Оператор персональных данных - кадровое агентство

Татьяна Крахина, руководитель кадрового агентства "КОРДЭК"

ПОСЛЕ принятия Федерального закона № 152-ФЗ "О персональных данных" (Федерального закона) для многих компаний, чья деятельность непосредственно связана с обработкой персональных данных, остро встал вопрос о том, как построить систему защиты информации, которую законодатель отнес к персональным данным.

Наше кадровое агентство "КОРДЭК", являясь оператором, ежедневно сталкивается с обработкой большого количества персональных данных соискателей, в основном работа ведется с общедоступными данными. В соответствии со ст. 3 Федерального закона "общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности". Не секрет, что на многих "работных" сай- тах размещается информация, содержащая персональные данные соискателей, в том числе и относящиеся к специальным категориям, например вероисповедание (ст. 10, п. 1 Федерального закона). Зачастую человек, ищущий работу через Интернет, публикует резюме, не задумываясь о том, кто и как будет использовать его персональные данные. Задача кадрового агентства и любого оператора персональных данных - грамотно обрабатывать такого рода информацию и одновременно защищать ее согласно требованиям Федерального закона. Нам хотелось бы поделиться опытом организации защиты персональных данных соискателей в кадровых агентствах.

Положение об обработке персональных данных

Для любой деятельности необходимо иметь четкий отработанный механизм действий. В кадровом агентстве должно быть разработано "Положение об обработке персональных данных".

"Положение" должно содержать максимум информации о кадровом агентстве как об операторе персональных данных. Это и перечень обрабатываемых персональных данных соискателей, и четко обозначенная цель обработки персональных данных, и определение категорий обрабатываемых персональных данных. Отдельной строкой должно идти описание процедуры получения согласия на обработку персональных данных соискателя.

Какие же персональные данные обрабатываются в кадровом агентстве?

Сама процедура собеседования состоит из предварительного сбора информации о соискателе: рассмотрение резюме и заполнение внутренней анкеты для нужд рекруте-ров. Нужно ли это для организации эффективной работы агентства? Зачем перегружать свою информационную систему лишними данными? Кадровое агентство осуществляет деятельность по подбору персонала, а не по трудоустройству соискателей, и его работа заключается в поиске определенных специалистов по заявке на подбор персонала, полученной от заказчика. Из существующего обычного списка персональных данных, которым пользуются многие кадровые агентства, да и внутренние рекрутеры, нужно оставить лишь самые необходимые, тем самым выполнив первую задачу - составив перечень персональных данных.

Цель обработки персональных данных

При определении цели обработки можно столкнуться с еще одной сложностью. Конечная цель работы любого кадрового агентства - это выполнение заявки, которая включает в себя трудоустройство конкретного соискателя. Но сопутствующая цель - это и наработка базы соискателей. Здесь возникает следующая проблема: как, достигнув цели по выполнению заказа, не растерять базу потенциальных кандидатов на другие вакансии? Опять же из специфики деятельности: база кандидатов складывается не только из кандидатов, ищущих на данный момент работу, но и людей, уже трудоустроенных через агентство. Можно следить за карьерным ростом кандидата и при повторном обращении в агентство и тем самым намного быстрее "достигнуть целей обработки персональных данных".

Обозначив цель обработки персональных данных как трудоустройство, агентства сталкиваются с тем, что в соответствии со ст. 21 Федерального закона "в случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных". А значит, агентство должно уничтожить всю наработанную за время выполнения заявки заказчика базу данных.

Поэтому целесообразно сформулировать цель обработки как: "содействие в трудоустройстве с возможностью хранения персональных данных в течение гарантийного срока с момента трудоустройства". Таким образом, соблюдаются нормы Федерального закона и обеспечиваются интересы агентства.

Определение категорий обрабатываемых персональных данных

Теперь об определении категорий обрабатываемых персональных данных.

Теоретически любая организация может обрабатывать не только персональные данные в объеме, определенном в Федеральном законе (ФИО, адрес, семейное положение, имущественное положение и т.п.), но и специальные персональные данные (медицинские диагнозы, вероисповедание и т.п.). На практике встает вопрос, насколько это необходимо?

В деятельности кадровых агентств такие случаи крайне редки, но работодатель в своей заявке может сделать акцент, например на медицинских показаниях. Речь не идет о какой-либо дискриминации. Но условия труда в некоторых случаях могут не позволить принять на работу людей (на законных основаниях) с определенным заболеванием. Например, это продавец или водитель, который обязан перед устройством на работу пройти медицинскую комиссию и предъявить работодателю соответствующий документ. В соответствии со ст. 10 Федерального закона именно такие сведения, необходимые заказчику, относятся к специальным категориям персональных данных, и хочется отметить, что при их обработке требуется высокая степень защиты информационной системы, в которой обрабатываются персональные данные, что напрямую влечет дополнительное вложение средств в организацию защиты таких систем.

Также некоторые кадровые агентства занимаются обработкой персональных данных, которые находятся в открытых источниках в сети Интернет, то есть являются общедоступными. Для их обработки согласия субъекта персональных данных не требуется. Но не все так просто: в п. 3 ст. 9 Федерального закона содержится особое условие -"обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора". А это значит, необходимо либо накапливать доказательства того, что данные кандидатов взяты из общедоступных источников, либо получать согласие от субъекта персональных данных и затем хранить этот документ на случай, если "субъект" вдруг решит подать на оператора в суд за нарушение его прав или представители проверяющих органов засомневаются в открытости источника.

Вместе с тем нужно иметь документ, подтверждающий общедоступность источника персональных данных. Для собственной подстраховки можно хранить в бумажном варианте резюме, распечатанное из Интернета. На нем всегда присутствуют: дата создания резюме, его идентификационной номер, название сайта, на котором была размещена анкета. Главная проблема в том, как доказать, что владелец открытого источника (сайта) обладает письменным согласием на обработку? Этот вопрос остается пока без ответа. "Работные" сайты, содержащие, например, специальные категории персональных данных соискателей, должны иметь письменное согласие на их обработку, поэтому фразы "размещение своих персональных данных на данном сайте означает Ваше согласие субъекта на их обработку" не имеют абсолютно никакого правового значения для установления факта получения такого согласия.