Что сотруднику спрашивать у компании про персональные данные

Уже десять лет я отвечаю за административные и юридические аспекты работы DataArt в Великобритании. Помимо этого, вместе с комплаенс-командой курирую контракты с нашими сотрудниками в других странах, отвечаю за защиту интеллектуальной собственности и правовую безопасность на уровне всего DataArt вне зависимости от локаций.

Сохранность личной информации стала источником беспокойства для большинства пользователей интернета. Для профессионалов, погруженных в IT, вопрос выглядит еще острее. Любой, кто следит за новостями отрасли, успел запомнить, что данные — это «новая валюта». Правительства последовательно ужесточают законы в отношении их хранения и обработки, сами люди становятся более внимательными к тому, какой информацией и с кем они делятся. Мы в DataArt уверены, то культура обращения с персональными данными важна как для работы в проектах, так и для собственного спокойствия. В этом году мы даже решили провести протяженный внутренний ивент DataArt Privacy Weeks, для которого я изначально и написала эту статью.

Но мне все же показалась, что опыт DataArt в обращении с персональной информацией может быть интересен не только внутри компании. У нас работает 3800 человек из десятка стран, и мы собрали вопросы о защите данных сотрудников, которые время от времени получаем от коллег. Думаю, ответы на них полезны как тем, кто имеет доступ к личной информации других людей, так и всем, кто работает в международных компаниях.

Иллюстрация Алины Самолюк

Что такое «персональные данные»?

Персональные данные — любая информация, которая позволяет идентифицировать конкретного человека. Самые простые примеры — имя и фамилия, дата и место рождения, номер телефона, домашний или электронный адрес. К персональным данным относится вся информация о семейном положении, доходах, образовании и профессии, описание профессиональных навыков и оценка работы сотрудника.

В отдельную категорию выделяют «деликатные данные» (sensitive data), к которым относится вся биометрическая информация, а также все данные о здоровье, включая наличие инвалидности, о сексуальных предпочтениях, религиозной принадлежности, политических взглядах и отношениях с законом. Их хранение и обработка требуют особого подхода и часто регулируется отдельными правилами. В Украине они пока не установлены законом, но принять их должны, возможно, уже в 2021 году. Дело в том, что это часть обязательств по соглашению об ассоциации с Европейским Союзом. (Правда, мы предпочитаем не дожидаться решения законодателей и уже сейчас действуем по законам ЕС.)

То есть спектр персональных данных действительно широк, а вопрос внимательного отношения к ним давно перешел из этической в юридическую плоскость. Кажется, в теории всем понятно, как важно беречь личную информацию. Но какую именно и почему, для чего компании запрашивают те или иные данные, зачем юристы постоянно напоминают об осторожности и запрещают многие манипуляции с резюме кандидатов или учетными записями коллег — часто покрыто туманом.

Без каких данных обо мне компании не обойтись?

Обмен персональными данными — обязательное условие заключения контракта. Без этого, как и без фиксации условий труда и его оплаты, вступать в трудовые отношения не разрешает закон. Работодатель по закону обязан знать, кого принимает в штат: имя и адрес человека, номер счета для начисления ему денег и так далее. Сотрудник, в свою очередь, должен быть проинформирован о том, как называется, где находится и чем занимается компания, с которой подписывает договор. Этот обмен идентификаторами продиктован не прихотью, этого требуют трудовые кодексы любой страны. Да и здравый смысл, пожалуй, тоже подсказывает, что подтвердить личность при приеме на работу вполне логично.

Почему это вообще стоит разъяснять? Потому что с вопросами о том, зачем компании нужен домашний адрес сотрудника, нам уже приходилось сталкиваться. Недавно мы не смогли сделать офер кандидату, который не захотел прислать свои имя и фамилию в том виде, как они записаны в его паспорте. Он счел эту информацию излишней, а наш интерес к ней подозрительным. Вероятно, такие формы может принимать тревожность, вызванная историями об утечках персональных данных из самых разных баз. В принципе мы эту проблему хорошо понимаем, а осторожное отношение к информации только приветствуем. Но там, где сбора данных требует закон, мы в любом случае бессильны что-то изменить.

Трудовое законодательство обязывает компании не только собирать персональные данные для проверки личности, а иногда компетенций коллег, но и хранить их на протяжении всего сотрудничества. В некоторых странах, например в Великобритании, они должны оставаться у нас в течение трех лет после завершения рабочих отношений. Более того, если у сотрудника, пока он работает в компании, закончился срок действия паспорта, а данные нового документа он нам не предоставил, это уже считается нарушением закона.

Кстати, если человек заключает контракт с компанией как частный предприниматель, список документов, обязательных для хранения, только расширяется.

Не слишком ли много компания хочет знать о моем прошлом?

Бэкграунд-чек — процесс сбора персональных данных будущего сотрудника перед началом работы. Частично этого требует трудовое законодательство, частично — соображения безопасности. Прежде всего необходимо убедиться, что человек, пришедший в офис, назвался настоящим именем. В инженерной терминологии паспорт нужен для процедуры аутентификации. Скажем, диплом в таком случае необходим уже для авторизации: трудовое законодательство может требовать официального подтверждения компетенций сотрудника, претендующего на определенные позиции. Также сведения об образовании могут быть необходимы при оформлении документов для релокации, например, в США. Базовый набор данных о знаниях и навыках нового коллеги нужен для создания профайла, который необходим непосредственно для работы.

Дополнительный бэкграунд-чек может производиться по запросу клиента — этого иногда требует внутренний регламент безопасности на стороне заказчика. Кстати, часто это бывает связано с доступом к персональным данным конечных пользователей системы, над которой предстоит работать в проекте. Такая проверка касается, скажем, судимостей или факта постановки на учет в наркологический диспансер. Для самого DataArt эта информация излишняя, мы ее не собираем и не храним. Если подобный запрос на деликатные данные поступает, мы передаем его сотруднику, который в праве собрать нужные справки или отказаться от проекта. В последнем случае мы подберем ему другой, где предоставлять дополнительные документы не нужно.

Мы с удовольствием принимаем людей по рекомендации действующих и бывших коллег, в отдельных случаях можем связаться с теми, с кем кандидат сотрудничал раньше. Однако сбор отзывов с прежних мест работы проходит только с согласия человека, которого они непосредственно касаются. Самостоятельные расследования такого рода: а) не вполне законны (точнее, прежний работодатель по закону должен отказать нам в предоставлении информации о человеке без его согласия); б) попросту нерациональны.

Какими законами руководствуется DataArt при сборе и хранении персональных данных сотрудников?

Представительства DataArt работают в 11 странах, в каждой из которых действуют собственные правила. Однако мы пошли по наиболее простому пути, унифицировав процесс. В качестве руководства к действию выбрали знаменитый GDPR (General Data Protection Regulation), принятый на территории ЕС и Великобритании. Правила в нем наиболее строгие и четкие, для ряда стран они пока выглядят избыточными, зато наверняка покрывают все требования к компаниям в области работы с персональными данными в любой точке мира.

Кстати, украинские и, например, аргентинские законы близки к GDPR и во многом пересекаются с ним. В США специального федерального закона пока нет, но в целом правила, регулирующие обращение с ПД, во всем мире ужесточаются. Нам проще не дожидаться их тотальной унификации, а действовать по единому протоколу уже сейчас.

Кто имеет доступ к моим персональным данным?

Небольшой базовый набор сведений о коллегах доступен всем сотрудникам DataArt во внутренней системе компании. Это имя и фамилия, фото и контакты, срок работы в компании, позиция и квалификация. По умолчанию мы не показываем даже год рождения, а о том, открывать ли его день и месяц, всегда спрашиваем напрямую. Если человек не хочет, чтобы его поздравляли с днем рождения, информации о нем в открытом доступе не будет, хотя в бухгалтерии и у HR она, конечно, останется, как того требует закон.

Все прочие данные, включая номера паспортов и счетов, доступны только строго ограниченному количеству коллег:

  • HR-специалисты имеют доступ к номерам паспортов, военным билетам, трудовым книжкам, записям о прежних местах работы и проектах коллег внутри DataArt.
  • Бухгалтерия — к номерам счетов, банковским реквизитам и прочей информации, которая касается выплат.
  • Тревел-менеджеры имеют доступ к паспортным данным коллег, для которых оформляют документы, нужные для командировок.

Коллеги, которые часто ездят в командировки, иногда просят тревел-менеджеров хранить их полные анкеты для получения визы. Теоретически это позволяет вбить те же данные в новую анкету без участия самого человека. Желание понятное: все, кто получал, например, британскую визу, наверняка помнят эту пачку страниц, где нужно и имена всех ближайших родственников указать, и всю недвижимость перечислить. Но для нас эта информация считается избыточной, она не требуется для работы, значит, менеджеры просто не имеют права ее хранить без письменного разрешения того, к кому она относится.

Если сам коллега настаивает, чтобы тревел-менеджер сохранил возможность заполнить анкету на визу, оформить страховку или при необходимости отправить документы в отель, мы допускаем сохранение расширенного набора данных. Но просим на это письменное согласие.

Кстати, клиенты относятся к любым персональным данным коллег очень осторожно. Мы регулярно получаем запрос на разрешение сохранения самой базовой информации, например, о разработчиках из Украины от менеджеров заказчика, скажем, из Великобритании. Иногда клиентам нужно чуть больше ПД наших сотрудников: обычно как раз в ситуациях, когда они хотят индивидуально прописать правила доступа к информации о собственных клиентах и заключить отдельный договор с конкретным человеком. В любом случае данные наших коллег могут быть переданы третьим лицам только с их согласия.

Законы о персональных данных разрешают обмен ими между представительствами компании в разных странах, регулирует его специальное соглашение — Intra-Group Data Processing Agreement. Это позволяет открывать доступ к информации о коллеге на основании функционального, а не географического принципа. При этом внутренний контракт между компаниями группы DataArt в разных странах гарантирует, что сотрудники в любой из наших локаций знают, как хранить и обрабатывать персональные данные сотрудников, относятся к ним внимательно и осторожно.

Для нас важно, что можно представить команде в Украине нового сотрудника из Лондона, не нарушая правил, установленных GDPR.

Где физически хранятся персональные данные и как они защищены?

Все данные хранятся во внутренних системах DataArt. Например, в Великобритании мы обязаны хранить копии паспортов, трудовые договоры и документы обо всех денежных выплатах. В офис в любой момент могут без предупреждения прийти представители иммиграционного или трудового контроля, запросить распечатки документов по любым из наших сотрудников и проверить, где хранятся их персональные данные.

Вся информация — на защищенном сервере с ограниченным доступом, физически закрытом на кодовый замок. Доступ к персональным данным можно получить у системных администраторов, которые выдают (или не выдают) его в соответствии с регламентом безопасности — он действует одинаково для всех сотрудников, независимо от должности.

Причина большинства информационных утечек не в уязвимости компьютерных систем, а в человеческих ошибках. Поэтому мы не только ограничиваем доступ к персональным данным, но и постоянно обучаем коллег, которые его имеют. У нас есть обязательные курсы для всех, регулярные тренинги и воркшопы для тех, кто по характеру работы чаще соприкасается с личной информацией сотрудников. Мы верим в то, что ключевой момент в обращении с персональными данными — осознанность, и стремимся прививать внутри DataArt соответствующую культуру.

Надо сказать, что к такому подходу коллеги относятся с гораздо большим пониманием, чем раньше. Все-таки об утечках и технологиях социального инжиниринга, которые используют мошенники, сейчас говорят довольно много. Но думаем, что в более внимательном отношении к сохранности ПД есть и наша заслуга — мы призываем в случае любых сомнений обращаться к специалистам по безопасности и комплаенсу и всегда готовы ответить на вопросы. Они никогда не бывают лишними.

Можете ли вы хранить информацию о соискателях?

Все данные кандидатов DataArt получает из открытых источников, например, с сайтов поиска работы. При внесении информации во внутренние системы мы обязательно предупреждаем человека, направляя ему стандартное оповещение (privacy notice). Согласие на обработку персональных данных дает и каждый соискатель, приславший нам резюме. Любой из тех, кто разрешил внести свои данные в нашу базу, но не получил офера или не принял его, может попросить нас эти данные из внутренних систем удалить. Такую просьбу/требование мы обязаны удовлетворить в течение 30 дней. Правда, в этом случае мы предупреждаем, что через какое-то время к этому кандидату могут снова обратиться наши рекрутеры, ведь у них не будет возможности узнать, что мы по какой-то причине не сошлись ранее.

Это лишний повод напомнить всем, кто заботиться о сохранности персональных данных, что информация, например о компетенциях, указанная в LinkedIn, остается открытой для всех. То есть на время исключить кого-то из поля зрения можно, если сохранить информацию о нем во внутренней базе данных.

Переговоры с перспективным кандидатом не всегда заканчиваются подписанием контракта: человеку может не хватить знания конкретной технологии или, напротив, его может недостаточно заинтересовать конкретный проект. В любом случае, если мы думаем вернуться с новым предложением в ближайшей перспективе, то предлагаем сохранить данные о нем, включая результаты интервью и тестовых заданий, в нашей системе. Если кандидат не возражает, мы храним их в течение трех лет.

Какая информация останется у вас, если я уволюсь?

Когда сотрудник уходит из компании, мы сразу удаляем личную информацию о нем: его собственный about во внутренней системе, заполненные пункты об увлечениях, любые данные о членах его семьи. Последние могут у нас оказаться, если тревел-менеджеры, по просьбе самого коллеги, помогают им с оформлением визы.

Имя и фамилию, даты начала и окончания работы, личный имейл и информацию о проектах мы сохраняем в течение трех лет. То же самое касается результатов практикантов, отзывов проджект-менеджеров и менторов. GDPR и другие правовые акты позволяют компаниям хранить личные данные бывших сотрудников «так долго, как это может потребоваться», и срок в три года установлен внутренней политикой DataArt. Дело в том, что за это время большая часть информации обычно становится неактуальной — любой из наших коллег, стажеров или кандидатов успевает заметно повысить профессиональный уровень. В этом случае проще начинать повторное знакомство с чистого листа.

Навсегда в системе остается только имя, фамилия, должность, даты приема в компанию и ухода из нее. Эта информация бывает нужна самим бывшим сотрудникам. Например, недавно коллега, который работал в DataArt больше десяти лет назад, обратился к нам, чтобы подтвердить стаж работы программистом для иммиграции в Канаду.

Мы также обязаны в течение нескольких лет сохранять всю информацию о выплатах любому из тех, кто покидает компанию. Этого требует налоговое законодательство, удалять такие данные по собственному усмотрению мы не имеем права.

Кстати, если вы захотите удалить всю информацию о себе из Facebook или другой соцсети, последняя обязана уничтожить любые данные, которыми вы с ней делились. Однако если вы покупали там рекламу или другие услуги, то подробности ваших финансовых отношений будут сохранены. На срок, установленный законом.

Почему все сходят с ума с этими персональными данными?

Далеко не все инженеры, работающие с огромными объемами данных об инвестиционных счетах или медицинских диагнозах пользователей, отдают себе отчет, насколько последние зависят от их решений. Иногда необходимость дополнительной авторизации раздражает, но мы бы хотели, чтобы IT-сообщество в целом относилось к требованиям безопасности с пониманием.

Именно поэтому мы радуемся, когда наши коллеги проявляют осторожность и беспокоятся о сохранности собственных персональных данных. Мы хотим, чтобы все процессы нашей работы с личной информацией были максимально прозрачными и любой из сотрудников DataArt знал, где, как и с какой целью хранится номер его паспорта или личного счета. Надеемся, что усилия компаний мотивируют самих инженеров относиться к ПД более внимательно: не публиковать номеров телефонов и имейлов в соцсетях, не забывать паспортов в офисных сканерах и читать пользовательские соглашения, подключаясь к незнакомым сетям. В конце концов, взлом любого из нас создаёт угрозу внутренним базам, системам клиентов и репутации всей индустрии.

Похожие статьи:
Оператор мобильной связи Vodafone Украина огласил первую статистику пользования услугами мобильной связи. Как отмечает оператор, первый...
Віталій Кармазінський обійняв посаду керівного директора Luxoft Ukraine, замінивши на цій посаді Олександру Альхімович, яка йде...
Компания Microsoft представила аппараты Nokia 230 и Nokia 230 Dual SIM с одной и двумя SIM картами соответственно. Это обычный аппарат с...
Оператор Tele2 сообщил, что подготовил сеть дистрибуции в Москве и Московской области к запуску операций. Помимо...
На нашем YouTube канале появились новые видеоролики.Обзор колонки Harman / Kardon Esquire 2:Обзор накладок DAAV Doorkijk для MacBook...
Яндекс.Метрика