Как правильно оформить согласие кандидата? Кто несет ответственность в случае утечки данных? Можно ли хранить резюме в кадровом резерве?
На эти и другие острые вопросы ответила руководитель юридического отдела Хантфлоу Татьяна Антипенко во время своего выступления на онлайн-конференции Хантфлоу.
Редакция Журнала Хантфлоу собрала ключевые тезисы в формате вопрос-ответ, чтобы вы могли быстро найти нужную информацию и больше не бояться 152-ФЗ.
❗ Конкретные правила работы с персональными данными всегда устанавливает компания на основе своей внутренней политики, советов юристов и специалистов по информационной безопасности.
Какой период обработки персональных данных указать в согласии кандидата?
Закон обязывает указывать в согласии на обработку персональных данных срок обработки ПД, но не устанавливает конкретных лимитов. Главное — чтобы период компания смогла обосновать, исходя из своих бизнес-интересов.
Вы можете установить период, например, в 10 лет, 5 лет или 3 года — важно аргументировать этот выбор. Допустима формулировка «до достижения цели обработки», но помните, что ее нужно уметь обосновать при проверке.
Наиболее распространенная и логичная практика — срок от 3 до 5 лет. Этого времени обычно достаточно для работы с кадровым резервом.
Как создать кадровый резерв
Бесплатное руководство для HR и рекрутеровМожно ли собирать паспортные данные кандидатов через встроенную на сайт анкету с чекбоксом-галочкой?
Этот вопрос затрагивает два независимых, но важных аспекта.
- С 30 мая 2025 года закон требует, чтобы согласие на обработку персональных данных было отдельным документом. Это означает, что использовать для получения согласия чекбокс в составе общей анкеты — даже отдельный — рискованно, поскольку такое согласие может быть признано необособленным.
- Сбор именно паспортных данных на раннем этапе подбора через анкету контролирующие органы могут признать избыточным. Запрашивать такие данные стоит только при обоснованной необходимости — например, для проверки службой безопасности конкретного специалиста, где это действительно требуется в рамках его роли.
Если проверка СБ необходима, то:
- Согласие на нее должно оформляться отдельным документом
- В нем должен быть четко указан обоснованный список данных, которые будут переданы для проверки
- Саму необходимость такой проверки для определенных должностей нужно документально обосновать внутри компании
Для легитимного сбора общих согласий на обработку персональных данных (например, для включения в кадровый резерв) удобно использовать функциональность систему автоматизации рекрутмента Хантфлоу.
В карточке кандидата можно отправить ему персональный запрос на согласие — система сформирует отдельное письмо со ссылкой на текст согласия.
После отправки кандидат получает запрос, знакомится с текстом и выбирает «Дать согласие» или «Запретить».
Если кандидат дает согласие, в карточке кандидата статус меняется на положительное решение. Если кандидат запрещает обработку персональных данных, в карточке отображается отказ. Если вы за 30 дней не получили согласия, модуль будет подсвечивать текст о запросе красным и рекомендовать удалить кандидат» или отправить запрос повторно.
Какая модель обработки персональных данных клиентов используется в Хантфлоу?
Работа с персональными данными в Хантфлоу строится по модели «оператор-обработчик». Это означает четкое разделение ролей и ответственности:
- Оператор — это компания-клиент. Именно вы определяете цели обработки, например, подбор персонала или формирование кадрового резерва, а также утверждаете перечень обрабатываемых данных
- Обработчик — это Хантфлоу. Мы действуем на основании вашего поручения, которое включается в договор, и предоставляем технический инструмент для безопасной обработки данных
Хантфлоу не определяет, зачем и какие именно данные кандидатов обрабатывать. Наша задача — предоставить надежную инфраструктуру и соблюдать условия вашего поручения. Сотрудничество оформляется через договор или оферту, где и фиксируются все условия обработки.
Как указать несколько целей обработки в одном согласии?
Частая ситуация: юрист компании настаивает, что для подбора и кадрового резерва нужно два отдельных согласия, а в Хантфлоу нет возможности отправки двух писем подряд.
Рекомендация Роскомнадзора «одна цель — одно согласие» в первую очередь касается письменной формы согласия. Для согласий, которые не требуют письменной формы, рамки менее жесткие.
Практические решения:
- Указать две логически связанные цели в одном документе. Если ваше согласие не требует строго письменной формы, можете пойти по пути двух целей. Или постараться сформулировать цель таким образом, чтобы она была одна и охватывала два этих смежных направления.
- Обратиться за помощью к Хантфлоу. Наши юристы готовы оказывать поддержку нашим клиентам, в том числе дать совет в части работы с ПД в рамках нашего сотрудничества.
Создавать несколько согласий для одного кандидата в рамках единого процесса — излишняя бюрократия, которая может его отпугнуть. Важнее всего — четкая и прозрачная формулировка цели обработки.
Возможно ли в Хантфлоу скрывать определенные данные резюме?
Важно понимать, что обезличивание персональных данных (деперсонализация) само по себе является одним из видов их обработки и, согласно текущему законодательству, требует получения от кандидата соответствующего согласия.
Таким образом, техническая возможность удалить или скрыть персональную информацию в системе должна быть предусмотрена вашими внутренними регламентами и корректно оформленным согласием субъекта данных, где эта цель четко указана.
Как компании подтвердить факт получения согласия кандидата перед проверяющими органами?
Если кандидат дал согласие через систему автоматизации рекрутмента Хантфлоу, в сервисе это фиксируется. Также учитывается, когда было дано согласие и каким способом. Это вполне обоснованное подтверждение для проверяющих органов.
Все технические возможности по записи, хранению и отчетности можно детально изучить на онлайн-презентации системы — запишитесь на демо Хантфлоу.
