Храните резюме кандидатов на своем компьютере? Даже такие действия могут нарушать закон и привести к штрафу. Разберитесь, как правильно работать с персональными данными сотрудников и соискателей – приглашаем на курс!
Взаимоотношения между сотрудниками и работодателем регулируются большим количеством нормативных документов, в том числе и 152-ФЗ. В нем отражена обязанность работодателя информировать сотрудников о целях обработки их персональных данных, обеспечивать безопасность ПДн и уничтожать информацию после достижения поставленных целей.
Организации стоит для начала определить состав ПДн, требуемых от сотрудника: без них невозможно реализовать требования ФНС, СФР и других органов. В состав общих персональных данных входят: ФИО, дата и место рождения, адрес прописки, профессия и образование, семейный статус, наличие и количество детей, материальное положение, индивидуальные качества и биометрические данные.
Защита ПДн нужна уже на этапе собеседований
До того, как гражданин становится сотрудником, он является соискателем, поэтому уже на данном этапе возникает необходимость защищать его персональные данные.
Взаимоотношения соискателя и работодателя начинаются с резюме. Резюме чаще всего отправляются по электронной почте, через сайты поиска вакансий или путем заполнения анкеты на сайте работодателя.
Соискатель, загружая свое резюме на специализированные сайты, обычно дает согласие на обработку его ПДн. Однако сайты далеко не всегда дают право работодателю хранить данные о соискателях в собственных базах, поэтому хранение резюме с сайтов поиска вакансий вполне может быть нарушением закона.
Как работать с персональными данными соискателей, чтобы избежать штрафов
Если вы, как работодатель, собираете резюме на свою электронную почту, то в тексте вакансии стоит указать: «отправляя резюме по электронной почте, вы даете свое согласие на обработку персональных данных в объеме, указанном в резюме».
После получения резюме ответным письмом необходимо попросить соискателя подтвердить согласие на обработку ПДн. В этом же письме разъясните последствия отказа: вы не сможете обработать резюме и принять решение о приеме на работу. После получения положительного ответа – приступайте непосредственно к рассмотрению кандидата.
В случае заполнения анкеты на сайте работодателя необходимо добавить блок с полем для галочки и текстом «Я согласен на обработку персональных данных». Причем по умолчанию поле для отметки должно быть пустым, чтобы соискатель осознанно сделал выбор. Также ниже стоит расположить ссылку на текст согласия на обработку персональных данных.
Какие документы сотрудника подлежат защите
Резюме является далеко не единственным документом, требующим защиты в рамках взаимоотношений работодателя и сотрудника. К ним также относятся:
- водительские права;
- паспорт гражданина РФ;
- медицинские справки и свидетельства;
- документы, подтверждающие заключение или расторжение брака;
- налоговые выписки (например, справка о зарплате на предыдущем месте работы);
- дипломы, аттестаты;
- бумаги, подтверждающие постановку и снятие с воинского учета;
- анкета кандидата на должность;
- карточка, заполненная по форме Т-2;
- трудовая книжка.
Особенности использования персональных данных работодателем
- Действия в отношении личных сведений можно совершать только после получения согласия на обработку. Исключения – такие же, как и при обработке ПДн граждан;
- В согласии нужно прописать цели, методы, инструменты и операции с конфиденциальными сведениями;
- Обойтись без разрешения работника можно, если персональные данные получены из документов, которые были предоставлены во время подписания трудового договора либо от кадрового агентства, с которым официально сотрудничает соискатель;
- Обязательно информировать работников о правилах и специфике работы с персональными данными, прописанных в локальных нормативно-правовых актах;
- В компании должен быть человек, ответственный за решение вопросов в сфере обработки личных данных сотрудников;
- Требуется регулярно проводить оценку применяемых средств защиты ПДн и устранять угрозы безопасности.
Меры по защиты ПДн сотрудников
В соответствии с 152-ФЗ компания обязана защищать персональные данные от взлома, потери, кражи или случайного доступа. Для этого применяются две группы мер: организационные и технические.
Организационные меры
- Разработка внутренней документации по защите данных. Все сотрудники должны быть с ней ознакомлены;
- Физическая охрана: видеонаблюдение, сигнализация, замки, решетки на окнах;
- Хранение бумажных документов с данными в закрытых шкафах или сейфах;
- Пропускная система в офис и в помещения, где работают с персональными данными;
- Обучение сотрудников: инструктаж, семинары и курсы по защите данных;
- Внутренние и внешние проверки, чтобы убедиться, что все работает, как надо;
- Постоянный контроль: следить, чтобы все было под защитой, а сотрудники выполняли свои обязанности;
- Расследование инцидентов, связанных с нарушением безопасности персональных данных, и привлечение виновных к ответственности.
Создайте документацию автоматически в сервисе 152DOC
На основе заполненной информации сервис автоматически создаст 20+ приказов и положений
Технические меры
Технические меры защищают данные в компьютерах и информационных системах. Вот основные разновидности:
- программы и системы, которые не пускают посторонних в базы данных;
- безопасное соединение с интернетом и внутренними сетями;
- шифрование данных при передаче по открытым каналам, например, между филиалами;
- защита от вирусов и вредоносного ПО.
Хотите корректно организовать работу с ПДн сотрудников? Приглашаем на курс!
Нюансы защиты персональных данных наемных работников и контрагентов подробно разбираем на онлайн-курсе «152-ФЗ: комплексная защита ПДн и 1С-серверов на практике». Вас научат оформлять обязательную документацию, настраивать безопасность на серверах 1С и внедрять комплексные меры защиты для вашего бизнеса в соответствии с законом, используя готовые шаблоны и практические видеоинструкции для быстрого применения.
Обучение стартует 11 августа. По итогам курса вы сможете:
- полностью соблюдать 152-ФЗ: разбираться в требованиях закона, правильно классифицировать персональные данные и оформлять всю необходимую документацию;
- выявлять и устранять угрозы безопасности: строить модель угроз, определять уязвимости и внедрять эффективные меры защиты персональных данных;
- организовать защиту 1С-инфраструктуры: настраивать безопасность серверов (Windows/Linux), защищать базы данных и настраивать резервное копирование;
- автоматизировать процессы безопасности: внедрять мониторинг, журналирование событий и защиту от несанкционированного доступа
- обеспечить безопасность распределенных сетей: организовывать защиту филиалов, настраивать безопасные веб-сервисы и облачные подключения;
- создать комплексную систему защиты: объединять организационные меры (документы, обучение сотрудников) с технической защитой (1С, серверы, сети) в единую систему безопасности.
По завершению обучения у вас будет готовый пакет документов, учитывающий потребности по защите персональных данных именно в вашей организации, и правильно настроенная и защищенная информационная система для работы с ПДн. Это поможет легко пройти проверки надзорных органов и избежать миллионных штрафов.
Подробнее о курсе рассказали на вебинаре – запись уже доступна
12 августа в 11:00 (мск) состоялся бесплатный вебинар «Как пройти проверку Роскомнадзора в 2025:
документы и технические меры защиты персональных данных».
На встрече эксперт рассказал:
- изменения в законе, размеры штрафов, список ОРД;
- что необходимо сделать уже сейчас, чтобы сократить риск штрафов;
- как подготовить список ОРД за 30 минут;
- технические требования безопасности.
Если вы хотите узнать больше о том, как организовать защиту персональных данных – получите запись вебинара!
