Как новый законопроект о персональных данных изменил работу HR-подразделений компаний.


В эпоху цифровизации персональные данные называют информационным товаром и «нефтью XXI века». Сейчас порядок обращения с этим материалом серьезно изменился: часть новшеств вступила в силу в марте, а с 1 сентября были введены также новые требования к получению согласия на распространение персональных данных. Изменения коснулись множества сфер, но наибольшее число вопросов вступившие в силу нормы вызывают в рекрутменте. Например, как теперь HR-менеджерам работать с личной информацией кандидатов? Какие новшества нужно строго соблюдать и за что компаниям грозят многомиллионные штрафы? Эти нюансы РАПСИ проанализировало вместе с экспертами.

Новый закон и его последствия

За последний год на рассмотрение парламентариев было внесено несколько громких законопроектов, связанных с персональными данными, часть инициатив утвердили. Один из самых обсуждаемых документов, который уже вступил в силу, вносит изменения в порядок обращения с персональными данными граждан. Итак, главное новшество касается регулирования распространения ПД. С 1 марта 2021 года вступили в силу изменения в Федеральный закон от 27 июля 2006 года №152-ФЗ «О персональных данных», а с 1 сентября 2021 года начинает действовать Приказ Роскомнадзора, в котором прописаны основные требования к форме согласия на обработку ПД. 

Главные новшества изложены в статье 10.1 Федерального закона «О персональных данных»). В первую очередь, понятие «персональные данные, сделанные общедоступными субъектом персональных данных» заменили на другую формулировку — «персональные данные, разрешенные субъектом персональных данных для распространения». Согласно закону, распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц. Теперь вид обработки, требующий получения отдельного согласия у кандидата. Оператор перед обработкой данных, полученных из разных источников (социальные сети, сайты по поиску работы), теперь должен проверять наличие согласия или другого основания для обработки таких сведений. Для этого стоит уточнять у владельцев job-сайтов, есть ли согласие на распространение ПД и для каких целей оно получено у соискателя. Кроме того, согласно новым поправкам, оператор должен доказать законность сбора и последующего использования данных кандидатов из открытых источников.

- Теперь работодатель как оператор должен проверять наличие согласия от кандидата  не только на обработку, но и на распространение личной информации о нем, если собирает данные из открытых источников. Галочки под пользовательским соглашением недостаточно: должен быть отдельный документ, электронная форма на сайте. Эти новеллы всколыхнули и бизнес-сообщество, и юристов. Приказ Роскомнадзора, вступающий в силу в первый день осени, четко определил, как согласие на распространение персональных данных должно выглядеть. Важный нюанс: в документе должны быть поля, где человек может записать, какие персональные данные он не разрешает распространять или разрешает с определенными условиями. Теперь рекрутеру нужно отслеживать содержание такого согласия», — объясняет Екатерина Метелкина, эксперт по персональных данным, юрист сервиса hh.ru.  

Стоит отметить, что Роскомнадзор подготовил сервис, куда можно направить текст согласия на обработку персональных данных, чтобы проверить, соответствует ли оно новым требованиям и получить рекомендации.

Кого коснутся большие штрафы

Параллельно с бурными дискуссиями о новых законодательных ужесточениях возникло сразу несколько громких дел с зарубежными компаниями, связанных с обработкой персональных данных. Претензии Роскомнадзора заключались в нарушении требований локализации данных граждан на территории РФ. Суд оштрафовал мессенджер WhatsApp на 4 миллиона рублей за отказ локализовать базы данных российских пользователей (по части 8 статьи 13.11 КоАП РФ), а соцсети Facebook и Twitter получили повторные штрафы 15 миллионов и 17 миллионов рублей соответственно (по части 9 статьи 13.11 КоАП РФ), сообщается на сайте Роскомнадзора. А ранее оштрафовали за нарушение правил локализации на 3 миллиона рублей компанию Google (также по части 8 статьи 13.11 КоАП РФ). По данным ведомства, хранение персональных данных российских пользователей локализовали около 600 представительств в РФ зарубежных компаний. 

По мнению экспертов, такие проблемы могут затронуть не только крупный международный бизнес, но и российские частные компании, которые, например, используют Google-таблицы для хранения и обработки личной информации кандидатов.  «Работодатель как оператор при сборе персональных данных обязан обеспечить запись, систематизацию, хранение, уточнение и извлечение этих сведений россиян с использованием баз данных на территории РФ. По данным РБК, этим летом ряд иностранных компаний (причем не только крупных) получили письма с требованием подтвердить факт локализации персданных на территории РФ (такое положение внесено согласно Федеральному закону №242-ФЗ от 1 сентября 2015 года). Штрафы очень чувствительные — до 6 млн рублей для юрлица за первое нарушение, до 18 миллионов рублей за повторное (части 8–9 статьи 13.11 КоАП РФ). Обратите на это внимание при выборе места, где будут храниться резюме кандидатов. Серверы должны размещаться в России», — советует Юрий Донников, директор юридического департамента и комплаенса hh.ru.

Распространенная ситуация: рекрутер работает с персональными данными кандидатов (Ф. И. О., контакты, ссылка на резюме или выдержки из него) в облачном хранилище. Часто им выступают Google-таблицы. Эксперты назвали такую практику «очень плохой», так как при работе с этим инструментом нельзя выбрать локацию размещения сервера, где хранятся данные, облако Google может находиться в странах, не подпадающих под требования российского законодательства о трансграничной передаче ПД другим странам (статья 12 Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных»).

В таком случае при проверке компания не сможет предоставить информацию, где же хранятся сданные. Отсюда высоки риски штрафов. Кроме того, рекрутер не управляет системой доступа: были прецеденты, когда информация, хранящаяся в облачных файлах, становилась общедоступной.   

Как соблюсти требования закона

Чтобы соблюсти все требования законодательства и избежать штрафов, сегодня компании устанавливают ATS-системы (от англ. Applicant tracking system — система управления кандидатами), позволяющие автоматизировать процесс подбора персонала. Эти специальные программы, облегчающие жизнь рекрутерам, помогают соблюдать российское законодательство в части обработки и распространения персональных данных. Сложность в том, что система управления подбором персонала должна соответствовать государственным техтребованиям. Как отмечает Сергей Кортиков, независимый консультант по информационной безопасности, если у компании собственная ATS-система, она несет полную ответственность за соблюдение всех требований по закону. Если система размещается у провайдера, небольшая часть технических требований ляжет на него. Нужно следить, чтобы у провайдера была лицензия на техническую защиту информации. В то же время, многие компании используют ATS как услугу. 

Законодатели отметили, что новые поправки — только начало большой работы по ужесточению правил обращения с персональными данными. Но это не должно стать проблемой для компаний, если они следят за автоматизированными решениями.