Приветствую, коллеги! Сегодня обсудим персональные данные. Так как моя аудитория всё больше из кадровых специалистов, то начнем изучать их с точки 0. Как у нас появляется персонал? Правильно через подбор! Предлагаю посмотреть на ПДн в подборе под призмой: «а как бы этот участок проверял инспектор РКН»? Именно здесь у компаний чаще всего начинают возникать проблемы с ПДн: то резюме бывшего кандидата пять лет пылится в папке, то согласие взяли «одно на всё», то данные родственников собирают «на всякий случай». А Роскомнадзор при проверке первым делом запросит именно документы по этому процессу обработки данных, и начнет с запроса письменных пояснений. Справка о процессе подбора: что это и как её готовить РКН захочет увидеть письменную информацию в которой вы описываете, как именно происходит обработка ПДн соискателей. Фактически это ваша визуализация цепочки операций: • откуда берутся данные (карьерный портал, джоб-сайты, реферальные программы, агентства, соцсети и пр.); • какие именно данные собираете (ФИО, телефон, фото, данные родственников и т.д.); • кто участвует в обработке (собственный менеджер по персоналу, внешние платформы, менеджер из иного юр.лица внутри группы компаний, внешний фрилансер и пр.); • сколько всё это хранится и когда уничтожаются. Прежде чем показывать справку инспектору, опишите процесс для себя и вычистите всё лишнее. Пройдитесь по каждому пункту с вопросами: • Зачем нам эти данные? (например, фото — для идентификации в системе или просто «чтобы было»?) • Что будет, если мы их не соберём? (сможем ли провести интервью, оценить компетенции?) • Как долго они реально нужны? (данные «отказника» надо уничтожить через 30 дней после решения, если нет согласия на резерв). • Когда мы последний раз обращались к этим данным? (если резюме трёхлетней давности — зачем оно?) • Когда и на каком основании мы уничтожаем данные? (а уничтожаем ли вообще?) ❗️Помните, РКН при проверке может запросить доступ к системам и посмотреть даты нескольких случайных резюме. Если кандидату отказали полгода назад, а данные до сих пор там — нарушение. Единственное исключение — кадровый резерв, но для него нужно указать такую цель в согласии (или сделать отдельное согласие) и отдельное положение «О кадровом резерве». ⚠️КАКИЕ ДОКУМЕНТЫ ДОЛЖНЫ БЫТЬ И КАК ОНИ СВЯЗАНЫ Если справка — это «карта процесса», то документы — её правовая основа. Вот минимальный набор, который закроет участок подбора: 1. Политика обработки ПДн для соискателей (или раздел в общей политике). В ней вы фиксируете цели (оценка для найма, проверка службой безопасности, подготовка к трудовому договору), перечень данных, сроки (например, «процесс отбора может длиться до 6 месяцев»), и указываете всех третьих лиц, кто имеет доступ (платформы по подбору персонала, агентства). 2. Форма согласия на обработку ПДн для соискателей. Это может быть отдельный документ либо чек-бокс с согласием, при котором действия пользователя по простановки «галочки» в чек-боксе логируются (сохраняются в системе). Важно: согласие должно покрывать все перечисленные в политике цели. Если вы используете джоб-сайты, помните: их согласия не заменяют ваше собственное. 3. Положение о кадровом резерве. Если вы хотите хранить данные соискателей после отказа, вам нужно их письменное согласие (или через чек-бокс) именно на включение в резерв. В положении пропишите срок хранения, цели (информирование о новых вакансиях, приглашение на мероприятия) и порядок уничтожения по истечении срока или отзыве согласия. 4. ЛНА по обработке ПДн работников. Там должны быть отражены цели и для действующих работников (зарплатные проекты, ДМС, командировки), и для бывших, и для родственников работников. Это отдельный документ, он не смешивается с политикой для соискателей.