Наши сайты
Обратная связь
8 800 222 0123

Советы для специалистов по подбору персонала: все аспекты работы с личными данными в 2024 году

Назад

Последние годы Федеральный закон № 152 «О персональных данных» постоянно совершенствуется. Особую роль играет защита личных данных, их обработка должна быть легальной и исключать возможность утечек. Рассмотрим, как компании могут вести свою деятельность в рамках закона.


Что мы понимаем под личными данными?

Это любая информация, связанная с конкретным человеком, которая позволяет его однозначно или с большой вероятностью идентифицировать.


К примеру:

  • ИНН, СНИЛС, данные паспорта;
  • совокупность фамилии, имени, отчества и другой информации, например, дата рождения, место работы и прочее;
  • номер телефона, электронный адрес или другие контактные данные, позволяющие определить субъекта;
  • фотографии, видеозаписи и сканы документов;
  • пользовательские данные, то есть информация, содержащаяся в аккаунте социальной сети.

Кого затрагивает закон?

Оператор личных данных — это организация, юридическое или физическое лицо, которое организует и/или осуществляет обработку личных данных, а также определяет цели обработки, состав личных данных, подлежащих обработке, действия (операции), выполняемые с этими данными. Оператором может быть любой бизнес, независимо от размера штата и/или оборота.

Субъект личных данных — это человек, чьи данные обрабатываются.

Согласие на обработку — это одно из юридических оснований для обработки личных данных субъекта. Оператор, если он не работает с чувствительными данными (информацией о здоровье или биометрии), может получить согласие в любой форме (письменной, устной, с помощью чекбокса на сайте).

Как избежать нарушения закона?

Чтобы действовать в соответствии с законом, компании необходимо своевременно регулировать процессы обработки личных данных. Поэтому важно, чтобы в вашей компании был ответственный человек, который создаст правильный процесс и будет его контролировать.

Если вы храните данные кандидатов и сотрудников, важно убедиться в следующем:

  • Каждый человек в вашей базе данных подтвердил, что осведомлен о том, какие данные вы собираете, храните и обрабатываете, и дал свое согласие на это.
  • Вы храните данные только теми способами, которые указали в согласии: с помощью компьютера (автоматизированный способ), вручную (неавтоматизированный способ) или обоими способами (это смешанная обработка).
  • Обратите внимание, что Роскомнадзор считает автоматизацией даже работу в Excel.
  • Вы собираете только те данные, которые необходимы для вашей цели. В сфере подбора персонала целью может быть рассмотрение возможности трудоустройства и формирование кадрового резерва.
  • Вы не храните данные бессрочно. Срок обработки ограничен достижением цели обработки.
  • Если в согласии указана цель «рассмотрение возможности трудоустройства», то личные данные необходимо уничтожить в течение 30 дней после принятия окончательного решения по кандидату.
  • Вы указали способ, которым человек может отозвать свое согласие в любой момент, и у вас есть процесс, по которому вы отреагируете на это требование.
  • Вы своевременно уведомляете Роскомнадзор в случаях, когда это необходимо. Эти случаи мы рассмотрим ниже.

О чем компания обязана уведомить Роскомнадзор в 2024 году?

Компания должна сообщать об утечках или случаях незаконной или случайной передачи (предоставление, распространение, доступ) личных данных, а также о трансграничной передаче личных данных.

Уведомление об утечке

С 1 марта 2023 года оператор обязан информировать Роскомнадзор, если произошел инцидент с личными данными.

К инцидентам можно отнести:

  • Умышленные действия третьих лиц
  • Человеческая ошибка
  • Техническая ошибка
  • Кража документов или оборудования с личными данными
  • Несанкционированный доступ к личными данными в результате фишинговой, вирусной атаки.
  • Отправка личных данных по ошибочному адресу
  • Утрата документов или оборудования с личными данными
  • Сбой в настройках прав доступа, устаревшее или не обновляемое программное обеспечение, антивирус.

При выявлении инцидента оператор обязан уведомить Роскомнадзор в течение 24 часов. В течение 72 часов — провести расследование и проинформировать Роскомнадзор о результатах. Форма уведомления об инцидентах установлена приказом РКН № 187 от 14.11.22.

В 2024 году планируют увеличить штрафы за утечку данных: при единовременном нарушении штраф для юридических лиц может достигнуть 15 миллионов рублей, а при рецидиве утечки — до 3% от годового оборота.

Работа с личными данными кандидатов без бумажного хаоса и ручного контроля.

Можно собрать все эти процессы и управлять ими вручную или частично автоматизировать их с помощью таблиц и локальных хранилищ. Однако, уже при наличии десятков кандидатов в базе и сотрудников в компании, цепочка действий, необходимых по закону, будет занимать много времени, а риск ошибки станет слишком высоким.

Чтобы экономить время и автоматически обеспечивать соблюдение процесса обработки, включая хранение данных в соответствии с законом, рекомендуется перевести процесс найма в цифровой формат.

В заключение, работа с персональными данными в 2024 году требует особого внимания и точности. Увеличение штрафов за утечку данных и постоянные изменения в законодательстве подчеркивают важность правильного и законного обращения с информацией о кандидатах и сотрудниках. Безусловно, это может показаться сложным и трудоемким процессом, особенно для крупных компаний с большим количеством сотрудников. Однако с помощью цифровизации и автоматизации можно значительно облегчить этот процесс, минимизировать риски и обеспечить соблюдение всех требований закона. Важно помнить, что забота о персональных данных — это не только юридическое требование, но и проявление уважения к вашим сотрудникам и кандидатам.

Материал подготовлен АНО «Сахалин – остров возможностей»

Optimized with PageSpeed Ninja