Одним из направлений деятельности компании «Интегрус» является помощь с настройкой систем обработки персональных данных работников. Начиная с прошлого года на законодательном уровне закреплены правила, регламентирующие все действия с персональными данными, законодательно закрепляя ответственность работодателей за предоставленную им личную информацию.
Обработка персональных данных сотрудника
Оформляя на работу сотрудников, работодатель, обладающий функцией оператора персональных данных, запрашивает сведения, которые используются по нормам законодательства (налогового, трудового, бухгалтерского). Действует он в рамках Федерального Закона № 152 «О персональных данных». Положение об обработке персональных данных работников предусматривает сохранность сведений, по которым можно идентифицировать человека:
- фамилии/имени/отчества;
- даты/места рождения;
- образования;
- адреса регистрации;
- данных визуальной идентификации;
- семейных связей;
- заработка;
- оценочной информации о профпригодности;
- фактов биографии и предыдущих мест работы.
Положение о защите персональных данных запрещает разглашать вопросы, касающиеся национальности, политических и религиозных убеждений, здоровья, интимных подробностей жизни сотрудников. Все исключения из правил зафиксированы в ч. 2 ст. 10 ФЗ № 152. При обработке разрешается использовать лишь информацию, характеризующую граждан как одну из сторон трудового договора. Вопросы социального и имущественного статуса к ним не относятся.
Защите подлежит информация из:
- удостоверений личности;
- трудовой книжки;
- документов о воинском учете, образовании, семейном положении;
- бухгалтерии;
- анкетирования при устройстве на работу;
- формы Т-2;
- свидетельств о браке, рождении ребенка;
- медицинских документов.
Положение о защите персональных данных работников считает любые манипуляции с вышеупомянутой информацией «обработкой», вне зависимости от этапа записи, систематизации, использования или удаления. Сохранность предоставленной работниками информации возникает при сочетании физической, технической и административной безопасности. Существуют четыре степени защиты, учитывающие объем информации, категорийность данных, тип возможных угроз. Максимальный (первый) подразумевает полноценное хранение и использование общедоступной, биометрической и личной информации.
Ошибки оборачиваются крупными штрафами, проверками Роскомнадзора. Нарушения влекут гражданскую, уголовную, административную, дисциплинарную ответственность. Решение по самостоятельной обработке информации о сотрудниках означает упорядоченность дальнейших действий с пониманием степени требуемой защиты, ее программной и технической реализацией. После оформления юридических документов разрабатываются инструкции и регламенты. Стоимость внедрения разработки включает покупку оборудования и лицензий оплату труда людей, которые в дальнейшем будут поддерживать работу информационной системы.
Роскомнадзор контролирует соблюдение законодательства, производит регулировку взаимоотношений. Техтребования определяются ФСБ и ФСТЭК с целью разработки эффективных механизмов по защите и контролю за исполнением законодательных актов в области защиты информации. От работодателя требуется не допускать утечки информации в руки третьих лиц, не обладающих правами на нее, постоянно осуществляя мониторинг и контроль уровня ее сохранности (восстановления).
Согласие на обработку персональных данных
П. 1 ст. 6 и 9 ФЗ № 152 обязывает получать согласие работника на обработку персональных данных. Во избежание судебного разбирательства рекомендуется оформлять заявление на обработку письменно.
При получении информации о работнике из внешних источников, передаче ее третьим лицам, а также для обработки специальных персональных данных, касающихся убеждений, здоровья, национальности и вероисповедания письменное подтверждение согласия обязательно!
Сотрудник вправе оформить аннулировать его. Продолжить обрабатывать данные, не имея документа о согласии, возможно лишь при наличии весомых причин, перечисленных в пп.2-11 ч.1. ст.6, ч. 2 ст. 10, ч. 2 ст. 11 ФЗ № 152.
Получить согласие на обработку персональных данных сотрудника при наступлении недееспособности можно письменно у его законных представителей, либо в случае смерти – у наследников, если таковое не было оформлено, пока человек был жив.
Работодатель всегда должен информировать о целях использования и способах получения данных о человеке, их характере, уведомлять о последствиях отказа от предоставления нужной информации. Защита, хранение, передача информации, необходимой для реализации трудового договора, не требует согласия.
Порядок и мероприятия по защите персональных данных работников
Порядок обработки персональных данных работников жестко регламентирован законом, и нормативно-правовыми актами. Защитные мероприятия разрабатываются работодателями, работниками (их представителями) совместно. Обработка и защита данных направлены исключительно на:
- содействие в трудоустройстве;
- получение необходимого образования;
- продвижение по служебной лестнице;
- обеспечение безопасности;
- контроль качества и количества работы;
- обеспечение сохранности имущества.
Обрабатывая, используя и защищая данные, работодатель обязан придерживаться определенного алгоритма:
- Сформировать документ, регулирующий правила хранения и использования информации, с которым ознакомить всех сотрудников.
- Утвердить акт с перечнем используемых в рабочем процессе данных о сотруднике, поданных последним письменно и используемых в работе отдела кадров и при подаче документов в госорганы.
- Назначить лиц, которые должны отвечать за обработку и осуществление безопасность собранных данных.
- Собирать все заявления о разрешении сотрудников на обработку их личной информации, журналы по учету движения данных и проверок документов.
- Определить места хранения документов в сейфах и оборудованных шкафах с необходимостью опечатывания.
Защита персональных данных работника компании облачного клиента
Обработка и защита персональных данных работника компании облачного клиента требуются не только предприятиям, но и облачным сервис-провайдерам. Последним необходим комплекс ресурсов, отвечающих за обработку и хранение полученной информации, чтобы защита персональных данных сотрудника либо клиента не имела брешей, через которые возможна утечка информации. Безопасность облачных информсистем сопоставима с ШЕ-инфраструктурой крупных фирм с собственным дата-центром.
Технически защита информации подобным способом максимально надежна, но недешева, поэтому доступна лишь крупным компаниям. Облачный провайдер финансово отвечает перед заказчиками за любую утрату информации и обязан своевременно обновлять средства информационной безопасности. Провайдер не обладает информацией о содержании данных, переданных ему на хранение.
Обработка и защита персональных данных работника допускает передачу информсистем на аутсорсинг, разделяя поровну между сервис-провайдером и оператором юридическую ответственность. Каждый провайдер в обязательном порядке исполняет функцию оператора персональных данных, предоставляя гарантии защиты персональных данных параллельно с первым оператором-заказчиком. Все операторы имеют обязательную аттестацию ФСТЭК и ФСБ, опираются в работе на 152-ФЗ.
Персональные данные работников организации и их защита требуют постоянного внимания операторов. При выборе облачного хранилища информации персональных данных важно, но необязательно, наличие аттестации. Она позволяет судить о соответствии организационных и технических требований безопасности пр.21 ФСТЭК, в соответствии с которым оператор персональных данных имеет:
- Регистрацию в Роскомнадзоре.
- Письменное согласие на обработку данных от всех субъектов, подтверждающую законность действий.
- Внутреннее «Положение об обработке персональных данных» с указанием сферы их использования, возможностей передачи, на основе которого разрабатываются сопутствующие документы.
Право работников на защиту персональных данных устанавливается ТК РФ, федеральным законодательством и обеспечивается работодателем. Срок обработки персональных данных работников ограничивается достижением заранее определенных, конкретных целей.
Работодатель имеет право проводить обработку персональных данных уволенных сотрудников в целях налогового и бухгалтерского учета, храня копии трудовых книжек. При этом работник вправе в письменном виде потребовать уничтожения документов с бывшего места работы с его персональными данными.