Защита персональных данных в области рекрутмента

Создана в 2009 году

Входит в группу компаний ICM Group (кадровый холдинг АНКОР, Case, Big Fish)

Офисы в Москве, Санкт-Петербурге

Производитель программного продукта Experium для HR-рынка

4 апреля 2011 года вышла версия Experium «HR менеджер»

6 июня 2011 года вышла версия Experium «Кадровое агентство»

Более 4000 скачанных копий программы

География распространения: 206 городов России и СНГ

Experium

• Была принята советом Европы 28 января 1981

• Подписана от имени Российской Федерации в городе Страсбурге 7 ноября 2001 года

• Ратифицирована Федеральным законом № 160 от 19 декабря 2005 года

Федеральный закон «О Персональных данных»

Конвенция Совета Европы «О защите физических лиц при

автоматизированной обработке персональных данных»

Федеральный закон № 152 «О персональных данных» от 27.06.2006

года

Федеральный закон № 261 «О внесении изменений в федеральный

закон о персональных данных» от 25.07.2011

• Федеральным законом регулируются отношения,

связанные с обработкой персональных данных

• Целью Федерального закона является обеспечение

защиты прав и свобод человека и гражданина при

обработке его персональных данных, в том числе

защиты прав на неприкосновенность частной жизни,

личную и семейную тайну

Федеральный закон «О Персональных данных»

Основные нормативно правовые акты

Федеральные

законы

Постановления

Правительства

РФ

Методические

Документы

Регулирующих

органов

ФЗ №160 от 2005г.

«О ратификации

конвенции Совета

Европы ..»

ФЗ № 152 от

27.07.2006 «О

персональных

данных»

№ 687 от

15.09.2008

№512 от

6.07.2008

ФСБФСТЭК

№781 от

17.11.2007

Роскомнадзор

Уполномоченный орган по

защите прав субъекта

персональных данных

Уполномоченный орган власти

в области технической защиты

информации, противодействие

техническим разведкам

Уполномоченный орган в

области обеспечения

криптографической и

инженерно-технической

защиты информации• Государственный надзор и контроль за

обработкой ПД

• Ведение реестра операторов

• Проведение мер профилактического и

пресекательного характера Контроль и надзор за выполнением организационных

и технических мер

Совместный приказ № 55\86\20 от 13.02.2008 об утверждении порядка

проведения классификации информационных систем персональных

данных

Роскомнадзор

Административный регламент проведения проверок в области персональных данных

Форма «Уведомления об обработке персональных данных»

ФСТЭК

Приказ ФСТЭК РФ № 58

«Базовая модель угроз безопасности персональных данных»

«Методика Определения актуальных угроз персональных данных»

ФСБ

Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных.

Типовые требования по организации и обеспечению функционирования шифровальных средств

Ведомственные документы

Классификация ИСПДн

Категория данных\ Кол-во

персональных данных в системе

Менее 1000

субъектов

1000 – 100000

субъектов

Более 100000

субъектов

Категория 4 Обезличенные и или

общедоступные ПД К4 К4 К4

Категория 3 ПД, позволяющие

идентифицировать

субъекта

К3 К3 К2

Категория 2 Категория 3 +

дополнительные данные К3 К2 К1

Категория 1 Сведения о здоровье,

политических, религиозных

взглядах

К1 К1 К1

1. Письменное согласие необходимо для обработки:

• биометрических ПДн

• специальных категорий персональных данных (касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья)

2. Согласие на обработку дается в любой форме, позволяющей подтвердить факт его получения

3. Обработчик ПДн не должен иметь согласия на обработку, его должен иметь оператор. Обработчик производит обработку ПДн на основании поручения оператора.

4. Обязанность предоставлять согласия возложена на оператора ПДн

Основные изменения, отражающиеся

на процессе подбора персонала

Согласие на обработку ПДн:

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

п.1 ст.9 152-ФЗ:

Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

п.3 ст.9 152-ФЗ:

Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона, возлагается на оператора.

п.5 ст 6.Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

Кадровое агентство

Общедоступные источники персональных данных

Общедоступные источники персональных данных Статья 8. 152-ФЗ

1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных. (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

Кадровое агентство

Техническая часть (по не общедоступным ПДн):

• провести аттестацию ИСПДн

• получить лицензию ФСТЭК на техническую защиту конфиденциальной информации

• при необходимости криптографической защиты — получить лицензии ФСБ на работу со средствами криптографической защиты информации (СЗКИ)

• при необходимости активной защиты каналов утечки за счет электромагнитных излучений — получить в Роскомнадзоре разрешение на использование радиочастот и зарегистрировать там же источники радиоизлучений.

Кадровое агентство

Согласие на обработку ПДн:

Работающий персонал:

Согласие не обязательно т.к. обработка ПДн ведется по договору (трудовой договор) и в целях, определенных законодательством РФ

Уволенный персонал:

ПДн получены по договору, а дальнейшая обработка ведется согласно законодательству РФ.

Работодатель

Кандидаты на вакансии:

• Если данные не являются общедоступными, до получения согласия потенциального сотрудника, (заполнения анкеты и др. формы согласия на обработку ПДн) потенциальный работодатель не имеет правоприменимого согласия на обработку ПДн потенциального работника.

• Общедоступные резюме (необходимо представление доказательств их общедоступности)

• Согласие, или резюме с согласием, полученное по электронной почте

(не позволяет получателю однозначно определить, что его отправил именно данный субъект)

• Рекомендации

п.3 ст.10 152 — ФЗ:

3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами

Работодатель

Интернет-рекрутинг

Персональные данные в электронной почте

Персональные данные в электронной коммерции

Персональные данные на корпоративных сайтах компаний

Персональные данные в социальных сетях

Персонифицированные государственные услуги

Как защищать персональные данные в

интернете?

Программное обеспечение для обработки персональных данных

• ПО для подбора персонала

• Бухгалтерские программы

• Программы кадрового учета

• ERP-системы, обрабатывающие персональные данные и т.д.

Средства защиты информации

• Криптографическая защита ПДн

Защита при передачи по каналам связи, использование ЭЦП и пр.

• Защита персональных данных от несанкционированного доступа

управление доступом, регистрация и учет, обеспечение целостности, межсетевое экранирование, антивирусная защита и пр.

• Защита от утечки по техническим каналам

ИСПДн. Нужна ли сертификация?

Программное обеспечение для автоматизации

подбора персонала

Тиражный программный продукт, созданный на основе информационной системы крупнейшей международной рекрутинговой компании

Программный комплекс Experiumвыпускается двух типов: HR-менеджер и Кадровое Агентство

Программа, способная хранить и обрабатывать миллионы документовза считанные секунды

Полный цикл подбора: от претендента до трудоустроенного

Уникальная система поиска информации по 40 критериям

Электронная система согласования вакансий

Полнофункциональная интеграция с большинством популярных работных сайтов

Обязанности оператора

Обеспечение

конфиденциальности

персональных данных

Обоснование законности

обработки ПДН

Уведомление до начала

обработки персональных

данных

Обработка персональных данных Обработка персональных данных

Блокирование ПД Прекратить обработку и уничтожить ПД в течении

30 раб. дней

Уточнение в

течении 7

рабочих дней

Прекратить в

течении 3х рабочих

дней . В противном

случае уничтожить в

течении 10 раб дней

Блокирование ПДН и их уничтожение в

срок не более 6 месяцев

Неправомерная

Обработка ПДДостижение цели

обработкиНеточные ПД Отзыв согласия

субъекта

Отсутствие

возможности

уничтожения

Подтверждение

http://www.rsoc.ru/

Проверки Роскомнадзор

Спасибо за внимание!

ВОПРОСЫ?

Елена Лукоянова,

Руководитель представительства,

г. Санкт-Петербург

тел.: +7 (981) 747-36-49

эл. адрес: lukoyanova@experium.ru

сайт: www.experium.ru