1 января 2010 года вступает в силу Федеральный закон №152 «О персональных данных» от 27.07.2006. Согласно этому закону все операторы обязаны принять меры для защиты персональных данных. Информационные системы, используемые в работе должны быть приведены в соответствие с требованиями закона непозднее 1 января 2010 года.
Что же это значит на практике для рекрутинговых агентств? Ведь им по роду своей деятельности приходится собирать и обрабатывать огромное количество информации, попадающих под категорию «персональные данные». А именно – фамилия, имя, отчество, год, месяц, дата рождения, адрес семейное положение, образование, профессия, фотография.
Наличие любой базы – будь она электронная или бумажная предполагает обязательное применении средств для ее защиты.
Если данные хранятся в бумажном варианте то все должно быть строго как в архиве – специальные шкафы с замком, опечатанные, в которых все подшито и пронумеровано, а доступ ограничен. База в электронном виде обязательно должна быть зашифрована сертифицированным ключом.
Также с каждого соискателя придется брать бумагу, в которой он соглашается, чтобы его персональные данные хранили и обрабатывали. Остается открытым вопрос как быть с соискателями резюме которых УЖЕ хранится в базе данных агентства.
В зависимости от количества единиц информации и содержания есть разные классы безопасности: 1й, 2й, 3й. Для примера возьмем региональное рекрутинговое агентство, с базой данных менее 100 тыс. единиц информации, база в основном содержит ФИО, адрес проживания, дату рождения и телефон – это будет второй класс. Чтобы выполнить полностью требования закона для данной организации при наличии 4х компьютеров по приблизительным подсчетам потребуется от 230 до 300 тысяч рублей. В эту стоимость входит аудит, разработка пакета документов, покупка средств защиты, пусконаладка, внедрение средств защиты и проведение аттестации. Удешевить вопрос можно, если, скажем, полный доступ к базе данных будет только с одного компьютера, а на остальных внедрить ограниченный доступ для пользователей – например, просмотр резюме без ФИО и контактных данных. Что согласитесь, существенно затрудняет работу рекрутера и растягивает по времени процесс побора.
В работе с контрагентами обязательно должен быть пункт в Договоре, что Заказчик не в праве передавать третьим лицам информацию о кандидатах.
Цель данных мероприятий – соблюдение конфиденциальности и недопущение попадания информации к третьим лицам.
Однако в работе с людьми нельзя быть застрахованными от пресловутого человеческого фактора.
Полностью сертифицированный оператор снимает с себя ответственность, если вдруг случайно информация «утекает»: к примеру, можно позвонить бывшему работодателю за рекомендациями на кандидата, который может оказаться хорошим знакомым нынешнего работодателя. Таким образом, вскрывается факт поиска работы сотрудником, даже при соблюдении всех регламентов по защите персональных данных.
Ответственность за невыполнение требований закона варьируется от штрафа в 10 000 рублей до приостановления деятельности на срок до 90 суток. А при невыполнении предписания органа осуществляющего контроль наказание может составить 500 000 рублей + дисквалификация должностного лица до трех лет.
По информации из организаций оказывающих услугу по защите персональных данных проверкиРоскомнадзором уже начались.
По большому счету в конкурентной борьбе между игроками рынка появился еще один инструмент позволяющий подорвать деятельность организации – достаточно просто установить факт несоблюдения Закона.
Для крупных федеральных игроков рекрутинового рынка возможно данные нововведения и не станут фатальными, в отличие от региональных агентств. Количество последних, скорее всего, начнет сокращаться с вступлением в силу Закона о персональных данных.
