Работодатели стали уделять больше внимания безопасности персональных данных

Их исследование показало, что за последний год треть компаний усилила контроль над так называемой чувствительной информацией, четверть в принципе начала собирать согласие на обработку и хранение личных данных у соискателей, столько же ограничила число сотрудников, имеющих доступ к подобным сведениям. При этом каждый пятый работодатель размещает персональные данные и резюме соискателей на собственных серверах, столько же - в своей CRM (программа для работы с клиентами), а каждый десятый - в облачной CRM провайдера.

- Несмотря на то, что 46 процентов российских компаний пока продолжают хранить заинтересовавшие резюме по старинке - на бумажных носителях, отчетливо начинает проявляться тренд на автоматизацию. Так, уже 52 процента работодателей в той или иной степени перешли на диджитал-решения и хранят персональные данные на собственных серверах или в CRM-системах. Технологичный подход упрощает работу рекрутера с резюме, а также обеспечивает безопасность и снижает вероятность утери данных, - сообщила директор по развитию Talantix Марина Хадина.

Согласие на обработку персональных данных (ПД) 61 процент рекрутеров запрашивают лично при общении с кандидатом, а 11 процентов берут разрешение лишь у тех, кому готовы сделать предложение о работе. Полностью автоматизирован этот процесс в девяти процентах компаний.

- Несколько лет назад альтернативы не существовало, но сегодня даже небольшому бизнесу доступны удобные HRtech-решения. Автоматизация позволяет эффективно структурировать данные, обеспечить их защиту, снизить объем рутинных операций и освободить время рекрутера, - добавила Хадина.

Как напомнили в пресс-службе hh.ru в ЮФО и СКФО, в 2021 году вступили в силу изменения в 152-ФЗ "О персональных данных", которые затронули в том числе рекрутмент. Работодателей обязали запрашивать у кандидатов согласие на обработку, хранение и распространение личной информации.

- Технологий для хранения персональных данных две. Первый вариант - классический, когда они хранятся и обрабатываются на инфраструктуре работодателя. Второй - облачные решения, модель с их использованием особенно популярна у предприятий малого и среднего бизнеса, - пояснил "РГ" заместитель генерального директора по инновационной деятельности "СерчИнформ" Алексей Парфентьев. - Крупные же предприятия чаще всего предпочитают хранить данные внутри своей инфраструктуры. Нельзя однозначно сказать, какой подход безопаснее. Но очевидно, что второй - более надежный, потому что хранение данных внутри собственной инфраструктуры обеспечивает полный контроль и позволяет применять свои средства защиты. Но это требует высокой квалификации и значительных бюджетов. Поэтому использование облачных сервисов со встроенными элементами защиты может быть более подходящим для небольших компаний, у которых нет ресурсов для поддержания собственной защиты данных на должном уровне.

Вместе с тем директор юридического департамента компании "Тензор" Наталья Толбухина отмечает, что реалии трудового законодательства таковы, что часть документов по-прежнему требует бумажного формата, например акт о несчастном случае на производстве, приказы об увольнении, журнал инструктажей по охране труда. Поэтому работодатели, даже внедрившие КЭДО (кадровый электронный документооборот), используют смешанную обработку персональных данных.

По словам Толбухиной, основные проблемы безопасности в компаниях типичные - избыточный сбор данных, нарушающий принцип минимизации согласно статье пятой 152-ФЗ, устаревшие локальные акты по ПД, широкие и неподконтрольные доступы к базам сотрудников и соискателей, отсутствие журналов учета операций, неопределенные сроки обработки и хранения анкет соискателей.

- Согласие на обработку данных работодатели запрашивают у работников и кандидатов как на бумаге, так и в электронном виде. Закон требует получить отдельное согласие на каждую цель обработки персональных данных, но пока не все адаптировались к этому требованию. Кроме того, в некоторых случаях необходимо получить дополнительное согласие, например если необходимо передать персональные данные в страховую компанию для ДМС или в банк для выпуска зарплатной карты. Согласно моей практике, сейчас корректно оформляют согласие не менее 70 процентов компаний, этот показатель продолжает расти. Немаловажную роль в этом играет увеличение штрафов за нарушение 152-ФЗ, - добавила Толбухина.

Наличие проблем с безопасностью хранения данных в компаниях подтверждает и Алексей Парфентьев. По его мнению, чаще всего они связаны с неправильным использованием этих данных (например, их разглашение и небезопасная пересылка).

- По статистике, около двух третей инцидентов происходит по вине сотрудников, а не из-за хакерских атак, при этом большая часть этих случаев не носит злого умысла, - считает эксперт. - Решить эти проблемы можно с помощью систем, которые не позволяют допускать подобные инциденты. К ним относятся DLP - это системы для защиты от утечек. А для небольших предприятий подойдут DCAP-решения. Они работают на уровень ниже. Если DLP блокируют данные в момент их отправки во вне, то DCAP не дают доступа к этим данным внутри компании.

Парфентьев добавил, что с недавних пор наказания за нарушения правил обработки персональных данных значительно ужесточились. Если раньше штрафы за их распространение составляли десятки тысяч рублей даже для крупных компаний, то сейчас они достигают сотен миллионов. Кроме того, предусмотрена персональная ответственность. А в случаях, когда утечка связана с преступлением, например воровством или продажей, предусмотрено уголовное наказание.

- Принципы работы с персональными данными также претерпели значительные изменения. По нашему опыту, сейчас компании все больше осознают важность защиты информации и уделяют больше внимания сохранности персональных данных, особенно заказчиков, потому что осознают репутационные риски, которые могут привести к прямому финансовому ущербу. А с недавнего времени действуют и огромные штрафные санкции. Поэтому спрос на внедрение систем для предотвращения утечек растет год от года примерно на 25-30 процентов. И на данный момент 36 процентов компаний уже используют специализированные системы предотвращения утечек, - заключил Алексей Парфентьев.