На протяжении нескольких лет федеральный закон №152 «О персональных данных» дорабатывается. Защите персональных данных уделяется особое внимание, их обработка должна быть законной и исключать утечки. Давайте посмотрим, как HR-отделу компании действовать по закону. Разбираем изменения, которые произошли в законе в 2023 году, и готовимся к новым. Об этом расскажут наши эксперты: Марина Хадина — основатель и директор по развитию CRM-системы Talantix, hh.ru, и Наталья Ковалева — руководитель практики персональных данных, hh.ru.
По фото и видеосъемке также можно идентифицировать личность человека
Что такое персональные данные
Это любая информация о человеке, которая позволит его однозначно или с высокой долей вероятности идентифицировать. Например:
- ИНН, СНИЛС, паспортные данные;
- связка из Ф. И. О. и иных сведений, это может быть дата рождения, место работы и тому подобное;
- номер телефона, электронная почта или другие контакты, по которым можно определить субъекта;
- фото, видео и сканы документов;
- пользовательские данные, то есть тот контент, который содержится в аккаунте соцсети.
Кого касается закон
Оператор персональных данных — организация, юридическое или физическое лицо, которое организует и/или осуществляет обработку персональных данных, а также определяет цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с такими данными. Оператором считается любой бизнес вне зависимости от размера штата и/или оборота.
Субъект персональных данных — тот человек, чьи данные обрабатываются.
Согласие на обработку — одно из правовых оснований для обработки персональных данных субъекта. Оператор, если он не работает с чувствительными данными (сведениями о здоровье или биометрией), может получить согласие в любом виде (письменном, устном, с помощью чекбокса на сайте).
Роскомнадзор считает автоматизацией даже работу в Excel
Как не нарушить закон
Чтобы соблюдать закон, компании нужно вовремя регулировать процессы обработки персональных данных. Поэтому важно, чтобы у вас появился ответственный человек, который построит правильный процесс и будет его контролировать. Звучит как задача для HRD* или руководителя HR**-отдела — в вашей компетенции донести до бизнеса текущее законодательство и ответственность за его несоблюдение.
Если вы храните данные соискателей и сотрудников, важно убедиться в следующем:
- Каждый человек в вашей базе данных подтвердил, что в курсе того, какие данные вы собираете, храните и обрабатываете, и выразил свое согласие на это.
- Вы храните данные только теми способами, которые указали в согласии: с помощью компьютера (автоматизированный способ), вручную (неавтоматизированный способ) или и так и так (это смешанная обработка). Обратите внимание, что Роскомнадзор считает автоматизацией даже работу в Excel.
- Вы собираете только те данные, которые нужны для вашей цели. В мире рекрутеров целью может быть рассмотрение возможности трудоустройства и ведение кадрового резерва.
- Вы не храните данные бессрочно. Срок обработки ограничен достижением цели обработки. Если в согласии указана цель «рассмотрение возможности трудоустройства», то персональные данные необходимо уничтожить в течение 30 дней после принятия окончательного решения по кандидату.
- Вы указали способ, которым человек может отозвать свое согласие в любой момент, и у вас есть процесс, по которому вы отреагируете на это требование.
- Вы вовремя уведомляете Роскомнадзор в случаях, когда это необходимо. Эти случаи мы рассмотрим ниже.
О чем компания обязана уведомить Роскомнадзор в 2024 году
Компания должна сообщать об утечках или случаях неправомерной или случайной передачи (предоставление, распространение, доступ) персональных данных, а также о трансграничной передаче персональных данных.
Уведомление об утечке
С 1 марта 2023 года оператор обязан информировать Роскомнадзор, если произошел инцидент с персональными данными.
Инцидент — это утечка, неправомерная или случайная передача (предоставление, распространение, доступ) персональных данных. К инцидентам можно отнести:
При выявлении инцидента оператор обязан уведомить Роскомнадзор в течение 24 часов. В течение 72 часов — провести расследование и проинформировать Роскомнадзор о результатах. Форма уведомления об инцидентах установлена приказом РКН №187 от 14.11.2022.
В 2024 году планируют увеличить штрафы за утечку данных: при единовременном нарушении штраф для юридических лиц может достигнуть 15 миллионов рублей, а при рецидиве утечки — до 3% от годового оборота.
Компания, которая передает данные контрагентам или обменивается данными со своим дочерним юридическим лицом за пределами России, должна либо уведомить Роскомнадзор, либо получить разрешение от Роскомнадзора на передачу данных
Уведомление о трансграничной передаче
Если компания передает данные в страну, которая входит в список стран с «адекватной защитой» (согласно Приказу Роскомнадзора от 05.08.2022 №128 «Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных»), то достаточно уведомить Роскомнадзор и направить документ, составив его в соответствии с требованиями, установленными ст. 12 федерального закона №152-ФЗ «О персональных данных». Для передачи данных в страну, которой нет в этом списке, потребуется получить разрешение от Роскомнадзора на трансграничную передачу данных. В то же время если у российского юридического лица есть филиал или представительство в этих странах, то передача данных не будет считаться трансграничной.
Компания, которая передает данные контрагентам или обменивается данными со своим дочерним юридическим лицом за пределами России, должна либо уведомить Роскомнадзор, либо получить разрешение от Роскомнадзора на передачу данных.
Работа с персональными данными кандидатов без бумаг и ручного контроля
Собрать все эти процессы и управлять ими можно вручную или же частично автоматизировать их с помощью таблиц и локальных хранилищ. Уже при нескольких десятках кандидатов в базе и сотрудников в компании вся цепочка необходимых по закону действий будет «отъедать» достаточно много времени, а риск ошибки станет слишком высоким.
Чтобы сохранить свое время и автоматически поддерживать обработку, включая хранение данных в соответствии с законом, переведите процесс найма в цифровой формат и воспользуйтесь CRM-системой*** Talantix.
Вот как это работает:
- В Talantix уже встроено согласие, составленное экспертами hh.ru в соответствии с федеральным законом №152 «О персональных данных». Мы сами обновляем его при изменении законодательства.
- Если кандидат зарегистрирован на hh.ru, то, присоединяясь к соискательской оферте на hh.ru, он выражает согласие на передачу своих данных клиентам Talantix — при импорте откликов его персональные данные автоматически добавляются в CRM-систему.
- Для кандидатов из других источников процесс получения согласий автоматизирован: если согласия нет, человек получит письмо о необходимости его дать в один клик, а в базе Talantix статус обновится автоматически.
- Сервера Talantix находятся на территории Российской Федерации — соблюдаем требование о локализации данных.
- Поддержка клиентов: наши специалисты готовы разъяснить правовые вопросы, связанные с обработкой персональных данных в Talantix.
- При необходимости поможем перенести резюме из файлов и других систем, а встроенные формы запроса согласия помогут привести все ваши данные в соответствие с законом.
- Talantix хранит электронные согласия в защищенном облаке. Это гораздо надежнее, чем на бумаге или в файлах на рабочих компьютерах, которые могут быть недостаточно защищены от взломов.
Talantix наглядно дает понять, получено согласие или нет: резюме отмечено зеленой галочкой, а в статусе обработки персональных данных стоит значение «Получено согласие».
В системе все сделано для того, чтобы вам не нужно было вести бумажные картотеки и тратить уйму времени и сил на их поддержание в актуальном виде. С Talantix риски нарушить закон из-за ошибки тоже исключены, и у вас будут все данные, чтобы отчитаться в случае проверки.
* * *
Talantix как часть hh.ru входит в реестр отечественного программного обеспечения, пользоваться этой системой, собирать и хранить ПДн через нее безопасно, технологично и в строгом соответствии с законом. Попробовать Talantix.
* HRD (Human Resources Director) — директор по персоналу в компании
** HR (Human Resources) — человеческие ресурсы
*** CRM-система (Customer Relationship Management) — управление взаимоотношениями с клиентами
Внимание!
Комментирование временно доступно только для зарегистрированных пользователей.
Подробнее
Комментарии 4
Редакция оставляет за собой право отказать в публикации вашего комментария.
Правила модерирования.