Как кадровым агентствам хранить персональные данные?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Кадровые агентства обрабатывают большой массив персональных данных: резюме кандидатов (ФИО, контакты, образование, опыт работы, фото), копии документов (паспорт, дипломы, трудовые книжки), а также данные заказчиков — работодателей. Всё это подпадает под ФЗ-152 и требует организации надлежащего хранения.

Хранение должно быть организовано в двух формах:

• Бумажные носители (анкеты, копии документов, договора с соискателями и работодателями) — хранятся в закрытых шкафах или сейфах. Доступ к архиву должен быть ограничен и предоставляться только сотрудникам, закреплённым приказом.
• Электронные базы (CRM-системы подбора, корпоративная почта, базы вакансий и резюме) — должны находиться на серверах в России, защищаться паролями, антивирусным ПО, системами разграничения доступа и резервного копирования.

Обоснование по законодательству

• ФЗ-152, ст. 19 — обязывает оператора обеспечить безопасность ПДн при хранении.
• Постановление Правительства РФ № 1119 — определяет требования к защите ИСПДн.
• Трудовой кодекс РФ, ст. 86 — закрепляет особенности обработки данных работников и кандидатов.
• ФЗ-1032 «О занятости населения» — регулирует деятельность кадровых агентств и работу с базами вакансий и резюме.

Практика проверок и рекомендации Роскомнадзора

РКН часто выявляет нарушения в кадровых агентствах: хранение резюме кандидатов дольше необходимого срока без согласия, использование зарубежных облачных сервисов для базы резюме, пересылка копий паспортов работодателям без оформления договора поручения. В методических рекомендациях Роскомнадзор подчёркивает, что кадровые агентства должны строго разделять хранение резюме с согласиями кандидатов и фиксировать все случаи передачи данных работодателям.

Что важно учитывать кадровым агентствам

• Резюме и анкеты кандидатов можно хранить только при наличии согласия и в течение срока, необходимого для подбора вакансии.
• Бумажные копии документов (паспорт, диплом) должны уничтожаться после окончания подбора, если иное не предусмотрено согласиями.
• CRM-системы должны быть локализованы в России.
• Все передачи ПДн работодателям оформляются договорами поручения.
• У агентства должен быть регламент хранения и уничтожения данных.

Рекомендации и выводы

Кадровое агентство обязано выстроить систему безопасного хранения ПДн кандидатов и заказчиков:

1. Организовать защищённые архивы для бумажных документов.
2. Использовать сертифицированные ИТ-системы и российские дата-центры.
3. Разработать внутренние документы: регламент хранения, политику ПДн, порядок уничтожения резюме.
4. Назначить ответственного за ПДн и вести журналы доступа.
5. Обеспечить обучение сотрудников работе с конфиденциальными данными.

Компания ICTech поможет кадровым агентствам подготовить все необходимые документы по ФЗ-152, выстроить процессы хранения ПДн и избежать претензий Роскомнадзора.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге