Последние годы Федеральный закон № 152 «О персональных данных» постоянно совершенствуется. Особую роль играет защита личных данных, их обработка должна быть легальной и исключать возможность утечек. Рассмотрим, как компании могут вести свою деятельность в рамках закона.
Что мы понимаем под личными данными?
Это любая информация, связанная с конкретным человеком, которая позволяет его однозначно или с большой вероятностью идентифицировать.
К примеру:
- ИНН, СНИЛС, данные паспорта;
- совокупность фамилии, имени, отчества и другой информации, например, дата рождения, место работы и прочее;
- номер телефона, электронный адрес или другие контактные данные, позволяющие определить субъекта;
- фотографии, видеозаписи и сканы документов;
- пользовательские данные, то есть информация, содержащаяся в аккаунте социальной сети.
Кого затрагивает закон?
Оператор личных данных — это организация, юридическое или физическое лицо, которое организует и/или осуществляет обработку личных данных, а также определяет цели обработки, состав личных данных, подлежащих обработке, действия (операции), выполняемые с этими данными. Оператором может быть любой бизнес, независимо от размера штата и/или оборота.
Субъект личных данных — это человек, чьи данные обрабатываются.
Согласие на обработку — это одно из юридических оснований для обработки личных данных субъекта. Оператор, если он не работает с чувствительными данными (информацией о здоровье или биометрии), может получить согласие в любой форме (письменной, устной, с помощью чекбокса на сайте).
Как избежать нарушения закона?
Чтобы действовать в соответствии с законом, компании необходимо своевременно регулировать процессы обработки личных данных. Поэтому важно, чтобы в вашей компании был ответственный человек, который создаст правильный процесс и будет его контролировать.
Если вы храните данные кандидатов и сотрудников, важно убедиться в следующем:
- Каждый человек в вашей базе данных подтвердил, что осведомлен о том, какие данные вы собираете, храните и обрабатываете, и дал свое согласие на это.
- Вы храните данные только теми способами, которые указали в согласии: с помощью компьютера (автоматизированный способ), вручную (неавтоматизированный способ) или обоими способами (это смешанная обработка).
- Обратите внимание, что Роскомнадзор считает автоматизацией даже работу в Excel.
- Вы собираете только те данные, которые необходимы для вашей цели. В сфере подбора персонала целью может быть рассмотрение возможности трудоустройства и формирование кадрового резерва.
- Вы не храните данные бессрочно. Срок обработки ограничен достижением цели обработки.
- Если в согласии указана цель «рассмотрение возможности трудоустройства», то личные данные необходимо уничтожить в течение 30 дней после принятия окончательного решения по кандидату.
- Вы указали способ, которым человек может отозвать свое согласие в любой момент, и у вас есть процесс, по которому вы отреагируете на это требование.
- Вы своевременно уведомляете Роскомнадзор в случаях, когда это необходимо. Эти случаи мы рассмотрим ниже.
О чем компания обязана уведомить Роскомнадзор в 2024 году?
Компания должна сообщать об утечках или случаях незаконной или случайной передачи (предоставление, распространение, доступ) личных данных, а также о трансграничной передаче личных данных.
Уведомление об утечке
С 1 марта 2023 года оператор обязан информировать Роскомнадзор, если произошел инцидент с личными данными.
К инцидентам можно отнести:
- Умышленные действия третьих лиц
- Человеческая ошибка
- Техническая ошибка
- Кража документов или оборудования с личными данными
- Несанкционированный доступ к личными данными в результате фишинговой, вирусной атаки.
- Отправка личных данных по ошибочному адресу
- Утрата документов или оборудования с личными данными
- Сбой в настройках прав доступа, устаревшее или не обновляемое программное обеспечение, антивирус.
При выявлении инцидента оператор обязан уведомить Роскомнадзор в течение 24 часов. В течение 72 часов — провести расследование и проинформировать Роскомнадзор о результатах. Форма уведомления об инцидентах установлена приказом РКН № 187 от 14.11.22.
В 2024 году планируют увеличить штрафы за утечку данных: при единовременном нарушении штраф для юридических лиц может достигнуть 15 миллионов рублей, а при рецидиве утечки — до 3% от годового оборота.
Работа с личными данными кандидатов без бумажного хаоса и ручного контроля.
Можно собрать все эти процессы и управлять ими вручную или частично автоматизировать их с помощью таблиц и локальных хранилищ. Однако, уже при наличии десятков кандидатов в базе и сотрудников в компании, цепочка действий, необходимых по закону, будет занимать много времени, а риск ошибки станет слишком высоким.
Чтобы экономить время и автоматически обеспечивать соблюдение процесса обработки, включая хранение данных в соответствии с законом, рекомендуется перевести процесс найма в цифровой формат.
В заключение, работа с персональными данными в 2024 году требует особого внимания и точности. Увеличение штрафов за утечку данных и постоянные изменения в законодательстве подчеркивают важность правильного и законного обращения с информацией о кандидатах и сотрудниках. Безусловно, это может показаться сложным и трудоемким процессом, особенно для крупных компаний с большим количеством сотрудников. Однако с помощью цифровизации и автоматизации можно значительно облегчить этот процесс, минимизировать риски и обеспечить соблюдение всех требований закона. Важно помнить, что забота о персональных данных — это не только юридическое требование, но и проявление уважения к вашим сотрудникам и кандидатам.
Материал подготовлен АНО «Сахалин – остров возможностей»