Блог Мнения Персональные данные в HR: 152-ФЗ

Персональные данные в HR: 152-ФЗ

Важно сказать, что мы не пытаемся трактовать закон по-своему (и не хотим, чтобы так делали вы).

Спасибо, что вы с нами!
Письмо с подарочным HR-паком уже ждёт вас в почте. Если не нашли его, проверьте категорию «Промоакции» или «Спам».

Дисклеймер.

За любыми уточнениями лучше обратиться к юристам: многое зависит от размера, деятельности, структуры компании и других тонких моментов.

Мы хотим помочь разобраться в той части 152-ФЗ, которая затрагивает сферы рекрутмента и HR. Поэтому обратились к нашим экспертам и составили этот небольшой гайд. ❤️️

Что такое 152-ФЗ и что он регулирует в рекрутменте/HR

152-ФЗ «О персональных данных» — федеральный закон от 27.07.2006, регламентирующий процессы обработки персональных данных частными и юридическими лицами.

Обработка персональных данных — любое действие с персональными данными, с использованием компьютера и других средств автоматизации или без них.

С точки зрения автоматизации требования 152-ФЗ также влияют на процессы рекрутмента. По данным ICT. moscow у 81% московских компаний автоматизирован хотя бы один HR-процесс. А у 21% из этих компаний автоматизированы все процессы.

Основные термины и понятия

Персональные данные (ПД) — это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).

К персональным данным относятся:

ФИО,
пол,
дата рождения,
фотография,
номер телефона,
место рождения, регистрации и проживания,
семейное, социальное и имущественное положение,
религиозные взгляды,
биометрические данные,
и некоторая другая информация.

Виды обработки персональных данных

Существуют следующие действия по обработке ПД:

сбор,
запись,
накопление,
хранение,
систематизация,
уточнение,
извлечение,
использование,
передача,
блокирование,
обезличивание,
уничтожение.

Типичные примеры обработки ПД в рекрутменте:

копирование данных кандидата и сохранение их, например, в файл или АТС;
звонок кандидату по номеру из резюме;
удаление резюме кандидата;
трудоустройство работника (документы);
оформление кадровых документов;
передача данных работника третьим лицам (оформления зарплатных карт, ДМС или служебных командировок).

Порядок обработки данных сотрудников

Чтобы собирать, хранить, обрабатывать (и прочее) персональные данные сотрудников/кандидатов по законодательству, нужно разработать как минимум три внутренних документа:

Положение о защите персональных данных работников утверждается и вводится работодателем (ст. 87 ТК РФ).

Согласие на обработку персональных данных подписывают все сотрудники, которые предоставляют персональные данные.

Соглашение о неразглашении персональных данных работников подписывается теми, кто имеет доступ к таким данным (гл. 14 ТК РФ). Это касается сотрудников отдела кадров, бухгалтерии, службы информационной безопасности и далее.

Что еще важно знать?

По общему правилу, персональные данные работника можно получить только у него самого или с его письменного разрешения.
Если хотите запросить данные о сотруднике у другой компании, то необходимо получить письменное разрешение работника (пункт о согласии можно включить в анкету).
Сведения о бывших сотрудниках также не подлежат разглашению: сначала нужно запросить или удостовериться о наличии письменного согласия работника.
При проверках сотрудники Роскомнадзора смотрят документы и уточняют, каким образом собираются данные о сотрудниках.
Если персональные данные работника требуют сотрудники полиции или других органов, то нужно получить письменный запрос.

«Преступление и наказание»: ответственность по 152-ФЗ

В 2021 году согласно Федеральному закону от 24.02.2021 № 19-ФЗ, вступили в силу поправки в ст. 13.11 КоАП. Они ужесточают ответственность за нарушения в сфере персональных данных.

К примеру, за обработку персональных данных без согласия их субъекта грозит штраф до 150,000 рублей, а за повторное нарушение — до 500,000 рублей.

Виновные в нарушении норм обработки и защиты ПД лица, несут дисциплинарную, материальную, административную, гражданско-правовую и уголовную ответственность (ст. 90 ТК РФ).

Примеры из жизни: обработка данных и закон

Пример 1. Проверка службы безопасности (СБ)

Рекрутер запросил данные у потенциального сотрудника для проверки СБ. Согласие на обработку данных от кандидата он при этом не получил.

Нарушение: обработка персональных данных без письменного согласия.

Штраф: от 30,000 до 150,000 рублей при первичном нарушении.

Как сделать по 152-ФЗ: взять письменное согласие в корректной форме перед передачей данных в службу безопасности. Не обрабатывайте персональные данные до получения согласия кандидата.

Пример 2: Обработка ПД в отличных от сбора целях

Вы запросили телефон или почту, чтобы выслать счет по заказу, а потом стали рассылать по ним спам. Или вы попросили у кандидата личный номер, чтобы назначить дату интервью, а затем выложили его в общий доступ или перепродали вместе с резюме другому рекрутеру.

Нарушение: обработка в целях, несовместимых с целями их сбора.

Штраф: от 30,000 до 150,000 рублей при первичном нарушении.

Как сделать по 152-ФЗ: получить согласие на обработку ПД кандидата в корректной форме. Не использовать данные в целях в отличных от сбора целях, не выкладывать их в публичный доступ.