Хранить нельзя удалять: 19 вопросов рекрутеров о персональных данных

HeadHunter многое знает о персональных данных. Не просто много, а почти все. Ведь на hh.ru десятки миллионов резюме, и быть на 100% погруженными в тему информационной безопасности — наша обязанность.

Поэтому мы создали систему управления персоналом Talantix, в которой автоматизировали сбор разрешений на использование персональных данных кандидатов. Неделю назад Сергей Кортиков, ведущий консультант по информационной безопасности АО «Винтегра Секьюрити», Наталья Родякина, менеджер по развитию продукта Talantix, и Юрий Донников, директор юридического департамента hh.ru, провели митап, на котором разъяснили суть закона «О персональных данных» и расcказали, как соблюдать его требования.

Мы собрали в статье самые интересные вопросы, которые задали участники митапа, и экспертные ответы на них. Все выступления вы можете посмотреть в записи.

Персональные данные

Что является общедоступной информацией и общедоступными персональными данными?

По закону, общедоступная информация — та, к которой доступ не ограничен. Общедоступные персональные данные — это данные, неограниченный доступ к которым субъект предоставил со своего согласия, причем письменного.

Как получить согласие на хранение данных

У нас на сайте есть общий почтовый ящик, на который кандидаты могут отправить свое резюме. И если они отправляют, то ставят галочку, что дают согласие на обработку персональных данных. Дополнительно просим их прислать письменное согласие на то, что их данные будут храниться у нас. Нужно ли это делать?

Закон допускает получение согласия кандидатов через веб-форму. Когда у вас настроен автоматизированный сбор согласий, Роскомнадзор не будет проверять по отдельности наличие согласия каждого человека в базе данных. В случае проверки важно продемонстрировать, как идет процесс.

Например, ваш сбор согласий через сайт подтвержден внутренним приказом, и часть вашей системы в виде скриншота в этом приказе отражена, то есть у вас есть внутренние документы, которые такое получение согласия описывают. Текст согласия также утвержден каким-либо локальным актом вашей организации. Если вы можете продемонстрировать Роскомнадзору все эти документы и показать, что согласия собираются, этого должно быть достаточно, и не нужно будет просить согласие два раза.

Редко бывают случаи, когда требуется непосредственно письменное согласие. Можно решить это так: когда кандидат пришел на собеседование, попросите его подписать разрешение.

На общий почтовый ящик компании приходят резюме. Как с ними правильно поступать, если согласия на обработку данных нет?

Вы должны их удалять после того, как вакансия, на которую рассматриваются субъекты, будет закрыта. Если же кандидаты просто присылают свои резюме не на какую-либо конкретную вакансию, то их также после просмотра необходимо удалить. Нужному вам кандидату необходимо отправить письмо с согласием на обработку.

Есть ли ситуации, когда обязательно нужно письменное согласие от кандидатов?

Это специальные категории персональных данных: биометрические персональные данные, ограниченные для передачи в определенные страны; информация о здоровье, религиозных взглядах, политических взглядах. Но в кадровом делопроизводстве обычно такие данные не встречаются.

Как быть, если вдруг дело дошло до суда, и кандидат, который давал согласие на обработку персональных данных, вдруг говорит, что ничего он не давал — его почтовый ящик взломали? Как минимизировать такие риски?

Это уже конфликт с субъектом. Он также может сказать, что его подпись на согласии подделана. Все, что можно сделать в этой ситуации, — продемонстрировать, что к вам пришел человек и сообщил, что будет с вами общаться с конкретного почтового ящика. Суд должен встать на вашу сторону, потому что у вас не было оснований считать, что пишет какой-то другой человек. Но как конкретно развернется дело, сказать сложно.

Нужно ли получать согласие кандидатов на хранение персональных данных, если мы просто посмотрели и распечатали резюме, но отмели его кандидатуру?

Пока вы работаете в рамках hh.ru, то вы остаетесь в контуре той оферты, которую принимает каждый пользователь этого ресурса, и вы можете вести переписку, приглашать на интервью и так далее, ни о чем не беспокоясь. Если вы скопировали или распечатали данные, в этот момент hh.ru заканчивается, и начинается ваше самостоятельное использование этих персональных данных. На то, что вы делаете с ними вне сайта, нужно согласие: например, распечатываете, сохраняете себе на флешку, переносите во внутреннюю систему.

Если мы получаем резюме от кадровых агентств, и они у нас хранятся, мы должны получать согласие кандидатов?

Возможно, кадровое агентство уже позаботилось об этом, поэтому важно уточнить у кадрового агентства, в какой форме они собирают согласия. В этих формах должно быть обозначено, что данные будут передаваться в кадровый резерв третьих лиц. У вас должна быть копия этого согласия на случай проверки. Ну и на уровне договора с подрядчиком можно прописать, кто и как обходится с персональными данными кандидатов. Этот договор также можно предоставить в случае проверки.

Глобальная корпорация, 2000 юридических лиц по всему миру. Потенциально все сотрудники могут иметь доступ к персональным данным российских сотрудников, размещенных в глобальных системах. Как сформулировать согласие?

Во-первых, в согласии важно прописать трансграничную передачу, если данные размещаются на серверах этой компании. Во-вторых, необходимо прописывать предоставление данных третьим лицам и то, с какой целью другие члены организации могут иметь доступ к данным.

Если кандидаты из Беларуси, Казахстана и Украины откликаются на наши вакансии, должны ли мы с них тоже запрашивать согласие на обработку данных? Или это касается только соискателей из России?

В странах СНГ свои законы о хранении и обработке персональных данных, требования различаются. Здесь все зависит от того, чье именно законодательство в конкретный момент времени вам надо выполнять. В этих законах также обозначена территория, на которой они действуют. В каких-то случаях закон будет действовать только на территории определенного государства, а в каких-то случаях вы будете обязаны особым образом подходить к обработке данных иностранных граждан. Но так как вы находитесь в России, то вы должны выполнять требования закона об обработке и хранении персональных данных и запрашивать согласие. В случае специальных требований других стран нужно исходить из ситуации.

Нужно ли запрашивать с кандидата согласие на обработку его паспортных данных, если эти данные нам не нужны?

Нет, запрашивать нужно согласие только на те данные, с которыми вы в дальнейшем собираетесь работать. Паспортные данные вы можете запросить, например, для идентификации конкретного соискателя, но так как вы не собираетесь ничего с ними делать, то и согласие не нужно.

Кадровый резерв

Для кадрового резерва нужно собирать отдельное согласие. Можно ли уведомлять об этом кандидата в рамках одной формы для согласия на обработку и хранение персональных данных или нужно запрашивать два согласия?

Можно решить с помощью одного общего согласия, в котором будет указано и рассмотрение на вакансию, и внесение в кадровый резерв. Даже лучше брать одно согласие, чтобы не нагружать ни себя, ни человека.

Если у нас давно есть архив кадрового резерва, и люди, находящиеся в нем, давали согласие на обработку персональных данных в период трудоустройства. Нужно ли отдельное согласие на хранение этих данных?

Так как ваша цель достигнута (люди отработали, уволились), у вас нет формальных оснований хранить эти данные. Поэтому для хранения необходимо запросить у людей в какой-либо форме эти согласия. Либо удалить или обезличить, оставив для себя статистические данные: например, у вас работало столько-то человек такого-то года рождения.

Проверки Роскомнадзора

Какие у Роскомнадзора есть основания для проверки компаний? Они выбирают те, которые им понравились?

Принцип, по которому Роскомнадзор выбирает компании для проверки, неизвестен. Обычно они публикуют план проверок, с которым можно ознакомиться на их сайте.

Как глубоко копает Роскомнадзор в процессе проверок, переходит ли от системы к единичным резюме? В каких случаях начинают искать единичные нарушения?

Сложно сказать, в какой момент Роскомнадзор захочет углубиться и посмотреть какие-либо этапы процесса работы с данными подробнее. Все зависит от конкретной ситуации и позиции проверяющего. Он может вдруг попросить посмотреть, как вы храните личное дело, а может и заглянуть в него, а в нем окажется какое-либо нарушение. Если такое обнаружится в нескольких делах, то проверяющий поймет, что нарушения носят массовый характер.

Может ли Роскомнадзор ковыряться в моем рабочем компьютере?

Роскомнадзор может попросить вас продемонстрировать, как работает вся система по обработке и хранению персональных данных. Например, попросит показать, как вы по электронной почте общаетесь с кандидатами. Или показать бухгалтерию, какие данные фрилансеров хранятся в «1С». Также могут попросить сделать скриншот и положат его в материал проверки. Но сами за компьютер они не могут садиться.

Как сбор данных автоматизирован в Talantix

Автоматизирована ли в системе функция отправки согласия кандидату, можно ли это сделать массово? Или нужно каждому отправлять вручную?

В Talantix процесс автоматизирован: вы можете выбрать список пофамильно или отметить, например, только тех кандидатов, которые откликнулись на конкретную вакансию.

Есть ли возможность временно арендовать чат-бот для нашего корпоративного сайта, так как постоянной необходимости в подборе нет и нет необходимости постоянно пользоваться системой Talantix?

Мы можем настроить для вас чат-бот под ваши задачи, сделаем его как виджет для вашей страницы, и вы сможете его арендовать. Кандидат, кликая на виджет, будет попадать на страницу с чат-ботом в стиле вашей компании. Согласие на обработку персональных данных будет ждать его наверху страницы.

Хранение и уничтожение персональных данных

Как правильно хранить и уничтожать личные дела, чтобы потом не было претензий?

Например, у вас есть фрилансеры, и вы заключаете с ними гражданско-правовые договоры. В силу требований налоговой вы не можете уничтожить договор с фрилансером просто потому, что он вас попросил, даже отправив вам требование, написанное по закону. Пока у вас есть договор, вы имеете право его данные хранить и обрабатывать, так как вам необходимо будет составлять акт оказанных услуг, начислить страховые взносы, платить налоги. Потому что налоговая проверка к вам тоже может прийти, и вам необходимо будет предоставить документы, по которым вы работали с фрилансером. И если Роскомнадзор спросит, почему вы храните данные, если уже не сотрудничаете с фрилансером, то вы можете сослаться на Закон об архивном деле, есть ПБУ, есть Налоговый кодекс, где прописаны свои требования по хранению данных.

Касательно личного дела. Допустим, у вас работал человек, потом уволился. Он имеет право прийти к вам через какое-то время и попросить вас предоставить ему справки о выплаченной зарплате, копии каких-либо документов и другое. И вы должны будете их предоставить, поэтому такие данные необходимо хранить. Закон обязывает вас хранить бухгалтерскую и кадровую документацию, и вы это делаете.

Процедура уничтожения персональных данных должна быть регламентирована и описана. Если это материальный носитель, то в регламенте должно быть прописано, что собирается комиссия, носитель уничтожается и составляется акт об уничтожении материального носителя. К примеру, вы хранили данные на жестком диске. Вы его уничтожаете и составляете акт. Роскомнадзор может попросить вас продемонстрировать экземпляр этого акта.

Существуют ли какие-то сроки, в которые уволившийся человек может обратиться в организацию с просьбой удалить его персональные данные?

Субъект с такой просьбой может к вам обратиться в любой момент времени, здесь нет срока давности. Но ваши сроки хранения данных вам необходимо прописывать во внутренних регламентах.