Защита персональных данных: опыт HeadHunter
Анна Воеводина, юрист компании HeadHunter Украина: На внедрение проекта ушло около четырех месяцев

Закон о защите персональных данных заставил понервничать бизнесменов в Украине. Поначалу предприниматели не спешили разбираться в тонкостях новых требований, а к концу года ринулись регистрировать базы. Заявления писали прямо на коленях, говорят в Госслужбе по зашите персональных данных. Почта продолжает работать в авральном режиме – заявки приходят мешками. Сколько бы не переносились сроки, украинские компании все равно делали бы все в последний момент, уверяет замглавы Госслужбы по вопросам защиты персональных данных Лилия Олексюк.

Подробнее в интервью: Госслужба: Письма с заявлениями по базам данных приходят мешками

Представительства иностранных компаний оказались более подготовленными. В Европе и соседней России требования по защите персональных данных уже действуют.

HeadHunter Украина начала подготовку  год назад, когда еще не были введены санкции за нарушения закона. Компания одной из первых в Украине зарегистрировала базы персональных данных. Новые требования несли особые риски – в системе  НН обрабатывается огромное количество резюме. Пример НН поучителен для украинских компаний, предлагающих онлайн-сервисы.

Подготовка базы данных

About_Case.jpgПо словам юриста HeadHunter Украина (hh.ua) Анны Воеводиной, регистрацией баз персональный данных компания начала заниматься  в ноябре 2010 года, так как закон вступал в действие с 1 января 2011. "Для нас это несло определенные риски, так как компания HeadHunter собирает резюме", - говорит юрист.

В первую очередь, следовало определить, кто является владельцем, а кто - распространителем баз персональных данных. Поскольку главный офис группы компаний находится в Москве, и сервер, на котором размещен сайт www.hh.ua, также находится в Российской Федерации, был заключен договор об аренде дискового пространства, на котором компания хранит свою базу персональных данных. Таким образом, базы резюме украинского офиса были размещены отдельно.

Для нас закон нес определенные риски: HeadHunter собирает резюме

Владельцем базы резюме, которая собирается в Украине, является украинской офис HeadHunter. Поскольку российские клиенты очень часто приобретают доступ к базе украинских резюме, hh.ua  внесли положение в договор с российскими партнерами.  Эта норма предусматривает передачу персональных данных в случае приобретения доступа клиентов русского HeadHunter к базе украинских резюме.

По словам Воеводиной, в каждой из стран HeadHunter собирает локальные резюме. И каждая национальная база данных является отдельным объектом интеллектуальной собственности в понимании Гражданского кодекса Украины.

"В данном случае, русский офис является распорядителем этой базы, и за доступ к нашей базе наши российские  коллеги выплачивают нам деньги. Такое же соглашение мы заключили и на передачу базы российских резюме, которую мы продаем нашим украинским клиентам на основании договора комиссии с русским офисом HeadHunter", - рассказывает юрист.

Согласие пользователей

Далее следовало определить, каким образом получить согласие кандидата на передачу резюме. "Задачу сильно облегчил тот факт, что с момента создания кадрового портала hh.ua соискатели при регистрации одним кликом давали разрешение на использование своего резюме. Они прямо на сайте заключали с рекрутерами соглашение, в котором было отмечено, что информация о кандидате будет использоваться исключительно в целях поиска работы", - говорит Воеводина.

"Когда вступил в силу закон, мы просто внесли изменения в соглашение в соответствии с его требованиями", - добавляет юрист.

Задачу сильно облегчил тот факт, что соискатели при регистрации одним кликом давали разрешение на использование своего резюме

Те резюме, которые собраны до вступления закона в силу, то, как пояснила Воеводина, получены компанией в соответствии с тем законодательством, которое действовало на момент их сбора. При сборе этой информации нарушения не было, а Закон о защите персональных данных, утверждают в HeadHunter, обратной силы не имеет.

"Несмотря на то, что ранее в соглашении с соискателями не было упоминания норм самого закона, фактически наши отношения с соискателями были урегулированы так, чтобы их персональные данные не использовались с нарушением их прав и интересов, - говорит Воеводина. - Ранее мы просто руководствовались нормами Конституции, запрещающей незаконный сбор конфиденциальной информации о личности".

Начиная с 1 января 2011 года, с большинством клиентов были подписаны новые соглашения, содержащие положения о защите персональных данных, или  отдельные дополнительные соглашения, которые содержат условия соблюдения закона.

Клиенты, которые работают на условиях публичной оферты, принимают ее новые условия путем молчаливого согласия – исполнитель просто размещает их на сайте

"Те клиенты, которые работают на условиях публичной оферты, принимают ее новые условия путем молчаливого согласия, поскольку, согласно условиям оказания наших услуг, исполнитель в лице HeadHunter уведомляет клиентов об изменениях условий путем их размещения на сайте, если иное не предусмотрено индивидуально, согласно двустороннему договору с клиентом", - поясняет юрист.

Клиенты сайта настолько серьезно относятся к новому закону, что не единожды обращались к администрации с просьбой даже ужесточить условия некоторых норм, добавляет Воеводина.

Схема работы с работодателями

About_Company.jpg

В рамках нового закона компании также пришлось внести изменения в соглашения с работодателями, которые пользуются услугами hh.ua. "Речь идет о договоре публичной оферты, который заключается на сайте при регистрации, и о двухсторонних соглашениях. В них мы внесли изменения о том, что клиенты берут на себя обязательства не использовать резюме в иных целях, кроме трудоустройства", - рассказывает юрист.

Также было урегулирован вопрос предоставления согласия на использование данных каждым отдельно взятым работодателем.

Во избежание необходимости всякий  раз сообщать о передаче резюме тому клиенту, согласие на передачу которому кандидат предоставил HeadHunter, в соглашение с кандидатами было внесено положение о том, что согласие на обработку персональных данных не требует  сообщений о передаче персональных данных третьим лицам. "При этом каждый кандидат имеет техническую возможность избрать круг третьих лиц, которые могут получить доступ к его резюме, установив ограничение для нашего кадрового портала. Эти ограничения никогда не нарушаются", - подчеркивает юрист.

Правила игры внутри компании

После этого был подготовлен внутренний документ - положение о персональных данных. 

В документе была четко расписана работа с резюме, работа с персональными данными сотрудников компании hh.ua, а также назначены те, кто имеет право доступа к базам данных. Обязанности сотрудников, имеющих доступ к персональным данным соискателей, утверждены приказом гендиректора.

Внутреннее положение о персональных данных было утверждено приказом гендиректора

Параллельно с этим велась работа с кадровым учетом персональных данных сотрудников. Все личные дела были приведены в соответствие с требованиями нового закона, и от всех сотрудников были получены письменные разрешения на использование их персональных данных.

Затраты

Если говорить о человеческих ресурсах, которые использовались, то они ограничиваются юристом компании, говорит Воеводина. "Я сама занималась этим проектом от начала до конца. Ничей опыт мы не использовали, потому что на тот момент в Украине его, к сожалению, не было", - рассказывает она.

Всю работу документального характера и построения плана действий юрист выполнял по согласованию с генеральным директором и начальником юридического департамента группы компаний. "При необходимости создания технических условий, конечно, привлекались силы технического департамента, который находится в Москве", - добавляет Воеводина.

В целом на внедрение проекта, включая разработку полного плана действий, документов и внедрение технических требований, ушло около четырех месяцев.

Чем докажут

На сегодняшний день базы персональных данных hh.ua полностью приведены в соответствие с требованиями закона, заверяет юрист. "Мы считаем, что получение согласия соискателя, имеющего личный логин, пароль и отдельный кабинет на сайте, в электронном виде в полной мере соответствует фактическому соблюдению норм закона о защите персональных данных", - говорит Воеводина.

В случае проверки доказательством будет выступать скриншот и заверенное описание процедуры регистрации на сайте

По ее словам, в случае возможных проверок доказательством будет выступать скриншот согласия  клиента на использование персональных данных и описание полной процедуры регистрации на сайте, заверенное подписью руководителя и печатью компании. "По-другому пока никак, поскольку отечественное законодательство пока игнорирует отношения в Интернете, как и сам термин "Интернет", и мы можем лишь пока использовать аналогию закона и опыт зарубежных коллег", - добавляет Воеводина.