В качестве ключевого основания для обработки персональных данных Закон Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон), который вступает в силу с 15 ноября этого года, предусматривает согласие субъекта. Вместе с тем в ст. 6 и 8 Закона содержится перечень случаев, когда получение согласия субъекта на обработку его персональных данных не требуется.
На заметку.
В соответствии со ст. 6 Закона согласие не требуется, в частности:
— при оформлении трудовых отношений, а также в процессе трудовой деятельности субъекта персональных данных в случаях, предусмотренных законодательством;
— при обработке персональных данных, когда они указаны в документе, адресованном оператору и подписанном субъектом персональных данных, в соответствии с содержанием такого документа;
— в отношении ранее распространенных персональных данных до момента заявления субъектом персональных данных требования о прекращении обработки или их удалении.
На каком же основании можно обрабатывать персональные данные кандидатов на замещение вакантных должностей в компании?
Ответ будет зависеть от того, как компания получает персональные данные кандидатов в процессе рекрутинга, который может осуществляться по-разному.
Ситуация 1: компания разместила вакансию, на которую откликнулся кандидат.
Ситуация 2: компания самостоятельно ищет работников (например, через социальную сеть для поиска и установления деловых контактов LinkedIn) и связывается с кандидатами по своей инициативе.
Ситуация 3: рекрутинг осуществляется через кадровые агентства.
Рассмотрим вопросы в рамках каждой из указанных ситуаций и прокомментируем их исходя из нашего понимания Закона, а также с учетом иностранной практики в сфере защиты персональных данных.
На заметку.
Персональные данные — любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано (абз. 9 ст. 1 Закона).
Субъект персональных данных — физическое лицо, в отношении которого осуществляется обработка персональных данных (абз. 13 ст. 1 Закона).
Обработка персональных данных — любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных (абз. 6 ст. 1 Закона).
Ситуация 1: компания разместила вакансию, на которую откликнулся кандидат
Отклик кандидата на вакансию может происходить следующими способами.
Способ 1. Кандидат откликается через форму на сайте компании.
Если у компании имеется сайт и предусмотрена возможность заполнения заявки онлайн, субъект может выразить согласие на обработку его персональных данных через проставление отметки на интернет-ресурсе (например, галочки в чек-боксе под формой заявки).
На заметку.
Перечень сведений, которые должны быть представлены субъекту персональных данных до запроса согласия на обработку, включает:
— наименование и место нахождения (адрес места пребывания) оператора;
— цели обработки персональных данных;
— перечень персональных данных, на обработку которых дается согласие;
— срок, на который дается согласие;
— информацию об уполномоченных лицах в случае, если обработка персональных данных будет осуществляться такими лицами;
— перечень действий с персональными данными, на совершение которых дается согласие;
— общее описание используемых оператором способов обработки персональных данных;
— иную информацию, необходимую для обеспечения прозрачности процесса обработки персональных данных.
Получение согласия в таком случае может происходить следующим образом:
1) в форме для отправки заявки можно разместить чек-бокс (который не должен быть заранее отмечен), где субъект сможет выразить свое со-гласие;
2) при этом необходимо предоставить субъекту доступ к информации, предусмотренной п. 5 ст. 5 Закона. Такой доступ может быть обеспечен путем размещения отдельного уведомления, которое содержит соответствующую информацию, либо гиперссылки на отдельный документ (согласие на обработку данных либо политику обработки персональных данных).
Справочно.
Компания не имеет права запрашивать у кандидата данные, которые не связаны с оценкой его соответствия требованиям вакансии, например банковские данные. Цели обработки персональных данных кандидата должны быть ограничены оценкой соответствия кандидата требованиям вакансии.
Способ 2. Кандидат связывается с компанией по иным каналам (например, через электронную почту, по телефону).
Здесь важно понимать, что сам по себе факт отправки заявки не является выражением согласия с точки зрения Закона, поскольку согласие — это «свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных» (п. 1 ст. 5 Закона). Когда кандидат откликается на вакансию (направляет потенциальному нанимателю свое резюме, оставляет контактные данные для связи и т.д.), у него нет всей необходимой информации о том, как будет осуществляться обработка его персональных данных компанией (какой объем персональных данных и для каких целей будет обрабатываться, как долго будут храниться его персональные данные и кому они могут передаваться). В данном случае необходимо запросить согласие. Как вариант — направить кандидату ответ на его письмо с указанием всей необходимой информацией по ст. 5 Закона, а также попросить кандидата подтвердить, согласен ли он на обработку его персональных данных в соответствии с предоставленной информацией.
На заметку.
Как предусмотрено в пп. 2, 3 ст. 5 Закона, согласие можно получить в письменной форме, в виде электронного документа или в иной электронной форме.
В иной электронной форме согласие можно получить с помощью:
— указания (выбора) субъектом персональных данных определенной информации (кода) после получения CMC-сообщения, сообщения на адрес электронной почты;
— проставления субъектом соответствующей отметки (галочки) на интернет-ресурсе;
— других способов, позволяющих установить факт получения согласия.
В странах ЕС в соответствии с General Data Protection Regulation 2016/679 (GDPR) обработка данных кандидатов может осуществляться на основании легитимного интереса, основанного на балансе интересов сторон (соответственно, нет необходимости получать согласие кандидата). Так, легитимный интерес нанимателя заключается в необходимости провести оценку кандидата на предмет соответствия требованиям вакансии, а легитимный интерес кандидата — в возможности установления трудовых отношений. Закон же Республики Беларусь такого основания, как легитимный интерес, не предусматривает.
Ситуация 2: компания самостоятельно ищет работ-ников (например, через социальную сеть для поиска и установления деловых контактов LinkedIn) и связывается с кандидатами по своей инициативе
В случае, когда персональные данные были опубликованы самим субъектом в социальной сети или на иных интернет-площадках, они будут рассматриваться как общедоступные.
Исходя из ст. 6 Закона, если субъектом не было заявлено требований о прекращении обработки или удалении распространенных персональных данных, согласие на их обработку не требуется.
Соответственно, если кандидат разместил свое резюме на личной странице в LinkedIn, компания, заинтересованная в этом кандидате, может начать обработку персональных данных без запроса его согласия.
Однако важно помнить, что обработка общедоступных персональных данных также должна соответствовать общим требованиям к обработке персональных данных, закрепленным в ст. 4 Закона. В частности, обработка должна ограничиваться достижением конкретных, заранее заявленных законных целей, а также обеспечивать справедливое соотношение интересов сторон. По нашему мнению, если субъект персональных данных опубликовал свое резюме в сети, предназначенной для поиска работы, он предполагает, что данные, размещенные в такой сети, будут использоваться для целей, связанных с потенциальным трудоустройством. Соответственно, обработка данных, размещенных в LinkedIn для целей установления контакта с кандидатом, не будет являться нарушением Закона.
На заметку.
Подход Российской Федерации по вопросу использования общедоступных данных представляется более формальным. Так, с 1 марта 2021 г. вступили в силу изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», а с 01.09.2021 начинает действовать приказ Роскомнадзора. Согласно этим изменениям оператор перед обработкой данных, полученных из открытых источников (социальные сети, сайты по поиску работы), теперь должен проверять наличие согласия или другого основания для обработки таких сведений. Для этого стоит уточнять у владельцев job-сайтов, есть ли согласие на распространение персональных данных и для каких целей оно получено у соискателя. Кроме того, оператор должен доказать законность сбора и последующего использования данных кандидатов из открытых источников.
Ситуация 3: рекрутинг осуществляется через кадровые агентства
Как правило, кадровое агентство совершает обработку персональных данных от своего имени и самостоятельно определяет порядок такой обработки. Соответственно, по смыслу Закона оно будет выступать оператором персональных данных и на нем будет лежать обязанность получить согласие кандидата на обработку его персональных данных.
На заметку.
Закон выделяет две роли субъектов отношений по обработке персональных данных — оператор и уполномоченное лицо.
Оператор — государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель, самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных (абз. 8 ст. 1 Закона).
Уполномоченное лицо — государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с оператором осуществляют обработку персональных данных от имени оператора или в его интересах (абз. 16 ст. 1 Закона).
Вместе с тем важно понимать, что кадровое агентство не может предусмотреть, как сама компания будет осуществлять обработку персональных данных кандидата (как долго компания будет хранить данные, кому данные будут передаваться и т.д.).
Соответственно, по нашему мнению, когда компания начинает самостоятельно осуществлять обработку переданных кадровым агентством данных кандидата (к примеру, приглашает кандидата на собеседование), то именно компания обязана получить согласие кандидата на дальнейшую обработку его персональных данных, предоставив ему всю необходимую информацию.
На заметку.
С 1 марта 2021 г. была введена административная ответственность за нарушение законодательства о персональных данных (ст. 23.7 КоАП), а с 9 июня 2021 г. действует уголовная ответственность за такое нарушение (ст. 203-1, 203-2 УК).
Вопрос: Если после рассмотрения заявки компания приглашает кандидата на собеседование, подпадает ли сбор данных о кандидате в ходе собеседования под требования Закона?
Ответ: В п. 1 ст. 2 Закона определено, что Закон регулирует отношения, связанные с защитой персональных данных при их обработке, осуществляемой:
1) с использованием средств автоматизации;
2) без использования средств автоматизации, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и др.).
К примеру, база записей собеседований, сгруппированная по именам или в хронологии, скорее всего, будет подпадать под требования Закона. Соответственно, если компания обрабатывает данные одним из вышеперечисленных способов, такая обработка должна соответствовать требованиям Закона.