HR-агентства ежедневно работают с персональными данными кандидатов и работодателей: собирают резюме, проводят собеседования, передают данные клиентам. Это делает их операторами ПДн в полном объёме, а значит, они обязаны иметь полный пакет документов, подтверждающих законность обработки и меры защиты по ФЗ-152.
Документы, которые должны быть у HR-агентства:
- Организационно-распорядительные акты:
- приказ о назначении ответственного за ПДн;
- политика в отношении обработки ПДн (для сайта и внутреннего использования);
- положение об обработке и защите ПДн кандидатов и сотрудников;
- регламент работы с резюме и базой кандидатов;
- порядок передачи данных работодателям-клиентам.
- Документы по субъектам ПДн:
- согласия кандидатов на обработку ПДн (резюме, интервью, тесты, фото);
- согласия на передачу данных работодателям;
- согласия сотрудников агентства на обработку их ПДн.
- Договоры и соглашения:
- договоры с клиентами-работодателями, содержащие условия обработки ПДн;
- договоры поручения на обработку ПДн, если агентство выступает обработчиком;
- обязательства сотрудников агентства о неразглашении ПДн.
- Журналы и учётные формы:
- реестр согласий кандидатов и сотрудников;
- журнал обращений субъектов ПДн (например, кандидатов, желающих удалить свои данные);
- журнал уничтожения и обезличивания резюме по истечении сроков хранения.
- Дополнительные документы:
- порядок обезличивания резюме при использовании для аналитики;
- акты уничтожения бумажных и электронных носителей;
- регламент доступа сотрудников к базам данных кандидатов.
Обоснование по законодательству
- Ст. 18.1 и ст. 22.1 ФЗ-152 — оператор обязан документально подтверждать меры по защите ПДн и назначать ответственных лиц.
- Ст. 6 ФЗ-152 — обработка возможна только с согласия субъекта, если нет иного правового основания.
- Ст. 19 ФЗ-152 — оператор обязан применять организационные и технические меры защиты ПДн.
- Ст. 86–90 ТК РФ — закрепляют правила обработки ПДн работников (в т. ч. сотрудников агентства).
Практика проверок Роскомнадзора
РКН при проверках HR-агентств обращает внимание на согласия кандидатов и порядок передачи их данных работодателям. В одной компании данные кандидатов передавались клиентам без согласия — Роскомнадзор признал это нарушением и обязал оформить согласия задним числом. В другом агентстве был разработан отдельный регламент по резюме и журнал уничтожения данных кандидатов — претензий не возникло.
Что важно учитывать HR-агентствам
- Простое получение резюме от кандидата не является согласием на его распространение. Передача работодателю требует отдельного согласия.
- Резюме кандидата должно храниться только до момента подбора или в течение оговорённого срока, иначе данные нужно уничтожать или обезличивать.
- В договорах с клиентами важно закрепить, кто является оператором, а кто — обработчиком ПДн.
Рекомендации и выводы
Да, HR-агентство обязано иметь полный комплект документов по ПДн. Рекомендуем:
- Разработать и утвердить политику и положение по ПДн кандидатов.
- Организовать сбор согласий на обработку и передачу данных работодателям.
- Вести журналы согласий, уничтожения и обращений субъектов.
- Оформить договоры с клиентами с учётом требований ФЗ-152.
Компания ICTech подготовит для вашего HR-агентства полный пакет документов по ПДн: от согласий кандидатов до регламентов работы с резюме, что позволит избежать претензий Роскомнадзора и сохранить доверие клиентов.
