Одним из самых информативных и вызвавшим самую большую волну комментариев в зале и в кулуарах выступлением на зимней сессии по оценке персонала
журнала Штат оказалась презентация Евгения Куприянова, Formatta и Станислава Павлова, UPlatforma «Все, что нужно знать специалистам по оценке о работе с персональными данными».
персональные данные - что это?
Сначала приведем очень емкое определение персональных данных:
1. Данные, которые идентифицируют, т.е. позволяют однозначно идентифицировать человека (ФИО, паспортные данные)
2. Данные, которые позволяют идентифицировать, т.е. 2 каких-то фактора, которые позволяют однозначно идентифицировать человека (например, единственный Святозар в аудитории)
3. Данные, которые относятся к идентифцированному лицу, т.е. мы знаем человека и что-то дополнительно о нем (например, результаты оценки), и сразу весь пул информации становится личными данными
Таким образом, практически все данные, с которыми работают HR, как внутренние, так и внешние, становятся персональными и требуют особых условий оформления и обработки. Как показывает текущая практика, при проверках невозможно доказать, что те данные, с которыми работает специалист по работе с персоналом, не являются персональными. В данном случае, презумпция невиновности не действует, поэтому надо всегда относится к данным как к личным, в т.ч. иметь сертификацию «оператора персональных данных».
Вторым следствием из текущих законов является то, что на каждую новую процедуру оценки/тестирования/прочего, необходимо получать с сотрудников согласие на эту конкретную процедуру и (или) на передачу данных поставщику услуг.
Единое согласие на обработку данных, которое многие берут при приеме на работу, признано не соответствующим требованиям, и при отсутствии согласия компанию ждут штрафы.
Права пользователей
Всегда держим в уме, что у пользователя есть следующие права:
1) право на забвение (инфо удаляется везде, в т.ч. резервные копии)
2) право на ограничение обработки (если пользователь против, то обработка останавливается)
3) право на портативность ПД (пользователь не должен заново вводить свои данные при переходе от одного управляющего данными к другому)
4) право на уведомление об утечке персональных данных (в течении 72 часов)
Права работодателя/консультанта
Таким образом, оценщики должны иметь регистрации в реестре "операторов персональных данных" и они отвечают за корректность трансграничной передачи данных (при обработке данных на зарубежных серверах, в т.ч. в физически расположенных вне РФ онлайн систем для тестирования и/или обучения).
Выводы для всех:
- В каждой компании должен быть разработан пакет внутренних документов, регламентирующих процессы обработки и защиты данных и должно быть ответственное лицо за соблюдение нормативов по обработке персональных данных,способное отвечать на запросы физических лиц по поводу обработки их ПД, понимая их права.
- Важно подписать с сотрудниками обязательства о неразглашении персональных данных, согласие на обработку персональных данных и под роспись ознакомить всех с внутренними документами по обработке персональных данных,
- Необходимо вести предупредительную и разъяснительную работу со службами безопасности компании, особенно на оценочных проектах, предварительно убедившись, что ваш провайдер сертифицирован на работу с персональными данными.
- Как одну из мер минимизации рисков взлома персональных данных следует хранить информацию про человека отдельно от его действий, а при передаче данных пользоваться шифрованием и передавать ключи по другому каналу связи (например, зашифрованные списки по эл.почте, а пароль – в смс).
что делать HR, резюме
1. Назначить ответственных лиц и разработать пакет внутренних документов, регламентирующих процессы обработки и защиты ПД.
2. Отрегулировать взаимодействие с физическими лицами, государственными органами и контрагентами:
- Подписать с сотрудниками обязательства о неразглашении ПД, согласие на обработку ПД и под роспись ознакомить их с внутренними документами по ПД.
- Вести предупредительную и разъяснительную работу со СБ вашей компании — особенно на оценочных проектах.
- Убедиться, что ваш провайдер сертифицирован на работу с ПД.
- Отвечать на запросы физических лиц по поводу обработки их ПД — понимая их права.
Согласен на обработку
Ну и самое грустное: галочка на сайте «Согласен на обработку данных» не является разрешенным по закону способом подтверждения, к которым относятся живая подпись и электронная подпись. И хотя это пока не проверяют и за это не наказывают, общая тенденция – формализация проверок и ужесточение требований к обработке персональных данных.
Предупрежден = вооружен!