Персональні дані та IT-рекрутинг в Україні: коментарі Legal IT Group


Робота рекрутерів напряму пов’язана з використанням даних кандидатів. Бази даних, рекрутингові системи та тулзи, гігабайти резюме, які накопичуються на жорстких дисках. Чи порушують закон окремі рекрутери, чи компанії які працюють з даними про кандидатів?
Кращу відповідь можна знайти лише у юристів, до яких ми й звернулися, щоб в усьому розібратися. З нами на зв’язку Катерина Дубас, Голова GDPR департаменту в Legal IT Group.
Рекрутери майже завжди пишуть кандидатам першими, пропонуючи свої вакансії. При цьому не завжди контакти цих кандидатів можна легко знайти. Деякі кандидати обурюються тим, що їм пишуть рекрутери та не розуміють, де була знайдена контактна інформація. Наскільки це легально з точки зору українського законодавства?
Якщо ми говоримо про IT в Україні, більшість спеціалістів виступають в ролі підрядників, які як ФОПи працюють з компаніями. В нас вже давно діє цілком відкритий реєстр ФОПів, в якому багато відкритої інформації - Єдиний державний реєстр юридичних осіб, фізичних осіб - підприємців та громадських формувань, - та і можна скористатися іншими відкритими реєстрами Мін’юсту, щоб дізнатися більше. Якщо ми отримаємо інформацію з цих реєстрів, та контактуємо спеціалістів з питань співпраці, то можна сказати, що ми нічого не порушуємо (якщо дотримуємось правил використання публічної інформації, звісно).
Також не слід забувати, що багато хто сьогодні є у соціальних мережах. Однак не у всіх з них дозволено спілкуватися на будь-які теми: завжди слід спочатку перевірити правила користування. Правила користування певним сервісом поширюються на всіх, і якщо там вказано, що спілкуватися можна тільки, наприклад, з приводу обміну знаннями або покращення іноземної мови, то всі інші повідомлення можуть стати цілком обґрунтованою причиною блокування акаунту рекрутера.
Однак все може бути й простіше, якщо людина реєструється в соціальній мережі саме ділового спрямування на кшталт LinkedIn, то інформація про фахівця стає доступною іншим людям, про що і попереджає соцмережа своїх користувачів у правилах:
"It’s your choice whether to include sensitive information on your profile and to make that sensitive information public. Please do not post or add personal data to your profile that you would not want to be publicly available.(п. 1.1., “Profile”)
Your profile can be found by those looking to hire (for a job or a specific task) or be hired by you. We will use your data to recommend jobs or mentees, show you and others relevant professional contacts (e.g., who work at a company, in an industry, function or location or have certain skills and connections). (п. 2.1., “Career”)"
Закон України “Про доступ до публічної інформації” одним з принципом використання публічної інформації вказує вільне отримання, поширення та будь-яке інше використання інформації, що була надана або оприлюднена відповідно до цього закону (п. 2 ч. 1 ст. 4 Закону). Але слід зберігати повагу до особистого життя і простору людини: навіть якщо якісь дані є у державному реєстрі, людина все ще має право знати, хто збирає її дані, з якою метою, як обробляються, хто їх обробляє і хто має до них доступ. І збір іншої інформації, окрім вже наявної у публічних реєстрах, не можна виправдати законом про доступ до публічної інформації. Іншими словами, якщо у публічних даних є телефон - краще дзвонити телефоном (і питати, чи можна писати в Телеграм).
Якщо рекрутер працює на компанію як ФОП, та вносить дані у корпоративну CRM-систему, яка по суті є базою кандидатів. Чи порушує рекрутер чи компанія якісь закони?
Це залежить від цілей збору даних. Якщо ми говоримо про ФОПів розробників програмного забезпечення, дані яких є в реєстрі. То такі бази даних перетворюються в такий собі реєстр потенційних підрядників, з якими ми можемо співпрацювати у майбутньому. В цьому загалом немає ніяких порушень, тому це можна робити у рамках робочого процесу. Тут треба розуміти, з яким мотивом ми збираємо та обробляємо дані, і яка правова підстава на таку обробку буде застосована.
Поширена помилка - ототожнювати чужі та свої цілі. Наприклад, ФОП повинен розкрити свої дані для внесення у Єдиний реєстр, бо цього вимагає закон. Але цей же закон не вимагає у рекрутера збирати й, тим більш, використовувати ці дані: на це його може уповноважити, наприклад, інший закон, згода, договірні стосунки з людиною, чиї дані рекрутер зібрав і обробляє, або законний інтерес рекрутера, якщо права та інтереси цієї особи його не перевищують. Також якщо певний правовий акт парламенту, Уповноваженого з прав людини або уряду дозволяє обробляти персональні дані для здійснення трудових правовідносин - з високою ймовірністю мова може йти не про всю сферу найму, а швидше про роботу відділу персоналу у компанії, що займається формальностями при працевлаштуванні у конкретну компанію.
Слід бути чесними щодо цілей, для яких дані збираються. Якщо ми збираємо чутливі дані з метою, наприклад, їх продажу або використання на шкоду особі (наприклад, отримання неправомірної вигоди), це вже буде порушенням не тільки адміністративного, а й, можливо, й кримінального характеру.
Також завжди слід пам’ятати про наслідки глобалізації. Хоча фактично кандидат може мати українське громадянство, перебувати він може будь-де. Якщо ваш кандидат, наприклад, зараз працює у країні ЄС - на нього будуть поширюватися закони цієї країни на Загальний регламент про захист персональних даних (відомий вам як GDPR). Тоді необхідно враховувати ще й норми цих актів, а релевантну інформацію можна почерпнути з самого Регламенту, пояснень наглядових органів європейських держав чи навіть блогів юридичних компаній.
Деякі рекрутери передають резюме кандидатів в інші компанії, з метою отримання бонусів при успішній співпраці кандидата з компанією. Наскільки це легально?
Ідеальний сценарій: рекрутер питає кандидата, пропонує вакансію та отримує вільну (без примусу - наприклад, без загроз втратити інші пропозиції роботи чи підряду) і проінформовану (тобто кандидат має достатньо інформації про те, як його дані використають і хто матиме до них доступ) згоду від кандидата на передачу інформації про нього до компанії. З іншого боку, якщо ж рекрутер робить це без згоди кандидата і не має відповідної правової підстави (раніше отримана згода пропонувати його кандидатуру компаніям на розсуд рекрутера, або договір про пошук можливостей роботи, або припис закону тощо), то це вже може бути порушенням - і неважливо, отримує за це рекрутер якийсь бонус чи ні.
Однак завжди потрібен контекст. Важливе значення може мати навіть очікування кандидата щодо його приватності або текст згоди на обробку його даних чи контракт. Часто кандидати мають складність з доказуванням факту порушення закону про захист персональних даних, але “нечесна” поведінка рекрутера може у тяжкості репутаційних втрат переважати будь-які адміністративні санкції.
Якщо кандидат не цікавиться пропозиціями вакансій, та просить нас видалити його дані з бази компанії, чи не використовувати окремі його дані, як це регулюється?
Законом України “Про захист персональних даних”. Зверніть увагу на статтю 8 Закону.
Ось скорочений список прав, якими наділена кожна людина (або “суб’єкт персональних даних”):
● право знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відп