Особенности обработки персональных данных в ATS. Часть 1
Важно понимать, что сегодня де-факто все компании, осуществляющие подбор персонала собственными силами, являются операторами и на них распространяется обязанность по соблюдению всех норм действующего законодательства в области работы с ПД.
Первая часть требований, как правило, знакома практически всем, кто слышал о ФЗ 152 –необходимость хранить персональные данные на серверах, расположенных на территории РФ. Но о второй части, т. е. о деталях и нюансах непосредственно самих процессов обработки ПД, многие или не слышали, или игнорируют, не понимая, каким образом эти требования могут быть автоматизированы в ATS при сохранении скорости, гибкости и эффективности. Давайте разберемся в этих нюансах.
Согласно закону, операторам ПД не требуется лицензия на их обработку. Вместе с тем закон однозначно определяет, что оператор обязан обеспечить защиту персональных данных. И важнейшим нюансом тут является, где именно расположена база данных вашей программы для управления подбором персонала и кто непосредственно отвечает за защиту данных в ней.
Если ATS установлена локально в контуре вашей компании, защита данных в ней осуществляется силами вашей компании, которой не требуется лицензия на данный вид деятельности.
Однако мало кто знает, что в случае, если система расположена вне контура вашей компании, например, на хостинге вашего облачного провайдера ATS, обязанность по защите ваших ПД ложится именно на провайдера, и в таком случае защита ПД – это отдельно лицензируемый вид деятельности!
Поэтому при выборе облачной ATS критически важно убедиться, что производитель ATS имеет лицензию ФСТЭК РФ на защиту персональных данных.
Experium решает данную проблему как при установке в контуре компании, так и при облачном развертывании по модели SaaS.
Для подавляющего большинства систем для управления подбором персонала практически нерешаемой является дилемма, связанная с невозможностью автоматизации двух взаимоисключающих процессов - с одной стороны рекрутерам необходимо мгновенно парсить и сохранять в базе резюме кандидатов, найденных на работных сайтах и в соц. сетях, а с другой стороны, ATS должна соблюдать требования законодательства, которое запрещает хранение персональных данных людей до получения от них согласия.
Данные цели прямо противоречат друг другу и формально задача выглядит нерешаемой.
Experium является единственной ATS на рынке России и СНГ, в которой реализовано уникальное ноу-хау, решающее описанную выше дилемму.
Данное ноу-хау позволяет при парсинге профиля кандидата автоматически создавать и прикреплять к проектам по подбору карточки кандидатов, частично заполненные только тем набором данных, совокупность которых сама компания считает для себя юридически приемлемой и не попадающей под определение персональных.
При этом все остальные данные и документы из профиля так же автоматически попадут в карточки кандидатов, но несколько позже - только после получения от кандидатов согласия на обработку ПД.
Еще одной проблемой, не автоматизированной или лишь номинально реализованной в основной массе ATS, является отправка кандидатам запросов на получение от них согласия на обработку ПД.
Сложность заключается не только в необходимости автоматической фоновой отправки запроса на получение согласия прямо в процессе парсинга резюме, но также в необходимости автоматизировать весь цикл последующей коммуникации с кандидатом, включая все ветки и логики действий, следующих за запросом.
Это означает, что запрос должен отправляться кандидату не просто как вопрос в почте, а в формате электронного письма со ссылкой, которая ведет на специально созданную страницу, где кандидат может заполнить форму с определенными, нужными компании дизайном и полями, где размещены пользовательское соглашение и политика компании в части обработки ПД.
Далее – необходимо автоматизировать процесс получения в ATS ответа кандидата, после того как он заполнит эту форму и даст или не даст свое согласие на обработку ПД, нажав на соответствующие кнопки под формой.
Отдельно необходимо предусмотреть автоматизацию случаев, когда кандидат по какой-либо причине не прошел по ссылке в письме и не ответил на запрос согласия, например, автоматически отправлять ему новый запрос через заданный настройкой промежуток времени.
Важно понимать, что получение согласия, отказа или неполучение ответа создает цепочки дальнейших действий, которые должны осуществляться в фоновом режиме автоматически без участия специалиста по поиску и подбору персонала и вести именно к тому результату, который требуется компании. С учетом разницы бизнес-процессов в разных компаниях и различий в оценке требований законодательства юристами разных компаний, реализовать единую схему невозможно и требуется автоматизировать целый каскад настроек, позволяющих любой компании задать и получить именно ту схему обработки ПД, которая ей требуется.
Более того, необходимо осознавать, что получение согласия на обработку ПД – это лишь один из процессов, так сказать, вершина айсберга, но не менее важной задачей является автоматизация целого каскада операций по последующему хранению и обработке этих ПД в системе.
Реализовать все эти операции возможно только при наличии широкого спектра настроек по работе с персональными данными. Например:
- настроить, какой объем данных хранится в ATS в карточке кандидата до получения от него согласия;
- задать, нужно или нет удалять сохраненные данные в случае получения отказа или при отсутствии ответа;
- указать сроки действия ссылки;
- указать, какие действия должна производить система при получении от кандидата отрицательного ответа или при отсутствии ответа;
- задать возможность автоматической повторной отправки запросов в случае получения отказа или при отсутствии ответа;
- настроить количество повторных отправок и диапазон дней между этими отправками;
- указать, какие типы согласий требуется получить от кандидата (например, на обработку ПД, на рассылку, на трансграничную передачу и т.п.);
- задать длительность действия полученных согласий и отслеживать эти сроки в ATS;
- присвоить кандидату в программе для подбора персонала соответствующий статус и блокировать отправку повторных запросов кандидатам, которые уже дали согласие или ответили отказом;
- задать предельное количество отказов, по достижении которого кандидату больше не будут отправляться запросы;
- указать, какие действия и когда должна осуществить система при наступлении срока истечения полученного согласия;
- указать, что делать с данными кандидата при истечении согласия и отсутствии ответа на запрос о продлении.
Анастасия Чекан, Руководитель службы заботы о клиентах Experium, группа компаний ANCOR
Владимир Рора, Заместитель генерального директора Experium, группа компаний ANCOR
Подробнее...