Блог

Как SHLTOOLS обрабатывает персональные данные пользователей?

Вопрос об особенностях получения, обработки и хранения персональных данных (ПД) один из самых животрепещущих для всех, кто организует работу с ними. А последние события, связанные с резонансными утечками, не только повысили к нему интерес, но и вынудили органы власти увеличить штрафы за эти утечки. В связи с этим мы посчитали необходимым рассказать подробнее о том, как организован процесс работы с ПД в системе SHLTOOLS. Автор статьи — Рубен Арутюнян, наш IT-директор.


Терминология: кто и как обрабатывает и хранит ПД

152-ФЗ и его множественные последующие исправления определяют роли оператора (статья 3) и обработчика (статья 5) ПД. Различие этих ролей в том, что оператор — это лицо, которое непосредственно определяет цели обработки ПД, а обработчик занимается работой с ПД по поручению оператора и хранит, удаляет или показывает эти данные по просьбе оператора.

В рамках системы SHLTOOLS клиент является оператором, а наша компания (ООО «Бизнес Психологи») — обработчиком. Единственными лицами в рамках SHL Россия, у которых есть доступ к данным клиента по умолчанию, являются сотрудники отдела информационных технологий, обеспечивающие работоспособность системы. Их ответственность и задачи определены в документах, о которых расскажем далее.

Также ответственные лица компаний-клиентов могут временно или на постоянной основе добавить сотрудников службы технической поддержки как администраторов своей компании, и тогда у них тоже будет доступ (например, если нужно помочь с назначениям). Этот доступ можно отключить в любой момент.


Виды персональных данных

Различают специальные ПД (например, данные о вероисповедании), биометрические (отпечатки пальцев), общедоступные (те, что можно легко найти в соцсетях, например: ФИО, данные о возрасте, образовании и пр.) и иные.

В случае SHLTOOLS речь идет максимум об общедоступных ПД, так как заполнение всех полей при создании профиля кандидата является необязательным, а иные виды ПД в систему добавить невозможно.


Угрозы для ПД, уровни защиты

В зависимости от типа угроз (их три, стандартом защиты де факто для подавляющего большинства компаний является второй) и вида данных система, в которой находятся ПД, должна быть соответствующим образом защищена. То, какой уровень защиты (УЗ) требуется, можно посмотреть в следующей таблице.


Как мы видим, если кандидатами являются сотрудники компании или же внешние люди (но их менее 100 тыс.) требуется третий УЗ.


Согласие на обработку ПД

При обработке ПД необходимо получить согласие от участника на их обработку. Для внутренних сотрудников это не так критично, так как фактически ПД используются для внутренних целей компании, а вот для внешних кандидатов можно добавить в текст письма, рассылаемого в SHLTOOLS при назначении психометрического инструмента, указание на то, что проходя по ссылке, участник соглашается с тем, что его ПД будут обработаны. Наверняка кандидат уже предоставил в компанию свое резюме, где была вся эта и скорее всего дополнительная информация, но эта строчка в письме позволит работодателю дополнительно обезопасить себя.

Согласно п. 1 ст. 9 152-ФЗ «Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено Федеральным Законом». Поскольку почтовый ящик можно считать личным способом коммуникации, клик на ссылку в нем после прочтения информации о том, что он приравнивается к согласию, является согласием.

Любые данные, внесенные в систему SHLTOOLS, могут быть удалены по запросу кандидатов администраторами клиента. При подобных запросах, поступающих от пользователей, SHL Russia сначала уведомит клиента о том, что кандидат просит удалить его ПД, а после удалит их, если клиент не урегулирует этот вопрос с пользователем самостоятельно, как того требует законодательство.


Сложные случаи

Если в компании строго запрещено добавлять данные участников в сторонние системы по каким-либо причинам, SHLTOOLS предлагает несколько возможностей.
Первая возможность: использовать цифробуквенные коды вместо имени и фамилии, а уже внутри организации сличать их реальным ФИО. Однако это не поможет, если ФИО присутствует в почтовом адресе, как часто бывает. Для таких случаев из системы можно получить ссылку на личное лобби кандидата (где уже находятся ссылки на тесты) и отправить ее ему любым удобным способом.

Вторая возможность: интегрировать одну из внутренних HR-систем с SHLTOOLS API. В этом случае обработка кандидатов идет исключительно с помощью цифробуквенных кодов и все ПД остаются на стороне компании-клиента.

Вместе с тем, от лица команды SHLTOOLS хотел бы попросить всех наших пользователей заполнять данные кандидатов (возраст, уровень позиции и пр.). Эти данные анонимизируются (из них удаляются все ПД, а так как в них информация в общем виде, они сами ПД не являются без ФИО) и используются для улучшения наших инструментов.


P. S. Если вы пользуетесь SHLTOOLS и у вас остались вопросы по теме статьи, напишите в техподдержку с пометкой в теме письма «Вопрос о ПД».