В последнее время тема персональных данных набирает обороты, так как близится дата, с которой Роскомнадзор будет проводить проверки документов по-новому, с применением ужесточенных санкций по статье 13.11 КоАП РФ – 1 июля 2017 года. Одной из важных тем по персональным данным является тема, касающаяся обработки персональных данных соискателей. Вопрос: Требуется ли согласие кандидата на обработку/защиту его персональных данных, если резюме было опубликовано в открытом доступе? Как технически можно это согласие получить? Достаточно ли сканированной копии, полученной по электронной почте или все же нужен оригинал? Какие основные моменты должны быть отражены в согласии? Ответ: Если резюме было размещено в открытом доступе и работодатель не начал обработку персональных данных, то согласие на обработку не требуется. Под обработкой следует понимать любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными - включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (выписка представлена ниже). Но как только резюме сохраняется или распечатывается - начинается процесс обработки, перед началом которого должно быть получено согласие от кандидата. Если есть возможность получить согласие от кандидата в сканированной копии либо непосредственно из его рук (когда он придет на собеседование) то нарушений со стороны работодателя не будет. К сожалению, заполнение электронной формы согласия кандидата и направление Вам не сильно защищает интересы работодателя. Такие соглашения нарушают главное условие – проставление подписи и возможны только если у кандидата есть электронная цифровая подпись. Без наличия подписи согласие считается неправомерным. В зависимости от вида обрабатываемых персональных данных для некоторых категорий (например, биометрический и специальный) установлено обязательное требование – ПИСЬМЕННАЯ форма. Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" Статья 3. Основные понятия, используемые в настоящем Федеральном законе … обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; … | В любом согласии на обработку персональных данных должны быть указаны следующие условия (статья 9 вышеуказанного Федерального закона п. 4): В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным согласию кандидата в письменной форме на бумаге признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме на обработку персональных данных субъекта должно включать в себя: 1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; 2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных); 3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных; 4) цель обработки персональных данных; 5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; 6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу; 7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных; 8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом; 9) подпись субъекта персональных данных. Вопрос: При размещении вакансии на сайте компании, указан адрес электронной почты ответственного лица. У кандидатов имеется возможность присылать напрямую свои резюме. При таком подходе, требуется какое-то согласие? Или необходимо разместить какую-то информацию, связанную с обработкой/защитой персональных данных на самом сайте? Ответ: При получении персональных данных субъекта сначала должно быть получено согласие на обработку, а потом уже начата обработка. Электроннпя формы согласия, которую кандидаты будут заполнять прямо на сайте и направлять перед отправкой резюме работодателю, должна соответствовать требованиям статьи 9 152-ФЗ «О персональных данных» от 27.07.2006. При получении такого согласия теряется главный реквизит, точнее он просто не проставляется, так как это технически сложно сделать – подпись субъекта. С 1 июля за использование ненадлежащей формы согласия на обработку персональных данных будет применяться новая административная ответственность – выписка приведена ниже. КоАП РФ Статья 13.11. Нарушение законодательства Российской Федерации в области персональных данных (извлечение) … 2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, – влечет наложение административного штрафа на граждан в размере от 3 000 до 5 000 рублей; на должностных лиц – от 10 000 до 20 000 рублей; на юридических лиц – от 15 000 до 75 000 рублей. … | Вопрос: Если кандидата на собеседование не пригласили, должны ли мы его дополнительно уведомлять о «судьбе его ПНд». Варианты могут быть следующие: его данные остаются в базе резюме или подлежат уничтожению? Ответ: Обязанности по сообщению кандидатам о судьбе их ПНд закон не устанавливает, однако следует учитывать, что если работодатель начал обработку, то должно быть получено согласие по установленной законом форме, в котором кандидат указал срок возможной обработки его персональных данных и период хранения соответственно. Будут ли они уничтожаться или находиться в базе работодателя зависит от того, что указано в самом согласии. Кандидат вправе запросить у работодателя информацию о продолжении или осуществлении обработки его персональных данных – при этом работодатель обязан будет ему ответить. Соискатель также может попросить заблокировать, удалить свои персональные данные на бумажных носителях и в информационных системах. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей: 1) подтверждение факта обработки персональных данных оператором; 2) правовые основания и цели обработки персональных данных; 3) цели и применяемые оператором способы обработки персональных данных; 4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона; 5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; 6) сроки обработки персональных данных, в том числе сроки их хранения; 7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом; 8) информацию об осуществленной или о предполагаемой трансграничной передаче данных; 9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу; 10) иные сведения, предусмотренные Федеральным законом № 152-ФЗ «О персональных данных» или другими федеральными законами. Вопрос: При работе с кадровыми агентствами очевидно, что первичная обработка персональных данных происходит в агентстве - далее данные пересылаются работодателю. Нужно ли работодателю подписывать согласие об обработке/защите персональных данных с кандидатом? Ответ: Все зависит от перечня персональных данных, целей и действий с ними. Если кандидат к Вам не приходит, а Вы только получаете его резюме или анкету, которую Вам пересылает агентство, то согласие от кандидата Вам получать ненужно. Так как оператор уже получил необходимое согласие, а условие о передаваемых Вам от агентства персональных данных и режиме конфиденциальности должно быть прописано в договоре межу Вами и агентством. Если же кандидат пришел к Вам на собеседование – теперь Вы становитесь оператором и обязаны получить согласие от кандидата. Так как цели, перечень действий и сами обрабатываемые персональные данные будут отличаться от тех, которые запрашивало кадровое агентство. ПОДГОТОВЛЕНО Марией Финатовой Партнером Группы компаний Валентины Митрофановой _____________________________________ тел/факс: +7 (495) 988 5739 доб. 109 e-mail: m.finatova@ipkconsulting.ru web-site: www.ipkconsulting.ru |