Как законно собирать документы соискателей через мессенджер при приёме на работу?

Анализ законности обработки персональных данных соискателей при подборе персонала через мессенджеры

Описание ситуации

Ваша организация осуществляет сбор персональных данных кандидатов (фотографии, копии трудовых книжек, дипломов) через личный аккаунт физического лица на онлайн-доске объявлений и мессенджер на личный мобильный номер сотрудника. Данные сохраняются от всех откликнувшихся соискателей, а не только от тех, кто проходит собеседование. Вы хотите понять, как привести эту процедуру в соответствие с законом.

Проанализируем вашу ситуацию с точки зрения законодательства о персональных данных и трудового права.

Анализ текущей ситуации и выявленные нарушения

Текущая схема подбора персонала содержит несколько существенных нарушений законодательства о персональных данных, которые создают для вашей организации серьезные правовые риски.

Правовая квалификация обрабатываемой информации

Прежде всего, копии трудовой книжки, дипломов об образовании и фотографии, безусловно, являются персональными данными. Согласно пункту 1 статьи 3 Федерального закона «О персональных данных»:

"персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)"

Таким образом, получая и сохраняя указанные документы, ваша организация осуществляет сбор, запись, накопление и хранение персональных данных, что согласно пункту 3 той же статьи является обработкой персональных данных:

"обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных"

Нарушение принципов обработки персональных данных

1. Нарушение принципа законности. Статья 5 Федерального закона «О персональных данных» устанавливает:

"Обработка персональных данных должна осуществляться на законной и справедливой основе"

Ваша текущая схема не имеет законных оснований, предусмотренных статьей 6 того же закона.

1. Нарушение принципа ограничения целями. Согласно той же статье 5:

"Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных"

У вас не определены конкретные цели обработки, а сбор данных всех откликнувшихся кандидатов без отбора не соответствует заявленной цели подбора персонала. Получение избыточных данных от лиц, с которыми собеседование не проводится, нарушает также следующее положение статьи 5:

"Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки"

1. Нарушение принципа ограничения срока хранения. Статья 5 также требует:

"Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных"

Хранение данных соискателей, которым отказано, без достижения целей обработки является неправомерным.

Проблема получения данных через личный номер сотрудника

Использование личного мобильного номера сотрудника и непрофильного аккаунта физического лица фактически означает, что первоначальным получателем персональных данных выступает физическое лицо, а не ваша организация. Это создает ситуацию, при которой персональные данные фактически передаются третьему лицу без правовых оснований, что нарушает статью 7 Федерального закона «О персональных данных»:

"Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом"

Кроме того, такой способ получения данных противоречит статье 86 Трудового кодекса РФ, где указано:

"все персональные данные работника следует получать у него самого"

Хотя данная формулировка относится к работникам, тот же принцип следует применять и к соискателям — получение данных должно происходить непосредственно от субъекта в контролируемой работодателем среде, а не через неподконтрольные каналы связи.

Обработка фотографий соискателей

Что касается фотографий, то они могут быть признаны биометрическими персональными данными только при определенных условиях. Согласно статье 11 Федерального закона «О персональных данных»:

"Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных"

Из контекста вашей ситуации неясно, используются ли фотографии для идентификации личности или носят информационный характер. Однако рекомендую всегда получать письменное согласие на обработку фотографий во избежание рисков.

Основные нарушения и правовые риски

Отсутствие правовых оснований обработки

Статья 6 Федерального закона «О персональных данных» устанавливает исчерпывающий перечень случаев, когда обработка персональных данных допускается. В вашей ситуации основным правовым основанием должно выступать согласие соискателя:

"Обработка персональных данных допускается в следующих случаях: 1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных"

Статья 9 того же закона устанавливает требования к такому согласию:

"Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом"

Отсутствие обязательных мер защиты

Статья 18.1 Федерального закона «О персональных данных» предписывает операторам принимать необходимые меры, включая:

"назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных", "издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных... а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации"

Также согласно статье 22.1 того же закона:

"Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных"

В вашей организации, судя по описанию, такие меры не приняты.

Отсутствие уведомления Роскомнадзора

По общему правилу, установленному частью 1 статьи 22 Федерального закона «О персональных данных»:

"Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных"

Хотя ранее закон содержал исключения, с 1 сентября 2022 года они существенно сокращены, и большинство организаций обязаны подавать такое уведомление.

Нарушение конфиденциальности

Статья 7 Федерального закона «О персональных данных» устанавливает:

"Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных"

Передача данных через личный номер сотрудника, который может не быть уполномочен на обработку, создает риск нарушения конфиденциальности.

Риски ответственности

Нарушение законодательства о персональных данных влечет серьезную ответственность. Статья 90 Трудового кодекса РФ предусматривает:

"Лица, виновные в нарушении положений законодательства Российской Федерации в области персональных данных при обработке персональных данных работника, привлекаются к дисциплинарной и материальной ответственности... а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами"

Федеральный закон «О персональных данных» также содержит статью 24, согласно которой:

"Лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность"

Статья 24 также предусматривает возмещение морального вреда:

"Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных... подлежит возмещению в соответствии с законодательством Российской Федерации"

Проблема использования личного номера сотрудника

Использование личного мобильного номера сотрудника для получения персональных данных соискателей также нарушает принцип законности обработки, установленный статьей 5 Федерального закона «О персональных данных»:

"Обработка персональных данных должна осуществляться на законной и справедливой основе"

Сотрудник как физическое лицо, не уполномоченное надлежащим образом, получает доступ к персональным данным, что не соответствует установленным требованиям. Кроме того, персональные данные хранятся на личном устройстве сотрудника, что не обеспечивает надлежащий уровень защиты.

Применимые нормы

Правовые основания обработки персональных данных соискателей

Обработка персональных данных кандидатов на вакантные должности должна осуществляться на основании их согласия. Хотя статья 6 Федерального закона «О персональных данных» предусматривает несколько правовых оснований обработки, в случае с соискателями, не состоящими в трудовых отношениях, основным таким основанием выступает согласие (пункт 1 части 1 статьи 6).

Согласие на обработку персональных данных

Согласно статье 9 Федерального закона «О персональных данных»:

"Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным"

Для обработки биометрических персональных данных (если фотографии используются для идентификации личности) требуется письменная форма согласия. Согласно части 4 статьи 9:

"В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных"

Письменное согласие должно включать следующие элементы:

"1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

1. наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
2. цель обработки персональных данных;
3. перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
4. перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
5. срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва"

Порядок получения данных при приеме на работу

Статья 65 Трудового кодекса РФ содержит перечень документов, предъявляемых при заключении трудового договора:

"при заключении трудового договора лицо, поступающее на работу, предъявляет работодателю:
паспорт или иной документ, удостоверяющий личность;
трудовую книжку и (или) сведения о трудовой деятельности...;
документ об образовании и (или) о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки"

На этапе подбора персонала, до заключения трудового договора, сбор таких документов должен осуществляться исключительно с согласия соискателя. При этом важно отметить, что статья 65 ТК РФ также содержит запрет:

"Запрещается требовать от лица, поступающего на работу, документы помимо предусмотренных настоящим Кодексом, иными федеральными законами, указами Президента Российской Федерации и постановлениями Правительства Российской Федерации"

Требования к хранению и срокам

Статья 5 Федерального закона «О персональных данных» устанавливает:

"Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом"

Таким образом, персональные данные соискателей, не принятых на работу, должны храниться не дольше, чем это необходимо для целей подбора персонала. После завершения конкурсного отбора, если соискатель не был принят на работу, цели обработки считаются достигнутыми, что означает необходимость прекращения обработки и уничтожения данных.

Процедура уничтожения персональных данных

Статья 21 Федерального закона «О персональных данных» устанавливает:

"В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение... и уничтожить персональные данные или обеспечить их уничтожение... в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных"

При этом согласно той же статье:

"Подтверждение уничтожения персональных данных... осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных"

Обязанности оператора при сборе данных

Статья 18 Федерального закона «О персональных данных» устанавливает:

"При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 настоящего Федерального закона"

Если данные получены не от субъекта, согласно части 3 статьи 18:

"до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1. наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
2. цель обработки персональных данных и ее правовое основание;
3. предполагаемые пользователи персональных данных;
4. установленные настоящим Федеральным законом права субъекта персональных данных;
5. источник получения персональных данных"

Требования к локальным актам

Статья 18.1 Федерального закона «О персональных данных» обязывает оператора издавать:

"документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований"

Статья 86 Трудового кодекса РФ дополнительно требует:

"работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области"

Статья 8 Трудового кодекса РФ закрепляет право работодателей:

"Работодатели... принимают локальные нормативные акты, содержащие нормы трудового права... в пределах своей компетенции в соответствии с трудовым законодательством и иными нормативными правовыми актами"

Выводы и рекомендации

Для приведения процесса подбора персонала в соответствие с законодательством необходимо предпринять следующие шаги:

1. Назначить ответственного за организацию обработки персональных данных (статья 22.1 Федерального закона «О персональных данных»)

Это лицо будет осуществлять внутренний контроль за соблюдением законодательства, доводить до сведения работников положения законодательства, организовывать прием и обработку обращений субъектов персональных данных.

2. Разработать и утвердить комплекс локальных нормативных актов

На основании статей 8, 86 Трудового кодекса РФ и статьи 18.1 Федерального закона «О персональных данных» необходимо:

• Политику в отношении обработки персональных данных, которая должна быть опубликована или иным образом обеспечена доступом для неограниченного круга лиц (часть 2 статьи 18.1 Федерального закона «О персональных данных»). Учитывая, что ваша организация осуществляет сбор данных с использованием онлайн-доски объявлений, политика должна быть опубликована на соответствующем ресурсе.
• Положение об обработке и защите персональных данных, в котором будут определены:
  • категории субъектов (соискатели, работники, уволенные и т.д.);
  • для каждой цели обработки: категории и перечень обрабатываемых персональных данных, способы, сроки обработки и хранения, порядок уничтожения;
  • процедуры, направленные на предотвращение и выявление нарушений.
• Форму согласия на обработку персональных данных, соответствующую требованиям части 4 статьи 9 Федерального закона «О персональных данных».
• Приказ о порядке сбора, хранения и уничтожения персональных данных соискателей.

3. Прекратить практику сбора данных через личные каналы связи сотрудников

Перейти на официальные каналы получения данных:

• раздел «Вакансии» на официальном сайте организации;
• корпоративную электронную почту;
• официальный аккаунт организации на платформе подбора персонала.

4. Внедрить процедуру получения согласия до начала обработки

До получения каких-либо документов от соискателя необходимо обеспечить подписание им согласия на обработку персональных данных. В согласии должно быть указано:

• наименование вашей организации как оператора;
• цель обработки (подбор персонала на конкретную вакансию);
• перечень обрабатываемых данных;
• перечень действий с данными;
• срок действия согласия;
• способ отзыва согласия.

Согласие должно быть получено отдельно от других документов (часть 1 статьи 9 Федерального закона «О персональных данных»).

5. Определить правомерный срок хранения данных соискателей, не принятых на работу

В локальных актах установить конкретный срок хранения данных соискателей, не прошедших отбор. Рекомендуемый подход: хранить данные только на период проведения конкурсного отбора по конкретной вакансии (например, 1-3 месяца с даты закрытия вакансии).

По истечении указанного срока все персональные данные таких соискателей подлежат уничтожению в течение 30 дней на основании части 4 статьи 21 Федерального закона «О персональных данных»:

"В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных... и уничтожить персональные данные... в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных"

6. Внедрить процедуру документированного уничтожения данных

Факт уничтожения должен подтверждаться актом с указанием:

• даты уничтожения;
• перечня уничтоженных данных;
• субъектов, чьи данные уничтожены;
• способа уничтожения.

Это требование вытекает из части 7 статьи 21 Федерального закона «О персональных данных»:

"Подтверждение уничтожения персональных данных... осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных"

7. Подать уведомление в Роскомнадзор

На основании части 1 статьи 22 Федерального закона «О персональных данных» направить уведомление об обработке персональных данных до начала такой обработки.

8. Обучить сотрудников

Организовать ознакомление работников, участвующих в подборе персонала, с требованиями законодательства и локальными актами организации (пункт 6 части 1 статьи 18.1 Федерального закона «О персональных данных»).

9. Получить согласие на обработку фотографий

Если фотографии соискателей будут использоваться вашей организацией в процессе подбора персонала, необходимо получить отдельное согласие на их обработку. Если фотографии не используются для идентификации личности, прямо укажите в согласии, что они обрабатываются как информационный материал, а не как биометрические данные.

10. Оценить правомерность истребования конкретных документов у соискателей

Руководствуясь статьей 65 Трудового кодекса РФ, следует запрашивать у соискателей только те документы, которые прямо предусмотрены законом для конкретной должности.

Приведение процедуры подбора персонала в соответствие с законодательством требует системного подхода и разработки целого комплекса организационно-правовых мер. Рекомендую обратиться к квалифицированному адвокату для разработки необходимой документации и аудита текущих процессов обработки персональных данных.