Что защищает закон о персональных данных
Закон 152-ФЗ «О персональных данных» защищает любую информацию, которая прямо или косвенно относится к физическому лицу и позволяет его идентифицировать. Информация в резюме содержит множество таких данных: фамилию и имя, фотографию, дату рождения, телефон и многое другое.
По закону, работодатель имеет право использовать персональные данные, не запрашивая согласие человека, только если от имени соискателя действует кадровое агентство, с которым кандидат заключил договор и подписал согласие на передачу персональных данных.
Однако даже в этом случае данные можно только собирать — но не хранить и не передавать другим людям.
Штрафы за незаконное получение, хранение и обработку персональных данных доходят до 700 000 рублей при первом нарушении, до 1 500 000 рублей — при повторном. Максимальная ответственность за разглашение данных — до 500 млн рублей.
Читайте также: Рост штрафов до 500 млн ₽ за утечки персональных данных: кто в зоне риска.
Разберем конкретные ситуации, в которых можно получить штраф.
Сбор данных от кандидатов через типовые онлайн-анкеты
Ситуация: на сайте компании, в гугл-документе или на другом ресурсе размещена анкета для сбора резюме от кандидатов. Она составлена в свободной форме и не включает пункт о согласии на обработку персональных данных.
Нарушение: сбор и обработка персональных данных с нарушением Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации.
Законные действия
Обязательно включите в анкету:
информацию о сроке ее рассмотрения и принятия решения;
запрос разрешения использовать персональные данные.
Проще всего получить согласие на обработку персональных данных с помощью проставления «галочки» в соответствующем поле. При этом изначально поле для «галочки» должно быть пустым, чтобы согласие человека было активным и сознательным.
Важно, чтобы человек понимал цель и способы представления данных. Для этого он должен знать:
сведения о цели обработки персональных данных;
наименование и адрес оператора;
источник получения персональных данных;
сроки обработки персональных данных;
перечень действий с персональными данными, которые будут совершаться в процессе их обработки;
общее описание используемых работодателем способов обработки данных.
Всю эту информацию можно разместить в отдельном Положении об обработке персональных данных, на которое будет ссылка в анкете.
Объединять поля, предназначенные для внесения персональных данных, цели обработки которых заведомо несовместимы, нельзя. Например, для сбора данных для рассмотрения кандидатуры кандидата нужно одно согласие, для рассылки о вакансиях — другое.
Учитывайте, что доступ к данным анкеты должен быть только у вас и самого кандидата. Другие кандидаты и посторонние лица не должны иметь возможности просматривать чужие резюме.
Скачать пример положения о работе с персональными данными сотрудников.
Хотите защитить свой бизнес от штрафов на 1,5 млн от Роскомнадзора?
Возьмем на себя все заботы о персональных данных и защитим от претензий Роскомнадзора
Оставьте заявку, мы перезвоним
Просьба направлять резюме на электронную почту компании
Ситуация: вы собираете резюме кандидатов в свободной форме на электронную почту компании и храните их там. Если соискатели вам не подошли — вы им не отвечаете и не удаляете резюме.
Нарушение: обработка и хранение персональных данных без согласия субъекта этих данных.
Законные действия
Согласно Разъяснениям Роскомнадзора, при получении резюме по электронной почте, нужно сразу дать кандидату обратную связь: пригласить его на собеседование или направить отказ. Если этого не сделать, резюме нужно удалить в день поступления.
Хранить их, ничего не отвечая кандидатам и не получив от них согласия на обработку персональных данных, запрещено. Исключение — случаи, когда кандидат присылает не само резюме, а ссылку на профиль на сайте поиска работы.
Скачать пример согласия сотрудника на обработку персональных данных.
Скачать пример акта об уничтожении персданных.
Скачать образец выгрузки из журнала регистрации событий.
Сохранение резюме во внутренней базе данных
Ситуация: вы отказываете кандидату, но сохраняете его резюме как «кадровый резерв», чтобы обратиться к нему в будущем.
Нарушение: обработка и хранение персональных данных без согласия субъекта этих данных.
По Разъяснениям Роскомнадзора, при отказе в приеме на работу резюме со всеми персональными данными кандидата необходимо удалить в течение 30 дней. Исключение — случаи, предусмотренные законодательством о государственной гражданской службе, где персональные данные соискателя хранятся в течение трех лет.
Законные действия
Хранить данные можно дольше 30 дней, но только в том случае, если вы получили на это согласие соискателя. Включите этот пункт в основной запрос согласия соискателя на обработку персональных данных, а в качестве цели хранения укажите, например, возможность присылать кандидату другие вакансии вашей компании.
Отправка резюме кандидата в рамках группы компаний
Ситуация: вы работаете в холдинге из нескольких юридических лиц, получили от кандидата резюме с согласием на обработку персональных данных и передаете его в соседнюю компанию. Юридически — в другую организацию, но фактически — внутри компании.
Нарушение: незаконная передача персональных данных. В случае, если у вас международная компания, это и нарушение трансграничной передачи персональных данных.
Законные действия
Если вы собираетесь передавать резюме в другую организацию, даже внутри группы компаний, нужно запросить отдельное согласие на передачу персональных данных третьим лицам. В тексте необходимо указать, какие компании получат доступ к сведениям и назвать цель передачи — трудоустройство в холдинг.
Если ваша группа компаний международная, придерживайтесь правил трансграничной передачи персональных данных (ст. 12 152-ФЗ). Согласие, которое вам необходимо получить, различается в зависимости от государства, в котором находится филиал.
Страны, которые присоединились к Конвенции «О защите физических лиц при автоматизированной обработке персональных данных», гарантируют защиту персональных данных. Чтобы получить согласие на трансграничную передачу данных, достаточно, чтобы кандидат поставил «галочку» в соответствующем поле анкеты. Список таких стран перечислен в приказе Роскомнадзора № 128 от 05.08.2022 года.
В остальных случаях необходимо запрашивать отдельное письменное согласие на передачу данных в другое государство. В таком документе нужно прописать:
вид передачи данных — трансграничный;
адрес, наименование или ФИО получателя персональных данных;
государство, на территорию которого будут переданы данные;
указание на то, что это государство не обеспечивает адекватную защиту прав субъектов персональных данных.
Перед тем, как отправлять данные, отправьте уведомление в Роскомнадзор. Если государство-получатель данных не присоединилось к Конвенции, потребуется сначала получить разрешение на отправку.
Скачать пример уведомления о трансграничной передаче персональных данных.
Настроим работу с персональными данными с нуля
Проведем аудит, подготовим недостающие документы и подадим уведомления в Роскомнадзор
Реклама: ООО «ПЭБ», ИНН 5904400185, erid: LjN8JuapZ
Начать дискуссию