16.03.2020

Политика обработки персональных данных

Вопрос:

На сайте нашей компании у соискателей есть возможность кликнуть на кнопку "Отправить резюме" и автоматически попасть в свою личную почту, где в адресной строке уже будет указан электронный адрес компании для отправки письма с резюме. Подчеркиваю, именно в формате электронного письма, других опций нет, мы не просим оставить свои контакты и т.д., соискатель сам решает, что писать и писать ли. В таком случае Политика обработки персональных данных необходима?

Ответ:

Издание документа, определяющего политику в отношении обработки персональных данных, и опубликование такого документа обязательно для всех операторов, независимо от способа сбора персональных данных.         

Полагаем, что размещение такого документа на интернет-сайте компании является оптимальным способом исполнения обязанности оператора, предусмотренной п. 2 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 31.12.2017) "О персональных данных", опубликовать или иным образом обеспечить неограниченный доступ к данному документу.

Поскольку компания, получая на свой электронный адрес резюме соискателей, отправленное с использованием сайта компании, фактически осуществляет сбор персональных данных, а значит, признается оператором персональных данных, компании для соблюдения требований вышеуказанного закона следует разместить на своем интернет-сайте политику в отношении обработки персональных данных.

Обоснование:

Основные вопросы, связанные с обработкой и защитой персональных данных, урегулированы Федеральным законом от 27.07.2006 N 152-ФЗ (ред. от 31.12.2017) "О персональных данных" (далее – Закон).

Согласно п. 1 ст. 3 Закона под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Таким образом, четкий перечень информации, которая является персональными данными, законодательством не определен.

При этом персональными данными будет являться любая информация, которая относится к конкретному физическому лицу и позволяет его идентифицировать.

Оценивая общепринятое содержание резюме, можно с уверенностью сказать, что в резюме содержится достаточно информации, относящейся к конкретному физическому лицу, чтобы признать такую информацию персональными данными.

Таким образом, получая на свой электронный адрес резюме соискателя, компания получает его персональные данные.

Оператором персональных данных признается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (п. 2 ст. 3 Закона).

Под обработкой персональных данных согласно п. 3 ст. 3 Закона понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Исходя из вышеизложенного, получение на электронную почту компании резюме соискателей является достаточным основанием для признания компании оператором персональных данных.

В силу п. 1 ст. 18.1 Закона оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом и принятыми в соответствии с ним нормативными правовыми актами.

К таким мерам относится издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений

П. 2 ст. 18.1 Закона установлена обязанность оператора опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.

Таким образом, любой оператор, вне зависимости от того, каким способом он осуществляет сбор персональных данных, обязан издать документ, определяющий его политику в отношении обработки персональных данных, и обеспечить возможность доступа всех заинтересованных лиц к такому документу.

Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

В рассматриваемом случае интернет-сайт компании предусматривает механизм, при помощи которого в почте соискателя автоматически формируется письмо с указанным в адресной строке получателя электронным адресом компании.

Законодательство не разъясняет, в каком случае следует считать, что сбор персональных данных осуществляется с использованием информационно-телекоммуникационных сетей. Необходимо ли для этого размещение информации о себе пользователем путем регистрации на интернет-сайте (создания личного кабинета), либо достаточно того, что интернет-сайт каким-либо образом (даже косвенным) задействован при сборе персональных данных.

Мы полагаем, что ситуация, когда соискатель получает необходимую информацию о компании с использованием ее интернет-сайта, а затем отправляет резюме (содержащее персональные данные) с использованием предусмотренного на сайте механизма (ссылки на почтовый ящик), может быть квалифицирована как сбор персональных данных с использованием информационно-телекоммуникационных сетей.

Поэтому считаем, что компании для соблюдения требований Закона следует разместить на своем интернет-сайте политику в отношении обработки персональных данных.

Еще раз отмечаем, что издание документа, определяющего политику в отношении обработки персональных данных, обязательно для всех операторов, независимо от способа сбора персональных данных. Полагаем, что размещение такого документа на интернет-сайте является оптимальным способом исполнения обязанности оператора, предусмотренной п. 2 ст. 18.1 Закона, опубликовать или иным образом обеспечить неограниченный доступ к данному документу.