Как закон о персональных данных повлияет на работу HR

В начале июля в силу вступил закон о персональных данных, ужесточающий ответственность за несогласованное разглашение персональных данных граждан России. Зарплата.ру спросила экспертов, как это повлияет на работу HR.

Павел Новожилов, ведущий консультант по информационной безопасности компании «Инфосистемы Джет»:

С 1 июля 2017 года вступил в силу законопроект, устанавливающий дополнительные составы административных правонарушений для Операторов персональных данных, а также ужесточающий ответственность за правонарушения в области защиты ПДн. Вместо «размытой» формулировки «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах» статья 13.11 КоАП РФ теперь изложена в новой редакции и содержит семь составов правонарушений.

Ужесточение ответственности связано с тенденцией значительного увеличения количества административных правонарушений, выявляемых в рамках контрольных мероприятий Роскомнадзором (РКН), а также утечек персональных данных граждан. Так публикуемая статистика показывает, что каждый новый год бьет рекорды предыдущего по количеству утечек информации, что говорит об общемировой тенденции к увеличению числа утечек и объемов скомпрометированных данных.

Административная ответственность за неправомерный или случайный доступ к персональным данным устанавливается новой частью 6 ст. 13.11 КоАП РФ. Однако тут не все так просто.

Зачастую забывают о еще нескольких важных моментах, связанных с наказанием за нарушения правил обработки ПДн:
‒ Нарушения, описанные в статье 13.11 КоАП, предполагают возможность наложения нескольких штрафов по одному типу нарушения за каждый выявленный факт отклонения от требований законодательства. Потенциально это может увеличить штрафы до астрономических сумм.
‒ Передача дел в суд теперь осуществляется РКН без привлечения органов прокураторы, то есть существенно упрощается.
‒ Ответственность за разглашение персональных данных предусмотрена также Трудовым Кодексом РФ и статьей КоАП 13.14 «Разглашение информации с ограниченным доступом», которые осталась без изменений.
‒ В настоящий момент в сфере работы HR есть следующие процессы («рисковые зоны»), которые практически всегда не соответствуют требованиям законодательства в области персональных данных (и, соответственно, проверяются в первую очередь): кадровый резерв.

‒ Оказание материальной помощи работникам и родственникам работников.

Как правило, многие организации сохраняют резюме интересных соискателей, чтобы пригласить их в дальнейшем. При этом в таких организациях отсутствует официально оформленный порядок ведения кадрового резерва, и резюме соискателей хранятся больше установленного срока обработки персональных данных. Для того, чтобы соответствовать требованиям законодательства в области персональных данных в организации, нужно: разработать и утвердить документ, определяющий порядок ведения кадрового резерва; ознакомить соискателя с этим документом; осуществлять сбор согласий на обработку ПДн с соискателя.

В случае тяжелых заболеваний работникам и родственникам работников может оказываться материальная помощь. Для принятия решения о дополнительных выплатах работнику (родственнику работника) запрашиваются документы, содержащие сведения о состоянии здоровья. В основном обработка организацией таких сведений осуществляется без необходимого согласия на обработку ПДн в письменной форме. Таким образом, мы получаем обработку специальных категорий персональных данных (сведения о состоянии здоровья) без согласия субъекта ПДн, что является грубым нарушением законодательства.

Также рекомендуем обратить внимание на копии документов, где может быть указана национальность (это также специальная категория ПДн). Эту информацию рекомендуется вымарывать. Та же проблема возникает и со старыми системами кадрового учета (например, Босс-Кадровик). Там зачастую со старых времен хранятся данные о национальности работников, а выгрузки из таких систем проверяются в рамках аудита РКН.

В целом же, какова бы не была специфика деятельности организации, проверяющие РКН, в первую очередь, всегда отправляются в отдел кадров. Поэтому работникам этого подразделения необходимо всегда быть готовыми к визиту проверяющих.

Елена Веляева, операционный директор международного кадрового холдинга Gi Group в России:

Я думаю, что к началу действия Закона о персональных данных HR-менеджеры имели возможность подготовиться: разработаны и внедрены все необходимые процедуры, защищающие интересы кандидатов и сотрудников – соискатели заполняют соглашение, разрешающее обработку персональной информации.

Стоит отметить систему наказаний. За нарушение установленного порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) предусмотрена ответственность в виде предупреждения или штрафа от 300 до 500 руб. для граждан, от 500 до 1000 руб. — для должностных лиц, от 5 тыс. до 10 тыс. руб. — для юридических лиц (в соответствие с нормами действующей редакции ст.13.11 КоАП РФ). Размер штрафов вроде бы небольшой, но уже сейчас Госдума РФ обсуждает нормы ужесточения нарушений, финансовая часть будет значительно увеличена (законопроект ожидает голосования в третьем чтении).

Для того, чтобы избежать нарушений законодательства рекомендую рекрутерам не хранить резюме у себя в личном доступе, а пользоваться разработанными решениями сайтов по поиску кандидатов, там есть опция личного кабинета, в котором, среди прочего, можно сохранить анкету понравившегося соискателя, все манипуляции проводить удаленно. Так же настоятельно рекомендую потратить время на разработку соглашения об использовании персональных данных и внести всю используемую компанией информацию, для облегчения можно взять все пункты из карточки Т2. Это необходимо сделать один раз, а потом важно просто соблюдать и контролировать исполнение.
 

Я бы рассматривала закон о защите персональных данных как шаг к цивилизованному рынку, к ответственному отношению всех участников к персональным данным. На мой взгляд, этот закон некоторым образом позволит ограничить продажу баз данных с персональной информацией и накладывает ответственность на компании.

Татьяна Павличенко, HR-директор портала Банки.ру: 

Как отразятся изменения в 152 ФЗ на работе HR-подразделений предсказать сложно. Во-первых, штрафы, которые существенно возросли. Во-вторых, обеспечение такого качества сохранности и обработки данных посильно только для очень «прокачанных» IT-компаний. Много ли таких в российском МСБ? Не думаю.
Исключение прокуратуры из процесса восстановления прав, нарушенных оператором при обработке персональных данных, это, конечно, значительное упрощение процедуры самозащиты. Обращаться напрямую в Роскомназдор проще. С другой стороны, мне лично было бы очень интересно практикоприменение 152 ФЗ, чтобы понять на основании каких именно проблемных случаев они добились изменения закона в подобной трактовке.

Если говорить о нашем холдинге, то изменения коснутся подразделений по работе с персоналом не очень существенно: мы как запрашивали у кандидата согласие на обработку персональных данных через собственноручную подпись, которую человек оставляет в офисе, так и запрашиваем. При этом мы четко объясняем коллегам почему и зачем мы берем письменное согласие. Сканкопии документов через сайт – это не для отдела кадров. Мы так не можем работать. Но как быть туристическим агентствам или интернет-магазинам — тут разобраться не просто. Дело в том, что несмотря на относительно долгую жизнь закона, у нас еще мало судебной практики по применению 152 ФЗ.

И уж тем более непонятно, как именно Роскомнадзор будет регулировать отношения социально-трудового партнерства. Лично я хотела бы быть уверенной, что компетентности их специалистов в нормах трудового законодательства хватит для надзора за соблюдением прав граждан в области законов о труде в части сохранности их прав на обработку сведений персонального характера.

Увеличение штрафов почти в 15 раз (с 5000-10000 рублей до 75000 рублей), конечно, заставит бизнес задуматься о соблюдении новшеств в законе, но тут как всегда возникнет вопрос: что дешевле, соблюдать или платить штрафы? Я, к сожалению, вижу, при разработке законов больше желание запретить, чем предупредить риски. Почему бы законотворцам не пригласить бизнес для обсуждения предлагаемых ими изменений? Это вопрос без ответа.

Но у нас есть преимущество – мы диджитал-компания с миллионами посетителей, очень сильным департаментом IT и серверами на территории РФ. Это означает, что коллеги способны обеспечить сохранность данных на самом высшем уровне, даже если для этого нам придется закупить пару дополнительных серверов.

И все равно хочется знать, как именно массово люди пострадали от нарушения их прав в части некорректной обработки их сведений персонального характера?