2. Experium
Создана в 2009 году
Входит в группу компаний ICM Group (кадровый холдинг
АНКОР, Case, Big Fish)
Офисы в Москве, Санкт-Петербурге
Производитель программного продукта Experium
для HR-рынка
4 апреля 2011 года вышла версия Experium «HR менеджер»
6 июня 2011 года вышла версия Experium «Кадровое
агентство»
Более 4000 скачанных копий программы
География распространения: 206 городов России и СНГ
3. Федеральный закон «О Персональных данных»
Конвенция Совета Европы «О защите физических лиц при
автоматизированной обработке персональных данных»
• Была принята советом Европы 28 января 1981
• Подписана от имени Российской Федерации в городе Страсбурге 7 ноября 2001 года
• Ратифицирована Федеральным законом № 160 от 19 декабря 2005 года
Федеральный закон № 152 «О персональных данных» от 27.06.2006
года
Федеральный закон № 261 «О внесении изменений в федеральный
закон о персональных данных» от 25.07.2011
4. Федеральный закон «О Персональных данных»
• Федеральным законом регулируются отношения,
связанные с обработкой персональных данных
• Целью Федерального закона является обеспечение
защиты прав и свобод человека и гражданина при
обработке его персональных данных, в том числе
защиты прав на неприкосновенность частной жизни,
личную и семейную тайну
5. Основные нормативно правовые акты
Федеральные ФЗ №160 от 2005г. ФЗ № 152 от
законы «О ратификации 27.07.2006 «О
конвенции Совета персональных
Европы ..» данных»
Постановления
№781 от
Правительства 17.11.2007
№ 687 от №512 от
15.09.2008 6.07.2008
РФ
Методические
Роскомнадзор ФСТЭК ФСБ
Документы
Регулирующих Уполномоченный орган по Уполномоченный орган власти Уполномоченный орган в
органов защите прав субъекта
персональных данных
в области технической защиты
информации, противодействие
области обеспечения
криптографической и
техническим разведкам инженерно-технической
• Государственный надзор и контроль за защиты информации
обработкой ПД
• Ведение реестра операторов
• Проведение мер профилактического и
пресекательного характера Контроль и надзор за выполнением организационных
и технических мер
6. Ведомственные документы
Совместный приказ № 558620 от 13.02.2008 об утверждении порядка
проведения классификации информационных систем персональных
данных
Роскомнадзор
Административный регламент проведения проверок в области персональных данных
Форма «Уведомления об обработке персональных данных»
ФСТЭК
Приказ ФСТЭК РФ № 58
«Базовая модель угроз безопасности персональных данных»
«Методика Определения актуальных угроз персональных данных»
ФСБ
Методические рекомендации по обеспечению с помощью криптосредств безопасности
персональных данных.
Типовые требования по организации и обеспечению функционирования
шифровальных средств
7. Классификация ИСПДн
Категория данных Кол-во Менее 1000 1000 – 100000 Более 100000
персональных данных в системе субъектов субъектов субъектов
Категория 4 Обезличенные и или
общедоступные ПД К4 К4 К4
Категория 3 ПД, позволяющие
идентифицировать К3 К3 К2
субъекта
Категория 2 Категория 3 +
дополнительные данные К3 К2 К1
Категория 1 Сведения о здоровье,
политических, религиозных К1 К1 К1
взглядах
8. Основные изменения, отражающиеся
на процессе подбора персонала
1. Письменное согласие необходимо для обработки:
• биометрических ПДн
• специальных категорий персональных данных (касающихся
расовой, национальной принадлежности, политических взглядов,
религиозных или философских убеждений, состояния здоровья)
2. Согласие на обработку дается в любой форме, позволяющей подтвердить факт
его получения
3. Обработчик ПДн не должен иметь согласия на обработку, его должен иметь
оператор. Обработчик производит обработку ПДн на основании поручения
оператора.
4. Обязанность предоставлять согласия возложена на оператора ПДн
9. Кадровое агентство
Согласие на обработку ПДн:
(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
п.1 ст.9 152-ФЗ:
Субъект персональных данных принимает решение о предоставлении его персональных
данных и дает согласие на их обработку свободно, своей волей и в своем интересе.
Согласие на обработку персональных данных должно быть конкретным,
информированным и сознательным. Согласие на обработку персональных данных может
быть дано субъектом персональных данных или его представителем в любой
позволяющей подтвердить факт его получения форме, если иное не установлено
федеральным законом.
п.3 ст.9 152-ФЗ:
Обязанность предоставить доказательство получения согласия субъекта персональных
данных на обработку его персональных данных или доказательство наличия оснований,
указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11
настоящего Федерального закона, возлагается на оператора.
п.5 ст 6.Обработка персональных данных необходима для исполнения договора, стороной
которого либо выгодоприобретателем или поручителем по которому является субъект
персональных данных, а также для заключения договора по инициативе субъекта
персональных данных или договора, по которому субъект персональных данных будет
являться выгодоприобретателем или поручителем;
10. Кадровое агентство
Общедоступные источники персональных данных
Общедоступные источники персональных данных
Статья 8. 152-ФЗ
1. В целях информационного обеспечения могут создаваться
общедоступные источники персональных данных (в том числе
справочники, адресные книги). В общедоступные источники
персональных данных с письменного согласия субъекта
персональных данных могут включаться его фамилия, имя, отчество,
год и место рождения, адрес, абонентский номер, сведения о
профессии и иные персональные данные, сообщаемые субъектом
персональных данных.
(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
11. Кадровое агентство
Техническая часть (по не общедоступным ПДн):
• провести аттестацию ИСПДн
• получить лицензию ФСТЭК на техническую защиту конфиденциальной
информации
• при необходимости криптографической защиты — получить лицензии ФСБ на
работу со средствами криптографической защиты информации (СЗКИ)
• при необходимости активной защиты каналов утечки за счет
электромагнитных излучений — получить в Роскомнадзоре разрешение на
использование радиочастот и зарегистрировать там же источники
радиоизлучений.
12. Работодатель
Согласие на обработку ПДн:
Работающий персонал:
Согласие не обязательно т.к. обработка ПДн ведется по
договору (трудовой договор) и в целях, определенных
законодательством РФ
Уволенный персонал:
ПДн получены по договору, а дальнейшая обработка ведется
согласно законодательству РФ.
13. Работодатель
Кандидаты на вакансии:
• Если данные не являются общедоступными, до получения согласия потенциального
сотрудника, (заполнения анкеты и др. формы согласия на обработку ПДн) потенциальный
работодатель не имеет правоприменимого согласия на обработку ПДн потенциального
работника.
• Общедоступные резюме (необходимо представление доказательств их
общедоступности)
• Согласие, или резюме с согласием, полученное по электронной почте
(не позволяет получателю однозначно определить, что его отправил именно данный субъект)
• Рекомендации
п.3 ст.10 152 — ФЗ:
3. Обработка персональных данных о судимости может осуществляться государственными
органами или муниципальными органами в пределах полномочий, предоставленных им в
соответствии с законодательством Российской Федерации, а также иными лицами в случаях и
в порядке, которые определяются в соответствии с федеральными законами
14. Как защищать персональные данные в
интернете?
Интернет-рекрутинг
Персональные данные в электронной почте
Персональные данные в электронной коммерции
Персональные данные на корпоративных сайтах компаний
Персональные данные в социальных сетях
Персонифицированные государственные услуги
15. ИСПДн. Нужна ли сертификация?
Программное обеспечение для обработки персональных
данных
• ПО для подбора персонала
• Бухгалтерские программы
• Программы кадрового учета
• ERP-системы, обрабатывающие персональные данные и т.д.
Средства защиты информации
• Криптографическая защита ПДн
Защита при передачи по каналам связи, использование ЭЦП и пр.
• Защита персональных данных от несанкционированного доступа
управление доступом, регистрация и учет, обеспечение целостности, межсетевое
экранирование, антивирусная защита и пр.
• Защита от утечки по техническим каналам
16. Программное обеспечение для автоматизации
подбора персонала
Тиражный программный продукт,
созданный на основе
информационной системы
крупнейшей международной
рекрутинговой компании
Программный комплекс Experium
выпускается двух типов:
HR-менеджер и Кадровое Агентство
Программа, способная хранить и
обрабатывать миллионы документов
за считанные секунды
Полный цикл подбора: от
претендента до трудоустроенного
Уникальная система поиска
информации по 40 критериям
Электронная система согласования
вакансий
Полнофункциональная интеграция с
большинством популярных работных
сайтов
17. Обязанности оператора
Обеспечение Обоснование законности Уведомление до начала
конфиденциальности обработки ПДН обработки персональных
персональных данных данных
Обработка персональных данных Обработка персональных данных
Неправомерная
Неточные ПД Достижение цели Отзыв согласия
Обработка ПД
обработки субъекта
Блокирование ПД Прекратить обработку и уничтожить ПД в течении
30 раб. дней
Отсутствие
Подтверждение
возможности
уничтожения
Уточнение в Прекратить в Блокирование ПДН и их уничтожение в
течении 7 течении 3х рабочих срок не более 6 месяцев
рабочих дней дней . В противном
случае уничтожить в
течении 10 раб дней
19. Спасибо за внимание!
ВОПРОСЫ?
Елена Лукоянова,
Руководитель представительства,
г. Санкт-Петербург
тел.: +7 (981) 747-36-49
эл. адрес: lukoyanova@experium.ru
сайт: www.experium.ru