Вроде бы безобидные фотографии сотрудников на карьерном сайте могут дорого обойтись компании, если они размещены без специального согласия. То же самое касается и других персональных данных — например, фамилий, имен и должностей коллег.
Вместе с директором по правовым вопросам Хантфлоу Ольгой Ефимовой мы разобрались, как правильно составить согласие, выбрать срок его действия и прописать цель распространения персональных данных.
Ольга Ефимова, директор по правовым вопросам Хантфлоу
Зачем брать отдельное согласие при размещении информации на карьерном сайте
1 марта 2021 года вступили в силу изменения в Федеральный закон «О персональных данных». В частности, появилась новая категория персональных данных — разрешенные для распространения неопределенному кругу лиц (п. 3 ст. 3 Федерального закона №152-ФЗ).
Если фотографии или другие персональные данные лежат на публичном карьерном сайте, то доступ к ним может получить кто угодно. Это и есть распространение информации неопределенному кругу лиц, которое возможно только с согласия сотрудника.
Раньше распространение было просто одним из способов обработки персональных данных. Работодатель мог просто взять с работника общее согласие, где перечислить разные виды обработки: сбор, систематизацию, передачу третьим лицам.
Теперь же так делать нельзя — данные, распространяемые неопределенному кругу лиц, выделены в отдельную категорию, а на их обработку нужно получать отдельное согласие по специальной форме.
Что должно быть в форме согласия
Этот документ называется «Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения». Он состоит из 9 разделов.
ФИО субъекта персональных данных
Субъект персональных данных — это сам сотрудник организации.
Контактная информация
Здесь сотрудник вписывает свой номер телефона, а также адрес электронной почты или почтовый адрес.
Сведения об операторе
Оператор — это работодатель. В этом разделе указываются:
- название организации,
- ИНН,
- ОГРН,
- адрес регистрации по ЕГРЮЛ.
Сведения об информационных ресурсах оператора
Нельзя просто оформить универсальное согласие на публикацию информации где угодно в интернете. Надо перечислить все ресурсы компании, на которых будут размещены персональные данные сотрудника.
Цель обработки персональных данных
Здесь нужно сформулировать, зачем вы собираетесь распространять информацию. Например, на своем карьерном сайте мы выкладываем фотографии сотрудников. В качестве цели указываем «иллюстративное сопровождение информации о работниках, вакансиях оператора, работе в операторе, размещаемой на сайте оператора».
Перечень распространяемых персональных данных
В этом разделе необходимо перечислить все виды персональных данных, которые вы собираетесь размещать.
Есть три категории:
- Обычные персональные данные — например, ФИО, дата рождения, адрес, семейное и социальное положение, образование, профессия, доходы.
- Специальные — расовая и национальная принадлежность, политические и религиозные убеждения, состояние здоровья, сведения о судимости и об интимной жизни.
- Биометрические — физиологические и биологические особенности человека, которые используются для идентификации личности. Например, отпечатки пальцев, голос, радужная оболочка глаз.
Для работы с обычными персональными данными можно запрашивать согласие в электронном виде. Например, скинуть сотруднику на электронную почту специальную форму, которую он заполнит и отправит вам в ответ. Главное, чтобы потом получилось доказать: разрешение получено именно от этого конкретного человека, а не от кого-то еще.
Если же вы обрабатываете специальные или биометрические персональные данные, то нужно брать согласие с собственноручной или электронно-цифровой подписью сотрудника.
Когда вы размещаете фотографии сотрудников на сайте не для целей идентификации, а чтобы привлечь кандидатов и проиллюстрировать работу в компании, это не считается обработкой биометрических персональных данных (разъяснение Роскомнадзора от 30.08.2013 года). Поэтому получать согласие «на бумаге» в таком случае не обязательно — можно ограничиться электронной формой.
Условия и запреты на обработку персональных данных
Раньше было так: если персональные данные человека выложены на каком-нибудь публичном сайте, то они как бы общедоступные. Любой желающий мог их скопировать и использовать по своему усмотрению.
Теперь все иначе: субъект персональных данных вправе разрешить общий доступ к своим персональным данным, но ограничить другие действия с ними. В форме согласия вы обязаны оставить поля, где сотрудник может установить ограничения и запреты на распространение информации.
Например, он вправе разрешить размещение своего телефона и электронной почты на карьерном сайте, но запретить передавать их дальше. Если какой-то посетитель вашего сайта «спарсит» данные, то нарушит условия обработки. Но как он узнает, что можно и нельзя делать с информацией, которая выложена в открытый доступ?
Ответ может удивить: если сотрудник установил ограничения или запреты на обработку персональных данных, вы обязаны опубликовать информацию об этом не позднее 3 рабочих дней с момента получения согласия.
Как и где про это писать, закон не сообщает. Предположу, что это может выглядеть примерно так — приписка прямо под фотографией сотрудника на карьерном сайте: «Субъектом персональных данных установлен запрет на дальнейшую передачу и обработку этих персональных данных».
А представьте, что таких фотографий много и под каждой нужно что-то писать. Поэтому запреты и ограничения приносят кучу проблем: необходимо обеспечить их соблюдение и предупредить неограниченный круг лиц, что можно и нельзя делать с персональными данными.
Но препятствовать их установке запрещено — в форме должны быть соответствующие поля. А вот воспользоваться этими полями или нет, это уже дело сотрудника.
Условия передачи персональных данных оператором по сети
Сотрудник вправе определить, как будут передаваться его персональные данные, после того как станут доступны неопределенному кругу лиц.
Чтобы было понятнее, представьте некий открытый джоб-сайт, где лежит резюме кандидата. Владелец резюме разрешил всем посетителям сайта сохранять и использовать резюме по своему усмотрению — то есть обрабатывать его персональные данные. Но при этом кандидат установил требование к условиям передачи: если вы захотите переслать документ коллеге, то должны сделать это через внутреннюю сеть организации.
В форме согласия нужно предусмотреть 4 варианта условий передачи:
- «Не указано» — без ограничений.
- «Только по внутренней сети» — информация передается так, чтобы доступ к ней имели только определенные сотрудники организации, которая обрабатывает данные.
- «С использованием информационно-телекоммуникационных сетей» — стандартная передача через интернет.
- «Без передачи по сети» — передавать еще кому-то полученные данные нельзя.
Срок действия согласия
Вы можете выбрать конкретную дату или указать, что согласие будет действовать «до достижения цели распространения». Во втором случае внимательно изучите, как сформулирована ваша цель: если она неконкретная и длящаяся, то Роскомнадзору это не понравится.
Например, вы создаете карьерный сайт и планируете, что он проработает в таком виде 3–5 лет. Тогда лучше сразу выбрать именно этот срок действия согласия, а не указывать «до достижения цели».
Как проверить, правильно ли вы составили форму
Роскомнадзор не терпит самодеятельности: форму документа нужно согласовать с ведомством. Для этого есть специальный сервис запроса рекомендаций — чтобы им воспользоваться, понадобится регистрация на Госуслугах.
Я запрашивала рекомендации, когда разрабатывала согласие для Хантфлоу. Сначала заполнила поля формы и указала свой адрес электронной почты для ответа:
Ответ пришел в течение 5 рабочих дней: Роскомнадзор проверил информацию и сообщил, что все корректно. Если бы были какие-то ошибки или неточности, то ведомство прислало бы рекомендации, что именно нужно исправить.
Что будет, если размещать информацию о сотрудниках без их согласия
Обработка персональных данных без согласия карается штрафом — до 150 000 ₽ на организацию. Наказание за каждое повторное нарушение может достигать 500 000 ₽.
Некоторые работодатели рассуждают так: «А чего опасаться? У нас отличные отношения с сотрудниками, они точно не побегут жаловаться. Так что мы ничем не рискуем и можем обойтись без согласий». Но это ошибка: чтобы получить штраф, не обязательно должна быть жалоба — нарушение может всплыть во время плановой проверки Роскомнадзора.
Пройдите тест и узнайте, насколько хорошо вы разбираетесь в обработке персональных данных.
Когда согласие перестает действовать
Сотрудник может в любой момент потребовать прекратить распространение его данных, даже если дал согласие на это. Для этого он подает работодателю требование, которое должно включать:
- ФИО;
- контактную информацию;
- перечень персональных данных, которые нужно перестать обрабатывать.
В течение 3 рабочих дней с момента получения требования вы обязаны прекратить распространять информацию (п. 12-14 ст. 10.1 Федерального закона №152-ФЗ). Например, удалить с карьерного сайта все персональные данные, которые перечислил сотрудник.
Также согласие перестает действовать, когда достигнута цель распространения. Допустим, нанимающий менеджер разрешил вам разместить его фотографию, ФИО и должность в описании вакансии с целью «привлечения кандидатов для закрытия позиции java-разработчика». Если позиция закрыта, то цель достигнута — информацию о нанимающем менеджере нужно удалить.
А вот при увольнении согласие не прекращает свое действие автоматически. Можно и дальше использовать персональные данные бывшего коллеги, если если это не противоречит целям обработки и реальной ситуации. Например, когда он просто упомянут рядом с комментарием о том, как здорово работать в вашей компании.
Статьи в интернете не заменяют юриста
В этом материале — опыт Хантфлоу и наше понимание Федерального закона «О персональных данных». Мы делаем так, как рассказали, и уверены, что это правильно. Но это не официальное толкование закона.
Обработка персональных данных — серьезная и запутанная тема, штрафы за нарушения очень неприятны, а требования постоянно меняются. Мы пишем эту статью в сентябре 2021 года, но уже завтра все может измениться. Например, появятся новые разъяснения, поправки и постановления, требующие корректировки подхода.
Поэтому наша главная рекомендация: прежде чем что-то делать, проконсультируйтесь с юристом.
Кратко про персональные данные, разрешенные для распространения
- Чтобы размещать информацию о сотруднике на общедоступных ресурсах, необходимо получить отдельное согласие.
- В согласии нужно перечислить каждый ресурс, где будут опубликованы персональные данные сотрудника.
- Если вы обрабатываете специальные или биометрические персональные данные, то придется получать согласие с собственноручной подписью. В остальных случаях можно ограничиться электронной формой.
- В форме согласия нужно предусмотреть поля, в которых сотрудник может указать ограничения и запреты при распространении его персональных данных.
- Чтобы проверить правильность формы согласия, воспользуйтесь сервисом Роскомнадзора.
- За распространение персональных данных без согласия предусмотрен штраф — на первый раз до 150 000 ₽ на организацию.
- Сотрудник вправе в любой момент отозвать свое согласие. В таком случае работодатель обязан прекратить распространение его персональных данных с в течение 3 рабочих дней с момента получения требования.
- Прежде чем что-то делать, проконсультируйтесь с юристом.