Рекомендации для рекрутера: всё об обработке персональных данных в 2024 году
Разбираем изменения, которые произошли в законе в 2023 году, и готовимся к новым.
Наши эксперты:
Марина Хадина — основатель и директор по развитию CRM-системы Talantix, hh.ru
Наталья Ковалёва — руководитель практики персональных данных, hh.ru
Что такое персональные данные
Это любая информация о человеке, которая позволит его однозначно или с высокой долей вероятности идентифицировать. Например:
- ИНН, СНИЛС, паспортные данные;
- связка из Ф. И. О. и иных сведений, это может быть дата рождения, место работы и тому подобное;
- номер телефона, электронная почта или другие контакты, по которым можно определить субъекта;
- фото, видео и сканы документов;
- пользовательские данные, то есть тот контент, который содержится в аккаунте соцсети.
Кого касается закон
Оператор персональных данных — организация, юридическое или физическое лицо, которое организует и/или осуществляет обработку персональных данных, а также определяет цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с такими данными. Оператором считается любой бизнес вне зависимости от размера штата и/или оборота.
Субъект персональных данных — тот человек, чьи данные обрабатываются.
Согласие на обработку — одно из правовых оснований для обработки персональных данных субъекта. Оператор, если он не работает с чувствительными данными (сведениями о здоровье или биометрией), может получить согласие в любом виде (письменном, устном, с помощью чекбокса на сайте).
Как не нарушить закон
Чтобы соблюдать закон, компании нужно вовремя регулировать процессы обработки персональных данных. Поэтому важно, чтобы у вас появился ответственный человек, который построит правильный процесс и будет его контролировать. Звучит как задача для HRD или руководителя HR-отдела — в вашей компетенции донести до бизнеса текущее законодательство и ответственность за его несоблюдение.
Если вы храните данные соискателей и сотрудников, важно убедиться в следующем:
1. Каждый человек в вашей базе данных подтвердил, что в курсе того, какие данные вы собираете, храните и обрабатываете, и выразил своё согласие на это.
2. Вы храните данные только теми способами, которые указали в согласии: с помощью компьютера (автоматизированный способ), вручную (неавтоматизированный способ) или и так, и так (это смешанная обработка).
Обратите внимание, что Роскомнадзор считает автоматизацией даже работу в Excel.
3. Вы собираете только те данные, которые нужны для вашей цели. В мире рекрутеров целью может быть рассмотрение возможности трудоустройства и ведение кадрового резерва.
4. Вы не храните данные бессрочно. Срок обработки ограничен достижением цели обработки.
Если в согласии указана цель «рассмотрение возможности трудоустройства», то персональные данные необходимо уничтожить в течение 30 дней после принятия окончательного решения по кандидату.
5. Вы указали способ, которым человек может отозвать своё согласие в любой момент, и у вас есть процесс, по которому вы отреагируете на это требование.
6. Вы вовремя уведомляете Роскомнадзор в случаях, когда это необходимо. Эти случаи мы рассмотрим ниже.
О чём компания обязана уведомить Роскомнадзор в 2024 году
Компания должна сообщать об утечках или случаях неправомерной или случайной передачи (предоставление, распространение, доступ) персональных данных, а также о трансграничной передаче персональных данных.
Уведомление об утечке
С 1 марта 2023 года оператор обязан информировать Роскомнадзор, если произошёл инцидент с персональными данными.
Инцидент — это утечка, неправомерная или случайная передача (предоставление, распространение, доступ) персональных данных. К инцидентам можно отнести:
| Умышленные действия третьих лиц | Человеческая ошибка | Техническая ошибка |
|---|---|---|
| Кража документов или оборудования с персональными данными, несанкционированный доступ к персональным данным в результате фишинговой, вирусной атаки. | Отправка персональных данных по ошибочному адресу, утрата документов или оборудования с персональными данными. | Сбой в настройках прав доступа, устаревшее или необновляемое программное обеспечение, антивирус. |
При выявлении инцидента оператор обязан уведомить Роскомнадзор в течение 24 часов. В течение 72 часов — провести расследование и проинформировать Роскомнадзор о результатах. Форма уведомления об инцидентах установлена
В 2024 году планируют увеличить штрафы за утечку данных: при единовременном нарушении штраф для юридических лиц может достигнуть 15 миллионов рублей, а при рецидиве утечки — до 3% от годового оборота.
Уведомление о трансграничной передаче
Если компания передаёт данные в страну, которая входит в
В то же время, если у российского юридического лица есть филиал или представительство в этих странах, то передача данных не будет считаться трансграничной.
Компания, которая передаёт данные контрагентам или обменивается данными со своим дочерним юридическим лицом за пределами России, должна либо уведомить Роскомнадзор, либо получить разрешение от Роскомнадзора на передачу данных.
Работа с персональными данными кандидатов без бумаг и ручного контроля
Собрать все эти процессы и управлять ими можно вручную или же частично автоматизировать их с помощью таблиц и локальных хранилищ. Уже при нескольких десятках кандидатов в базе и сотрудников в компании вся цепочка необходимых по закону действий будет «отъедать» достаточно много времени, а риск ошибки станет слишком высоким.
Чтобы сохранить своё время и автоматически поддерживать обработку, включая хранение данных в соответствии с законом, переведите процесс найма в цифровой формат и воспользуйтесь
Вот как это работает:
1. В Talantix уже встроено согласие, составленное экспертами hh.ru в соответствии с Федеральным законом № 152 «О персональных данных». Мы сами обновляем его при изменении законодательства.
2. Если кандидат зарегистрирован на hh.ru, то, присоединяясь к соискательской оферте на hh.ru, он выражает согласие на передачу своих данных клиентам Talantix — при импорте откликов его персональные данные автоматически добавляются в CRM-систему.
3. Для кандидатов из других источников процесс получения согласий автоматизирован: если согласия нет, человек получит письмо о необходимости его дать в один клик, а в базе Talantix статус обновится автоматически.
4. Сервера Talantix находятся на территории Российской Федерации — соблюдаем требование о локализации данных.
5. Поддержка клиентов: наши специалисты готовы разъяснить правовые вопросы, связанные с обработкой персональных данных в Talantix.
6. При необходимости — поможем перенести резюме из файлов и других систем, а встроенные формы запроса согласия помогут привести все ваши данные в соответствие с законом.
7. Talantix хранит электронные согласия в защищённом облаке. Это гораздо надёжнее, чем на бумаге или в файлах на рабочих компьютерах, которые могут быть недостаточно защищены от взломов.
В системе всё сделано для того, чтобы вам не нужно было вести бумажные картотеки и тратить уйму времени и сил на их поддержание в актуальном виде. С Talantix риски нарушить закон из-за ошибки тоже исключены, и у вас будут все данные, чтобы отчитаться в случае проверки.
***
Talantix как часть hh.ru входит в реестр отчественного программного обеспечения, пользоваться этой системой, собирать и хранить ПДн через неё — безопасно, технологично и в строгом соответствии с законом.
🔄 Материал обновлён 2 апреля 2024 года
↩ К другим статьям
