Как консультант, я часто вижу, что даже в крупных компаниях HR-отделы, сами того не зная, ходят по «минному полю» закона «О персональных данных».
Обыденные задачи — сохранение резюме кандидата «на будущее», оформление ДМС для новичка или работа с базой в Excel — могут обернуться многомиллионными штрафами от Роскомнадзора. Знаете ли вы, что отклик на вакансию не дает права хранить резюме в кадровом резерве? Или что на передачу данных в банк для зарплаты и в страховую для ДМС нужны два разных, отдельных согласия от сотрудника? А что делать с данными сотен кандидатов, которым вы отказали? Просто удалить их — уже недостаточно.
В этой статье я подробно разберу 4 самые частые и неочевидные ошибки, которые HR-специалисты совершают при работе с персональными данными. Мы поговорим о базах кандидатов, «пакетных» согласиях при трудоустройстве, правилах уничтожения данных и о том, как реагировать на внезапный запрос от бывшего сотрудника. Это практический гайд, который поможет вам выстроить процессы и защитить компанию.
Ваш рабочий день: открыть hh.ru, разобрать 50 откликов, внести лучших в базу кандидатов, отправить три оффера. Знакомая рутина? На каждом из этих этапов вы совершаете юридически значимые действия в рамках ФЗ-152 «О персональных данных». И цена ошибки здесь высока как никогда.Я консультирую бизнес по организационному развитию и регулярно сталкиваюсь с последствиями недооценки этого закона. Давайте вместе разберем 4 ловушки, в которые чаще всего попадают HR-специалисты, и научимся их избегать.Ошибка №1: Пополнять кадровый резерв «по умолчанию»Представьте, вы получили резюме отличного специалиста, но на текущую позицию он не подходит. Первое желание — сохранить его контакт в базе «на будущее», чтобы не потерять ценный кадр.В чем здесь риск? Согласие, которое кандидат дает на работном сайте, как правило, распространяется только на рассмотрение его кандидатуры для конкретной вакансии. Чтобы законно хранить его данные в своей внутренней базе (будь то Excel, E-Staff, Potok или любая другая ATS-система) для будущих предложений, вам необходимо получить от него отдельное, явное согласие именно на эту новую цель.Лучшая практика: После первого контакта с кандидатом, если вы видите в нем потенциал, направьте ему короткое письмо с просьбой дать согласие на включение в кадровый резерв. Укажите, какие данные вы будете хранить (ФИО, контактные данные, ключевые навыки) и на какой срок (например, 1 год). Это простое действие превращает незаконное хранение в легальный и управляемый процесс.Ошибка №2: Использовать «единое» согласие при трудоустройствеНовичок при оформлении подписывает кипу бумаг, среди которых есть общее «Согласие на обработку персональных данных». Казалось бы, дело сделано.В чем здесь риск? Закон требует, чтобы согласие было предметным. Это значит, что на разные цели обработки нужны разные согласия. Одно общее «на всё» юридически ничтожно. На моей практике я рекомендую внедрять «матрицу согласий» и иметь отдельные документы как минимум для:- Передачи данных в банк для зачисления заработной платы.- Передачи данных в страховую компанию для оформления полиса ДМС.- Передачи данных оператору корпоративного такси или фитнес-клуба, если у вас есть такие бенефиты.- Публикации данных сотрудника (фото, ФИО, должность) на внутреннем портале или на внешнем сайте компании.- Трансграничной передачи, если ваша компания использует зарубежные облачные сервисы, где могут оказаться данные сотрудников.Ошибка №3: Хранить резюме «неподошедших» кандидатовВакансия закрыта. Что происходит с резюме тех, кто не прошел отбор? Чаще всего они остаются лежать в папках на компьютере или в почте «на всякий случай».В чем здесь риск? Как только цель обработки (поиск сотрудника на позицию) достигнута, персональные данные кандидатов, не получивших оффер, должны быть уничтожены в течение 30 дней.Просто удалить файл недостаточно. Этот процесс необходимо задокументировать, составив «Акт об уничтожении персональных данных». В нем комиссия (из одного или нескольких сотрудников) фиксирует основание, дату, способ уничтожения и перечень уничтоженных данных. Этот Акт — ваше главное доказательство для Роскомнадзора, и хранить его нужно 3 года.Ошибка №4: Неготовность к запросу от субъекта данныхЛюбой кандидат, текущий или бывший сотрудник вправе в любой момент обратиться к вам с запросом: предоставить копии его данных, которые вы храните, исправить их или полностью удалить.В чем здесь риск? На ответ у вас есть всего 10 рабочих дней. За это время вы должны найти все данные этого человека во всех системах (от 1С до переписок в почте), подготовить официальный ответ и выполнить его требование. Не уложиться в срок или проигнорировать запрос — прямое нарушение. Это серьезный тест на зрелость ваших HR-процессов. Вы должны четко знать, где и какие данные хранятся и кто имеет к ним доступ.HR — ключевой эксперт по данным в компанииЯ уверена, что именно HR-департамент сегодня является тем щитом, который защищает компанию от многомиллионных штрафов. Вы работаете с самым чувствительным активом — данными людей.Приглашаю вас поделиться практикой по ФЗ-152 «О персональных данных» в комментариях
Отправляя данные вы подтверждаете пользовательское соглашение