«Улыбнитесь, вас записывают»: как защитить персональные данные кандидата при видеоинтервью

Представьте: вы проходите собеседование удалённо, рассказываете потенциальному работодателю о себе, делитесь опытом, планами. А спустя месяц узнаёте, что все интервью записывались на видео и хранятся где-то на внутреннем сервере компании – да ещё и с открытым доступом для десятков сотрудников. Насколько это законно и безопасно? В эпоху, когда интервью всё чаще проходят по Zoom или в формате «видео по запросу», вопрос защиты персональных данных кандидатов выходит на первый план (источник t-j.ru). В этой статье разбираемся, какие риски для приватности несут видеоинтервью и что могут сделать компании (и соискатели), чтобы эти данные не утекли и не были использованы во вред.

Видеоинтервью повсюду – а данные под угрозой?

Видеоформат прочно вошёл в практику найма: по данным Gartner, 61% компаний по всему миру уже используют автоматизированные видеоинтервью при отборе персонала (источник hr-brew.com). Этому способствовал и пандемийный скачок дистанционных коммуникаций. С одной стороны, это удобно – записи можно пересматривать, показывать нанимающему менеджеру, анализировать с помощью алгоритмов. Но у медали есть и обратная сторона: видеоинтервью несёт куда больше информации о кандидате, чем обычное резюме или даже очное собеседование без записи.

Во время беседы на камеру кандидат может непреднамеренно раскрыть данные, которые никогда не попали бы в текстовые заметки рекрутёра. Например, упомянуть о здоровье – своём или близких, обмолвиться о религиозных взглядах или личной жизни (источник natlawreview.com). В кадре видны лицо, мимика, возможно, элементы интерьера, по которым можно судить о достатке или семейном положении.

Всё это – персональные данные, причём зачастую чувствительные. В российском законодательстве любое изображение человека (фото или видео) однозначно признаётся персональными данными, позволяющими идентифицировать личность. Более того, право на своё изображение охраняется как нематериальное благо – его нельзя просто так взять и использовать без разрешения человека.

Неудивительно, что у кандидатов возникают опасения: а кто вообще будет смотреть эту запись и не попадёт ли она «не в те руки»? «Говоришь как бы сам с собой, и непонятно, перед кем ты потенциально выступаешь – посмотрит видеоинтервью только эйчар или вся компания?» – делится впечатлениями HR-менеджер Александра Левицкая, которая однажды сама решила пройти видеоинтервью, чтобы прочувствовать опыт со стороны кандидата (источник vc.ru). В её случае опасения оказались не напрасны: некоторые кандидаты действительно отказывались участвовать в видеоэтапе и снимали свои заявки, едва услышав требование записать себя на камеру.

На тематических форумах соискатели тоже признаются, что формат кажется им неэтичным и тревожным. «Отсутствие живого контакта ощущается ненормально, плюс страх, что запись могут похитить в случае утечки данных – злоумышленникам ведь достаточно видео с вашим лицом и голосом», пишет один из пользователей Reddit (источник reddit.com). И действительно, утечки данных происходят сплошь и рядом, а архив видеозаписей собеседований – лакомый кусок, если он плохо защищён.

Закон требует согласия. Но достаточно ли просто бумажки?

Помимо репутационных рисков, есть и вопрос законности хранения таких видеоданных. Юристы чётко предупреждают: работодателю нельзя записывать и сохранять видеоизображения соискателей без их информированного согласия. В России это вытекает сразу из нескольких норм.

Во-первых, до трудоустройства компания не имеет специального законного основания обрабатывать персональные данные кандидата – она выступает как обычный оператор персональных данных, и обязана получить согласие субъекта (то есть кандидата). Во-вторых, Гражданский кодекс прямо запрещает использовать изображение человека (фото, видео) без согласия, за редкими исключениями – например, для госнужд или если человек позировал за плату. Понятно, что запись собеседования ни под одно из таких исключений не подпадает: это не публичное мероприятие, а конфиденциальный разговор, где как раз обсуждаются личные сведения кандидата.

Что грозит, если игнорировать эти требования? Российский регулятор, Роскомнадзор, периодически проверяет компании и может выписать штраф. Если обнаружится видеозапись интервью без оформленного согласия соискателя, штраф для компании может достигать 75 тыс. рублей. И это не пустая угроза: практика надзора по персональным данным ужесточается с каждым годом.

Впрочем, дело не только в наказании. Получив согласие, работодатель берёт на себя ответственность за судьбу записи, а кандидат получает права контроля. По закону субъект данных может в любой момент отозвать своё согласие и потребовать уничтожить все предоставленные сведения – и компания обязана безвозвратно удалить видео и прочие материалы. То есть формально соискатель не бесправен: подписав согласие, он всё равно не теряет контроль над информацией о себе.

Однако на практике многие кандидаты пролистывают «формальности» невнимательно. Часто согласием служит просто галочка под формой отклика на вакансии – мол, даю согласие на обработку данных. В лучшем случае HR предупреждает в начале звонка: «Мы ведём запись интервью, вы не против?» – и получает устное «да» (которое потом ещё надо доказать при споре). Этого недостаточно для настоящей защиты данных. Хорошее, «осознанное» согласие должно быть максимально конкретным и информативным.

Роскомнадзор и эксперты рекомендуют фиксировать его письменно и заранее, с перечислением всех деталей. В бланке стоит прописать, с какой целью ведётся запись и хранение, кто именно получит к ней доступ, как долго видео будет храниться, и как кандидат может отозвать согласие. Например, доступ точно не должен быть у всех сотрудников подряд – достаточно рекрутёра и руководителя, принимающего решение. Срок хранения тоже не бессрочный: скажем, «в течение 6 месяцев для рассмотрения на текущую вакансию или потенциально подходящие должности, затем запись будет удалена».

Важно и соответствие цели: если договорились, что видео пишется ради оценки кандидата на должность, то использовать эту запись потом в других целях (для обучения персонала, в маркетинге или ещё где) нельзя без нового согласия. В противном случае компания выходит за изначленные рамки обработки данных, нарушая принцип целевого использования, предусмотренный тем же законом о персональных данных.

В мире требования аналогичны. Европейский GDPR, например, требует предоставить кандидату подробное privacy notice – какие данные собираются, зачем, кто будет иметь доступ, как долго хранятся, и какие у кандидата есть права. Причём права эти обширны: доступ к своей информации, исправление неточностей, полное удаление («право на забвение») и т.д. Если компания работает глобально, ей придётся учитывать законы по месту жительства кандидата, а они могут различаться.

Так, кандидат из Калифорнии «приносит с собой» защиту Калифорнийского акта о приватности (CCPA/CPRA), который также гарантирует ряд прав и обязывает сообщать, что будет с данными. А в некоторых странах США действуют ещё и правила аудио/видеозаписи: например, порядка 12 штатов требуют согласия всех участников разговора для его записи. То есть формально надо заручиться согласием не только кандидата, но и каждого интервьюера тоже – не забыть бы об этом, если собеседование записывает сторонний рекрутёр или нанимающий менеджер из такого штата.

Как бизнесу обеспечить приватность – советы и технологии

Итак, кандидат согласие дал – либо поставил галочку, либо даже подписал солидный документ. Можно выдохнуть? Вовсе нет. С этого момента у компании начинается самая ответственная работа: обеспечить фактическую безопасность и конфиденциальность записанных данных. Вот несколько ключевых мер, которые рекомендуют эксперты в области HR и информационной безопасности.

1. Минимизировать и продумывать сбор данных. Задайте себе вопрос: а действительно ли необходимо записывать каждое собеседование на видео? Иногда компании идут на запись «про запас», формируя внутренний архив кандидатов и их ответов, чтобы потом пересмотреть при повторном открытии вакансии. Юристы критикуют такую практику: у работодателя нет законной «государственной» цели собирать видеоколлекцию соискателей, и без прямого разрешения людей это неправомерно.

Если видеоинтервью – неотъемлемая часть оценки (например, для распределённых команд это удобнее очных встреч), то, возможно, стоит ограничиться трансляцией без записи. Лайв-общение по видеосвязи ничуть не хуже фиксированной записи решает задачу знакомства с кандидатом, но не оставляет после себя потенциально опасного файла. Альтернатива – делать не сплошную запись всего интервью, а, к примеру, короткие фрагменты или видеоответы на стандартизированные вопросы, которые хранятся недолго. Чем меньше избыточной информации вы собираете, тем меньше риск в будущем.

2. Использовать проверенные защищённые платформы. Если уж записывать – то с умом. Не стоит полагаться на случайные бесплатные сервисы или хранить файлы на личном Google Disc рекрутёра. Сегодня есть специализированные HR-технологии для видеоинтервью с упором на безопасность.

Например, крупные платформы обещают шифрование видео, ограничение доступа и соответствие GDPR по умолчанию (источник hello.hinterview.com). При выборе такого инструмента важно изучить его политику хранения данных: где находятся сервера, как долго провайдер хранит записи, нет ли у него собственных прав на содержимое. «Мой практический совет – обсудить всё с вашим провайдером видеоинтервью и убедиться, что записи будут храниться не дольше оговорённого срока и защищены надёжно», говорит советник SHRM (Общества управления человеческими ресурсами) Патриция Эйфрид (источник shrm.org). Другими словами, контролируйте своих контрагентов: включайте в договоры с подрядчиками пункты о конфиденциальности, требуйте уведомлять вас о инцидентах безопасности, проверяйте наличие сертификатов (ISO 27001, SOC 2 и т.д.) у поставщика.

Не забывайте и про базовые настройки популярных программ для видеосвязи. К примеру, Zoom позволяет включить сквозное шифрование, ставить пароль на конференцию, показывать уведомление «Meeting is being recorded» для всех участников – используйте эти возможности. При записи через Zoom или Teams лучше сохранять файл в зашифрованное облачное хранилище компании, а не на случайный ноутбук. В идеале доступ к записям должен быть только у сотрудников HR-службы, ответственных за найм, и у менеджера, принимающего решение – строго по принципу «need to know» (только тем, кому действительно нужно). Таким образом вы уменьшите риск внутренней утечки, когда видео может разойтись по отделам «ради интереса» или, хуже того, попасть во внешний мир через небрежность кого-то из работников.

3. Чётко регламентировать срок хранения и удаление. Персональные данные не могут храниться бесконечно – это нарушает принцип хранения лишь до достижения целей обработки. Поэтому компании стоит заранее установить внутренние правила: например, удалять видеозаписи интервью спустя определённое время. Многие хранят данные не нанятых кандидатов не дольше 6 месяцев–года (если человек не подошёл сейчас, вряд ли есть смысл держать его запись дольше, только лишний риск).

Если же кандидат принят на работу, видео интервью можно хранить в его личном деле лишь при наличии на то оснований (и лучше тоже оговорить это в согласии). Отработавший своё файл нужно удалять безвозвратно – с резервными копиями включительно. Кстати, кандидату стоит напомнить о его праве отозвать согласие. Это не только требование закона, но и жест доброй воли: так вы формируете доверие. Соискатель, знающий, что может попросить стереть его данные, чувствует себя защищённее и лояльнее к бренду работодателя.

4. Будьте прозрачны с кандидатами. Часто ли HR-ы подробно рассказывают, зачем им видео и как оно будет храниться? В спешке найма про это могут забыть, ограничившись сухой формулировкой «данные нужны для целей подбора». Но в эпоху цифровой грамотности кандидаты ценят открытость. Не стесняйтесь добавить в письмо-приглашение пару строк: «Интервью пройдет по видеосвязи в Skype. Мы не ведём запись без вашего ведома.

Если запись потребуется – мы попросим вас отдельно и объясним, зачем». А если ведёте запись – честно опишите, где она будет храниться, кто посмотрит и когда удалите. Такая privacy-ориентированная коммуникация показывает, что вы уважаете личные данные, и повышает отклик. В конце концов, процесс найма – это двусторонний выбор, и кандидат тоже оценивает вашу культуру обращения с информацией. Как метко заметили на одном HR-форуме, некоторые компании слишком легкомысленно требуют от соискателей «сняться на видео, как в TikTok», забывая, что не все привыкли выставлять себя напоказ и имеют право на осторожность. Так вот, уважительное отношение к приватности – конкурентное преимущество в борьбе за таланты.

5. Осторожнее с искусственным интеллектом. Отдельная тема – использование нейросетевых алгоритмов для анализа видеозаписей интервью. Казалось бы, мечта HR: загрузил видео кандидата, и умная программа по мельчайшим мимическим и голосовым признакам оценила его личность и способности.

Такие решения действительно существуют на рынке, но они несут не только сомнительную точность, но и повышенные риски для приватности. Ведь в этом случае данные кандидата не просто хранятся, а обрабатываются алгоритмом как биометрия. Например, один из экспертов по цифровой приватности, Бен Уинтерс из EPIC, предупреждает: программа может незаметно для всех сделать вывод, что соискатель «ненадёжен» или «неподходящ» просто на основе выражения лица, взгляда или даже предметов на заднем фоне. Это уже вторжение в личное пространство, выходящее за рамки адекватной оценки по профессиональным качествам.

Недаром регуляторы начали пристально смотреть на такие технологии. В штате Иллинойс (США) ещё с 2020 года действует закон об использовании ИИ при видеоинтервью: работодателей обязали заранее уведомлять кандидата, объяснять, как именно работает алгоритм, получать отдельное согласие на анализ видео и даже удалять запись по запросу самого кандидата (источник fisherphillips.com). С 2022-го там ввели требование ежегодно отчитываться о том, как такие интервью проходят и нет ли в результатах расовых диспропорций (источник employmentlawwatch.com). А недавно Иллинойс пошёл ещё дальше, запретив с 2026 года любое использование ИИ в кадровых решениях, если оно ведёт к дискриминации. То есть тренд очевиден: беспристрастность и приватность кандидатов ставятся во главу угла, и слепо доверять алгоритмам, которые «считывают» людей по картинке, нельзя. Если вы применяете AI-инструменты в найме – будьте предельно аккуратны.

Минимум – раскройте соискателю, что его видео будет анализировать машина, и для каких целей. А лучше дважды подумайте, действительно ли такой анализ нужен и корректен. Как показала практика, обещания некоторых сервисов вроде HireVue оказались спорными, и под давлением критики они даже отказались от анализа мимики кандидатов в своих продуктах. В общем, приватность и равные возможности – важнее модных технологий. Нарушив эти принципы, компания рискует и попасть под санкции, и отпугнуть ценных кандидатов.

Вместо вывода: найм без паранойи и нарушений

Видеоинтервью – полезный инструмент, если пользоваться им разумно. За ним будущее, особенно в распределённых командах и международном найме. Но доверие – хрупкая вещь. Кандидат, однажды узнавший, что его личная беседа “гуляет” по офисным чатам или, того хуже, оказалась в открытом доступе, вряд ли захочет иметь дело с такой компанией. И дело не только в репутации: частная жизнь и данные – это то, с чем не шутят.

Защищать персональные данные соискателей при удалённых собеседованиях сегодня вполне реально. Это требует вложений в защиту информации, внимания к юридическим деталям и просто уважения к человеку по ту сторону экрана. Зато взамен компания получает более честный и продуктивный найм. Кандидат, уверенный в конфиденциальности, легче раскрывается на интервью, меньше волнуется о посторонних вещах. А значит, и работодатель может оценить его потенциал без искажающих факторов.

Как метко заметил один из героев интернет-форума: «Интервью – процесс двусторонний». Соискатель продаёт свои навыки, а работодатель – свою культуру и ценности. Если одним из таких ценностей станет бережное отношение к персональным данным, это сыграет на руку всем.

Видеоинтервью тогда перестанет быть пугающим «чёрным ящиком» и превратится в нормальную деловую практику – без паранойи, без нарушения законов и уж точно без утечек. Главное – помнить: в каждом таком файле на сервере HR-хранилища – чья-то история, доверенная вам. Оправдайте это доверие.