• Москва
  • 28 мая
  • 09:30
НАЁМ

Честная конференция
про IT-рекрутинг

Программа и регистрация
Редактор:  Анна Ефимова

«Лайк, шер, штраф»: как поделиться резюме и не нарушить закон

Тонкости работы с персональными данными кандидатов

Допустим, знакомый рекрутер из другой компании жалуется, что не может закрыть вакансию. А у вас в кадровом резерве как раз есть классный кандидат. Решив помочь коллеге, вы пересылаете ему резюме. Если кандидат не разрешал делиться информацией о себе, то вы только что нарушили Федеральный закон №152-ФЗ «О персональных данных».

Дело в том, что резюме содержит сведения о человеке: фамилию, имя, отчество, дату рождения, фотографию, номер телефона, адрес электронной почты. Такая информация считается персональными данными и охраняется законом.

Как поделиться резюме с коллегой и не нарушить 152-ФЗ, разобрались со старшим юристом Хантфлоу Татьяной Антипенко.

 

Татьяна Антипенко, старший юрист Хантфлоу

 

Можно ли делиться резюме с рекрутерами из других компаний

Чтобы обрабатывать персональные данные (ПДн), необходимо юридическое основание. Одно из таких оснований — согласие владельца данных.

Передача является одним из видов обработки ПДн, поэтому делиться резюме кандидата можно, если он дал согласие на передачу. Иначе пересылать информацию о человеке другим людям и организациям нельзя.

За несоблюдение правил работы с персональными данными предусмотрено наказание — как для рекрутера, разгласившего информацию, так и для его работодателя. Если нарушение совершено впервые, то компанию могут оштрафовать на сумму от 60 до 100 тысяч рублей (ст. 13.11 КоАП). Рискует и рекрутер: работодатель вправе взыскать с него компенсацию, если это предусмотрено NDA, и даже уволить (п.1 ст. 192 ТК РФ, пп. «в‎»‎ п. 6 ст. 81 ТК РФ).

Не стоит рассчитывать на то, что нарушения в сфере ПДн останутся незамеченными и безнаказанными. Государство строго защищает персональные данные, и эта тенденция будет только усиливаться. Подтверждение тому — последние изменения в 152-ФЗ, где многие правила стали еще строже. 

Кроме того, любые инциденты с персональными данными — это репутационные риски для бизнеса. Если выяснится, что компания незаконно обрабатывает ПДн, количество потенциальных клиентов и кандидатов может снизиться.

 

Как законно передать резюме рекрутеру из другой компании

Самый простой и безопасный способ — действовать наоборот. Пришлите кандидату ссылку на вакансию вместо того, чтобы показывать его резюме постороннему рекрутеру. Если предложение заинтересует кандидата, он сам свяжется с компанией. В такой схеме вы и ваш работодатель ничем не рискуете.

Если же по каким-то причинам вы непременно должны передать данные кандидата другой компании, то ситуация осложняется. Все зависит от того, где вы сами взяли резюме, которым хотите поделиться. Рассмотрим разные варианты.

 

Резюме с джоб-сайта

У разных джоб-сайтов свои правила работы с резюме — их можно найти во внутренних документах. Например, Хедхантер запрещает работодателям:

  • использовать персональные данные кандидатов для целей, которые не связаны с наймом;
  • размещать резюме кандидатов c Хедхантера на другом сайте;
  • просматривать резюме и контакты кандидатов без авторизации;
  • передавать персональные данные кандидатов третьим лицам.
 
Запрет делиться резюме установлен в условиях Хедхантера

Поэтому если рекрутер скачал резюме с Хедхантера и хочет поделиться им с кем-то, он должен сначала получить согласие кандидата на передачу его ПДн третьим лицам. 

Эти правила актуальны для Хедхантера, но другие джоб-сайты могут иначе регулировать работу с персональными данными. Поэтому прежде чем использовать сведения из резюме, нужно ознакомиться с документами ресурса. Это поможет понять, какие права и обязанности есть у рекрутера и с чем согласился кандидат при публикации резюме.

 

Резюме из соцсетей и чатов

Допустим, вы нашли резюме кандидата на его странице в соцсети или он сам отправил его в чат с рекрутерами. 

Что можно и нельзя делать с таким резюме без получения согласия:

 

Если рекрутер хочет хранить и передавать резюме, нужно получить основание для этого — например, согласие кандидата. На это закон дает 30 дней (ч. 5 ст. 21 152-ФЗ). В тексте согласия среди видов обработки ПДн надо указать «хранение и передача третьим лицам».

Если кандидат не даст согласие, все действия с его персональными данными следует прекратить, а резюме — удалить.

Если резюме поделился не сам кандидат, а другой рекрутер, то не стоит рассчитывать, что у него есть законное основание для передачи ПДн. Поэтому нельзя брать оттуда контакты кандидата и тем более пересылать резюме другим людям.  

 

Как получить согласие кандидата на передачу его данных

Большинство работодателей знают, что обрабатывать персональные данные без согласия запрещено. Поэтому в текст согласия на обработку ПДн включают все виды планируемых действий: сбор, хранение, передача третьим лицам и другие. 

Важно учитывать, что цель обработки в документе должна подходить под все действия с данными. Например, чтобы хранить и передавать резюме, подойдет формулировка «‎содействие кандидату в трудоустройстве у оператора или иных заинтересованных лиц, с которыми сотрудничает оператор»‎. 

Если вы включаете в текст согласия право на передачу ПДн третьим лицам, то учитывайте 3 нюанса: 

  1. Человек должен знать, кому и зачем передадут его данные. Поэтому надо обозначить лиц, которым компания планирует отправлять резюме. Можно указать названия и ОГРН конкретных организаций либо просто описать их сферы деятельности. 
  2. Согласие надо получить до отправки резюме другим рекрутерам.
  3. Согласия нужно хранить, чтобы в любой момент показать Роскомнадзору и доказать правомерность обработки ПДн. 

Согласие на обработку персональных данных можно получить разными способами. Так, пользователи Хантфлоу могут одним кликом отправлять кандидату запрос согласия. А практически на любом карьерном сайте в форму отклика уже вшит чек-бокс с галочкой «Согласен на обработку персональных данных». 

Важно, чтобы галочка не стояла по умолчанию, а ее проставлял кандидат. Например, так это выглядит у Selectel:

 
Это форма отклика на карьерном сайте Selectel. Прежде чем отправить резюме, кандидат должен согласиться на обработку ПДн

При этом важно знать, что существуют «чувствительные» персональные данные (ч. 1 ст. 10 152-ФЗ). К ним относятся: 

  • сведения о расовой и национальной принадлежности; 
  • информация о политических взглядах, состоянии здоровья и интимной жизни;
  • биометрические данные — например, рост, вес, группа крови (ч. 1 ст. 11 152-ФЗ).

Если в резюме содержатся «чувствительные» данные, то согласие надо получить в письменном виде с собственноручной или электронной подписью кандидата. Галочки в форме сбора откликов будет недостаточно. 

Требования к документу установлены в части 4 статьи 9 152-ФЗ. Например, письменное согласие на передачу персональных данных может выглядеть так:

 
Шаблон согласия на передачу ПДн третьим лицам с указанием обязательных блоков (ч. 4 ст. 9 152-ФЗ)
 

Как обмениваться резюме между связанными компаниями 

Допустим, вы работаете в холдинге из нескольких юридических лиц. Фактически это одна большая компания, а по документам — набор отдельных организаций. У вас есть резюме с согласием на обработку ПДн, которое кандидат дал только одной из компаний холдинга. Вам необходимо передать это резюме в другую, но тоже вашу организацию. ​​

Чтобы сделать это законно, нужно включить в текст согласия на обработку ПДн еще один вид обработки — передачу ПДн третьим лицам. Также в документе необходимо конкретизировать, какие компании получат доступ к сведениям. Целью обработки ПДн в таком случае будет трудоустройство в холдинг.

Таким же образом можно делиться резюме с рекрутером-фрилансером или кадровым агентством. В договоре с партнером стоит прописать его обязанность возместить ущерб, если он нарушит законодательство о персональных данных. Если по вине контрагента Роскомнадзор оштрафует вас, это позволит компенсировать расходы. 

 

Как делиться резюме с зарубежными компаниями

Чтобы законно направить резюме в зарубежную организацию, нужно еще и придерживаться правил трансграничной передачи персональных данных (ст. 12 152-ФЗ). Эти правила зависят от того, к какой группе относится государство регистрации иностранной компании. 

Первая группа — страны, которые обеспечивают адекватную защиту прав субъектов ПДн. К этой группе относят государства, которые присоединились к Конвенции «О защите физических лиц при автоматизированной обработке персональных данных». Их полный список можно посмотреть в Приказе Роскомнадзора №128 от 05.08.2022 года. Если страна относится к первой группе, достаточно в любой форме получить согласие кандидата на трансграничную передачу ПДн — например, с помощью галочки в чек-боксе.

Государства, которых нет в списке, не гарантируют защиту персональных данных. Если получатель резюме зарегистрирован в такой стране, потребуется согласие в письменной форме (ч. 4 ст. 9 и п. 1 ч. 4 ст. 12 152-ФЗ). 

В таком документе нужно указать все то же самое, что и в обычном письменном согласии на передачу ПДн, но дополнительно прописать:

  • вид передачи — трансграничная передача ПДн;
  • адрес, наименование или ФИО получателя персональных данных;
  • государство, на территорию которого будут переданы ПДн;
  • указание на то, что это государство не обеспечивает адекватную защиту прав субъектов ПДн.
 
Примерный шаблон согласия на трансграничную передачу персональных данных

Еще нужно помнить, что с 1 марта 2023 года вступят в силу новые требования в отношении трансграничной передачи ПДн. Прежде чем отправлять данные в другие страны, нужно будет уведомить Роскомнадзор. Если государство обеспечивает адекватный уровень защиты ПДн, не надо дожидаться ответа госоргана. Если не обеспечивает, нельзя направлять сведения за границу до разрешения Роскомнадзора. 

 

Как законно получить резюме от другого рекрутера

Например, приятель из другой компании решил помочь и прислал вам резюме кандидата. Прежде чем добавлять резюме в базу, стоит разобраться, как оно к нему попало. Если ваш приятель не получил согласие кандидата на передачу ПДн третьим лицам, вы не имеете права сохранять резюме и использовать сведения оттуда. 

Чтобы связаться с кандидатом легально, нужно найти резюме в надежном источнике. Это может быть джоб-сайт или страницы кандидата в социальных сетях, к которым у вас есть доступ. Обычно в резюме соискатели указывают контакты для связи — их можно использовать, чтобы рассказать о вакансии или попросить согласие на добавление резюме в кадровый резерв.

 

Выводы

1. Резюме нельзя передавать коллегам из других компаний без разрешения кандидата — там содержатся его персональные данные. Это нарушение, за которое компании грозит штраф, а рекрутеру — взыскание денежной компенсации, увольнение либо все вместе.

2. Самый надежный способ не нарушить закон — прислать кандидату ссылку на вакансию коллеги. Если она заинтересует соискателя, он сам свяжется с компанией и передаст ей резюме.

3. Чтобы законно делиться резюме с коллегами из других компаний, нужно получить согласие кандидата на обработку его персональных данных. В тексте согласия должен быть указан вид обработки «Передача данных третьим лицам‎».‎ 

4. Согласие может быть выражено галочкой в чек-боксе или подписанием документа, если в резюме упоминаются сведения о здоровье и другая «‎чувствительная» информация.‎

5. Чтобы переслать персональные данные за пределы России, нужно согласие на трансграничную передачу ПДн. Форма согласия зависит от того, в какую страну вы отправляете резюме. Если это государство гарантирует адекватный уровень защиты ПДн, то для согласия достаточно галочки кандидата в чек-боксе. Если нет — нужно получать письменное согласие на трансграничную передачу.