Коллеги, приветствую! В своей практике я часто сталкиваюсь с одним и тем же вопросом от служб безопасности коммерческих компаний: «На каком основании мы вообще можем проверять кандидатов и партнёров? Не нарушим ли мы закон, собирая о них информацию?». Вопрос архиважный, ведь ошибка здесь стоит дорого — и репутационно, и материально. Сегодня разберем правовой фундамент, на котором должна стоять любая ваша проверка. Речь пойдет о Федеральном законе от 27.07.2006 N 152-ФЗ «О персональных данных».
Статья 6 152-ФЗ дает нам несколько вариантов, но для службы безопасности коммерческой организации по умолчанию актуальны два главных основания:
1️⃣ Согласие субъекта — это самый прямой и бесспорный путь. Обработка персональных данных осуществляется с согласия субъекта на обработку его персональных данных. Кандидат при трудоустройстве или контрагент при заключении договора подписывает документ, в котором четко и недвусмысленно соглашается на проведение проверки. В этом согласии должна быть указана цель (например, проверка благонадежности для принятия решения о трудоустройстве) и, что очень желательно, перечень источников, которые вы планируете использовать (открытые данные в интернете, базы данных и т.д.). Подписанное согласие — это ваша «индульгенция» на законное проведение OSINT-расследования в отношении этого человека. Пока его не отзовут или пока не будут достигнуты цели обработки ПД.
2️⃣ Исполнение договора — это основание работает, когда обработка данных необходима для исполнения договора, стороной которого является субъект, или для его заключения. Когда человек подает резюме, он инициирует заключение трудового договора. Проверка его анкетных данных, профессионального бэкграунда и репутации является неотъемлемой частью процедуры заключения этого договора. То же самое касается гражданско-правовых договоров с контрагентами. Вы проверяете их, чтобы обезопасить компанию от рисков, проявить должную осмотрительность. Это основание позволяет вам начинать проверку с момента получения заявки или резюме, даже до получения отдельного письменного согласия, так как оно подразумевается самим фактом обращения к вам.
💾 Должна ли проводить проверку только штатная СБ? А вот и нет. Закон не утверждает, что обработку ПД (читай — проверку) должна проводить именно ваша штатная служба безопасности. Это ключевой момент для привлечения внешних экспертов и приобретения доступа к специализированным программным продуктам. Цитирую тот же 152-ФЗ: оператор (ваша компания) вправе поручить обработку персональных данных другому лицу. Это и есть правовая основа для аутсорсинга. Правда, здесь есть критически важные условия:
1️⃣ В том самом документе о согласии на обработку ПД должна быть строчка о том, что данные могут быть переданы третьим лицам (обработчикам) для конкретных целей.
2️⃣ Между компанией и внешним исполнителем (обработчиком) заключается договор, в котором стороны обязуются соблюдать требования 152-ФЗ. При этом, обработчик ПД не обязан получать согласия субъектов самостоятельно. Ему будет достаточно в договоре обязать делать это своего Заказчика.
3️⃣ Ответственность перед субъектом данных, в т.ч. за действия внешнего обработчика ПД, несет компания. Обработчик несет ответственность перед Заказчиком только в рамках исполнения им договорных отношений. Что, впрочем, не снимает с него обязанности соблюдать все принципы и правила обработки персональных данных, а также конфиденциальность.
Ваша работа в СБ должна начинаться не с поиска в Google, а с построения корректной правовой процедуры. Два основания — согласие или договор — ваш фундамент. А возможность привлекать внешних экспертов — это ваш законный инструмент для повышения эффективности и глубины расследований.
