C 1 января 2010 вступает в силу новая редакция «Закона о персональных данных».
Самое веселое для кадровых СМИ и job-сайтов то, что этот проект вводит обязательное получение личного согласия соискателя на размещение резюме.
В исторически анонимном Интернете сложно себе представить, чтобы после размещения резюме кандидат выводил его, ставил подпись и отправлял в конвертике по почте.
Какие изменения несет закон, требования, ответственность операторов, рассказывает наш эксперт, главный редактор job — сайта hr54.ru и кадровой газеты «Хочу работать!» Анна ИВАНОВА (Новосибирск)
- Я знаю, что вы изучали этот закон. Расскажите в двух словах, в чем его суть?
- Общая тенденция — ужесточение прав обработки персональных данных человека. В принципе закон правильный, каждому, думаю, неприятно, когда его телефон «без объявления войны» и без согласия печатается в справочнике или заносится в базу данных и начинаются звонки бодрых менеджеров продаж с предложением купить лекарство от всего на свете! Закон пока сырой, такое ощущение, что Роскомнадзор сам не очень четко понимает, как решить некоторые ключевые вопросы, - ведь нет ни практики, ни поддержки проекта в других законах.
- Что такое персональные данные? Является ли резюме (нас интересует в основном именно этот случай) персональными данными?
- Без сомнения. Персональные данные — та совкупность сведений, по которым можно установить персону владельца. Однако сам Роскомнадзор пишет, что четких критериев нет: «Указанный минимальный перечень персональных данных, достаточный для идентификации человека действующим законодательством Российской Федерации не установлен»
- Что надо сделать оператору, чтобы встрить 1 января во всеоружии?
- В первую очередь изучить закон, примерно понять чего можно и чего нельзя и привести систему работы, технологию в соответствие с требованиями. То есть обучить персонал, разработать правила и инструкции, внедрить систему защиты персональных данных при обработке. В основном это касается организаций, которые обрабатывают большие массивы данных, в нашем кадровом сегменте джоб- сайты, газеты, кадровые агентства, агентства по трудоустройству. И обязательно необходимо направить УВЕДОМЛЕНИЕ о намерении осуществлять обработку персональных данных. Образцы всего этого можно найти в Интернете, например, мне понравился вот этот сайт http://www.reignvox.ru/privacy.html и «официальный» сайт http://pd.rsoc.ru/. На последнем есть ценный раздел вопросов.
- Но брать личную подпись согласие с каждого, кто выложил резюме в Интернет, - это же просто нереально! Какие выходы могут быть из этой ситуации?
- На мой взгляд — есть четыре ключевых вопроса, из некоторых могут вытекать решения. Первое — это сделать персональные данные не персональными. Вы когда в чате или на форуме региструетесь — вы же не Вася Пупкин, а, например, Монстр рока. По сути это замена личности личиной, в резюме это может быть реализовано заменой резюме анкетой кандидата №3 на должность маркетолога. Обезличивание резюме. Еще есть вариант — он воплощен на многих сайтах — когда резюме выкладыватся анонимно, а job-сайт выступает посредником и пересылает запросы работодателей соискателю. Однако это не решает вторую ключевую проблему. Как человек может удаленно выразить факт согласия. Здесь могут работать ЭЦП (электронно-цифровая подпись), но это сложный вариант. Дело в основном в том, что даже куча кликов рядом с полями: «подтверждаю согласие» не решает вопрос третиий — ИДЕНТИФИКАЦИЮ ПОЛЬЗОВАТЕЛЯ, мне кажется, он ключевой. При желании я могу зарегистрироваться под именем товарища, который мне сильно насолил, выложить его резюме со смешной зарплатой, указать его сотовый и электронку. В итоге он получит шквал звонков, долго будет материться. Но врядли кто сможет доказать, что резюме разместил не он, а я? Ведь регистрационные данные от частного лица достаточно условны. И к кому мой озлобленный товарисч будет направлять претензии?
- Да, оригинально. Я нашла еще один момент — оператор должен обеспечить защиту персональных данных от неправомерного или случайного доступа. Это как?
- Ну во первых, технология должна быть изменена, чтобы возможности «слить базу» были у конкретных сотрудников оператора, плюс эти сотрудники должны четко понимать свою персональную ответственность. Защищенность самой системы. Здесь есть еще другой вопрос. Как можно защитить резюме в Интернете от случайного доступа? Какой доступ считать неправомерным? Показывать резюме только зарегистрированным работодателям? Не совсем удобно. Плюс Интернет отторгает все, что ограничивает свободу пользователей. Думаю, это не выход. Как выход наиболее очевидный — введение на всех джоб-сайтах договора-оферты. При договорных отношениях между оператором и субъектом персональных данных по видимому согласия не требуется. Однако и публичная оферта не решает вопросов идентификации пользователя — поставить галочку может любой пользователь, а вот «был ли мальчик» - непонятно.
- И как быть в итоге?
- Изучить, выполнить предписания и работать. Думаю, время все расставит по местам.
Юридическая справка — выборка из закона О ПЕРСОНАЛЬНЫХ ДАННЫХ №152 — ФЗ
Закон вводит несколько понятий. Вкратце это можно изложить так.
Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
Использовать и обрабатывать персональные данные, как и предавать их гласности через СМИ и Интернет можно (за редким исключением) только при получении согласия на обработку персональных данных, которое может оформляться только в письменной форме.
Ответственность за нарушение закона может быть как административная, так и уголовная:
«…КоАП РФ. Статья 13.11. Нарушение установленного законом «О персональных данных» порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) – влечет предупреждение или наложение административного штрафа…»
«…КоАП РФ. Статья 13.14. Разглашение информации, доступ к которой ограничен федеральным законом «О персональных данных» (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, за исключением случаев, предусмотренных частью 1 статьи 14.33 настоящего Кодекса, (Ст.14.33- недобросовестная конкуренция) влечет наложение административного штрафа...»
«…КоАП РФ. Статья 5.39. Отказ в предоставлении гражданину информации
Неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина, либо несвоевременное предоставление таких документов и материалов, непредоставление иной информации в случаях, предусмотренных законом «О персональных данных», либо предоставление гражданину неполной или заведомо недостоверной информации – влечет наложение административного штрафа…»
Уголовный Кодекс РФ (УК РФ)
«…УК РФ. Статья 137. Нарушение неприкосновенности частной жизни
1. Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации - наказываются штрафом, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев...»
«…УК РФ. Статья 140. Отказ в предоставлении гражданину информации
Неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан, - наказываются штрафом, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет...»
«…УК РФ. Статья 272. Неправомерный доступ к компьютерной информации
1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, - наказывается штрафом, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет…»
