Що співробітнику питати в компанії про персональні дані

17 лютого
Таня Андріанова, старший віце-президент DataArt
Що співробітнику питати в компанії про персональні дані
Протягом останніх десяти років я відповідаю за адміністративні та юридичні аспекти роботи DataArt у Великобританії. Крім цього, разом з комплаенс-командою курирую контракти з нашими співробітниками в інших країнах, відповідаю за захист інтелектуальної власності та правову безпеку на рівні всього DataArt незалежно від локацій.

Збереження особистої інформації стало джерелом занепокоєння для більшості користувачів інтернету. Для професіоналів, занурених в IT, питання виглядає ще гострішим. Той, хто стежить за новинами галузі, встиг запам'ятати, що дані — це “нова валюта”. Уряди послідовно посилюють закони щодо їхнього зберігання й обробки, самі люди стають уважнішими до того, якою інформацією та з ким вони діляться. Ми в DataArt упевнені, то культура поводження з персональними даними є важливою і для роботи у проектах, і для власного спокою. Цього року ми вирішили провести DataArt Privacy Weeks, під час яких говоримо про конфіденційність і безпеку персональних даних, особисті кордони та відповідальність.

Досвід DataArt у поводженні з персональною інформацією може бути цікавим не лише всередині компанії. У нас працює 3800 осіб з 11 країн, і ми зібрали запитання про захист даних співробітників, які іноді отримуємо. Відповіді на них будуть корисними як тим, хто має доступ до персональних даних інших людей, так і всім, хто працює в міжнародних компаніях.

ЩО ТАКЕ ПЕРСОНАЛЬНІ ДАНІ?

Персональні дані — це будь-яка інформація, що дозволяє ідентифікувати певну людину. Найпростіші приклади: ім'я та прізвище, дата і місце народження, номер телефону, домашня та електронна адреса. До персональних даних належить інформація про сімейний стан, доходи, освіту і професію, опис професійних навичок і оцінка роботи співробітника.

Окрема категорія — делікатні дані (sensitive data) — це вся біометрична інформація, інформація про здоров'я, зокрема наявність інвалідності, сексуальна орієнтація, релігійна приналежність, політичні погляди та стосунки з законом. Їхнє зберігання та обробка вимагають особливого підходу та часто регулюється окремими правилами. В Україні вони поки не встановлені законом, але ухвалити їх мають, можливо, вже у 2021 році — це частина зобов'язань за угодою про асоціацію з Європейським Союзом. (Правда, ми вважаємо за краще не чекати на рішення законодавців і вже зараз діємо за законами ЄС.)

Спектр персональних даних є дійсно широким, а питання уважного ставлення до них давно перейшло з етичної площини в юридичну. Здається, в теорії усім зрозуміло, як важливо берегти особисту інформацію. Але те, яку саме і чому, для чого компанії запитують ті чи інші дані, навіщо юристи постійно нагадують про обережність і забороняють багато маніпуляцій з резюме кандидатів або обліковими записами колег, — часто вкрите туманом.

БЕЗ ЯКИХ МОЇХ ДАНИХ КОМПАНІЇ НЕ ОБІЙТИСЯ?

Обмін персональними даними є обов'язковою умовою укладення контракту. Без цього, як і без фіксації умов праці та її оплати, вступати у трудові стосунки не дозволяє закон. Роботодавець за законом зобов'язаний знати, кого приймає у штат: ім'я та адресу людини, номер рахунку для нарахування грошей тощо. Співробітник, зі свого боку, має бути проінформованим про те, як називається, де знаходиться і чим займається компанія, з якою він підписує договір. Цей обмін ідентифікаторами продиктований не примхою, цього вимагають трудові кодекси будь-якої країни. Та й здоровий глузд, мабуть, теж підказує, що підтвердити особистість при зарахуванні на роботу цілком логічно.

Чому це взагалі варто роз'яснювати? На запитання про те, навіщо компанії потрібна, наприклад, домашня адреса співробітника, нам вже доводилося відповідати. Нещодавно ми не змогли зробити офер кандидату, який не захотів надіслати свої ім'я та прізвище в тому вигляді, як вони записані в його паспорті. Він вважав цю інформацію зайвою, а наш інтерес до неї — підозрілим. Імовірно, такі форми може приймати тривожність, викликана історіями про витоки персональних даних із найрізноманітніших баз. Ми добре розуміємо цю проблему, а обережне ставлення до інформації тільки вітаємо. Але там, де збору даних вимагає закон, ми в будь-якому випадку безсилі щось змінити.

Трудове законодавство зобов'язує компанії не лише збирати персональні дані для перевірки особистості та іноді компетенцій колег, а й зберігати їх протягом усього співробітництва. У деяких країнах, наприклад у Великобританії, вони повинні залишатися у нас протягом трьох років після завершення робочих стосунків. До того ж, якщо у співробітника, поки він працює в компанії, закінчився термін дії паспорта, а дані нового документа він нам не надав, це вже вважається порушенням закону.

До речі, якщо людина укладає контракт з компанією як приватний підприємець, список документів, обов'язкових для зберігання, тільки розширюється.

ЧИ НЕ ЗАБАГАТО КОМПАНІЯ ХОЧЕ ЗНАТИ ПРО МОЄ МИНУЛЕ?

Бекграунд-чек — це процес збору персональних даних майбутнього співробітника перед початком роботи. Частково цього вимагає трудове законодавство, частково — міркування безпеки. Перш за все необхідно переконатися, що людина, яка прийшла в офіс, назвалася справжнім ім'ям. В інженерній термінології паспорт потрібен для процедури аутентифікації. Скажімо, диплом у такому випадку необхідний вже для авторизації: трудове законодавство може вимагати офіційного підтвердження компетенцій співробітника, який претендує на певні позиції. Також відомості про освіту можуть знадобитися при оформленні документів для релокації, наприклад, у США. Базовий набір даних про знання і навички нового колеги потрібен для створення профайлу, необхідного безпосередньо для роботи.

Додатковий бекграунд-чек може проводитися за запитом клієнта — цього іноді вимагає внутрішній регламент безпеки на стороні замовника. До речі, часто це буває пов'язано з доступом до персональних даних кінцевих користувачів системи, над якою треба працювати у проекті. Така перевірка стосується, скажімо, судимостей або факту постановки на облік в наркологічний диспансер. Для самого DataArt ця інформація зайва, ми її не збираємо і не зберігаємо. Якщо надходить подібний запит на делікатні дані, ми передаємо його співробітникові, який має право зібрати потрібні довідки або відмовитися від проекту. Тоді ми підберемо йому інший проект, де надавати додаткові документи не потрібно.

Ми з задоволенням запрошуємо людей за рекомендацією діючих і колишніх колег, в окремих випадках можемо зв'язатися з тими, з ким кандидат співпрацював раніше. Однак збір відгуків з попередніх місць роботи проходить тільки за згодою людини, якої вони безпосередньо стосуються. Самостійні розслідування такого роду є: а) не цілком законними (точніше, колишній роботодавець за законом повинен відмовити нам у наданні інформації про особу без її згоди); б) просто нераціональними.

ЯКИМИ ЗАКОНАМИ КЕРУЄТЬСЯ DATAART ПРИ ЗБОРІ ТА ЗБЕРІГАННІ ПЕРСОНАЛЬНИХ ДАНИХ h2>

Представництва DataArt працюють в 11 країнах, у кожній з яких діють власні правила. Однак ми пішли найпростішим шляхом, уніфікувавши процес. Як керівництво до дії ми вибрали знаменитий GDPR (General Data Protection Regulation), ухвалений на території ЄС і Великобританії. Правила в ньому є найбільш суворими і чіткими, для ряду країн вони поки виглядають надмірними, проте напевно покривають усі вимоги до компаній у сфері роботи з персональними даними в будь-якій точці світу.

До речі, українські та, наприклад, аргентинські закони є близькими до GDPR. У США спеціального федерального закону поки немає, але загалом правила щодо поводження з персональними даними у всьому світі стають більш жорсткими. Нам простіше не чекати на тотальну уніфікацію, а діяти за єдиним протоколом вже зараз.

ХТО МАЄ ДОСТУП ДО МОЇХ ПЕРСОНАЛЬНИХ ДАНИХ?

Невеликий базовий набір відомостей про колег доступний усім співробітникам DataArt у внутрішній системі компанії. Це ім'я, прізвище, фото, контакти, термін роботи в компанії, позиція та кваліфікація. За замовчуванням ми не показуємо навіть рік народження, а про те, чи показувати день і місяць, завжди запитуємо безпосередньо. Якщо людина не хоче, щоб її вітали з днем ​​народження, дати у відкритому доступі не буде, хоча в бухгалтерії та HR вона, звісно, залишиться, як вимагає закон.

Всі інші дані, зокрема номери паспортів і рахунків, доступні лише суворо обмеженій кількості колег:

  • HR-фахівці мають доступ до номерів паспортів, військових квитків, трудових книжок, записів про колишні місця роботи та проекти колег усередині DataArt.
  • Бухгалтерія — до номерів рахунків, банківських реквізитів та іншої інформації, що стосується виплат.
  • Тревел-менеджери — до паспортних даних колег, для яких оформляють документи, потрібні для відряджень.

Колеги, які часто їздять у відрядження, іноді просять тревел-менеджерів зберігати їхні повні анкети для отримання візи. Теоретично це дозволяє вбити ті самі дані в нову анкету без участі самого колеги. Бажання зрозуміле: всі, хто отримував, наприклад, британську візу, напевно пам'ятають цю пачку сторінок, де потрібно вказати імена всіх найближчих родичів і перелічити всю нерухомість. Але для нас ця інформація вважається надмірною, у ній немає потреби для роботи, отже, менеджери просто не мають права її зберігати без письмового дозволу того, кого вона стосується. Якщо сам колега наполягає, щоб тревел-менеджер зберіг можливість заповнити анкету на візу, оформити страховку або в разі потреби надіслати документи до готелю, ми допускаємо збереження розширеного набору даних, але запитуємо на це письмову згоду.

До речі, клієнти ставляться до будь-яких персональних даних колег дуже обережно. Ми регулярно отримуємо запит на дозвіл збереження базової інформації, наприклад, про розробників з України від менеджерів замовника, скажімо, з Великобританії. Іноді клієнтам потрібно трохи більше персональних даних наших співробітників — зазвичай саме в ситуаціях, коли вони хочуть індивідуально прописати правила доступу до інформації про власних клієнтів та укласти окремий договір з певним розробником. У будь-якому випадку дані наших колег можуть бути передані третім особам тільки за їхньою згодою.

Закони про персональні дані дозволяють обмін між представництвами компанії в різних країнах, регулює його спеціальна угода — Intra-Group Data Processing Agreement. Це дозволяє відкривати доступ до інформації про колегу на підставі функціонального, а не географічного принципу. Внутрішній контракт між компаніями групи DataArt у різних країнах гарантує, що співробітники в будь-який із наших локацій знають, як зберігати та обробляти персональні дані колег, ставляться до них уважно й обережно.

Для нас важливо, що можна представити команді в Україні нового співробітника з Лондона, не порушуючи правил, встановлених GDPR.

ДЕ ФІЗИЧНО ЗБЕРІГАЮТЬСЯ ПЕРСОНАЛЬНІ ДАНІ ТА ЯК ВОНИ ЗАХИЩЕНІ?

Усі дані зберігаються у внутрішніх системах DataArt. Наприклад, у Великобританії ми зобов'язані зберігати скани паспортів, трудові договори та документи про всі грошові виплати. До офісу в будь-який момент можуть без попередження прийти представники імміграційного чи трудового контролю, запросити роздруківки документів по будь-кому з наших співробітників та перевірити, де зберігаються їхні персональні дані.

Вся інформація зберігається на захищеному сервері з обмеженим доступом, фізично закритому на кодовий замок. Доступ до персональних даних можна отримати у системних адміністраторів, які видають (або не видають) його відповідно до регламенту безпеки — він діє однаково для всіх колег, незалежно від посади.

Причина більшості інформаційних витоків не в уразливості комп'ютерних систем, а в людських помилках. Тому ми не лише обмежуємо доступ до персональних даних, а й постійно навчаємо колег, які його мають. У нас є обов'язкові курси для всіх та регулярні тренінги і воркшопи для тих, хто за характером роботи частіше стикається з особистою інформацією співробітників. Ми віримо в те, що ключовим моментом у поводженні з персональними даними є усвідомленість, і прагнемо донести до всіх колег у DataArt важливість відповідної культури.

Треба сказати, що до такого підходу колеги ставляться з набагато більшим розумінням, ніж раніше. Адже про витоки і технології соціального інжинірингу, які використовують шахраї, зараз говорять досить багато. Ми вважаємо, що в більш уважному ставленні до збереження персональних даних є й наша заслуга — ми закликаємо в разі будь-яких сумнівів звертатися до фахівців із безпеки і комплаенсу та завжди готові відповісти на запитання. Вони ніколи не бувають зайвими.

ЧИ МАЄТЕ ВИ ПРАВО ЗБЕРІГАТИ ІНФОРМАЦІЮ ПРО КАНДИДАТІВ?

Всі дані кандидатів DataArt отримує з відкритих джерел, наприклад, сайтів пошуку роботи. При внесенні інформації до внутрішніх систем ми обов'язково попереджаємо людину, надсилаючи стандартне оповіщення (privacy notice). Згоду на обробку персональних даних також надає кожен претендент, який надіслав нам резюме. Будь-хто, хто дозволив внести свої дані до нашої бази, але не отримав офер чи відхилив його, може попросити нас видалити ці дані з внутрішніх систем. Таку вимогу ми зобов'язані задовольнити протягом 30 днів. Правда, у цьому випадку ми попереджаємо, що через деякий час до кандидата можуть знову звернутися наші рекрутери, адже вони не матимуть можливості дізнатися, що ми з якоїсь причини не домовились раніше.

Це зайвий привід нагадати всім, хто піклується про збереження персональних даних, що інформація, наприклад про компетенції, зазначена в LinkedIn, залишається відкритою для всіх.

Переговори з перспективним кандидатом не завжди закінчуються підписанням контракту: йому може не вистачити знання конкретної технології або його може недостатньо зацікавити конкретний проект. У будь-якому випадку, якщо ми плануємо повернутися з новою пропозицією в найближчій перспективі, то пропонуємо зберегти в нашій системі дані про нього, зокрема результати інтерв'ю та тестових завдань. Якщо кандидат не заперечує, ми зберігаємо їх протягом трьох років.

ЯКА ІНФОРМАЦІЯ ЗАЛИШИТЬСЯ У ВАС, ЯКЩО Я ЗВІЛЬНЮСЯ?

Коли співробітник іде з компанії, ми відразу видаляємо особисту інформацію про нього: його власний about у внутрішній системі, заповнені пункти про захоплення, будь-які дані про членів його родини. Останні можуть у нас бути, якщо тревел-менеджери, на прохання самого колеги, допомагають їм з оформленням візи.

Ім'я та прізвище, дату початку і закінчення роботи, особистий імейл і інформацію про проекти ми зберігаємо протягом трьох років. Те саме стосується результатів практикантів, відгуків проджект-менеджерів і менторів. GDPR та інші правові акти дозволяють компаніям зберігати особисті дані колишніх співробітників “так довго, як це може знадобитись”, трирічний термін встановлено внутрішньою політикою DataArt. Протягом цього часу велика частина інформації зазвичай стає неактуальною — будь-який з наших колег, стажистів або кандидатів встигає помітно підвищити професійний рівень. У цьому випадку простіше починати повторне знайомство з чистого аркуша.

Назавжди у системі залишаються тільки ім'я, прізвище, посада, дати початку роботи в компанії та виходу з неї. Ця інформація може знадобитись і самим колишнім співробітникам. Наприклад, недавно колега, який працював в DataArt понад десять років тому, звернувся до нас, щоб підтвердити стаж роботи програмістом для імміграції в Канаду.

Ми також зобов'язані протягом декількох років зберігати всю інформацію про виплати будь-кому з колег, які йдуть з компанії. Цього вимагає податкове законодавство, видаляти такі дані на власний розсуд ми не маємо права.

До речі, якщо ви захочете видалити всю інформацію про себе, наприклад, із Facebook чи іншої соцмережі, остання зобов'язана знищити будь-які дані, якими ви з нею ділилися. Однак якщо ви купували там рекламу чи інші послуги, то дані про ваші фінансові стосунки будуть збережені на термін, встановлений законом.

ЧОМУ ВСІ БОЖЕВОЛІЮТЬ ЧЕРЕЗ ЦІ ПЕРСОНАЛЬНІ ДАНІ?

Далеко не всі інженери, що працюють із величезними обсягами даних про інвестиційні рахунки або медичні діагнози користувачів, усвідомлюють, наскільки останні залежать від їхніх рішень. Іноді необхідність додаткової авторизації дратує, але ми б хотіли, щоб IT-співтовариство загалом ставилося до вимог безпеки з розумінням.

Саме тому ми радіємо, коли наші колеги виявляють обережність і турбуються про безпеку своїх персональних даних. Ми хочемо, щоб усі процеси нашої роботи з особистою інформацією були максимально прозорими і будь-який із співробітників DataArt знав, де, як і з якою метою зберігається номер його паспорта чи рахунку. Сподіваємось, що зусилля компаній мотивують самих інженерів уважніше ставитись до персональних даних: не публікувати номерів телефонів та імейли у соцмережах, не забувати паспортів у офісних сканерах та читати користувацькі угоди, підключаючись до незнайомих мереж. Зрештою, злам будь-кого з нас створює загрозу внутрішнім базам, системам клієнтів і репутації всієї індустрії.

  • Україна, Remote.UA; Україна, Дніпро; Україна, Київ; Україна, Львів; Україна, Одеса; Україна, Харків; Україна, Херсон
    18 листопада
  • Україна, Remote.UA; Україна, Дніпро; Україна, Київ; Україна, Львів; Україна, Одеса; Україна, Харків; Україна, Херсон
    1 липня
  • Україна, Дніпро; Україна, Київ; Україна, Львів; Україна, Одеса; Україна, Харків; Україна, Херсон
    25 червня
  • Україна, Одеса
    25 червня