Источник: HeadHunter
Что изменилось с 1 сентября в российском рекрутменте: важное новшество в законе о персональных данных.
В эпоху цифровизации персональные данные (ПД) называют информационным товаром и «нефтью XXI века». В 2021 году серьезно изменился порядок обращения с ПД. Законопроект о распространении персданных привел к масштабным изменениям — часть из них вступила в силу в марте, а с 1 сентября 2021 года вводятся новые требования к получению согласия на распространение ПД.
Разбираемся вместе с экспертами в нюансах новых требований закона применительно к рекрутменту. Вопросов много. Как теперь HR-менеджерам работать с личной информацией кандидатов? Какие новшества нужно строго соблюдать и за что компаниям грозят многомиллионные штрафы?
Сперва разберемся, что относится к персональным данным с точки зрения кандидата и работодателя.
Персональные данные — это любая информация, которая прямо или косвенно относится к физическому лицу (субъекту персональных данных — кандидату). С точки зрения рекрутмента — это почти все сведения, которые собирают о соискателе, субъекте ПД: Ф. И. О., опыт работы, доходы, образование и пр.
Оператор — потенциальный работодатель. Обработчик — тот, кто обрабатывает персональные данные по поручению оператора. Обработчиками в рекрутменте выступают те, кого работодатель нанял для поиска новых сотрудников (кадровые агентства, job-сайты, ATS- и CRM-системы). Кстати, если вы сохраняете резюме на свой компьютер, значит, уже занимаетесь обработкой персональных данных.
ВАЖНО:
У потенциального работодателя как оператора персональных данных должны быть основания для их обработки, самое подходящее — это согласие кандидата. Обработчик не отвечает за сбор согласия, ответственность за это несет работодатель как оператор, даже если компания собирает ПД не напрямую, а через job-сайты.
Новый закон и его последствия
За последний год на рассмотрение парламентариев было внесено несколько громких законопроектов, связанных с ПД, часть инициатив утвердили. Один из самых обсуждаемых документов, который уже вступил в силу, вносит изменения в порядок обращения с персональными данными граждан. Итак, главное новшество касается регулирования распространения ПД. С 1 марта 2021 г. вступили в силу изменения в Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных», а с 1 сентября 2021 года начинает действовать Приказ Роскомнадзора, в котором прописаны основные требования к форме согласия на обработку ПД.
Главные новшества в законодательстве о персональных данных — 2021
(статья 10.1 Федерального закона «О персональных данных»).
1. Понятие «персональные данные, сделанные общедоступными субъектом персональных данных» заменили на другую формулировку — «персональные данные, разрешенные субъектом персональных данных для распространения».
2. Распространение — действия, направленные на раскрытие персональных данных неопределенному кругу лиц; теперь вид обработки, требующий получения отдельного согласия у кандидата.
3. Оператор перед обработкой данных, полученных из разных источников (социальные сети, сайты по поиску работы), должен проверять наличие согласия или другого основания для обработки таких сведений. Для этого стоит уточнять у владельцев job-сайтов, есть ли согласие на распространение ПД и для каких целей оно получено у соискателя.
4. Оператор должен доказать законность сбора и последующего использования персданных кандидатов из открытых источников.
«Теперь работодатель как оператор должен проверять наличие согласия от кандидата не только на обработку, но и на распространение личной информации о нем, если собирает данные из открытых источников. Галочки под пользовательским соглашением недостаточно — должен быть отдельный документ, электронная форма на сайте. Эти новеллы всколыхнули и бизнес-сообщество, и юристов. 1 сентября замкнется круг законодательных изменений — приказ Роскомнадзора, вступающий в силу в первый день осени, четко определил, как согласие на распространение персданных должно выглядеть. Важный нюанс — в документе должны быть поля, где человек может записать, какие ПД он не разрешает распространять или разрешает с определенными условиями. Теперь рекрутеру нужно отслеживать содержание такого согласия», — объясняет Екатерина Метелкина, юрист hh.ru, эксперт по персональных данным.
Работодатель обязан проверять наличие согласия от кандидата не только на обработку, но и на распространение персональных данных, если собирает данные из открытых источников. Галочки под пользовательским соглашением недостаточно: должен быть отдельный документ — согласие.
9 обязательных пунктов в согласии на обработку персональных данных с 1.09.2021
(приказ Роскомнадзора от 24.02.2021 №18)
1. Ф. И. О. кандидата.
2. Контакты (телефон, адрес электронной почты или почтовый адрес).
3. Сведения об операторе: организации (наименование, адрес, ИНН, основной государственный регистрационный номер), физлице — специалисте по подбору персонала (Ф. И. О., место жительства/пребывания), ИП (Ф. И. О., ИНН, основной государственный регистрационный номер).
4. Сведения об информресурсах оператора, с помощью которого предоставят доступ неограниченному кругу лиц и другие действия с ПД: адреса, состоящего из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имя файла веб-страницы.
5. Цели обработки персональных данных — в рекрутменте это трудоустройство и кадровый резерв.
6. Категории и перечень ПД, на обработку которых кандидат дает согласие.
7. Категории и перечень ПД, для обработки которых соискатель устанавливает условия и запреты, список запретов (по желанию).
8. Условия, при которых полученные данные оператор может распространять только по его внутренней сети, к которой есть доступ у определенных сотрудников.
9. Срок действия согласия. Если цель — только трудоустройство, то срок действия — 30 дней, если и кадровый резерв, тогда срок можно увеличить при согласии соискателя.
ВАЖНО:
Роскомнадзор подготовил сервис, куда можно направить текст согласия на обработку персональных данных, чтобы проверить, соответствует ли оно новым требованиям, и получить рекомендации: https://pd.rkn.gov.ru/soglasiya.
Миллионные штрафы — кого коснутся и при чем тут Google-таблицы?
Параллельно с бурными дискуссиями о новых законодательных ужесточениях возникло сразу несколько громких дел с зарубежными компаниями, связанных с обработкой персональных данных. Претензии Роскомнадзора заключались в нарушении требований локализации ПД граждан на территории РФ. Суд оштрафовал мессенджер WhatsApp на 4 млн руб. за отказ локализовать базы данных российских пользователей (по ч. 8 ст. 13.11 КоАП РФ), а соцсети Facebook и Twitter получили повторные штрафы 15 млн и 17 млн руб. соответственно (по ч. 9 ст. 13.11 КоАП РФ), сообщается на сайте Роскомнадзора. А ранее оштрафовали за нарушение правил локализации на 3 млн руб. компанию Google (также по ч. 8 ст. 13.11 КоАП РФ). По данным ведомства, хранение персональных данных российских пользователей локализовали около 600 представительств в РФ зарубежных компаний.
По мнению наших экспертов, такие проблемы могут затронуть не только крупный международный бизнес, но и российские частные компании, которые, например, используют Google-таблицы для хранения и обработки личной информации кандидатов. Как?
«Работодатель как оператор при сборе персональных данных обязан обеспечить запись, систематизацию, хранение, уточнение и извлечение этих сведений россиян с использованием баз данных на территории РФ. По данным РБК, этим летом ряд иностранных компаний (причем не только крупных) получили письма с требованием подтвердить факт локализации персданных на территории РФ (такое положение внесено согласно Федеральному закону №242-ФЗ от 01.09.2015). Штрафы очень чувствительные — до 6 млн рублей для юрлица за первое нарушение, до 18 млн рублей за повторное (ч. 8–9 ст. 13.11 КоАП РФ). Обратите на это внимание при выборе места, где будут храниться резюме кандидатов. Серверы должны размещаться в России», — советует Юрий Донников, директор юридического департамента и комплаенса hh.ru.
Распространенная ситуация: рекрутер работает с персональными данными кандидатов (Ф. И. О., контакты, ссылка на резюме или выдержки из него) в облачном хранилище. Часто им выступают Google-таблицы. Эксперты назвали такую практику «очень плохой», так как вы не можете выбрать локацию размещения сервера, где хранятся данные, облако Google может находиться в странах, не подпадающих под требования российского законодательства о трансграничной передаче ПД другим странам (ст. 12 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»).
В таком случае при проверке компания не сможет предоставить информацию, где же хранятся персданные. Отсюда высоки риски штрафов. Кроме того, вы не управляете системой доступа, были прецеденты, когда информация, хранящаяся в облачных файлах, становилась общедоступной.
Ряд иностранных компаний получили письма с требованием подтвердить факт локализации персданных на территории РФ, сообщает РБК. Штрафы — до 6 млн рублей для юрлица за первое нарушение, до 18 млн рублей за повторное.
Как выбрать ATS-систему для соблюдения закона о ПД?
Как бизнесу соблюсти все требования, учесть все новые требования законодательства о персданных и не попасть на штрафы, ненамеренно разместив информацию на иностранных серверах? Сегодня компании устанавливают ATS-системы (от англ. Applicant tracking system — система управления кандидами), позволяющие автоматизировать процесс подбора персонала. Эти специальные программы, облегчающие жизнь рекрутерам, помогают соблюдать российское законодательство в части обработки и распространения персональных данных. Сложность в том, что система управления подбором персонала должна соответствовать государственным техтребованиям. Перечень пунктов большой. И помните: техническая защита ПД — это не разовое мероприятие. Вы должны периодически проводить проверку, правильно ли все настроено и как работает.
«Если у вас собственная ATS-система, вы несете полную ответственность за соблюдение всех требований по закону. Если размещаете систему у провайдера, небольшая часть технических требований ляжет на него. Проследите, чтобы у провайдера была лицензия на техническую защиту информации. Удобное решение — ATS как услуга, что снимет с вас риски технического несоответствия. Главное — проанализировать компанию и услугу и убедиться, что все требования 152-ФЗ соблюдены. Например, у hh.ru есть система Talantix, в которой учтены все аспекты, связанные с получением согласия субъекта и хранением его данных, так как “Хэдхантер” учитывает и реализует все технические требования к защите ПД, регулярно привлекает внешних специалистов для анализа соответствия таких требований. Также в системе Talantix есть автоматический запрос на обработку персданных», — советует Сергей Кортиков, независимый консультант по информационной безопасности.
Кстати, использование Talantix не предполагает распространение персональных данных, а если вы берете данные из источников, в которых не уверены, то можете направить запрос согласия субъекту при помощи функционала системы, подчеркнула юрист Екатерина Метелкина.
5 критериев выбора ATS-системы
По словам Марины Хадиной, директора по развитию Talantix, чтобы избежать рисков, рекрутер как менеджер проекта по внедрению программ должен учесть следующие моменты:
1. Обратите внимание, как система запрашивает согласие на обработку персональных данных. Если резюме приходят из разных источников, то во многих случаях должно быть предусмотрено согласие на обработку ПД, разрешенных к распространению. Если есть сомнения, что сторонний онлайн-ресурс не собирает согласия с соискателей, тогда лучше дополнительно запросить его.
2. Посмотрите, как оформлено согласие на обработку ПД. Должны быть указаны цели сбора — трудоустройство и кадровый резерв.
3. Соблюдаются ли в системе требования по локализации данных — например, серверы Talantix располагаются на территории РФ. В данном случае система может выступать как первичная база данных, при этом вторичная база может находиться за пределами России, что актуально для зарубежных компаний.
4. С точки зрения техтребований — есть ли у центра обработки данных, где размещается инфраструктура системы, лицензия на техническую защиту информации, разработана ли модель защиты от киберугроз.
5. Проверьте, предусмотрены ли регулярные обновления системы с учетом изменений в законодательстве.
Законодатели отметили, что закон о распространении ПД — только начало большой работы по ужесточению правил обращения с персональными данными. Но это не должно стать проблемой для компаний, если они следят за автоматизированными решениями и предложениями по хранению и обработке данных, так как крупные провайдеры держат руку на пульсе, чтобы помочь HR-сообществу и бизнесу учесть эти и другие нововведения.