Закрывайте больше вакансий за меньшее время
Хантфлоу — профессиональная программа для рекрутинга, которая помогает освободить время рекрутера, систематизировать процесс подбора и автоматизирует формирование отчетности

Что нужно знать эйчарам и рекрутерам
1 сентября вступили в силу поправки в закон № 152-ФЗ «О персональных данных». В них описаны новые требования к обработке персональных данных.
Разбираемся, как изменения отразятся на кадровом делопроизводстве и работе с персональными данными кандидатов и сотрудников.
Персональные данные (ПДн) — это любая информация, которая так или иначе конкретизирует и идентифицирует человека. Тот, кто собирает и обрабатывает эти данные, называется оператором. А человек, чьи данные обрабатываются, — субъектом персональных данных.
Например, если компания ведет подбор и обрабатывает данные кандидатов, то она будет оператором персональных данных этих людей. А сами кандидаты — субъектами персональных данных.
Мы уже подробно рассказывали об общих принципах обработки персональных данных и о том, какие согласия нужно брать у кандидатов и сотрудников.
Теперь согласие, которое вы получаете от кандидата или сотрудника, должно быть не только конкретным, информированным и сознательным, но и предметным и однозначным. Это указано в измененной части 1 статьи 9 152-ФЗ.
Официальных разъяснений этих требований пока не давали. Расскажем, как это трактуем мы.
Предметность. В предметном согласии цель обработки данных должна быть сформулирована как можно более четко. Допустим, вы берете согласие сотрудника, чтобы на его имя купить билет на профессиональную конференцию. Формулировка «Для соблюдения локальных нормативных актов» не подойдет. Лучше написать: «Для приобретения входного билета на конференцию».
Однозначность относится к тому, как субъект персональных данных дает это согласие. Например, раньше молчание или бездействие пользователя на сайте можно было посчитать «молчаливым согласием». А теперь нужно, чтобы субъект ПДн однозначным действием подтвердил свои намерения — например, поставил галочку в чек-боксе рядом с текстом согласия.
Часть экспертного сообщества трактует требование однозначности иначе, но наши внутренние эксперты придерживаются принципа, описанного выше.
Посмотрите, как оформлено согласие на карьерном сайте Яндекса. Здесь под формой отклика три согласия с разными целями, каждая из которых описана максимально четко и конкретно. Рядом с каждым из согласий отдельный чек-бокс.
Кстати, по новым правилам ссылку на документ, который определяет политику обработки ПДн, теперь нужно размещать на каждой странице сайта, где есть форма сбора данных (ч. 2 ст. 18.1 152-ФЗ).
Сроки исчисляются в рабочих днях.
Сроки можно увеличить, но не более чем на 5 дней. Для этого необходимо отправить мотивированное обращение в Роскомнадзор (РКН) или человеку, от которого вы получили запрос (ч. 1, ч. 2, ч. 4 ст. 20 152-ФЗ). В таком обращении нужно указать причины, по которым продлевается срок ответа или предоставления данных.
Важно, чтобы причины были объективными — например, вам нужно обратиться к бумажному архиву в другом конце страны.
Раньше уведомлять РКН не требовалось, если вы собирались автоматизированно обрабатывать:
Теперь во всех этих случаях при намерении обрабатывать данные с помощью компьютера и любых программ вам нужно будет уведомить Роскомнадзор (ч. 2, ст. 22 152-ФЗ). Он внесет вашу компанию в реестр операторов, которые осуществляют обработку персональных данных.
Форма уведомления будет утверждена приказом Роскомнадзора, но пока можно использовать старую форму с сайта РКН.
Уведомление о намерении обрабатывать персональные данные достаточно подать один раз. Каждый раз, когда вы берете в работу нового кандидата или собираетесь покупать билет сотруднику, уведомлять не нужно. Однако если появилась новая цель обработки данных, то об этом необходимо сообщить в РКН.
Кроме сведений об операторе данных, в уведомлении нужно указать:
Если данные обрабатываются вручную, уведомлять РКН не нужно. Например, это касается случаев, когда вахтер вписывает в журнал посещений имя и фамилию человека.
В последнее время участились инциденты с утечкой персональных данных. Из-за этого появились новые требования к тому, как компания должна действовать в таких ситуациях. Если произошла утечка персональных данных, компания должна сообщить об этом в Роскомнадзор в течение 24 часов с момента обнаружения инцидента (ч. 3.1. ст. 21 152-ФЗ). Для этого нужно заполнить специальную форму и описать:
А в течение 72 часов с момента обнаружения утечки необходимо провести внутреннее расследование, а также сообщить о его результатах и виновниках в Роскомнадзор. Для этого тоже есть отдельная форма.
Кроме того, информацию об утечке персональных данных нужно будет передавать в государственную систему обнаружения и предупреждения компьютерных атак (ГосСОПКА). Порядок взаимодействия с ГосСОПКА определит ФСБ.
Если работодатель использует рекрутинговую CRM, куда загружает данные о кандидатах, то он сам является оператором данных, а компания-правообладатель этой системы обрабатывает данные по поручению оператора.
Изменились требования к такому поручению. Теперь в документе нужно указывать еще и следующее (ч. 3 ст. 6 152-ФЗ):
С 1 марта 2023 года будут действовать особые правила трансграничной передачи персональных данных (ст. 12 152-ФЗ).
Теперь нужно будет уведомлять Роскомнадзор, если вы собираетесь передавать персональные данные за границу — например, компании-аутсорсеру для тестирования сотрудников. Вот пример такого уведомления.
Страны, куда передаются данные, делятся на две категории:
Если передаете данные в страны, обеспечивающие адекватную защиту, то достаточно просто уведомить об этом Роскомнадзор. После этого можно сразу же отправлять информацию за границу.
Если передаете данные в страны, которые не обеспечивают адекватную защиту, то алгоритм усложняется:
Исключение: передавать персональные данные в «небезопасные» страны до рассмотрения уведомления можно, если это необходимо для защиты жизни, здоровья, иных жизненно важных интересов субъекта ПДн или других лиц.
Два раза в месяц мы будем присылать вам свежие статьи, полезные кейсы, подкасты, анонсы событий и интервью со звездами HR.
Нас читают более 35 000 ваших коллег — присоединяйтесь к хорошей компании.
Хантфлоу — профессиональная программа для рекрутинга, которая помогает освободить время рекрутера, систематизировать процесс подбора и автоматизирует формирование отчетности