Как организовать работу в соответствии с федеральным законом о персональных данных, если вы: 1) кадровое агентство, 2) работодатель, 3) Интернет — ресурс.
1 Кадровое агентство
1.1 Согласие на обработку ПДн:
Здесь требуется преодолеть "презумпцию виновности", заложенную в п.3 ст.9 152-ФЗ:
3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.
Один вариант — когда кандидат приходит в кадровое агентство и, заполняя анкету, одновременно дает свое согласие на обработку его ПДн кадровым агентством и передачу их третьим лицам (потенциальным работодателям).
Но это невозможно при использовании Интернет — сервисов.
При использовании Интернет — сервисов я вижу только возможность обработки ПДн по договору — т.е. кадровое агентство предлагает публичную оферту безвозмездной (для кандидатов на вакансии) услуги и присоединение к оферте будет являться акцептом договора, на основании которого будут обрабатываться ПДн в кадровом агентстве.
1.2 Общедоступность/необщедоступность ПДн соискателя:
С публично размещаемым резюме нет проблем — здесь в той же оферте можно указать, что соискатель, размещая свое резюме в открытом доступе, тем самым дает согласие на общедоступность его ПДн, содержащихся в резюме.
С необщедоступными резюме возникает сложность передачи их третьим лицам — здесь фактически невозможно обеспечить правоприменимое согласие через Интернет — формы.
Поэтому в этом случае требуется личное прибытие соискателя и заполнение согласия в кадровом агентстве.
1.3 Техническая часть (по не общедоступным ПДн):
Если кадровому агентству удается уйти на ПП687 — это оптимальный вариант. Тогда требуется выполнить требования частей II и III данного Постановления Правительства и остальные меры определяет оператор.
Если не удается — то тогда следует выполнять требования ПП781 и "приказа трех".
Кроме этого, существуют требования ФСБ и ФСТЭК с сомнительной применимостью — они подписаны не первыми лицами ведомств и не прошли регистрацию в Минюсте т.ч. По ПП1009 данные документы не подлежат применению.
Таким образом, выполнять или не выполнять требования данных документов и сопутствующие этому риски должен определять оператор для себя самостоятельно.
По "приказу трех" классифицируется ИСПДн кадрового агентства и, скорее всего, это будет ИСПДн класса К2 или К1 (в зависимости от объема обрабатываемых ПДн — т.к. будут обрабатываться ПДн, позволяющие идентифицировать субъекта и дополнительные сведения о нем).
Следовательно, необходимо (если принято решение выполнения требований документов ФСТЭК и/или ФСБ):
· провести аттестацию ИСПДн,
· получить лицензию ФСТЭК на техническую защиту конфиденциальной информации (соответственно должен быть обученный персонал),
· при необходимости криптографической защиты — получить лицензии ФСБ на работу со средствами криптографической защиты информации (СЗКИ),
· при необходимости активной защиты каналов утечки за счет электромагнитных излучений — получить в Роскомнадзоре разрешение на использование радиочастот и зарегистрировать там же источники радиоизлучений.
Вопрос отправки уведомления в Роскомнадзор зависит, есть ли вопросы не попавшие под п.2 ст.22 152-ФЗ. Все цели обработки, которые не подпадают под эти основания, должны быть указаны в уведомлении.
2 Работодатель
2.1 Согласие на обработку ПДн:
2.1.1 Работающий персонал:
Согласие не обязательно т.к. обработка ПДн ведется по договору (трудовой договор) и целей, определенных законодательством РФ
2.1.2 Уволенный персонал:
ПДн получены по договору, а дальнейшая обработка ведется согласно законодательству РФ.
2.1.3 Кандидаты на вакансии:
До прихода потенциального работника в офис потенциального работодателя, заполнения анкеты и согласия на обработку ПДн, потенциальный работодатель не имеет правоприменимого согласия на обработку ПДн потенциального работника.
Общедоступные резюме потенциальный работодатель так же не имеет права обработки т.к. у него нет доказательств их общедоступности.
Остается только возможность обработки резюме не содержащих ПДн (обезличенных). Но если в резюме указаны 2 и более места работы субъекта и указаны даты работы на этих местах, уже существует возможность идентификации субъекта, поэтому уже нельзя говорить об обезличенности этих данных.
Остановлюсь на правоприменимом согласии:
Как я уже писал выше, по 152 — ФЗ для оператора установлена «презумпция виновности» (т.е. обязанность доказательства). Для доказательства оператор может предъявить только документальное согласие, заверенное или личной подписью субъекта или его ЭЦП.
Учитывая нераспространенность и платность сервисов ЭЦП, которые могут применяться по законодательству в РФ, возможность получения электронного согласия, заверенного ЭЦП, столь мала, что им можно пренебречь.
Остается только согласие на бумаге или нотариально заверенная копия. Вот именно данное согласие может служить доказательством согласия. Все переданные ксерокопии, сканы и т.п.
Чересчур легко поддаются непроверяемой подделке — например см. схему мошенничества с переводами пенсионных накоплений в негосударственные пенсионные фонды.
Согласие, или резюме с согласием, полученное по электронной почте также не позволяет получателю однозначно определить, что его отправил именно данный субъект — здесь от технической невозможности получателя однозначно определить отправителя имеющимися у него техническими возможностями или компетенциями, до наличия сервисов, позволяющих отправить электронное сообщение с произвольно вставленным отправителем электронным адресом.
То есть опять существуют риски использования/не использования средств коммуникации при отборе персонала, которые ложатся на оператора.
2.1.4 Рекомендации и проверка работника:
С рекомендациями также возникает проблема т.к. рекомендуемый должен не только дать согласие на получение его ПДн потенциальному работодателю, но и еще дать согласие каждому из рекомендателей на передачу его ПДн третьим лицам.
Фактически получается, что потенциальный работодатель не имеет законной возможности даже уточнить факт работы на предыдущих местах.
А это создает широкие возможности для недобросовестных сотрудников, даже уволенных «по статье», т.к. «сделать» новую трудовую книжку не составляет особого труда.
Узнать же о том, что потенциальный работник имеет судимость (как снятую/погашенную, так и не снятую/не погашенную) — то это категорически запрещено п.3 ст.9 152 — ФЗ:
3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.
2.2 Техническая часть:
Если работодателю не требуется обработка спецкатегорий ПДн, то его ИСПДн будет иметь класс К3. Т.е. не требуется аттестация (если ИСПДн не распределенная) и получение лицензии на ТЗКИ.
2.3 Отправка уведомления в Роскомнадзор:
По обработке ПДн собственного персонала (в том числе уволенного) уведомление в Роскомнадзор не требуется — если обработка осуществляется исключительно в целях выполнения трудовых договоров с работниками и согласно целям, определенным законодательством РФ.
По обработке ПДн потенциальных работников уведомление в Роскомнадзор потребуется, если обработка ведется с применением средств автоматизации (по ПП781).
В случае, если обработка ведется без использования средств автоматизации (ПП687), то уведомление не обязательно по п.2.8 ст.22 152 — ФЗ
3 Интернет — ресурсы
Для Интернет — ресурсов, зарегистрированных в Роскомнадзоре как СМИ, есть возможность не во всех случаях получать согласие от субъектов по п.2.6. ст. 6 152-ФЗ:
6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
Для остальных ресурсов всегда существует риск предъявления претензий: к порядку обработки ПДн или по поводу отсутствие согласия субъекта на общедоступность его ПДн.
Например, см. претензии Роскомнадзора к «Уфа1.ру» (к сожалению при изменении дизайна сайта Роскомнадзора данные о проверке уже удалены, но Гугль еще помнит — см. приложенный pdf-файл).
Поэтому даже банальная вежливость к адресату в виде представления себя в электронном письме уже несет риски при обработке ПДн попадающей под 152 — ФЗ (т.е., не для личных и семейных нужд получателя).
Посему подписываюсь своим обычным ником в Сети.
С уважением,
