Персональні дані та IT-рекрутинг в Україні: коментарі Legal IT Group
Робота рекрутерів напряму пов’язана з використанням даних кандидатів. Бази даних, рекрутингові системи та тулзи, гігабайти резюме, які накопичуються на жорстких дисках. Чи порушують закон окремі рекрутери, чи компанії які працюють з даними про кандидатів?
Кращу відповідь можна знайти лише у юристів, до яких ми й звернулися, щоб в усьому розібратися. З нами на зв’язку Катерина Дубас, Голова GDPR департаменту в Legal IT Group.
Рекрутери майже завжди пишуть кандидатам першими, пропонуючи свої вакансії. При цьому не завжди контакти цих кандидатів можна легко знайти. Деякі кандидати обурюються тим, що їм пишуть рекрутери та не розуміють, де була знайдена контактна інформація. Наскільки це легально з точки зору українського законодавства?
Якщо ми говоримо про IT в Україні, більшість спеціалістів виступають в ролі підрядників, які як ФОПи працюють з компаніями. В нас вже давно діє цілком відкритий реєстр ФОПів, в якому багато відкритої інформації - Єдиний державний реєстр юридичних осіб, фізичних осіб - підприємців та громадських формувань, - та і можна скористатися іншими відкритими реєстрами Мін’юсту, щоб дізнатися більше. Якщо ми отримаємо інформацію з цих реєстрів, та контактуємо спеціалістів з питань співпраці, то можна сказати, що ми нічого не порушуємо (якщо дотримуємось правил використання публічної інформації, звісно).
Також не слід забувати, що багато хто сьогодні є у соціальних мережах. Однак не у всіх з них дозволено спілкуватися на будь-які теми: завжди слід спочатку перевірити правила користування. Правила користування певним сервісом поширюються на всіх, і якщо там вказано, що спілкуватися можна тільки, наприклад, з приводу обміну знаннями або покращення іноземної мови, то всі інші повідомлення можуть стати цілком обґрунтованою причиною блокування акаунту рекрутера.
Однак все може бути й простіше, якщо людина реєструється в соціальній мережі саме ділового спрямування на кшталт LinkedIn, то інформація про фахівця стає доступною іншим людям, про що і попереджає соцмережа своїх користувачів у правилах:
"It’s your choice whether to include sensitive information on your profile and to make that sensitive information public. Please do not post or add personal data to your profile that you would not want to be publicly available.(п. 1.1., “Profile”)
Your profile can be found by those looking to hire (for a job or a specific task) or be hired by you. We will use your data to recommend jobs or mentees, show you and others relevant professional contacts (e.g., who work at a company, in an industry, function or location or have certain skills and connections). (п. 2.1., “Career”)"
Закон України “Про доступ до публічної інформації” одним з принципом використання публічної інформації вказує вільне отримання, поширення та будь-яке інше використання інформації, що була надана або оприлюднена відповідно до цього закону (п. 2 ч. 1 ст. 4 Закону). Але слід зберігати повагу до особистого життя і простору людини: навіть якщо якісь дані є у державному реєстрі, людина все ще має право знати, хто збирає її дані, з якою метою, як обробляються, хто їх обробляє і хто має до них доступ. І збір іншої інформації, окрім вже наявної у публічних реєстрах, не можна виправдати законом про доступ до публічної інформації. Іншими словами, якщо у публічних даних є телефон - краще дзвонити телефоном (і питати, чи можна писати в Телеграм).
Якщо рекрутер працює на компанію як ФОП, та вносить дані у корпоративну CRM-систему, яка по суті є базою кандидатів. Чи порушує рекрутер чи компанія якісь закони?
Це залежить від цілей збору даних. Якщо ми говоримо про ФОПів розробників програмного забезпечення, дані яких є в реєстрі. То такі бази даних перетворюються в такий собі реєстр потенційних підрядників, з якими ми можемо співпрацювати у майбутньому. В цьому загалом немає ніяких порушень, тому це можна робити у рамках робочого процесу. Тут треба розуміти, з яким мотивом ми збираємо та обробляємо дані, і яка правова підстава на таку обробку буде застосована.
Поширена помилка - ототожнювати чужі та свої цілі. Наприклад, ФОП повинен розкрити свої дані для внесення у Єдиний реєстр, бо цього вимагає закон. Але цей же закон не вимагає у рекрутера збирати й, тим більш, використовувати ці дані: на це його може уповноважити, наприклад, інший закон, згода, договірні стосунки з людиною, чиї дані рекрутер зібрав і обробляє, або законний інтерес рекрутера, якщо права та інтереси цієї особи його не перевищують. Також якщо певний правовий акт парламенту, Уповноваженого з прав людини або уряду дозволяє обробляти персональні дані для здійснення трудових правовідносин - з високою ймовірністю мова може йти не про всю сферу найму, а швидше про роботу відділу персоналу у компанії, що займається формальностями при працевлаштуванні у конкретну компанію.
Слід бути чесними щодо цілей, для яких дані збираються. Якщо ми збираємо чутливі дані з метою, наприклад, їх продажу або використання на шкоду особі (наприклад, отримання неправомірної вигоди), це вже буде порушенням не тільки адміністративного, а й, можливо, й кримінального характеру.
Також завжди слід пам’ятати про наслідки глобалізації. Хоча фактично кандидат може мати українське громадянство, перебувати він може будь-де. Якщо ваш кандидат, наприклад, зараз працює у країні ЄС - на нього будуть поширюватися закони цієї країни на Загальний регламент про захист персональних даних (відомий вам як GDPR). Тоді необхідно враховувати ще й норми цих актів, а релевантну інформацію можна почерпнути з самого Регламенту, пояснень наглядових органів європейських держав чи навіть блогів юридичних компаній.
Деякі рекрутери передають резюме кандидатів в інші компанії, з метою отримання бонусів при успішній співпраці кандидата з компанією. Наскільки це легально?
Ідеальний сценарій: рекрутер питає кандидата, пропонує вакансію та отримує вільну (без примусу - наприклад, без загроз втратити інші пропозиції роботи чи підряду) і проінформовану (тобто кандидат має достатньо інформації про те, як його дані використають і хто матиме до них доступ) згоду від кандидата на передачу інформації про нього до компанії. З іншого боку, якщо ж рекрутер робить це без згоди кандидата і не має відповідної правової підстави (раніше отримана згода пропонувати його кандидатуру компаніям на розсуд рекрутера, або договір про пошук можливостей роботи, або припис закону тощо), то це вже може бути порушенням - і неважливо, отримує за це рекрутер якийсь бонус чи ні.
Однак завжди потрібен контекст. Важливе значення може мати навіть очікування кандидата щодо його приватності або текст згоди на обробку його даних чи контракт. Часто кандидати мають складність з доказуванням факту порушення закону про захист персональних даних, але “нечесна” поведінка рекрутера може у тяжкості репутаційних втрат переважати будь-які адміністративні санкції.
Якщо кандидат не цікавиться пропозиціями вакансій, та просить нас видалити його дані з бази компанії, чи не використовувати окремі його дані, як це регулюється?
Законом України “Про захист персональних даних”. Зверніть увагу на статтю 8 Закону.
Ось скорочений список прав, якими наділена кожна людина (або “суб’єкт персональних даних”):
● право знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом і отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані (наприклад, має бути політика приватності, як заздалегідь доступний документ чи хоча б як особисте повідомлення у той момент, коли дані збираються);
● пред’являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;
● пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними (що особливо актуально, якщо кандидат відкликає свою згоду на обробку його даних або дані були зібрані незаконно - наприклад, через куплені “сірі” бази).
У окремих випадках рекрутер може розкривати дані без згоди - наприклад, якщо кандидат скоїв злочин, і рекрутер повідомляє про це поліцію, або до рекрутера надійшов адвокатський запит чи ухвала суду про розкриття інформації. Однак якщо кандидат більше не хоче брати участі у платформі працевлаштування і видаляє свій акаунт, або розриває договір на пошук для нього роботи, то уже для працевлаштування цього кандидата ці дані використовувати не слід (а для ведення бухгалтерського обліку - необхідно).
Наприклад, рекрутер працює в одній компанії, та переходячи до іншої, забирає з собою ту базу даних кандидатів, яку він напрацював з минулим роботодавцем. Чи порушує рекрутер щось, та як з цим бути?
В цьому випадку треба дивитися вже на контракт рекрутера з компанією: наприклад, чи був укладений NDA (Non-disclosure Agreement), чи має договір на послуги рекрутера або трудовий договір "buyout clause" та що в ньому написано про інтелектуальну власність рекрутера.
Також важливо розуміти, що саме це за база, та наскільки інформація в ній може бути віднесена до конфіденційної відповідно до законів про інформацію. Якщо, наприклад, дані про кандидатів можна знайти у відкритих джерелах, то це буде один кейс, якщо ці дані є конфіденційними, і ця база має якісь унікальні дані про кандидатів, то тут вже можуть мати місце порушення. Наприклад, якщо у цій базі є дані, що становлять особливий ризик для прав і свобод кандидатів (расове, етнічне, національне походження, політичні та релігійні погляди, стан здоров’я, генетичні та біометричні дані, статеве життя, судимість, місцеперебування): про ведення таких баз слід повідомляти Уповноваженого і забезпечувати належний захист, про що часто дбає компанія у рамках загального юридичного супроводу, без повідомлення про це рекрутера.
При цьому, базою можуть вважатися і ті контакти, які є в вашому месенджері, якщо ці дані структуровані, та якимось чином систематизовані (в електронній формі чи навіть у формі фізичних картотек, розташованих за ім'ям та спеціалізації фахівця, наприклад).
Якщо всі ці контакти були отримані протягом співпраці з компанією, вона може мати до вас претензії. Але є поширені для позовів про порушення угод про нерозголошення фактори, що впливають на рішення суду: компанія має доказати, що ці контакти в вас є (або що ви могли отримати та отримали доступ до них), більш того, вони були отримані саме в той період, коли ви працювали з окремою компанією, та ви їх використовуєте таким чином, який може спричинити шкоду чи збитки компанії (наприклад, що є положення компанії про конфіденційну інформацію, рекрутер був з ним ознайомлений і його дії чи бездіяльність порушують це положення).
Якщо трохи відійти від теми. Багатьом з нас періодично дзвонять на мобільний люди, які пропонують якісь послуги, покупку товарів, чи інформують про акції. Чи є якісь правові інструменти, які допоможуть відмовитись від такого роду дзвінків?
На жаль, поки що в Україні на законодавчому рівні це ефективно не регулюється. Все що ми можемо зробити на даний час, це просто попросити людину не дзвонити нам, та сподіватися, що це допоможе. Чудово діють прискіпливі запитання про те, звідки у дослідницького центру Ваш номер. Звісно, якщо вас вже переслідують, турбують дзвінками вночі, чи намагаються якось обмежити вас, чи погрожувати, ви можете звернутися до правоохоронних органів з відповідною заявою. Але сьогодні просто написати заяву на адресу мобільного провайдера, та відмовитися від маркетингових дзвінків ви, на жаль, не можете.
Є кроки у запровадженні відповідальності за спам. Наприклад, є зареєстрований у ВР законопроект “Про електронні комунікації” (зараз на доопрацюванні). У інших країнах є “do not call”-реєстри, які теж відсіюють багато “холодних” дзвінків. Ну і є завжди доступні апаратні (чорні списки телефонів) чи комерційні (послуги окремих провайдерів і мобільних операторів) засоби.
Ух! Зараз, мабуть, всі наші читачі, які працюють в рекрутингу трошки напружилися, та це й не дивно. Але що робити, треба поважати персональні дані кандидатів, та не намагатися зловживати тим, що вам довіряють свої контакти. Дякуємо Катерині за допомогу в роз'яснені цього питання.