Potok

152-ФЗ «О персональных данных»: главное для рекрутмента и HR

153-ФЗ

Дисклеймер


Важно сказать, что мы не пытаемся трактовать закон по-своему (и не хотим, чтобы так делали вы). За любыми уточнениями лучше обратиться к юристам: многое зависит от размера, деятельности, структуры компании и других тонких моментов.

Мы хотим помочь разобраться в той части 152-ФЗ, которая затрагивает сферы рекрутмента и HR. Поэтому обратились к нашему юристу и составили этот небольшой гайд. ❤️️

Что такое 152-ФЗ и что он регулирует в рекрутменте/HR


152-ФЗ «О персональных данных» — федеральный закон от 27.07.2006, регламентирующий процессы обработки персональных данных частными и юридическими лицами.

Обработка персональных данных — любое действие с персональными данными, с использованием компьютера и других средств автоматизации или без них.

С точки зрения автоматизации требования 152-ФЗ также влияют на процессы рекрутмента. По данным ICT. moscow у 81% московских компаний автоматизирован хотя бы один HR-процесс. А у 21% из этих компаний автоматизированы все процессы.

Potok соблюдает 152-ФЗ «О персональных данных». Нам важна безопасность и законность хранения данных.
Проходим независимый аудит ИБ — есть сертификаты.
Участвуем в периодических тестированиях на проникновение.
Защищены от DDoS- и прочих атак.
Внедрили механизмы отказоустойчивости и резервирования данных.
Облачные ИС располагаются на территории РФ.
Только уполномоченные лица имеют доступ к данным.

Основные термины и понятия


Персональные данные (ПД) —  это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).

К персональным данным относятся:

  • ФИО,
  • пол,
  • дата рождения,
  • фотография,
  • номер телефона,
  • место рождения, регистрации и проживания,
  • семейное, социальное и имущественное положение,
  • религиозные взгляды,
  • биометрические данные,
  • и некоторая другая информация.

Виды обработки персональных данных

Существуют следующие действия по обработке ПД:

  • сбор,
  • запись,
  • накопление,
  • хранение,
  • систематизация,
  • уточнение,
  • извлечение,
  • использование,
  • передача,
  • блокирование,
  • обезличивание,
  • уничтожение.

Типичные примеры обработки ПД в рекрутменте:


  • копирование данных кандидата и сохранение их, например, в файл или АТС;
  • звонок кандидату по номеру из резюме;
  • удаление резюме кандидата;
  • трудоустройство работника (документы);
  • оформление кадровых документов;
  • передача данных работника третьим лицам (оформления зарплатных карт, ДМС или служебных командировок).

Порядок обработки данных сотрудников


Чтобы собирать, хранить, обрабатывать (и прочее) персональные данные сотрудников/кандидатов по законодательству, нужно разработать как минимум три внутренних документа:

  • Положение о защите персональных данных работников;
  • Согласие на обработку персональных данных;
  • Соглашение о неразглашении персональных данных работников.

Положение о защите персональных данных работников утверждается и вводится работодателем (ст. 87 ТК РФ).

Согласие на обработку персональных данных подписывают все сотрудники, которые предоставляют персональные данные.

Соглашение о неразглашении персональных данных работников подписывается теми, кто имеет доступ к таким данным (гл. 14 ТК РФ). Это касается сотрудников отдела кадров, бухгалтерии, службы информационной безопасности и далее.

Что еще важно знать?


  • По общему правилу, персональные данные работника можно получить только у него самого или с его письменного разрешения.
  • Если хотите запросить данные о сотруднике у другой компании, то необходимо получить письменное разрешение работника (пункт о согласии можно включить в анкету).
  • Сведения о бывших сотрудниках также не подлежат разглашению: сначала нужно запросить или удостовериться о наличии письменного согласия работника.
  • При проверках сотрудники Роскомнадзора смотрят документы и уточняют, каким образом собираются данные о сотрудниках.
  • Если персональные данные работника требуют сотрудники полиции или других органов, то нужно получить письменный запрос.

«Преступление и наказание»: ответственность по 152-ФЗ


В 2021 году согласно Федеральному закону от 24.02.2021 № 19-ФЗ, вступили в силу поправки в ст. 13.11 КоАП. Они ужесточают ответственность за нарушения в сфере персональных данных.

К примеру, за обработку персональных данных без согласия их субъекта грозит штраф до 150,000 рублей, а за повторное нарушение — до 500,000 рублей.

Виновные в нарушении норм обработки и защиты ПД лица, несут дисциплинарную, материальную, административную, гражданско-правовую и уголовную ответственность (ст. 90 ТК РФ).

Примеры из жизни: обработка данных и закон


Пример 1. Проверка службы безопасности (СБ)


Рекрутер запросил данные у потенциального сотрудника для проверки СБ. Согласие на обработку данных от кандидата он при этом не получил.

Нарушение: обработка персональных данных без письменного согласия.

Штраф: от 30,000 до 150,000 рублей при первичном нарушении.

Как сделать по 152-ФЗ: взять письменное согласие в корректной форме перед передачей данных в службу безопасности. Не обрабатывайте персональные данные до получения согласия кандидата.

Пример 2: Обработка П Д в отличных от сбора целях


Вы запросили телефон или почту, чтобы выслать счет по заказу, а потом стали рассылать по ним спам. Или вы попросили у кандидата личный номер, чтобы назначить дату интервью, а затем выложили его в общий доступ или перепродали вместе с резюме другому рекрутеру.

Нарушение: обработка в целях, несовместимых с целями их сбора.

Штраф: от 30,000 до 150,000 рублей при первичном нарушении.

Как сделать по 152-ФЗ: получить согласие на обработку ПД кандидата в корректной форме. Не использовать данные в целях в отличных от сбора целях, не выкладывать их в публичный доступ.