Татьяна Совина Кадровый аудитор, специалист по защите персданных

Сегодня обсудим персональные данные

Так как моя аудитория всё больше из кадровых специалистов, то начнем изучать их с точки 0. Как у нас появляется персонал? Правильно через подбор!

Содержание
Подписывайтесь на телеграм-канал «Совина ПроКадры».

Предлагаю посмотреть на ПДн в подборе под призмой: «а как бы этот участок проверял инспектор РКН»?

Именно здесь у компаний чаще всего начинают возникать проблемы с ПДн: то резюме бывшего кандидата пять лет пылится в папке, то согласие взяли «одно на всё», то данные родственников собирают «на всякий случай». А Роскомнадзор при проверке первым делом запросит именно документы по этому процессу обработки данных, и начнет с запроса письменных пояснений.

Справка о процессе подбора: что это и как её готовить

РКН захочет увидеть письменную информацию в которой вы описываете, как именно происходит обработка ПДн соискателей. Фактически это ваша визуализация цепочки операций:

  • откуда берутся данные (карьерный портал, джоб-сайты, реферальные программы, агентства, соцсети и пр.);
  • какие именно данные собираете (ФИО, телефон, фото, данные родственников и т.д.);
  • кто участвует в обработке (собственный менеджер по персоналу, внешние платформы, менеджер из иного юр.лица внутри группы компаний, внешний фрилансер и пр.);
  • сколько всё это хранится и когда уничтожаются.

Прежде чем показывать справку инспектору, опишите процесс для себя и вычистите всё лишнее. Пройдитесь по каждому пункту с вопросами:

  1. Зачем нам эти данные? (например, фото — для идентификации в системе или просто «чтобы было»?).
  2. Что будет, если мы их не соберём? (сможем ли провести интервью, оценить компетенции?).
  3. Как долго они реально нужны? (данные «отказника» надо уничтожить через 30 дней после решения, если нет согласия на резерв).
  4. Когда мы последний раз обращались к этим данным? (если резюме трёхлетней давности — зачем оно?).
  5. Когда и на каком основании мы уничтожаем данные? (а уничтожаем ли вообще?).

Помните, РКН при проверке может запросить доступ к системам и посмотреть даты нескольких случайных резюме.

Если кандидату отказали полгода назад, а данные до сих пор там — нарушение. Единственное исключение — кадровый резерв, но для него нужно указать такую цель в согласии (или сделать отдельное согласие) и отдельное положение «О кадровом резерве».

Какие документы должны быть и как они связаны

Если справка — это «карта процесса», то документы — её правовая основа. Вот минимальный набор, который закроет участок подбора:

  1. Политика обработки ПДн для соискателей (или раздел в общей политике). В ней вы фиксируете цели (оценка для найма, проверка службой безопасности, подготовка к трудовому договору), перечень данных, сроки (например, «процесс отбора может длиться до 6 месяцев»), и указываете всех третьих лиц, кто имеет доступ (платформы по подбору персонала, агентства).
  2. Форма согласия на обработку ПДн для соискателей. Это может быть отдельный документ либо чек-бокс с согласием, при котором действия пользователя по простановки «галочки» в чек-боксе логируются (сохраняются в системе). Важно: согласие должно покрывать все перечисленные в политике цели. Если вы используете джоб-сайты, помните: их согласия не заменяют ваше собственное.
  3. Положение о кадровом резерве. Если вы хотите хранить данные соискателей после отказа, вам нужно их письменное согласие (или через чек-бокс) именно на включение в резерв. В положении пропишите срок хранения, цели (информирование о новых вакансиях, приглашение на мероприятия) и порядок уничтожения по истечении срока или отзыве согласия.
  4. ЛНА по обработке ПДн работников. Там должны быть отражены цели и для действующих работников (зарплатные проекты, ДМС, командировки), и для бывших, и для родственников работников. Это отдельный документ, он не смешивается с политикой для соискателей.
  5. Договоры с третьими лицами (поручения). Если рекрутмент ведёт кадровое агентство или используется внешняя ATS-система, внешний менеджер из ГК (аффилированного вам юр.лица или ИП) с ними должен быть договор, включающий обязанности по обработке ПДн (ст. 6 Закона № 152-ФЗ). РКН обязательно запросит эти договоры.
  6. Акты об уничтожении резюме и выгрузка из журнала событий из ИСПД или БД об уничтожении цифровых ПДн, в связи с достижением цели обработки или срока хранения. Это доказательство того, что вы выполнили обязанность по уничтожению данных по окончании обработки.

Как эти документы связаны? Политика задаёт правила игры. Согласие реализует эти правила для конкретного человека. Положение о резерве уточняет условия долгосрочного хранения. ЛНА по сотрудникам закрывает остальные HR-процессы. Договоры с подрядчиками гарантируют, что и они будут соблюдать закон. Акты об уничтожении замыкают цикл: от момента сбора до момента «ликвидации» ПДн. Все документы работают в связке, создавая систему безопасной обработки и защиты ПДн.

Почему эта визуальная и описанная цепочка обработки ПДн внутри процесса подбора нужна не только для РКН, но и для вас самих:

  1. Порядок. Вы перестаёте собирать тонны ненужных данных (например, паспортные данные на этапе скрининга — зачем?).
  2. Прозрачность. Менеджер по подбору знает, когда и какие данные нужно уничтожить, а кандидаты понимают, что с ними происходит.
  3. Эффективность. Описав процессы, вы легче автоматизируете подбор и быстрее отвечаете на запросы субъектов (например, на отзыв согласия).
  4. Безопасность. Меньше данных — меньше рисков утечек и меньше штрафов.

Все выше перечисленное – приблизительная схема оценки участка подбора. Но уже сейчас, остановитесь, задумайтесь и проверьте себя: нарисуйте цепочку, задайте жёсткие вопросы по каждому элементу и убедитесь, что документы не просто есть, а работают вместе. Это окупится сторицей и при визите РКН, и в ежедневной работе.

Эксперт с 20-летним опытом в кадровом консалтинге, 5 из которых — специализация по персданным. Провела 300+ аудитов. Автор курсов и спикер. Основатель онлайн-школы «Совина ПроКадры».