Грядет изменение требований к обработке персональных данных соискателей

19 июня 2017

В последнее время тема персональных данных набирает обороты, так как близится дата, с которой Роскомнадзор будет проводить проверки документов по-новому, с применением ужесточенных санкций по статье 13.11 КоАП РФ – 1 июля 2017 года. Одной из важных тем по персональным данным является тема, касающаяся обработки персональных данных соискателей.

Вопрос: Требуется ли согласие кандидата на обработку/защиту его персональных данных, если резюме было опубликовано в открытом доступе? Как технически можно это согласие получить? Достаточно ли сканированной копии, полученной по электронной почте или все же нужен оригинал? Какие основные моменты должны быть отражены в согласии? 

Ответ: Если резюме было размещено в открытом доступе и работодатель не начал обработку персональных данных, то согласие на обработку не требуется.  Под обработкой  следует понимать любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными – включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (выписка представлена ниже).

Но как только резюме сохраняется или распечатывается – начинается процесс обработки, перед началом которого должно быть получено согласие от кандидата.

Если есть возможность получить согласие от кандидата в сканированной копии либо непосредственно из его рук (когда он придет на собеседование) то нарушений со стороны работодателя не будет. К сожалению, заполнение электронной формы согласия кандидата и направление  Вам не сильно защищает интересы работодателя.  Такие соглашения нарушают главное условие  – проставление подписи и  возможны только если у кандидата есть электронная цифровая подпись.

Без наличия подписи согласие считается неправомерным. В зависимости от вида обрабатываемых персональных данных для некоторых категорий (например, биометрический и специальный) установлено обязательное требование – ПИСЬМЕННАЯ форма.

 

Федеральный закон от 27.07.2006 N 152-ФЗ “О персональных данных”

 

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

 

В любом согласии на обработку персональных данных должны быть указаны следующие условия (статья 9 вышеуказанного Федерального закона п. 4):

В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.

Равнозначным согласию кандидата в письменной форме на бумаге признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме на обработку  персональных данных субъекта должно включать в себя:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных.

Вопрос: При размещении вакансии на сайте компании, указан адрес электронной почты ответственного лица. У кандидатов имеется возможность присылать напрямую свои резюме. При таком подходе, требуется какое-то согласие? Или необходимо разместить какую-то информацию, связанную с обработкой/защитой персональных данных на самом сайте?

Ответ: При получении персональных данных субъекта сначала должно быть получено согласие на обработку, а потом уже начата обработка.  Электроннпя формы согласия, которую кандидаты будут заполнять прямо на сайте и направлять перед отправкой резюме работодателю, должна соответствовать требованиям статьи 9 152-ФЗ «О персональных данных» от 27.07.2006. При получении такого согласия теряется главный реквизит, точнее он просто не проставляется, так как это технически сложно сделать – подпись субъекта.

С  1 июля за использование ненадлежащей формы согласия на обработку персональных данных будет применяться новая административная ответственность – выписка приведена ниже.

КоАП РФ

 

Статья 13.11. Нарушение законодательства Российской Федерации в области персональных данных (извлечение)

2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, – влечет наложение административного штрафа

на граждан в размере от 3 000 до 5 000 рублей;

на должностных лиц – от 10 000 до 20 000 рублей;

на юридических лиц – от 15 000 до 75 000 рублей.


Вопрос: Если кандидата на собеседование не пригласили, должны ли мы его дополнительно уведомлять о «судьбе его ПНд». Варианты могут быть следующие: его данные остаются в базе резюме или подлежат уничтожению?

Ответ: Обязанности по сообщению кандидатам о судьбе их ПНд закон не устанавливает, однако следует учитывать, что если работодатель начал обработку, то должно быть получено согласие по установленной законом форме, в котором кандидат указал срок возможной обработки его персональных данных и период хранения соответственно.  Будут ли они уничтожаться или находиться в базе работодателя зависит от того, что указано в самом согласии.

Кандидат вправе запросить у работодателя информацию о продолжении или осуществлении обработки его персональных данных – при этом работодатель обязан будет ему ответить. Соискатель также может попросить заблокировать, удалить свои персональные данные на бумажных носителях и в информационных системах.

Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные Федеральным законом № 152-ФЗ «О персональных данных» или другими федеральными законами.

Вопрос: При работе с кадровыми агентствами очевидно, что первичная обработка персональных данных происходит в агентстве – далее данные пересылаются работодателю. Нужно ли работодателю подписывать согласие об обработке/защите персональных данных с кандидатом?

Ответ: Все зависит от перечня персональных данных, целей и действий с ними. Если кандидат к Вам не приходит, а Вы только получаете его резюме или анкету, которую Вам пересылает агентство, то согласие от кандидата Вам получать ненужно. Так как оператор  уже получил необходимое согласие, а условие о передаваемых Вам от агентства персональных данных и режиме конфиденциальности должно быть прописано в договоре межу Вами и агентством.

Если же кандидат пришел к Вам на собеседование – теперь Вы становитесь  оператором и  обязаны получить согласие от кандидата. Так как цели, перечень действий и сами обрабатываемые персональные данные будут отличаться от тех, которые запрашивало кадровое агентство.

Источник: irbis-group.ru

Источник: hr.superjob.ru

Автор: Финатова Мария
Партнер юридической компании «Митрофанова и партнеры»