Фев. 18

Что сотруднику спрашивать у компании про персональные данные

Уже десять лет я отвечаю за административные и юридические аспекты работы DataArt в Великобритании. Помимо этого, вместе с комплаенс-командой курирую контракты с нашими сотрудниками в других странах, отвечаю за защиту интеллектуальной собственности и правовую безопасность на уровне всего DataArt вне зависимости от локаций.

Сохранность личной информации стала источником беспокойства для большинства пользователей интернета. Для профессионалов, погруженных в IT, вопрос выглядит еще острее. Любой, кто следит за новостями отрасли, успел запомнить, что данные — это «новая валюта». Правительства последовательно ужесточают законы в отношении их хранения и обработки, сами люди становятся более внимательными к тому, какой информацией и с кем они делятся. Мы в DataArt уверены, то культура обращения с персональными данными важна как для работы в проектах, так и для собственного спокойствия. В этом году мы даже решили провести протяженный внутренний ивент DataArt Privacy Weeks, для которого я изначально и написала эту статью.

Но мне все же показалась, что опыт DataArt в обращении с персональной информацией может быть интересен не только внутри компании. У нас работает 3800 человек из десятка стран, и мы собрали вопросы о защите данных сотрудников, которые время от времени получаем от коллег. Думаю, ответы на них полезны как тем, кто имеет доступ к личной информации других людей, так и всем, кто работает в международных компаниях.

Иллюстрация Алины Самолюк

Что такое «персональные данные»?

Персональные данные — любая информация, которая позволяет идентифицировать конкретного человека. Самые простые примеры — имя и фамилия, дата и место рождения, номер телефона, домашний или электронный адрес. К персональным данным относится вся информация о семейном положении, доходах, образовании и профессии, описание профессиональных навыков и оценка работы сотрудника.

В отдельную категорию выделяют «деликатные данные» (sensitive data), к которым относится вся биометрическая информация, а также все данные о здоровье, включая наличие инвалидности, о сексуальных предпочтениях, религиозной принадлежности, политических взглядах и отношениях с законом. Их хранение и обработка требуют особого подхода и часто регулируется отдельными правилами. В Украине они пока не установлены законом, но принять их должны, возможно, уже в 2021 году. Дело в том, что это часть обязательств по соглашению об ассоциации с Европейским Союзом. (Правда, мы предпочитаем не дожидаться решения законодателей и уже сейчас действуем по законам ЕС.)

То есть спектр персональных данных действительно широк, а вопрос внимательного отношения к ним давно перешел из этической в юридическую плоскость. Кажется, в теории всем понятно, как важно беречь личную информацию. Но какую именно и почему, для чего компании запрашивают те или иные данные, зачем юристы постоянно напоминают об осторожности и запрещают многие манипуляции с резюме кандидатов или учетными записями коллег — часто покрыто туманом.

Без каких данных обо мне компании не обойтись?

Обмен персональными данными — обязательное условие заключения контракта. Без этого, как и без фиксации условий труда и его оплаты, вступать в трудовые отношения не разрешает закон. Работодатель по закону обязан знать, кого принимает в штат: имя и адрес человека, номер счета для начисления ему денег и так далее. Сотрудник, в свою очередь, должен быть проинформирован о том, как называется, где находится и чем занимается компания, с которой подписывает договор. Этот обмен идентификаторами продиктован не прихотью, этого требуют трудовые кодексы любой страны. Да и здравый смысл, пожалуй, тоже подсказывает, что подтвердить личность при приеме на работу вполне логично.

Почему это вообще стоит разъяснять? Потому что с вопросами о том, зачем компании нужен домашний адрес сотрудника, нам уже приходилось сталкиваться. Недавно мы не смогли сделать офер кандидату, который не захотел прислать свои имя и фамилию в том виде, как они записаны в его паспорте. Он счел эту информацию излишней, а наш интерес к ней подозрительным. Вероятно, такие формы может принимать тревожность, вызванная историями об утечках персональных данных из самых разных баз. В принципе мы эту проблему хорошо понимаем, а осторожное отношение к информации только приветствуем. Но там, где сбора данных требует закон, мы в любом случае бессильны что-то изменить.

Трудовое законодательство обязывает компании не только собирать персональные данные для проверки личности, а иногда компетенций коллег, но и хранить их на протяжении всего сотрудничества. В некоторых странах, например в Великобритании, они должны оставаться у нас в течение трех лет после завершения рабочих отношений. Более того, если у сотрудника, пока он работает в компании, закончился срок действия паспорта, а данные нового документа он нам не предоставил, это уже считается нарушением закона.

Кстати, если человек заключает контракт с компанией как частный предприниматель, список документов, обязательных для хранения, только расширяется.

Не слишком ли много компания хочет знать о моем прошлом?

Бэкграунд-чек — процесс сбора персональных данных будущего сотрудника перед началом работы. Частично этого требует трудовое законодательство, частично — соображения безопасности. Прежде всего необходимо убедиться, что человек, пришедший в офис, назвался настоящим именем. В инженерной терминологии паспорт нужен для процедуры аутентификации. Скажем, диплом в таком случае необходим уже для авторизации: трудовое законодательство может требовать официального подтверждения компетенций сотрудника, претендующего на определенные позиции. Также сведения об образовании могут быть необходимы при оформлении документов для релокации, например, в США. Базовый набор данных о знаниях и навыках нового коллеги нужен для создания профайла, который необходим непосредственно для работы.

Дополнительный бэкграунд-чек может производиться по запросу клиента — этого иногда требует внутренний регламент безопасности на стороне заказчика. Кстати, часто это бывает связано с доступом к персональным данным конечных пользователей системы, над которой предстоит работать в проекте. Такая проверка касается, скажем, судимостей или факта постановки на учет в наркологический диспансер. Для самого DataArt эта информация излишняя, мы ее не собираем и не храним. Если подобный запрос на деликатные данные поступает, мы передаем его сотруднику, который в праве собрать нужные справки или отказаться от проекта. В последнем случае мы подберем ему другой, где предоставлять дополнительные документы не нужно.

Мы с удовольствием принимаем людей по рекомендации действующих и бывших коллег, в отдельных случаях можем связаться с теми, с кем кандидат сотрудничал раньше. Однако сбор отзывов с прежних мест работы проходит только с согласия человека, которого они непосредственно касаются. Самостоятельные расследования такого рода: а) не вполне законны (точнее, прежний работодатель по закону должен отказать нам в предоставлении информации о человеке без его согласия); б) попросту нерациональны.

Какими законами руководствуется DataArt при сборе и хранении персональных данных сотрудников?

Представительства DataArt работают в 11 странах, в каждой из которых действуют собственные правила. Однако мы пошли по наиболее простому пути, унифицировав процесс. В качестве руководства к действию выбрали знаменитый GDPR (General Data Protection Regulation), принятый на территории ЕС и Великобритании. Правила в нем наиболее строгие и четкие, для ряда стран они пока выглядят избыточными, зато наверняка покрывают все требования к компаниям в области работы с персональными данными в любой точке мира.

Кстати, украинские и, например, аргентинские законы близки к GDPR и во многом пересекаются с ним. В США специального федерального закона пока нет, но в целом правила, регулирующие обращение с ПД, во всем мире ужесточаются. Нам проще не дожидаться их тотальной унификации, а действовать по единому протоколу уже сейчас.

Кто имеет доступ к моим персональным данным?

Небольшой базовый набор сведений о коллегах доступен всем сотрудникам DataArt во внутренней системе компании. Это имя и фамилия, фото и контакты, срок работы в компании, позиция и квалификация. По умолчанию мы не показываем даже год рождения, а о том, открывать ли его день и месяц, всегда спрашиваем напрямую. Если человек не хочет, чтобы его поздравляли с днем рождения, информации о нем в открытом доступе не будет, хотя в бухгалтерии и у HR она, конечно, останется, как того требует закон.

Все прочие данные, включая номера паспортов и счетов, доступны только строго ограниченному количеству коллег:

HR-специалисты имеют доступ к номерам паспортов, военным билетам, трудовым книжкам, записям о прежних местах работы и проектах коллег внутри DataArt.
Бухгалтерия — к номерам счетов, банковским реквизитам и прочей информации, которая касается выплат.
Тревел-менеджеры имеют доступ к паспортным данным коллег, для которых оформляют документы, нужные для командировок.

Коллеги, которые часто ездят в командировки, иногда просят тревел-менеджеров хранить их полные анкеты для получения визы. Теоретически это позволяет вбить те же данные в новую анкету без участия самого человека. Желание понятное: все, кто получал, например, британскую визу, наверняка помнят эту пачку страниц, где нужно и имена всех ближайших родственников указать, и всю недвижимость перечислить. Но для нас эта информация считается избыточной, она не требуется для работы, значит, менеджеры просто не имеют права ее хранить без письменного разрешения того, к кому она относится.

Если сам коллега настаивает, чтобы тревел-менеджер сохранил возможность заполнить анкету на визу, оформить страховку или при необходимости отправить документы в отель, мы допускаем сохранение расширенного набора данных. Но просим на это письменное согласие.

Кстати, клиенты относятся к любым персональным данным коллег очень осторожно. Мы регулярно получаем запрос на разрешение сохранения самой базовой информации, например, о разработчиках из Украины от менеджеров заказчика, скажем, из Великобритании. Иногда клиентам нужно чуть больше ПД наших сотрудников: обычно как раз в ситуациях, когда они хотят индивидуально прописать правила доступа к информации о собственных клиентах и заключить отдельный договор с конкретным человеком. В любом случае данные наших коллег могут быть переданы третьим лицам только с их согласия.

Законы о персональных данных разрешают обмен ими между представительствами компании в разных странах, регулирует его специальное соглашение — Intra-Group Data Processing Agreement. Это позволяет открывать доступ к информации о коллеге на основании функционального, а не географического принципа. При этом внутренний контракт между компаниями группы DataArt в разных странах гарантирует, что сотрудники в любой из наших локаций знают, как хранить и обрабатывать персональные данные сотрудников, относятся к ним внимательно и осторожно.

Для нас важно, что можно представить команде в Украине нового сотрудника из Лондона, не нарушая правил, установленных GDPR.

Где физически хранятся персональные данные и как они защищены?

Все данные хранятся во внутренних системах DataArt. Например, в Великобритании мы обязаны хранить копии паспортов, трудовые договоры и документы обо всех денежных выплатах. В офис в любой момент могут без предупреждения прийти представители иммиграционного или трудового контроля, запросить распечатки документов по любым из наших сотрудников и проверить, где хранятся их персональные данные.

Вся информация — на защищенном сервере с ограниченным доступом, физически закрытом на кодовый замок. Доступ к персональным данным можно получить у системных администраторов, которые выдают (или не выдают) его в соответствии с регламентом безопасности — он действует одинаково для всех сотрудников, независимо от должности.

Причина большинства информационных утечек не в уязвимости компьютерных систем, а в человеческих ошибках. Поэтому мы не только ограничиваем доступ к персональным данным, но и постоянно обучаем коллег, которые его имеют. У нас есть обязательные курсы для всех, регулярные тренинги и воркшопы для тех, кто по характеру работы чаще соприкасается с личной информацией сотрудников. Мы верим в то, что ключевой момент в обращении с персональными данными — осознанность, и стремимся прививать внутри DataArt соответствующую культуру.

Надо сказать, что к такому подходу коллеги относятся с гораздо большим пониманием, чем раньше. Все-таки об утечках и технологиях социального инжиниринга, которые используют мошенники, сейчас говорят довольно много. Но думаем, что в более внимательном отношении к сохранности ПД есть и наша заслуга — мы призываем в случае любых сомнений обращаться к специалистам по безопасности и комплаенсу и всегда готовы ответить на вопросы. Они никогда не бывают лишними.

Можете ли вы хранить информацию о соискателях?

Все данные кандидатов DataArt получает из открытых источников, например, с сайтов поиска работы. При внесении информации во внутренние системы мы обязательно предупреждаем человека, направляя ему стандартное оповещение (privacy notice). Согласие на обработку персональных данных дает и каждый соискатель, приславший нам резюме. Любой из тех, кто разрешил внести свои данные в нашу базу, но не получил офера или не принял его, может попросить нас эти данные из внутренних систем удалить. Такую просьбу/требование мы обязаны удовлетворить в течение 30 дней. Правда, в этом случае мы предупреждаем, что через какое-то время к этому кандидату могут снова обратиться наши рекрутеры, ведь у них не будет возможности узнать, что мы по какой-то причине не сошлись ранее.

Это лишний повод напомнить всем, кто заботиться о сохранности персональных данных, что информация, например о компетенциях, указанная в LinkedIn, остается открытой для всех. То есть на время исключить кого-то из поля зрения можно, если сохранить информацию о нем во внутренней базе данных.

Переговоры с перспективным кандидатом не всегда заканчиваются подписанием контракта: человеку может не хватить знания конкретной технологии или, напротив, его может недостаточно заинтересовать конкретный проект. В любом случае, если мы думаем вернуться с новым предложением в ближайшей перспективе, то предлагаем сохранить данные о нем, включая результаты интервью и тестовых заданий, в нашей системе. Если кандидат не возражает, мы храним их в течение трех лет.

Какая информация останется у вас, если я уволюсь?

Когда сотрудник уходит из компании, мы сразу удаляем личную информацию о нем: его собственный about во внутренней системе, заполненные пункты об увлечениях, любые данные о членах его семьи. Последние могут у нас оказаться, если тревел-менеджеры, по просьбе самого коллеги, помогают им с оформлением визы.

Имя и фамилию, даты начала и окончания работы, личный имейл и информацию о проектах мы сохраняем в течение трех лет. То же самое касается результатов практикантов, отзывов проджект-менеджеров и менторов. GDPR и другие правовые акты позволяют компаниям хранить личные данные бывших сотрудников «так долго, как это может потребоваться», и срок в три года установлен внутренней политикой DataArt. Дело в том, что за это время большая часть информации обычно становится неактуальной — любой из наших коллег, стажеров или кандидатов успевает заметно повысить профессиональный уровень. В этом случае проще начинать повторное знакомство с чистого листа.

Навсегда в системе остается только имя, фамилия, должность, даты приема в компанию и ухода из нее. Эта информация бывает нужна самим бывшим сотрудникам. Например, недавно коллега, который работал в DataArt больше десяти лет назад, обратился к нам, чтобы подтвердить стаж работы программистом для иммиграции в Канаду.

Мы также обязаны в течение нескольких лет сохранять всю информацию о выплатах любому из тех, кто покидает компанию. Этого требует налоговое законодательство, удалять такие данные по собственному усмотрению мы не имеем права.

Кстати, если вы захотите удалить всю информацию о себе из Facebook или другой соцсети, последняя обязана уничтожить любые данные, которыми вы с ней делились. Однако если вы покупали там рекламу или другие услуги, то подробности ваших финансовых отношений будут сохранены. На срок, установленный законом.

Почему все сходят с ума с этими персональными данными?

Далеко не все инженеры, работающие с огромными объемами данных об инвестиционных счетах или медицинских диагнозах пользователей, отдают себе отчет, насколько последние зависят от их решений. Иногда необходимость дополнительной авторизации раздражает, но мы бы хотели, чтобы IT-сообщество в целом относилось к требованиям безопасности с пониманием.

Именно поэтому мы радуемся, когда наши коллеги проявляют осторожность и беспокоятся о сохранности собственных персональных данных. Мы хотим, чтобы все процессы нашей работы с личной информацией были максимально прозрачными и любой из сотрудников DataArt знал, где, как и с какой целью хранится номер его паспорта или личного счета. Надеемся, что усилия компаний мотивируют самих инженеров относиться к ПД более внимательно: не публиковать номеров телефонов и имейлов в соцсетях, не забывать паспортов в офисных сканерах и читать пользовательские соглашения, подключаясь к незнакомым сетям. В конце концов, взлом любого из нас создаёт угрозу внутренним базам, системам клиентов и репутации всей индустрии.