Защита персональных данных в области рекрутмента

Защита персональных данных в области рекрутмента

• 1.
  Защита персональных данныхв области рекрутмента
• 2.
  Experium Создана в2009 году Входит в группу компаний ICM Group (кадровый холдинг АНКОР, Case, Big Fish) Офисы в Москве, Санкт-Петербурге Производитель программного продукта Experium для HR-рынка 4 апреля 2011 года вышла версия Experium «HR менеджер» 6 июня 2011 года вышла версия Experium «Кадровое агентство» Более 4000 скачанных копий программы География распространения: 206 городов России и СНГ
• 3.
  Федеральный закон «ОПерсональных данных» Конвенция Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» • Была принята советом Европы 28 января 1981 • Подписана от имени Российской Федерации в городе Страсбурге 7 ноября 2001 года • Ратифицирована Федеральным законом № 160 от 19 декабря 2005 года Федеральный закон № 152 «О персональных данных» от 27.06.2006 года Федеральный закон № 261 «О внесении изменений в федеральный закон о персональных данных» от 25.07.2011
• 4.
  Федеральный закон «ОПерсональных данных» • Федеральным законом регулируются отношения, связанные с обработкой персональных данных • Целью Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну
• 5.
  Основные нормативно правовыеакты Федеральные ФЗ №160 от 2005г. ФЗ № 152 от законы «О ратификации 27.07.2006 «О конвенции Совета персональных Европы ..» данных» Постановления №781 от Правительства 17.11.2007 № 687 от №512 от 15.09.2008 6.07.2008 РФ Методические Роскомнадзор ФСТЭК ФСБ Документы Регулирующих Уполномоченный орган по Уполномоченный орган власти Уполномоченный орган в органов защите прав субъекта персональных данных в области технической защиты информации, противодействие области обеспечения криптографической и техническим разведкам инженерно-технической • Государственный надзор и контроль за защиты информации обработкой ПД • Ведение реестра операторов • Проведение мер профилактического и пресекательного характера Контроль и надзор за выполнением организационных и технических мер
• 6.
  Ведомственные документы Совместный приказ№ 558620 от 13.02.2008 об утверждении порядка проведения классификации информационных систем персональных данных Роскомнадзор Административный регламент проведения проверок в области персональных данных Форма «Уведомления об обработке персональных данных» ФСТЭК Приказ ФСТЭК РФ № 58 «Базовая модель угроз безопасности персональных данных» «Методика Определения актуальных угроз персональных данных» ФСБ Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных. Типовые требования по организации и обеспечению функционирования шифровальных средств
• 7.
  Классификация ИСПДн Категория данныхКол-во Менее 1000 1000 – 100000 Более 100000 персональных данных в системе субъектов субъектов субъектов Категория 4 Обезличенные и или общедоступные ПД К4 К4 К4 Категория 3 ПД, позволяющие идентифицировать К3 К3 К2 субъекта Категория 2 Категория 3 + дополнительные данные К3 К2 К1 Категория 1 Сведения о здоровье, политических, религиозных К1 К1 К1 взглядах
• 8.
  Основные изменения, отражающиеся напроцессе подбора персонала 1. Письменное согласие необходимо для обработки: • биометрических ПДн • специальных категорий персональных данных (касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья) 2. Согласие на обработку дается в любой форме, позволяющей подтвердить факт его получения 3. Обработчик ПДн не должен иметь согласия на обработку, его должен иметь оператор. Обработчик производит обработку ПДн на основании поручения оператора. 4. Обязанность предоставлять согласия возложена на оператора ПДн
• 9.
  Кадровое агентство Согласие наобработку ПДн: (в ред. Федерального закона от 25.07.2011 N 261-ФЗ) п.1 ст.9 152-ФЗ: Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. п.3 ст.9 152-ФЗ: Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона, возлагается на оператора. п.5 ст 6.Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
• 10.
  Кадровое агентство Общедоступные источники персональных данных Общедоступные источники персональных данных Статья 8. 152-ФЗ 1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных. (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
• 11.
  Кадровое агентство Техническая часть(по не общедоступным ПДн): • провести аттестацию ИСПДн • получить лицензию ФСТЭК на техническую защиту конфиденциальной информации • при необходимости криптографической защиты — получить лицензии ФСБ на работу со средствами криптографической защиты информации (СЗКИ) • при необходимости активной защиты каналов утечки за счет электромагнитных излучений — получить в Роскомнадзоре разрешение на использование радиочастот и зарегистрировать там же источники радиоизлучений.
• 12.
  Работодатель Согласие на обработкуПДн: Работающий персонал: Согласие не обязательно т.к. обработка ПДн ведется по договору (трудовой договор) и в целях, определенных законодательством РФ Уволенный персонал: ПДн получены по договору, а дальнейшая обработка ведется согласно законодательству РФ.
• 13.
  Работодатель Кандидаты на вакансии: • Если данные не являются общедоступными, до получения согласия потенциального сотрудника, (заполнения анкеты и др. формы согласия на обработку ПДн) потенциальный работодатель не имеет правоприменимого согласия на обработку ПДн потенциального работника. • Общедоступные резюме (необходимо представление доказательств их общедоступности) • Согласие, или резюме с согласием, полученное по электронной почте (не позволяет получателю однозначно определить, что его отправил именно данный субъект) • Рекомендации п.3 ст.10 152 — ФЗ: 3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами
• 14.
  Как защищать персональныеданные в интернете? Интернет-рекрутинг Персональные данные в электронной почте Персональные данные в электронной коммерции Персональные данные на корпоративных сайтах компаний Персональные данные в социальных сетях Персонифицированные государственные услуги
• 15.
  ИСПДн. Нужна лисертификация? Программное обеспечение для обработки персональных данных • ПО для подбора персонала • Бухгалтерские программы • Программы кадрового учета • ERP-системы, обрабатывающие персональные данные и т.д. Средства защиты информации • Криптографическая защита ПДн Защита при передачи по каналам связи, использование ЭЦП и пр. • Защита персональных данных от несанкционированного доступа управление доступом, регистрация и учет, обеспечение целостности, межсетевое экранирование, антивирусная защита и пр. • Защита от утечки по техническим каналам
• 16.
  Программное обеспечение дляавтоматизации подбора персонала Тиражный программный продукт, созданный на основе информационной системы крупнейшей международной рекрутинговой компании Программный комплекс Experium выпускается двух типов: HR-менеджер и Кадровое Агентство Программа, способная хранить и обрабатывать миллионы документов за считанные секунды Полный цикл подбора: от претендента до трудоустроенного Уникальная система поиска информации по 40 критериям Электронная система согласования вакансий Полнофункциональная интеграция с большинством популярных работных сайтов
• 17.
  Обязанности оператора Обеспечение Обоснование законности Уведомление до начала конфиденциальности обработки ПДН обработки персональных персональных данных данных Обработка персональных данных Обработка персональных данных Неправомерная Неточные ПД Достижение цели Отзыв согласия Обработка ПД обработки субъекта Блокирование ПД Прекратить обработку и уничтожить ПД в течении 30 раб. дней Отсутствие Подтверждение возможности уничтожения Уточнение в Прекратить в Блокирование ПДН и их уничтожение в течении 7 течении 3х рабочих срок не более 6 месяцев рабочих дней дней . В противном случае уничтожить в течении 10 раб дней
• 18.
  Проверки Роскомнадзор http://www.rsoc.ru/
• 19.
  Спасибо за внимание! ВОПРОСЫ? ЕленаЛукоянова, Руководитель представительства, г. Санкт-Петербург тел.: +7 (981) 747-36-49 эл. адрес: [email protected] сайт: www.experium.ru