Какие персональные данные сотрудника штрафоопасны: Штрафы за персональные данные в 2022 году

Как реагировать на утечку персональных данных клиентов

15 апреля 2019

Советы

Обратите внимание на дату публикации материала: информация могла устареть из-за изменений в законодательстве или правоприменительной практике.

Своевременное принятие эффективных мер при нарушении конфиденциальности данных клиентов компании позволит снизить их отток и уменьшить размеры возмещаемого ущерба и санкций

Из новостей мы нередко слышим о крупных утечках персональных данных. Но что делать, если это случилось в вашей компании?

Грамотное реагирование на подобные инциденты требует серьезной подготовки. И хотя это не избавит вас от всех негативных последствий произошедшего, но может значительно уменьшить ущерб.

Как утекают данные и почему это опасно?

Сценарии утечки персональных данных и связанные с этим риски индивидуальны для каждой компании и зависят от специфики ее деятельности, используемых технологий, внедренных механизмов защиты и др.

Причинами утечки могут стать, например, деятельность хакеров, ошибочное или злонамеренное действие сотрудника.

Последствия для клиентов, конфиденциальность чьих данных была нарушена, во многом зависят от состава раскрываемой информации. Мошеннические действия от имени пострадавшего, спам, шантаж, дискриминация (например, в результате раскрытия сведений о заболеваниях) – вот далеко не полный их перечень. Убытки может понести и компания, которая допустила утечку данных.

Снизить негативный эффект помогает продуманное и оперативное реагирование, а потому к утечке нужно быть готовым.

Почему важно реагировать на утечку персональных данных?

Уменьшение оттока клиентов

Согласно исследованию PwC в России, потребители обеспокоены атаками и хотят знать о них. Так, 89% опрошенных согласны, что компании должны извещать о таких атаках клиентов и общественность. 88% участников исследования не будут покупать у компании товары и пользоваться ее услугами, если не верят, что та ответственно подходит к защите персональных данных своих клиентов.

Чем более открыто и профессионально компания действует при утечке, тем меньше будет отток клиентов. Это особенно важно для организаций, работающих в здравоохранении, фармацевтике, сфере услуг и технологическом секторе, где изначально велика вероятность оттока клиентов в подобных случаях.

Уменьшение размера санкций

Если компания подпадает под действие GDPR – Общего регламента о защите персональных данных, то некорректное реагирование на утечку может привести к штрафу до 10 млн евро или 2% от годового оборота – в зависимости от того, что больше. При этом утечка персональных данных сама по себе не является нарушением. GDPR допускает, что она может произойти даже при обеспечении надлежащей защиты. Но, например, попытка скрыть утечку или недостаточно оперативное реагирование на нее – уже нарушение.

Вместе с тем своевременное реагирование поможет уменьшить вред, причиненный людям, чьи данные были раскрыты, что может сказаться на размере штрафа. Примером служит следующий случай: немецкая социальная сеть известила надзорный орган в Германии об утечке персональных данных 330 000 пользователей, произошедшей в июле 2018 г. Компании назначили относительно небольшой штраф в размере 20 000 евро благодаря взаимодействию с регулятором, открытости и готовности улучшать меры защиты.

Уменьшение размера возмещаемого ущерба

Если вы оператор персональных данных, может потребоваться возмещение ущерба клиентам. Если вы обработчик данных по поручению, на это вправе рассчитывать ваш заказчик – оператор персональных данных. Размер компенсации будет зависеть от понесенного ущерба.

При этом состав мер реагирования может предусматривать действия, направленные на уменьшение вреда, причиненного клиентам. А это повлияет на сумму компенсации.

Уменьшение потери стоимости компании

Некорректное реагирование на утечку способно усугубить ситуацию.

Доверие инвесторов может быть потеряно так же, как и доверие клиентов. По данным британской исследовательской компании Comparitech, утечка оказывает долгосрочный негативный эффект на стоимость акций.

С чего начать?

1. Даже представление о том, что относится к персональным данным, а что нет, может быть разным у сотрудников компании. Необходимо создать единый центр компетенций. Это не обязательно должен быть отдел или выделенная рабочая группа. Для небольшой организации достаточно одного опытного человека. Главное, чтобы он обладал авторитетом, необходимым для обеспечения единого подхода к защите персональных данных.
2. После следует структурировать информацию о процессах обработки персональных данных: кому они принадлежат, в каких бизнес-процессах обрабатываются, для каких целей, в каком составе и т.д. Составление такого реестра – непростая задача, но с момента его появления управление процессами обработки и защиты данных значительно упрощается.
3. При составлении реестра нелишним будет указать внутренние и внешние заинтересованные стороны. Внутри компании это могут быть, например, бизнес-владельцы данных, юристы и маркетологи, вовне – клиенты, контрагенты, надзорные органы. Это пригодится при построении процедур реагирования.
4. Важно выявлять события, указывающие на возможную утечку. Без налаженных процедур идентификации об эффективных ответных действиях не может быть и речи. Невозможно реагировать на событие, о котором не знаешь.

Как выявить события, сигнализирующие об утечке?

Технические средства

Если есть возможность использовать технические средства – используйте их. Могут быть полезны DLP-системы, инструменты анализа логов информационных систем и прочие средства мониторинга.

В то же время важно помнить, что определяющим успех фактором является не наличие программного обеспечения, а актуальная информация о процессах обработки персональных данных, событиях, указывающих на утечку, и регулярный их анализ.

Работа с обращениями

Сотрудники, клиенты и другие люди могут рассказать об утечке. Необходимо дать им такую возможность. Желательно, чтобы канал коммуникации был анонимным и максимально простым. Важно, чтобы внешние каналы можно было легко найти, внутренние должны быть известны всем сотрудникам.

Не стоит забывать и про контрагентов. Требования о своевременном информировании представителей вашей компании о нарушениях безопасности персональных данных должны быть включены в договор.

Мониторинг информационного пространства

Существуют программы, которые по ключевым словам собирают публикации в СМИ. Это не только интернет-СМИ, но и офлайн-периодика, радио и телеэфир, а также социальные сети. Такой мониторинг позволяет выявить утечки, которые пока не идентифицированы другими способами, и своевременно на них отреагировать.

Контрольная закупка

Представители вашей компании могут действовать в роли лиц, покупающих персональные данные ваших клиентов.

Зная о том, какие именно данные покупают, и системы, где они обрабатываются, вы можете отслеживать, кто обращался к этой информации, и таким образом выходить на злоумышленников. Этот метод применим не всегда, но в определенных случаях может быть очень эффективным.

Как работать с утечкой внутри компании?

Правильно классифицировать инциденты

Все обозначенные ранее методы направлены на выявление признаков утечки. Но не каждый инцидент, касающийся информационной безопасности, будет связан с нарушением конфиденциальности и реальной утечкой персональных данных. Если одинаково реагировать на все, то времени на по-настоящему критичные случаи может попросту не хватить.

Сформировать кросс-функциональную группу

Для уточнения информации о произошедшем событии может потребоваться вовлечение смежных подразделений, в первую очередь центра компетенций по персональным данным. Состав группы реагирования и критерии вовлечения тех или иных лиц должны быть определены заранее. И слово «заранее» ключевое, когда мы говорим об эффективном реагировании.

Заранее определить порядок реагирования

Он должен быть настолько подробным, насколько возможно. Это позволит сократить время, затрачиваемое на принятие необходимых мер. Порядок действий следует тестировать как непосредственно при внедрении, так и позже в формате учений. Особенно если данные процедуры задействуются редко.

Контролировать промежуточные сроки

На каждом этапе реагирования должен быть определен ответственный сотрудник, который будет контролировать промежуточные сроки. Своевременная идентификация заминок позволит вовремя принимать компенсирующие меры и сократить общее время реакции.

Документировать принимаемые решения

Это может пригодиться для демонстрации корректности мер реагирования регуляторам, а также для последующего разбора и оптимизации процесса внутри компании. Документирование всех нарушений безопасности персональных данных также является требованием GDPR.

Итоговая отчетность и принятие компенсирующих мер

Рекомендуется составлять отчетность по произошедшему инциденту и, что еще важнее, предпринимать действия для недопущения подобных событий в будущем, будь то реально произошедшая утечка или ложное срабатывание технического средства.

Кого необходимо уведомить об утечке?

Если к компании применим GDPR, необходимо уведомить надзорные органы в Европе.

В России пока нет закона, обязывающего информировать надзорные органы об утечке персональных данных. Однако он может в скором времени появиться в связи с подписанием в октябре 2018 г. протокола о внесении изменений в Конвенцию Совета Европы о защите персональных данных, предусматривающего такую обязанность.

Важно помнить, что уведомлять, возможно, потребуется и органы, которые не связаны напрямую с персональными данными. Например, ФинЦЕРТ¹, у которого есть собственные правила уведомления, или правоохранительные органы, если компания намерена привлечь нарушителя к ответственности.

В некоторых случаях сведения об утечке должны быть переданы клиентам, конфиденциальность данных которых была нарушена. Например, когда утечка может привести к высоким для них рискам (раскрытие медицинских сведений, данных для входа в систему интернет-банкинга и т.д.). Клиентам нужно предоставить детальную информацию о действиях, которые они могут предпринять, чтобы защитить себя. Сообщение должно быть написано на простом и понятном языке.

Размещение информации в СМИ также может оказаться хорошей идеей, например, когда необходимо быстро проинформировать тысячи потерпевших, полный список которых сложно установить. Но этот инструмент с трудом поддается контролю и может серьезно навредить. Особенно если у вас пока недостаточно информации и ресурсов для того, чтобы ответить на возникающие у клиентов вопросы.

Требования об уведомлении могут предъявляться со стороны контрагентов или материнской компании. Важно не забыть и про собственных сотрудников: каждый должен знать, что вопросы от СМИ необходимо переадресовать в пресс-службу. Позиция компании должна быть единой.

Не запутаться в том, кому, в какие сроки и что именно сообщать, помогут меры, принятые на предыдущих этапах. Каждое сообщение об утечке должно быть адаптировано под целевую аудиторию. Заранее подготовленные шаблоны коммуникаций помогут сэкономить время. При этом не стоит забывать: спешка и формальный подход не принесут пользы, а только навредят.

---

¹ Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере – структурное подразделение Департамента информационной безопасности Центрального банка РФ.

Валерий Фадеев предложил провести в Госдуме слушания по вопросу о единой биометрической системе

Аргументы Недели → Общество → № 50(845) от 21 декабря 2022 13+

20 декабря 2022, 18:19 Сергей НИКИТИН

Совет по правам человека при Президенте России давно и небезуспешно борется за права россиян на цифровом фронте. Инициативы членов Совета неоднократно поддерживал и сам Владимир Путин. Глава СПЧ на прошедшей неделе выступил с очередными предложениями.

Валерий Фадеев просит Госдуму провести парламентские слушания по законопроекту о единой биометрической системе.

24 ноября Госдума приняла в первом чтении законопроект №211535-8, предусматривающий создание единой биометрической системы персональных данных граждан. Он вызвал большой общественный резонанс на фоне всё новых сообщений об утечках персональных данных.

Члены Совета проанализировали положения законопроекта, которые могут привести к ущемлению конституционных прав граждан, и составили экспертное заключение. Как отмечается в заключении, негативные последствия в случае утечки биометрических персональных данных кратно выше, поскольку граждане, чьи паспортные данные были обнародованы, могут сменить номера документов, но не смогут сменить отпечатки пальцев или голос.

Кроме того, предусмотренный законопроектом принудительный сбор биометрических персональных данных может привести к дискриминации тех граждан, которые откажутся от предоставления данных, например, в части трудовых прав.

Глава СПЧ Валерий Фадеев направил этот документ спикеру Госдумы Вячеславу Володину с просьбой организовать проведение парламентских слушаний по законопроекту с привлечением представителей научных, экспертных, религиозных и общественных организаций.

Одной из главных тем для СПЧ в цифровой сфере являются утечки персональных данных, представляющие опасность для их прав. Действия, а подчас бездействие Минцифры неоднократно становились предметом критики со стороны членов СПЧ.

Минцифры РФ предлагает ввести штрафы для компаний за утечку персональных данных в размере до 3% от оборота.

«Конечно, до 3% оборотные штрафы заставят компании инвестировать значительно больше средств в свою безопасность», – считает министр Максут Шадаев.

Члены СПЧ оценивают это предложение как разумное, но резонно замечают, что хотелось бы увидеть и сам законопроект, который, по словам главы Минцифры, они сейчас обсуждают с IT-отраслью.

Напомним, что вопрос об ужесточении ответственности (оборотные штрафы и уголовные статьи) поднял на встрече президента с членами СПЧ Кирилл Кабанов. «Пока это всё не отрегулировано и нуждается в дополнительном регулировании. И наверное, есть необходимость и ужесточения ответственности за правонарушения в этой сфере», – отметил тогда глава государства.

Подписывайтесь на Аргументы недели: Новости | Дзен | Telegram

• эксклюзив
• СПЧ
• Валерий Фадеев
• законопроект
• ЕБС
• права человека

Новости МирТесен

Политика

Политика

Политика

Политика

В мире

Политика

Экономика

Спорт

Природа

Политика

Общество

Происшествия

Армия

Общество

Происшествия

Политика

Общество

Политика

Новости МирТесен

В мире

Общество

Политика

Общество

Руководство HR по защите данных сотрудников

Защита данных сотрудников становится все более важной для организаций, стремящихся соблюдать глобальные законы о конфиденциальности. Это заставляет отделы кадров всех организаций быть ответственными хранителями данных своих сотрудников.

Еще в 2016 году в Snapchat произошла утечка данных сотрудников. Заработная плата 700 нынешних и бывших сотрудников была взломана злоумышленником, выдававшим себя за генерального директора социальной сети Эвана Шпигеля. Это было катастрофой для репутации компании.

В этой статье рассказывается о распространенных заблуждениях работодателей в отношении защиты персональных данных сотрудников. Затем обсуждаются современные правила конфиденциальности, после чего следует обзор обязательств работодателя в течение всего жизненного цикла сотрудника.

Что такое защита данных сотрудников?

Защита данных сотрудников – это действие по обеспечению защиты персональных данных сотрудников во время работы в компании. Персональные данные включают в себя такую ​​информацию, как имя, адрес, номера социального страхования, реквизиты банковского счета и т. д. Компания должна обеспечить, чтобы никто не имел доступа к этой информации без согласия сотрудника.

Неправильные представления о данных сотрудников

Когда работодатель нанимает сотрудника, у него есть ряд прав на использование его личных данных. Чаще всего работодатели имеют определенные заблуждения о том, что они могут и не могут делать с персональными данными сотрудников в соответствии с законом. Вот самые распространенные заблуждения, которые могут возникнуть у работодателя в отношении защиты данных своих сотрудников.

1. Работодатели считают, что им не нужно уведомлять сотрудников перед обработкой данных. Однако большинство глобальных законов о конфиденциальности требуют, чтобы работодатели уведомляли своих сотрудников о каждом случае сбора и обработки данных.
2. Работодатели считают, что они имеют неограниченное право контролировать своих сотрудников по соображениям безопасности и производительности. Однако большинство глобальных законов о конфиденциальности разрешают наблюдение за сотрудниками только при определенных условиях и до тех пор, пока такое наблюдение не является необоснованно навязчивым для сотрудников.
3. Работодатель, находящийся в США, считает, что законы других стран на него не распространяются. Это неверно, поскольку такие законы, как GDPR, могут также применяться в США, если, например, они обрабатывают данные, принадлежащие резидентам ЕС. Большинство глобальных законов о конфиденциальности имеют экстратерриториальное применение. Поэтому для организации важно определить, какие законы о конфиденциальности применяются к ней в зависимости от места жительства их сотрудников, гражданства, места работы или любых других соответствующих факторов.
4. Работодатели считают, что утечка данных приведет к штрафам. Это может быть так, но это зависит от серьезности нарушения и его последствий. Помимо штрафов, работодателей также могут попросить предоставить дополнительные услуги по смягчению последствий для сотрудников, пострадавших от нарушения, а также пересмотреть или модернизировать свои системы безопасности, чтобы гарантировать, что нарушение не произойдет снова.

Глобальные законы о конфиденциальности данных о защите данных сотрудников

Если мы посмотрим на любую организацию, отдел кадров всегда хранит большие объемы личных данных и конфиденциальных личных данных о своих бывших, нынешних и потенциальных сотрудниках.

Диапазон личных данных, хранящихся в отделе кадров организации, может быть от их имени, номера социального страхования, адреса, даты рождения, предыдущих адресов до их медицинской, финансовой и другой конфиденциальной личной информации. Попав в чужие руки, эти данные могут быть опасны и могут привести к краже личных данных и другим угрозам.

Чтобы решить эту проблему, в правилах конфиденциальности данных во всем мире действуют законы, обязывающие работодателей защищать личные данные сотрудников и предотвращать случаи их нарушения. Эти законы также предоставляют сотрудникам права на их данные. Давайте посмотрим на обязательства, которые работодатели несут в соответствии с основными мировыми законами о конфиденциальности.

Европейский союз

1. Закон, регулирующий личные данные заявителя и работника?
Общий регламент по защите данных (GDPR)

2. Нужно ли мне иметь заявление о конфиденциальности или соглашение?
Принцип прозрачности требует, чтобы работодатели информировали своих сотрудников об их правах в отношении их личных данных и их методах сбора данных. Поэтому важно иметь заявление о конфиденциальности или соглашение.

3. Как долго я должен хранить данные сотрудников? Что такое лучшая практика?
GDPR требует от работодателей хранить данные в форме, позволяющей идентифицировать субъектов данных, не дольше, чем это необходимо для целей, для которых они обрабатываются.

4. Могу ли я передавать данные сотрудников за границу?
Персональные данные, передаваемые в третью страну за пределами ЕС, могут иметь место только в том случае, если обеспечен адекватный уровень защиты или существуют гарантии на случай передачи в неадекватные страны. Данные, передаваемые за пределы ЕС, и последующий доступ к ним других организаций внутри группы должны оставаться ограниченными до минимума, необходимого для намеченных целей.

5. Могу ли я передать данные сотрудника третьему лицу?
При передаче персональных данных сотрудников третьим лицам работодатель несет ответственность за оценку того, соответствует ли обработчик данных требованиям GDPR.

6. Каковы последствия нарушения?
GDPR ограничивает размер наказания 4% от глобального годового оборота или 20 млн евро — в зависимости от того, что больше, в зависимости от вида и серьезности нарушения. Субъекты данных имеют право подать жалобу в надзорный орган и получить компенсацию.

Соединенные Штаты Америки (Калифорния)

1. Закон, регулирующий личные данные заявителя и сотрудника?
Закон штата Калифорния о конфиденциальности потребителей (CCPA)

2. Нужно ли мне иметь заявление о конфиденциальности или соглашение о работе с данными сотрудников?
Рекомендуется, но не требуется по закону.

3. Как долго я должен хранить данные сотрудников? Что такое лучшая практика?
CCPA не требует хранения информации в течение какого-либо фиксированного периода, но рекомендуется не хранить информацию дольше, чем это необходимо.

4. Могу ли я передавать данные сотрудников за границу?
Особых ограничений на передачу личных данных за границу нет.

5. Могу ли я передать данные сотрудника третьему лицу?
Предприятия должны заключать контракты с поставщиками услуг, которым они раскрывают личные данные своих сотрудников в деловых целях. Передача или продажа персональных данных сотрудника третьей стороне не имеет ограничений — работодатели должны только информировать своих сотрудников о том, что и кому продается в уведомлении, предоставленном во время сбора персональных данных.

6. Каковы последствия взлома?

• Расследование Генерального прокурора Калифорнии;
• Подача гражданского иска Генеральным прокурором Калифорнии, если обнаружится, что причиной нарушения было несоблюдение разумных и надлежащих мер безопасности для защиты личных данных сотрудников.
• Максимальный гражданско-правовой штраф в размере 7 500 долларов США за умышленные нарушения и минимальный гражданский штраф в размере 2 500 долларов США за непреднамеренное нарушение CCPA может быть назначен судом;
• Сотрудники могут подавать частные иски о возмещении убытков в размере от 100 до 750 долларов США или о возмещении фактического ущерба (в зависимости от того, что больше) за каждый случай нарушения, если будет обнаружено, что причиной нарушения было отсутствие принятия разумных и надлежащих мер безопасности для защиты PI. сотрудников.

Бразилия

1. Закон, регулирующий личные данные заявителя и сотрудника?
Lei Geral de Protecao de Dados (LGPD)

2. Нужно ли мне иметь заявление о конфиденциальности или соглашение о работе с данными сотрудников?
Предприятия должны информировать сотрудников о своих методах работы с данными в уведомлении о конфиденциальности.

3. Как долго я должен хранить данные сотрудников? Какова наилучшая практика?
Ожидается, что работодатели удалят персональные данные сотрудников, когда:

• Цель обработки достигнута или данные больше не нужны или не подходят для достижения конкретной намеченной цели;
• Период обработки закончился;

Однако работодатели могут сохранять личные данные в хранилище по определенным исключительным причинам, таким как соблюдение правовых или нормативных обязательств.

4. Могу ли я передавать данные сотрудников за границу?
LGPD имеет строгие ограничения на передачу личной информации за границу. Страна назначения должна иметь «адекватный уровень защиты» или должна быть использована защита для защиты передаваемых данных, или должно быть какое-то другое обоснование для передачи.

5. Могу ли я передать данные сотрудника третьему лицу или обработчику?
LGPD требует, чтобы контролер данных получил согласие субъектов данных, прежде чем передавать личные данные субъекта данных третьей стороне (если не применяется отказ).

6. Каковы последствия взлома?
После расследования, проведенного ANPD, штрафы в размере до 2% от доходов организации в Бразилии за финансовый год (общая максимальная сумма составляет не более пятидесяти миллионов реалов), а также ежедневные штрафы, блокировка и удаление уязвимые персональные данные, включая частичную или полную приостановку деятельности по обработке данных на 6 месяцев, а также частичный или полный запрет деятельности по обработке данных в Бразилии. Также важно помнить, что бразильская конституция и закон о защите прав потребителей позволяют субъектам данных или их представителям возбуждать частные иски против контролеров данных за ущерб, причиненный несоблюдением LGDP.

Новая Зеландия

1. Закон, регулирующий личные данные заявителя и сотрудника?
Закон Новой Зеландии о конфиденциальности 2020 г. («Закон о конфиденциальности»).

2. Нужно ли мне иметь заявление о конфиденциальности или соглашение о работе с данными сотрудников?
Закон о конфиденциальности требует, чтобы работодатели информировали своих сотрудников о фактах сбора информации, целях сбора информации, предполагаемых получателях информации, последствиях непредоставления информации и их правах на доступ к своей личной информации и ее исправление. Поэтому рекомендуется иметь заявление о конфиденциальности.

3. Как долго я должен хранить данные сотрудников? Что такое лучшая практика?
Данные сотрудника не должны храниться дольше, чем это необходимо для целей, для которых они могут использоваться на законных основаниях.

4. Могу ли я передавать данные сотрудников за границу?
Работодатель может передавать личную информацию сотрудников за пределы Новой Зеландии только в том случае, если страна назначения обеспечивает гарантии, сопоставимые с теми, что предусмотрены в Законе Новой Зеландии о конфиденциальности, страна назначения является частью обязательной схемы, установленной правительством Новой Зеландии, или если сотрудник прямо разрешает раскрытие личной информации после того, как он был проинформирован о неадекватных стандартах защиты данных иностранного государства.

5. Могу ли я передать данные сотрудника третьему лицу?
Работодатель не должен раскрывать личную информацию сотрудников другой организации или любому лицу, если для этого нет разумных оснований в соответствии с Законом о конфиденциальности.

6. Каковы последствия нарушения?

• Уголовное преследование (в случае осуждения может быть наложен штраф в размере не более 10 000 долларов США.
• Гражданское наказание в соответствии с решением, принятым Директором Трибунала по пересмотру прав человека.
• Частное право на иск пострадавшего лица или представителя от имени лица или группы лиц.

Сингапур

1. Существует ли закон, регулирующий личные данные заявителя/сотрудника?
Закон о защите персональных данных от 2012 г.

2. Нужно ли мне иметь заявление о конфиденциальности или соглашение о работе с данными сотрудников?
Да. В соответствии с PDPA организации должны сформулировать и внедрить политику и практику, чтобы уведомлять сотрудников о целях, для которых их личные данные (включая записи с камер видеонаблюдения) собираются, используются или раскрываются, и получать их согласие, если не применяется какое-либо исключение.

3. Как долго я должен хранить данные сотрудников? Какова наилучшая практика?
PDPA не устанавливает срок хранения персональных данных. Однако организация должна прекратить хранить свои документы, содержащие личные данные, или удалить средства, с помощью которых личные данные могут быть связаны с конкретным сотрудником, как только будет разумно предположить, что цель сбора больше не служит цели сбора. удержание; и хранение больше не требуется для деловых или юридических целей.

4. Могу ли я передавать данные сотрудников за границу?
Да. PDPA требует, чтобы организация, передающая персональные данные за границу, принимала меры для обеспечения сопоставимого уровня защиты персональных данных за границей.

5. Могу ли я передать данные сотрудника третьему лицу?
Если данные работника передаются третьему лицу с целью управления или прекращения трудовых отношений, для такой передачи не требуется согласия, но работодатель должен уведомить соответствующих работников о целях такой передачи.

6. Каковы последствия нарушения?
Если будет установлено, что организация нарушает какое-либо положение PDPA, Комиссия по защите персональных данных может начать расследование поведения организации. Организации также может быть предписано принять любые меры по исправлению положения для обеспечения соблюдения PDPA, включая уплату финансового штрафа в размере до 1 миллиона сингапурских долларов. PDPA также предписывает, что любое лицо, понесшее убытки или ущерб непосредственно в результате нарушения со стороны организации, может подать частный гражданский иск в отношении таких понесенных убытков или ущерба.

HR Обязанности сотрудников на протяжении всего жизненного цикла

Отделу кадров любой организации необходимо помнить о своих обязательствах на протяжении всего срока службы сотрудников, с момента приема на работу до окончания периода занятости. Давайте посмотрим на обязательства, о которых HR должен помнить в течение жизненного цикла сотрудника.

Обязанности в процессе найма и отбора:

В процессе найма работодатель должен помнить о следующих обязательствах по защите данных:

1. Работодатели должны информировать соискателей о типах личных данных, которые они потребуют от них предоставить, и о целях, для которых они будут использоваться.
2. Сбор данных в процессе найма должен быть ограничен и связан с выполнением работы, на которую претендуют.
3. Формы заявлений должны содержать разрешения от претендентов на работу, если их личные данные собираются от третьих лиц, таких как предыдущие работодатели или рекомендации.
4. Проверка биографических данных не должна быть чрезмерно навязчивой, и перед ее началом необходимо получить разрешение соискателя работы — результаты этих проверок являются очень конфиденциальной информацией, и поэтому их следует тщательно защищать.
5. Хранение личных данных неудачно соискателей должно быть ограничено — сохранять их данные только для рассмотрения их на предмет будущих вакансий, если они дадут на это согласие — или удалить личные данные.
6. Оценка кандидатов с использованием общедоступных данных разрешена некоторыми глобальными законами о конфиденциальности, такими как CCPA. Тем не менее, требования могут отличаться от одного закона к другому. Например, GDPR позволяет работодателям проводить проверку биографических данных на основе общедоступной информации только при наличии законного основания для обработки этих данных. Это требует от работодателей учитывать, связана ли общедоступная информация, такая как профиль заявителя в социальных сетях, с деловыми или личными целями, поскольку это может быть важным показателем юридической допустимости проверки данных.

Обязательства в течение срока пребывания в должности

В течение периода занятости работодатель должен помнить о следующих обязательствах по защите данных: сбор и обработка их персональных данных.

Сбор, обработка и хранение персональных данных работников должны быть ограничены тем, что необходимо, уместно и соразмерно любой функции, которую работодатель выполняет в контексте трудовых отношений.

Как правило, работодателю следует избегать полагаться на согласие сотрудников при обработке большей части данных на работе из-за дисбаланса полномочий между работодателем и работником. Исключительные обстоятельства, при которых можно полагаться на согласие, могут включать получение согласия от сотрудников на добровольные программы льгот для сотрудников, поскольку отказ не влечет неблагоприятных последствий для трудовых отношений. Такое согласие должно быть свободно дано и хорошо задокументировано.

Работодатели могут иметь возможность контролировать производительность своих сотрудников, безопасность и соблюдение политик компании. Однако они обязаны информировать сотрудников о таком мониторинге до его проведения и применять надлежащие меры безопасности для защиты данных, собранных в ходе мониторинга.

Работодатели должны проводить оценки на основе рисков и принимать меры для снижения рисков конфиденциальности своих сотрудников, прежде чем они будут проводить профилирование или любую другую деятельность по обработке данных с высоким риском с данными своих сотрудников. Действия по обработке данных с высоким риском могут включать сбор медицинских данных для медицинского страхования, профилирование для оценки эффективности или другие процессы принятия решений, связанные с трудоустройством.

Работодатели обязаны выполнять права DSR сотрудников в установленные сроки. Эти права включают право запрашивать доступ к своим личным данным, удалять свои личные данные или отказываться от определенных форм обработки. Как правило, доступ и изменение данных, которые могут нанести ущерб управлению и функционированию работодателя или содержат информацию третьих лиц, освобождаются от требований DSR сотрудников.

Работодатели должны обеспечить наличие надлежащих и разумных мер безопасности для защиты данных своих сотрудников. Если доступ к данным сотрудников получен, получен или скомпрометирован в результате инцидента безопасности, работодатели должны уведомить пострадавших сотрудников и/или регулирующие органы в установленные сроки в соответствии с применимым законодательством о конфиденциальности.

Работодатели должны оценить практику конфиденциальности внешних третьих сторон и поставщиков, с которыми они заключают контракты на обработку данных своих сотрудников по любой причине, например. Кадровые услуги, договоры безопасности или услуги медицинского страхования и т. д. Лучше всего иметь договорные соглашения, содержащие гарантии защиты передаваемых данных.

Работодатели должны регулярно обновлять свои кадровые записи, чтобы отражать точную и необходимую личную информацию о своих сотрудниках. Неточная, устаревшая или нежелательная информация должна быть изменена или удалена.

Обязательства при увольнении

После увольнения сотрудника работодатели должны соблюдать следующие обязательства по защите данных:

1. Работодатели должны иметь четкую политику и процедуры хранения данных. Личные данные сотрудников и бывших сотрудников, которые больше не нужны, должны быть удалены, а все, что требуется для законных целей (юридических, бухгалтерских, налоговых или будущих должностей), должно храниться в отдельных защищенных базах данных с ограниченным доступом.
2. Работодатели должны получить согласие увольняющихся сотрудников, если они хотят сохранить свои данные для будущих должностей.
3. Бывшие работники имеют право доступа к своим персональным данным, хранящимся у работодателя. Однако работодатели не обязаны обновлять и исправлять личные данные бывших сотрудников.

Как Securiti может помочь?

Данные растут в геометрической прогрессии, и работодатели собирают все больше и больше персональных данных своих сотрудников. Чтобы соответствовать законам о конфиденциальности, организациям необходимо иметь оптимизированный и автоматизированный процесс, с помощью которого они могут управлять данными своих сотрудников.

• Securiti предлагает комплексное решение для работодателей, позволяющее охватить все основы любых правил конфиденциальности и обеспечить их соблюдение. Вот некоторые из модулей, которые Securiti использует, чтобы помочь организациям соответствовать требованиям.
Решение Securiti Data Mapping Solution
• помогает работодателям проводить эффективное сопоставление данных, которое может помочь им определить правильную правовую основу и обеспечить законную обработку данных.
• Securiti помогает работодателям создавать уведомления о конфиденциальности и включать аналитику конфиденциальных данных для обеспечения соблюдения конфиденциальности во всех действиях и проектах по обработке данных.
• Решение для оценки воздействия на конфиденциальность данных Seucriti включает в себя искусственный интеллект, позволяющий автоматизации оценки инициировать и проводить оценки на основе рисков.
• Решение Securiti для управления утечками данных быстро выявляет скомпрометированные данные и затронутые субъекты данных в случае инцидента безопасности. Он использует встроенное исследование конфиденциальности, чтобы помочь организациям доставлять уведомления о нарушениях в течение нескольких часов после инцидента безопасности.
Решение для управления поставщиками
• Securiti позволяет работодателям оценивать своих поставщиков на основе заранее определенной оценки риска, а также предлагает централизованный процесс для оценки того, насколько сторонние поставщики соблюдают применимые правила конфиденциальности.
• Securiti предлагает решение для автоматизации DSR, чтобы помочь работодателям соблюдать все права своих сотрудников и упростить процесс осуществления этих прав. Этот процесс превращает ручную работу в автоматизированную систему, которая поможет предприятиям эффективно обрабатывать запросы субъектов данных и обеспечит координацию между заинтересованными сторонами для проверки и утверждения.

Заключение

Ручные методы устаревают, и будущее без автоматизации выглядит мрачным. Если работодатели надеются соответствовать растущим требованиям глобальных правил конфиденциальности, им необходимо ввести в действие свои процессы и перейти к автоматизации.

Securiti является пионером в области роботизированной автоматизации и создала целое решение, основанное на этой концепции. Узнайте, как Securti и PrivacyOps Framework могут помочь вам легко и эффективно соблюдать глобальные законы о конфиденциальности. Запросите демонстрацию сегодня.

Штрафы/пени – Общий регламент по защите данных (GDPR)

Национальные органы могут или должны налагать штрафы за конкретные нарушения защиты данных в соответствии с Общим регламентом по защите данных. Штрафы применяются в дополнение или вместо дополнительных средств правовой защиты или корректирующих полномочий, таких как приказ о прекращении нарушения, инструкция по корректировке обработки данных в соответствии с GDPR, а также право налагать временное или окончательное ограничение. включая запрет на обработку данных. По положениям, касающимся процессоров, он может быть подвергнут санкциям напрямую и/или совместно с контролером.

Штрафы должны быть эффективными, пропорциональными и оказывающими сдерживающее воздействие в каждом отдельном случае. Для принятия решения о том, может ли быть наложено наказание и какой уровень, у властей есть установленный законом перечень критериев, которые они должны учитывать при принятии решения. Среди прочего, умышленное нарушение, непринятие мер по уменьшению причиненного ущерба или отсутствие сотрудничества с властями могут увеличить размер штрафных санкций. За особо тяжкие нарушения, перечисленные в ст. 83(5) Общего регламента по защите данных, размер штрафа может составлять до 20 миллионов евро или, в случае предприятия, до 4 % от их общего мирового оборота за предыдущий финансовый год, в зависимости от того, что больше. Но даже перечень менее серьезных нарушений в ст. 83(4) GDPR устанавливает штрафы в размере до 10 миллионов евро или, в случае предприятия, до 2% от всего его глобального оборота за предыдущий финансовый год, в зависимости от того, что больше. Особенно важно здесь то, что термин «предприятие» эквивалентен тому, что используется в ст. 101 и 102 Договора о функционировании Европейского Союза (TFEU). Согласно прецедентному праву Европейского суда, «концепция предприятия охватывает любое юридическое лицо, занимающееся экономической деятельностью, независимо от правового статуса субъекта или способа его финансирования». Таким образом, предприятие может состоять не только из одной отдельной компании в смысле юридического лица, но и из нескольких физических или юридических лиц. Таким образом, всю группу можно рассматривать как одно предприятие, а ее общий годовой оборот по всему миру можно использовать для расчета штрафа за нарушение GDPR одной из ее компаний. Кроме того, каждое государство-член должно установить правила в отношении других наказаний за нарушение Регламента, которые еще не охвачены ст. 83. Скорее всего, это уголовные наказания за определенные нарушения GDPR или штрафы за нарушение национальных правил, которые были приняты на основе гибких положений GDPR. Национальные санкции также должны быть эффективными, пропорциональными и служить сдерживающим фактором.

Наказуемая ситуация в компании может быть выявлена ​​в результате упреждающих инспекционных мероприятий, проводимых органами по защите данных, неудовлетворенным сотрудником или клиентами или потенциальными клиентами, которые жалуются властям, через самообвинение компании или в прессе в целом, особенно в журналистских расследованиях.