20 июн 2017, 12:27

Грядет изменение требований к обработке персональных данных соискателей

В последнее время тема персональных данных становится все более актуальной, так как близится дата, начиная с которой Роскомнадзор будет проводить проверки документов по-новому, с применением ужесточенных санкций по статье 13.11 КоАП РФ, — 1 июля 2017 года. Важной является и тема, касающаяся обработки персональных данных соискателей.

Вопрос: требуется ли согласие кандидата на обработку/защиту его персональных данных, если резюме было опубликовано в открытом доступе? Как технически можно это согласие получить? Достаточно ли сканированной копии, полученной по электронной почте, или все же нужен оригинал? Какие основные моменты должны быть отражены в согласии?

Ответ: если резюме было размещено в открытом доступе и работодатель не начал обработку персональных данных, то согласие на обработку не требуется. Под обработкой следует понимать любое действие или совокупность действий с персональными данными, совершаемых с использованием или без использования средств автоматизации, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (выписка представлена ниже).

Но как только резюме сохраняется или распечатывается, начинается процесс обработки, перед началом которого должно быть получено согласие от кандидата.

Если есть возможность получить согласие от кандидата в сканированной копии либо непосредственно из его рук (когда он придет на собеседование), то нарушений со стороны работодателя не будет. К сожалению, заполнение электронной формы согласия кандидата и направление вам не сильно защищает интересы работодателя. Такие соглашения нарушают главное условие (проставление подписи) и возможны только в том случае, если у кандидата есть электронная цифровая подпись.

Без наличия подписи согласие считается неправомерным. В зависимости от вида обрабатываемых персональных данных для некоторых категорий (например, биометрические и специальные) установлено обязательное требование — письменная форма.

Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных»

«Статья 3. Основные понятия, используемые в настоящем федеральном законе

…Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

В любом согласии на обработку персональных данных должны быть указаны следующие условия (статья 9 вышеуказанного Федерального закона п. 4):

В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.

Равнозначным согласию кандидата в письменной форме на бумаге признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме на обработку персональных данных субъекта должно включать в себя:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных».

Вопрос: при размещении вакансии на сайте компании указан адрес электронной почты ответственного лица. У кандидатов имеется возможность присылать напрямую свои резюме. При таком подходе требуется какое-то согласие? Или необходимо разместить информацию, связанную с обработкой/защитой персональных данных на самом сайте?

Ответ: при получении персональных данных субъекта сначала должно быть получено согласие на обработку, а потом уже начата обработка. Электронная форма согласия, которую кандидаты будут заполнять прямо на сайте и направлять перед отправкой резюме работодателю, должна соответствовать требованиям статьи 9 152-ФЗ «О персональных данных» от 27.07.2006. При получении такого согласия теряется главный реквизит, точнее он просто не проставляется, так как это технически сложно сделать — подпись субъекта.

С 1 июля за использование ненадлежащей формы согласия на обработку персональных данных будет применяться новая административная ответственность — выписка приведена ниже.

КоАП РФ

«Статья 13.11. Нарушение законодательства Российской Федерации в области персональных данных (извлечение)

2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, – влечет наложение административного штрафа

на граждан в размере от 3 000 до 5 000 рублей;

на должностных лиц – от 10 000 до 20 000 рублей;

на юридических лиц – от 15 000 до 75 000 рублей».

Вопрос: если кандидата на собеседование не пригласили, должны ли мы его дополнительно уведомлять о «судьбе его ПНд»? Его данные остаются в базе резюме или подлежат уничтожению?

Ответ: обязанности по сообщению кандидатам о судьбе их ПНд закон не устанавливает, однако следует учитывать, что если работодатель начал обработку, то должно быть получено согласие по установленной законом форме, в котором кандидат указал срок возможной обработки его персональных данных и период хранения соответственно. Будут ли они уничтожаться или находиться в базе работодателя, зависит от того, что указано в самом согласии.

Кандидат вправе запросить у работодателя информацию о продолжении или осуществлении обработки его персональных данных, при этом работодатель обязан будет ему ответить. Соискатель также может попросить заблокировать, удалить свои персональные данные на бумажных носителях и в информационных системах.

Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим федеральным законом;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные федеральным законом № 152-ФЗ «О персональных данных» или другими федеральными законами.

Вопрос: при работе с кадровыми агентствами очевидно, что первичная обработка персональных данных происходит в агентстве, далее данные пересылаются работодателю. Нужно ли работодателю подписывать согласие об обработке/защите персональных данных с кандидатом?

Ответ: все зависит от перечня персональных данных, целей и действий с ними. Если кандидат к вам не приходит, а вы только получаете его резюме или анкету, которую вам пересылает агентство, то согласие от кандидата вам получать не нужно, так как оператор уже получил необходимое согласие, а условие о передаваемых вам от агентства персональных данных и режиме конфиденциальности должно быть прописано в договоре межу вами и агентством.

Если же кандидат пришел к вам на собеседование, вы становитесь оператором и обязаны получить согласие от кандидата, так как цели, перечень действий и сами обрабатываемые персональные данные будут отличаться от тех, которые запрашивало кадровое агентство.

Подготовлено

Марией Финатовой,

партнером

группы компаний Валентины Митрофановой

_____________________________________

тел/факс: +7 (495) 988 5739, доб. 109,

m.finatova@ipkconsulting.ru,

www.ipkconsulting.ru


1 0
1 190
0 комментариев