Отправить заявку на получение
демо-доступа
На Skype-демонстрации мы расскажем, как автоматизировать подбор в Вашей компании при помощи FriendWork.
Если у Вас есть промокод, введите его, чтобы получить скидку.
Отправить заявку на получение
демо-доступа
На Skype-демонстрации мы расскажем, как автоматизировать подбор в Вашей компании при помощи FriendWork.
Если у Вас есть промокод, введите его, чтобы получить скидку.
Инструменты HR
Подпишитесь на наш Telegram-канал, чтобы не пропустить тренды, новости и инструменты, которые пригодятся человеку, приносящему максимальную пользу бизнесу.

Новая редакция закона о персональных данных
Как рекрутерам перестроить свою работу и каких последствий ждать



В 2021 году в России был изменён закон о персональных данных.
В статье рассказываем о тонкостях нового порядка получения согласия на распространение персональных данных и объясняем, как работать в новых условиях, чтобы не нарваться на штрафы.
Разъяснения по поправкам нам дала
В статье расскажем:
Уже записались на мероприятия для HR и HRD?
Мы собрали для вас самые интересные мероприятия в мире HR. Оставьте свои контакты и мы оповестим вас о ближайшем мероприятии.
Основные понятия с точки зрения рекрутмента
Основные понятия закона о персональных данных в разрезе HR
Передать информацию обработчику обязан оператор. Он же несёт ответственность за её сбор.

Оператор и обработчик могут быть одним и тем же лицом, если он будет самостоятельно собирать и обрабатывать полученную информацию.
Что изменилось и что это значит для HR
Новые поправки ужесточили требования к операторам и обработчикам ПД:
1
Раньше под «распространением» понималось раскрытие информации третьим лицам, теперь — это вид обработки, для которого нужно документальное согласие человека.
2
Раньше рекрутеры могли собирать и обрабатывать информацию о кандидате из открытых источников, сейчас на это требуется документальное согласие субъекта. То есть рекрутер в обязательном порядке должен запрашивать наличие этого документа, собирая резюме на работных сайтах и в соцсетях, и проверять, с какими целями это разрешение было дано.
С помощью онлайн-сервиса для автоматизации рекрутинга FriendWork вы в один клик сохраните резюме из соцсетей и работных сайтов, согласуете кандидатов с заказчиком, а после система автоматически разошлёт им приглашения и отказы. FriendWork освобождает руки, время и голову для более креативных задач. Попробуйте сервис бесплатно!
3
Наниматель не может пользоваться данными, не убедившись в наличии документального согласия. Иначе можно попасть под штрафы. То есть если информация берётся с работных сайтов, то нужно запросить согласие у сайта и уточнить, для каких целей оно было дано. Если такого документа нет, то его можно запросить непосредственно у кандидата. Наниматель не может пользоваться информацией, полученной из открытых источников, например, из соцсетей, без согласия кандидата.
4
Оператор не может распространять персданные без официального согласия кандидата. В документе кандидат определяет какую именно информацию, указанную в согласии, он разрешает распространять.
5
Ответственность за обработку или распространение персданных без согласия кандидата лежит на каждом лице, осуществившем их распространение или иную обработку.
6
Если кандидат дал согласие на обработку некой информации о себе, а согласие на её распространение не дал — информация должна обрабатываться без последующего распространения.
7
Кандидат в любой момент может потребовать прекратить обрабатывать или распространять информацию о нём. При этом действие согласия прекращается с момента поступления оператору соответствующего требования.
8
Оператор обязан остановить обработку и распространение персданных в течение трёх дней с момента получения требования от субъекта ПД. Иначе он имеет основание обратиться в суд.
Попробуйте автоматизировать рекрутинг бесплатно
Вы ускорите закрытие вакансий в 2 раза

Как выглядит документ согласия
на обработку ПД
Согласно приказу, согласие на обработку ПД должно содержать:
ФИО кандидата;
номер телефона, e-mail, почтовый адрес кандидата;
сведения об операторе. Если это организация, то нужно указать наименование, юридический адрес, ИНН, ОГРН. Если физическое лицо (HR-специалист): ФИО, место жительства или пребывания. Если ИП: ФИО, ИНН, ОГРН;
название интернет-ресурса (-ов), через который будет осуществляться доступ к информации о кандидате и ее обработка. Это должен быть адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имя файла веб-страницы;
цели, для которых персданные предоставлены;
список данных, на обработку которых кандидат дает согласие;
список персданных, на обработку которых установлены ограничения и запреты (по желанию кандидата);
условия, при которых обработчик может передавать ПД по своим внутренним сетям, доступ к которым есть у определенных сотрудников;
срок действия документа.
Роскомнадзор разработал конструктор, с помощью которого можно сформировать шаблон формы согласия и получить рекомендации от специалистов Роскомнадзора. Для обработки запроса нужна авторизация через ЕСИА (единую систему идентификации и аутентификации).

Посмотрите примеры таких согласий: Образец 1, Образец 2.
За что могут оштрафовать и на сколько
За обработку ПД без письменного согласия субъекта или обработку с нарушением требований к составу сведений предусмотрен штраф:

  • физлицам: от 6 000 до 10 000 рублей;
  • должностным лицам: от 20 000 до 40 000 рублей;
  • юрлицам: от 30 000 до 150 000 рублей
За повторное правонарушение штрафы увеличиваются:

  • физлицам: от 10 000 до 20 000 рублей;
  • должностным лицам: от 40 000 до 100 000 рублей;
  • ИП: от 100 000 до 300 000 рублей;
  • юрлицам: от 300 000 до 500 000 рублей.

Серверы, на которых будут размещаться персональные данные, должны находиться на территории РФ, иначе оператора могут оштрафовать на внушительную сумму:

  • физлицо: от 30 000 до 50 000 рублей;
  • должностное лицо: от 100 000 до 200 000 рублей;
  • юрлицо: от 1 до 6 миллионов рублей.

И за повторное нарушение:

  • физлицо: от 50 000 до 100 000 рублей;
  • должностное лицо: от 500 000 до 800 000 рублей;
  • юрлицо: от 6 до 18 миллионов рублей.
Какой должна быть ATS
1
Система должна запрашивать согласие на обработку ПД от всех источников поступления информации.
2
В бланке согласия на обработку ПД целями для обработки должны быть указаны трудоустройство и кадровый резерв.
3
Серверы должны находиться на территории РФ.
4
Должна быть получена лицензия на техническую защиту информации и разработана модель защиты от киберугроз.
5
Система должна обновляться с учётом нововведений в законодательство.
Если у вас собственная система управления кандидатами, то вся ответственность за операции с ПД будет лежать на вас. В этом плане проще воспользоваться услугами сторонней ATS — так вы снимете с себя все обязательства, связанные с обработкой персональных данных.

Онлайн-сервис для автоматизации рекрутинга FriendWork — надежный сервис, соответствующий всем требованиям закона о персональных данных. Система не только позволит вам экономить время и деньги на рекрутинге, но и снимет головную боль о сборе, обработке и распространении ПД кандидатов. Попробовать FriendWork можно бесплатно!
Какие формы согласия оформлять
при приёме на работу
Каждая компания должна разработать два документа:

  1. Согласие на обработку персданных (подписывают работники, которые их предоставляют).

  2. Согласие на распространение персданных (подписывает работник при необходимости передать его ПД третьим лицам).

Посмотрите пример заполнения согласия на передачу ПД.

Кроме этого в организации должны быть разработаны внутренние документы о персональных данных:

  1. Соглашение о неразглашении персональных данных работников (подписывают все, кто имеет доступ к ПД).

  2. Политика в отношении персональных данных.

  3. ЛНА по персональным данным (определяет порядок обработки ПД).
Памятка, чтобы не нарваться на штрафы
  • ПД можно получить только у самого кандидата на должность или с его письменного разрешения;

  • чтобы запросить данные о работнике у другой организации, нужно получить письменное разрешение субъекта ПД (пункт о согласии можно включить в анкету);

  • нельзя распространять информацию о бывших сотрудниках без их письменного на то согласия;

  • при проверках сотрудники Роскомнадзора смотрят документы и уточняют, каким образом собираются данные о сотрудниках;

  • обязательно нужно принять ЛНА о персданных, назначить ответственных лиц, получить письменное согласие на обработку персональных данных от каждого работника, соблюдать конфиденциальность получаемой информации;

  • если персональные данные работника требуют сотрудники полиции или других органов, то нужно получить письменный запрос;

  • нужно обеспечить надлежащие условия для хранения личных дел, трудовых книжек и иной информации о сотрудниках;

  • важно следить за тем, чтобы заявления и другие поступающие от сотрудников документы не находились в открытом доступе.
Если оглядываться на европейские страны и США, то там законы о персданных и наказания за утечку информации гораздо жестче российских. Логично ожидать дальнейшего ужесточения правил и внесения все новых поправок в закон о ПД в России.

Поэтому, чтобы не упустить важных изменений, обратите внимание на сервис по автоматизации рутинных процессов рекрутинга FriendWork: мы следим за всеми законодательными нововведениями и оперативно обновляем наш продукт.
Татьяна Логинова
Автор корпоративного блога FriendWork
Вас может заинтересовать
Показать еще
Полезные материалы и HR-мероприятия. Все самое интересное в одном письме!

Подпишитесь на рассылку
Press "Like" to follow Tilda Publishing on Facebook
Press "Subscribe" to follow Tilda Publishing on Vkontakte