ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ HR-ДАННЫХ
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Политика конфиденциальности HR-данных (далее — Политика) определяет принципы, правила и процедуры обработки, хранения и защиты персональных данных сотрудников и кандидатов, используемых для целей HR-аналитики в [Наименование организации] (далее — Организация).
1.2. Политика разработана в соответствии с:
• Конституцией Российской Федерации;
• Трудовым кодексом Российской Федерации;
• Федеральным законом «О персональных данных» от 27.07.2006 N 152-ФЗ;
• Федеральным законом «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ;
• Постановлением Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Уставом Организации;
• Положением об HR-аналитике;
• иными нормативными правовыми актами и локальными нормативными актами Организации.
1.3. В настоящей Политике используются следующие термины и определения:
• Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
• HR-данные — совокупность персональных данных сотрудников и кандидатов, а также агрегированных данных о персонале, используемых для целей HR-аналитики.
• Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными.
• HR-аналитика — систематический сбор, обработка, анализ и интерпретация HR-данных для принятия обоснованных управленческих решений в области управления человеческими ресурсами.
• Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
• Конфиденциальность персональных данных — обязательное для соблюдения Организацией или иным получившим доступ к персональным данным лицом требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
1.4. Действие настоящей Политики распространяется на все процессы обработки HR-данных в Организации, осуществляемые с использованием средств автоматизации или без использования таких средств.
1.5. Настоящая Политика является обязательной для исполнения всеми сотрудниками Организации, имеющими доступ к HR-данным.
2. ПРИНЦИПЫ ОБРАБОТКИ HR-ДАННЫХ
2.1. Обработка HR-данных осуществляется на основе следующих принципов:
2.1.1. Законность и справедливость:
• Обработка HR-данных осуществляется на законной и справедливой основе;
• Обработка HR-данных ограничивается достижением конкретных, заранее определенных и законных целей;
• Не допускается обработка HR-данных, несовместимая с целями сбора персональных данных.
2.1.2. Минимизация данных:
• Обработке подлежат только те HR-данные, которые отвечают целям их обработки;
• Содержание и объем обрабатываемых HR-данных должны соответствовать заявленным целям обработки;
• Не допускается избыточность обрабатываемых HR-данных по отношению к заявленным целям их обработки.
2.1.3. Точность и актуальность:
• При обработке HR-данных должны быть обеспечены точность, достаточность и актуальность HR-данных по отношению к целям их обработки;
• Организация принимает необходимые меры по удалению или уточнению неполных или неточных HR-данных.
2.1.4. Ограничение срока хранения:
• Хранение HR-данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных;
• Обрабатываемые HR-данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.
2.1.5. Конфиденциальность и безопасность:
• Организация и иные лица, получившие доступ к HR-данным, обязаны не раскрывать третьим лицам и не распространять HR-данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;
• Организация принимает необходимые правовые, организационные и технические меры для защиты HR-данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении HR-данных.
3. ЦЕЛИ ОБРАБОТКИ HR-ДАННЫХ ДЛЯ HR-АНАЛИТИКИ
3.1. HR-данные обрабатываются в Организации для следующих целей HR-аналитики:
3.1.1. Анализ эффективности процессов найма и подбора персонала:
• Оценка эффективности источников привлечения кандидатов;
• Анализ времени и стоимости закрытия вакансий;
• Прогнозирование успешности кандидатов;
• Оптимизация процессов подбора персонала.
3.1.2. Анализ текучести и удержания персонала:
• Выявление факторов, влияющих на текучесть персонала;
• Прогнозирование рисков увольнения сотрудников;
• Разработка мер по удержанию ключевых сотрудников;
• Оптимизация затрат на удержание персонала.
3.1.3. Анализ вовлеченности и удовлетворенности персонала:
• Выявление факторов, влияющих на вовлеченность и удовлетворенность;
• Оценка эффективности программ повышения вовлеченности;
• Прогнозирование изменений уровня вовлеченности;
• Разработка мер по повышению вовлеченности и удовлетворенности.
3.1.4. Анализ эффективности и производительности персонала:
• Выявление факторов, влияющих на производительность труда;
• Оценка эффективности программ повышения производительности;
• Прогнозирование изменений производительности;
• Разработка мер по повышению эффективности персонала.
3.1.5. Анализ эффективности обучения и развития персонала:
• Оценка эффективности программ обучения и развития;
• Выявление потребностей в обучении;
• Прогнозирование развития компетенций;
• Оптимизация затрат на обучение и развитие.
3.1.6. Анализ эффективности системы компенсаций и льгот:
• Оценка конкурентоспособности системы оплаты труда;
• Анализ влияния системы компенсаций на мотивацию и производительность;
• Оптимизация затрат на персонал;
• Разработка эффективных систем мотивации.
3.1.7. Стратегическое планирование человеческих ресурсов:
• Прогнозирование потребностей в персонале;
• Анализ организационной структуры;
• Планирование преемственности;
• Оценка влияния HR-практик на бизнес-результаты.
4. КАТЕГОРИИ HR-ДАННЫХ И ТРЕБОВАНИЯ К ИХ ОБРАБОТКЕ
4.1. Для целей HR-аналитики в Организации обрабатываются следующие категории HR-данных:
4.1.1. Персональные данные сотрудников:
• Фамилия, имя, отчество;
• Дата и место рождения;
• Пол, возраст;
• Образование, квалификация, профессиональная подготовка;
• Сведения о трудовом стаже;
• Сведения о занимаемой должности;
• Сведения о заработной плате и иных выплатах;
• Сведения о результатах оценки эффективности;
• Сведения об обучении и развитии;
• Сведения о поощрениях и дисциплинарных взысканиях;
• Сведения об отпусках и командировках;
• Сведения о времени присутствия на рабочем месте.
4.1.2. Персональные данные кандидатов:
• Фамилия, имя, отчество;
• Дата и место рождения;
• Пол, возраст;
• Образование, квалификация, профессиональная подготовка;
• Сведения о трудовом стаже;
• Сведения о желаемой должности и заработной плате;
• Результаты собеседований и тестирований;
• Рекомендации с предыдущих мест работы.
4.1.3. Агрегированные HR-данные:
• Статистика по численности и структуре персонала;
• Статистика по текучести персонала;
• Статистика по заработной плате и иным выплатам;
• Статистика по результатам оценки эффективности;
• Статистика по обучению и развитию;
• Статистика по вовлеченности и удовлетворенности;
• Статистика по времени присутствия на рабочем месте.
4.2. Требования к обработке различных категорий HR-данных:
4.2.1. Персональные данные сотрудников и кандидатов:
• Обработка осуществляется только с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством РФ;
• Для целей HR-аналитики используются только те персональные данные, которые необходимы для достижения конкретных аналитических целей;
• При возможности персональные данные обезличиваются перед использованием для HR-аналитики;
• Доступ к персональным данным предоставляется только уполномоченным сотрудникам, имеющим соответствующие права доступа.
4.2.2. Агрегированные HR-данные:
• Агрегированные данные формируются на основе персональных данных путем их обобщения и статистической обработки;
• Агрегированные данные не должны содержать информацию, позволяющую идентифицировать конкретных субъектов персональных данных;
• Доступ к агрегированным данным может быть предоставлен более широкому кругу сотрудников в соответствии с их должностными обязанностями.
5. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Субъекты персональных данных имеют право:
5.1.1. На получение информации, касающейся обработки их персональных данных, в том числе:
• Подтверждение факта обработки персональных данных;
• Правовые основания и цели обработки персональных данных;
• Цели и применяемые способы обработки персональных данных;
• Наименование и место нахождения Организации, сведения о лицах, которые имеют доступ к персональным данным;
• Обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения;
• Сроки обработки персональных данных, в том числе сроки их хранения;
• Порядок осуществления субъектом персональных данных прав, предусмотренных законодательством РФ;
• Информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Организации, если обработка поручена или будет поручена такому лицу.
5.1.2. На уточнение, блокирование или уничтожение своих персональных данных, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
5.1.3. На отзыв согласия на обработку персональных данных.
5.1.4. На обжалование действий или бездействия Организации в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
5.2. Порядок реализации прав субъектов персональных данных:
5.2.1. Для реализации своих прав субъект персональных данных направляет запрос в письменной форме на имя [Должность ответственного за обработку персональных данных] Организации.
5.2.2. Запрос должен содержать:
• Фамилию, имя, отчество субъекта персональных данных;
• Номер основного документа, удостоверяющего личность субъекта персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе;
• Сведения, подтверждающие участие субъекта персональных данных в отношениях с Организацией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Организацией;
• Подпись субъекта персональных данных.
5.2.3. Организация обязана предоставить информацию субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя в течение 30 дней с даты получения запроса.
6. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ HR-ДАННЫХ
6.1. Организация принимает следующие меры по обеспечению безопасности HR-данных:
6.1.1. Правовые меры:
• Разработка и утверждение локальных нормативных актов, регламентирующих порядок обработки и защиты HR-данных;
• Включение в трудовые договоры и должностные инструкции сотрудников положений о конфиденциальности HR-данных;
• Получение согласия субъектов персональных данных на обработку их персональных данных;
• Ознакомление сотрудников с положениями законодательства РФ о персональных данных и локальными нормативными актами Организации.
6.1.2. Организационные меры:
• Назначение ответственного за организацию обработки персональных данных;
• Определение перечня лиц, имеющих доступ к HR-данным;
• Установление правил доступа к HR-данным;
• Установление ответственности за нарушение правил обработки и защиты HR-данных;
• Проведение регулярного обучения сотрудников по вопросам обработки и защиты персональных данных;
• Проведение внутреннего контроля соответствия обработки HR-данных требованиям законодательства и локальных нормативных актов.
6.1.3. Технические меры:
• Применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
• Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах;
• Применение процедур идентификации и аутентификации пользователей;
• Применение процедур контроля доступа к HR-данным;
• Применение процедур регистрации и учета действий с HR-данными;
• Применение процедур резервного копирования и восстановления HR-данных;
• Применение процедур обнаружения и предотвращения вторжений;
• Применение процедур обезличивания персональных данных.
6.2. Уровни доступа к HR-данным:
6.2.1. Полный доступ к персональным данным сотрудников и кандидатов:
• [Должность руководителя организации];
• [Должность руководителя HR-функции];
• [Должность ответственного за обработку персональных данных];
• Сотрудники, непосредственно осуществляющие обработку персональных данных в соответствии с их должностными обязанностями.
6.2.2. Доступ к обезличенным персональным данным для целей HR-аналитики:
• [Должность HR-аналитика];
• [Должность специалиста по данным];
• Иные сотрудники, осуществляющие HR-аналитику в соответствии с их должностными обязанностями.
6.2.3. Доступ к агрегированным HR-данным:
• Руководители подразделений (в части данных, относящихся к их подразделениям);
• HR-специалисты (в соответствии с их функциональными обязанностями);
• Иные сотрудники, имеющие обоснованную необходимость в доступе к агрегированным HR-данным для выполнения своих должностных обязанностей.
7. ОБЕЗЛИЧИВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ДЛЯ HR-АНАЛИТИКИ
7.1. Для целей HR-аналитики Организация стремится использовать обезличенные персональные данные, когда это возможно и не противоречит целям анализа.
7.2. Обезличивание персональных данных осуществляется следующими методами:
7.2.1. Метод введения идентификаторов:
• Замена части сведений (значений персональных данных) идентификаторами;
• Замена значений персональных данных их обобщенными характеристиками;
• Замена значений персональных данных, относящихся к разным субъектам, общими идентификаторами.
7.2.2. Метод изменения состава или семантики:
• Замена значений персональных данных случайными величинами;
• Удаление части сведений, позволяющих идентифицировать субъекта персональных данных.
7.2.3. Метод декомпозиции:
• Разделение множества персональных данных на несколько подмножеств с последующим раздельным хранением.
7.2.4. Метод перемешивания:
• Перестановка отдельных значений или групп значений персональных данных.
7.3. Выбор метода обезличивания зависит от конкретных целей HR-аналитики и требуемого уровня защиты персональных данных.
7.4. Процедура обезличивания персональных данных для HR-аналитики регламентируется отдельным локальным нормативным актом Организации.
8. ПЕРЕДАЧА HR-ДАННЫХ ТРЕТЬИМ ЛИЦАМ
8.1. Передача HR-данных третьим лицам допускается только в следующих случаях:
8.1.1. Передача персональных данных сотрудников и кандидатов:
• С согласия субъекта персональных данных;
• В случаях, предусмотренных законодательством РФ;
• В случае поручения обработки персональных данных третьему лицу на основании договора, предусматривающего обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке.
8.1.2. Передача обезличенных и агрегированных HR-данных:
• Для проведения бенчмаркинга с другими организациями;
• Для участия в отраслевых исследованиях;
• Для предоставления отчетности в государственные органы в соответствии с требованиями законодательства РФ;
• Для проведения внешнего аудита HR-процессов;
• Для консультаций с внешними экспертами по вопросам HR-аналитики.
8.2. При передаче HR-данных третьим лицам Организация обязана:
8.2.1. Убедиться в наличии законных оснований для передачи данных;
8.2.2. Убедиться в наличии у третьего лица необходимых мер по обеспечению безопасности персональных данных;
8.2.3. Включить в договор с третьим лицом положения о конфиденциальности и защите персональных данных;
8.2.4. Вести учет случаев передачи персональных данных третьим лицам.
9. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ПОЛИТИКИ
9.1. Сотрудники Организации, виновные в нарушении требований настоящей Политики, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.
9.2. Руководители структурных подразделений Организации несут персональную ответственность за соблюдение сотрудниками их подразделений требований настоящей Политики.
9.3. [Должность ответственного за обработку персональных данных] несет ответственность за осуществление внутреннего контроля за соблюдением требований настоящей Политики.
10. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
10.1. Настоящая Политика вступает в силу с момента ее утверждения [Должность руководителя организации] Организации.
10.2. Изменения и дополнения в настоящую Политику вносятся приказом [Должность руководителя организации] Организации.
10.3. Настоящая Политика подлежит пересмотру не реже одного раза в три года.
10.4. Настоящая Политика является общедоступным документом и размещается на [место размещения, например, корпоративный портал].
УТВЕРЖДАЮ
[Должность руководителя организации]
[Наименование организации]
_________________ / [Фамилия И.О.] /
«___» ____________ 20__ г.
Поделиться
