персональными данными граждан.
Главные новшества в законодательстве о персональных данных — 2021
(статья 10.1 Федерального закона «О персональных данных»).
- Понятие «персональные данные, сделанные общедоступными субъектом персональных данных» заменили на другую формулировку — «персональные данные, разрешенные субъектом персональных данных для распространения».
- Распространение — действия, направленные на раскрытие персональных данных неопределенному кругу лиц; теперь вид обработки, требующий получения отдельного согласия у кандидата.
- Оператор перед обработкой данных, полученных из разных источников (социальные сети, сайты по поиску работы), должен проверять наличие согласия или другого основания для обработки таких сведений. Для этого стоит уточнять у владельцев job-сайтов, есть ли согласие на распространение ПД и для каких целей оно получено у соискателя.
- Оператор должен доказать законность сбора и последующего использования персданных кандидатов из открытых источников.
«Теперь работодатель как оператор должен проверять наличие согласия от кандидата не только на обработку, но и на распространение личной информации о нем, если собирает данные из открытых источников. Галочки под пользовательским соглашением недостаточно — должен быть отдельный документ, электронная форма на сайте. Эти новеллы всколыхнули и бизнес-сообщество, и юристов. 1 сентября замкнется круг законодательных изменений — приказ Роскомнадзора, вступающий в силу в первый день осени, четко определил, как согласие на распространение персданных должно выглядеть. Важный нюанс — в документе должны быть поля, где человек может записать, какие ПД он не разрешает распространять или разрешает с определенными условиями. Теперь рекрутеру нужно отслеживать содержание такого согласия», — объясняет Екатерина Метелкина, юрист hh.ru, эксперт по персональных данным.Работодатель обязан проверять наличие согласия от кандидата не только на обработку, но и на распространение персональных данных, если собирает данные из открытых источников. Галочки под пользовательским соглашением недостаточно: должен быть отдельный документ — согласие.
9 обязательных пунктов в согласии на обработку персональных данных с 1.09.2021
(приказ Роскомнадзора от 24.02.2021 №18)
- Ф. И. О. кандидата.
- Контакты (телефон, адрес электронной почты или почтовый адрес).
- Сведения об операторе: организации (наименование, адрес, ИНН, основной государственный регистрационный номер), физлице — специалисте по подбору персонала (Ф. И. О., место жительства/пребывания), ИП (Ф. И. О., ИНН, основной государственный регистрационный номер).
- Сведения об информресурсах оператора, с помощью которого предоставят доступ неограниченному кругу лиц и другие действия с ПД: адреса, состоящего из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имя файла веб-страницы.
- Цели обработки персональных данных — в рекрутменте это трудоустройство и кадровый резерв.
- Категории и перечень ПД, на обработку которых кандидат дает согласие.
- Категории и перечень ПД, для обработки которых соискатель устанавливает условия и запреты, список запретов (по желанию).
- Условия, при которых полученные данные оператор может распространять только по его внутренней сети, к которой есть доступ у определенных сотрудников.
- Срок действия согласия. Если цель — только трудоустройство, то срок действия — 30 дней, если и кадровый резерв, тогда срок можно увеличить при согласии соискателя.