Персональные данные что должно быть в организации: Документы по персональным данным в 2023 году

что важно знать об этом

В компаниях ежедневно происходит работа с персональными данными сотрудников: информацию собирают, обрабатывают, хранят. Если это делать неправильно, то при проверке Роскомнадзор оштрафует, а суммы штрафов внушительные. Из статьи узнаете, что входит в персональные данные, как правильно обращаться с ними, чтобы избежать претензий ведомства и какие изменения учесть с сентября 2022 года.

Содержание   Что относится к персональным данным Как строится работа с персональными данными Изменения в Законе о персональных данных 2022 Персональные данные в организации. Алгоритм работы с ними

Что относится к персональным данным

Персональные данные — это сведения о человеке, которые помогают его идентифицировать.

Согласно Федеральному закону 152-ФЗ — это любая информация, прямо или косвенно связанная с конкретным физическим лицом.

Является ли ФИО персональными данными, по закону да, хотя на основании только этих сведений идентифицировать человека бывает сложно. Помимо однофамильцев встречаются и полные тезки, поэтому только ФИО без привязки к другой информации суды не считают персональными данными. Также как и абстрактный номер телефона или адрес электронной почты.

Работодатели при приеме на работу используют не только ФИО, но и другую информацию о работнике: дата рождения, домашний адрес и номер телефона, семейное положение и сведения об образовании, и даже биометрические данные. Поэтому такой комплекс сведений уже входит в определение персональных данных. 

В законе не закреплен какой-либо определенный перечень персональных данных, но чтобы их классифицировать, выделяют несколько категорий.

Согласно Постановлению Правительства РФ №1119 от 01. 11.2012 г. определяют следующие категории персональных данных:

Название категории	Виды персональных данных
Общие	Сюда относят базовые данные: ФИО, домашний адрес, место работы, номер телефона, e-mail. Эти сведения могут публиковаться в интернете
Специальные	Раса и национальность, политические взгляды, приверженность к той или иной религии, сведения о здоровье и интимной жизни, судимости. Эти данные — личное дело человека и сообщать их кому-то он не обязан
Биометрические	Это биологические и физиологические сведения: группа крови, отпечатки пальцев, фото.   Фотография считается биометрическими персональными данными, если служит для идентификации человека, например, если в компании для допуска установлена система распознавания лиц. Если фото просто прикрепили к личному делу работника, то это не персональные данные
Иные	Сюда входит то, что нельзя отнести к предыдущим группам. Например, бухгалтерская информация по зарплате

Важно! До марта 2021 года существовали общедоступные персональные данные в РФ. После внесли поправку в закон, теперь они называются «персональные данные, разрешенные субъектом для распространения». То есть даже если сам субъект разместит где-то свои данные публично, брать их и публиковать можно только с его согласия.

Как строится работа с персональными данными

Когда организация получает персональные данные работника, корректирует их, систематизирует, использует, хранит — это называется обработка, а сама организация является оператором персональных сведений. 

Работодатель обязан разработать и утвердить локальный акт, который устанавливает порядок сбора и использования персональной информации трудоустроенных и потенциальных сотрудников. В акте нужно закрепить перечень сведений, которые будут запрашивать при приеме на работу, и внести данные о тех, кто будет иметь доступ персональным данным.

Обратите внимание! Работодатель может осуществлять сбор только тех персональных данных, которые требуются для трудовой деятельности. При этом, даже если компания обрабатывает персданные сотрудников в соответствии с трудовым законодательством, необходимо подавать в Роскомнадзор уведомление об обработке персональных данных. Это новое требование закона.

Изменения в Законе о персональных данных 2022

В июле 2022 года вступил в силу Федеральный закон № 266-ФЗ от 14.07.2022 г., который вносит поправки в Закон о персональных данных. Некоторые из них применяют с сентября 2022 года. 

Новый закон о персональных данных внес изменения, большая часть которых касается обработки персональной информации:

• вводится принцип экстерриториальности. Это означает, что если иностранная компания заключила договор с гражданином России, то она становится оператором персональных данных и обязана соблюдать Закон 152-ФЗ наравне с российскими организациями. А если российский работодатель поручил обрабатывать личные данные работника иностранной компании, то отвечать перед ним обязаны и оператор персональных данных и компания-обработчик;
• все операторы персональных данных теперь обязаны сообщать об утечках информации в госсистему обнаружения и ликвидации последствий компьютерных атак (ГосСОПКА). Если произойдет утечка личной информации, то компания обязана в течение 24 часов сообщить об этом в Роскомнадзор и в течение 72 часов провести расследование, найти виновных и доложить о результатах в ГосСОПКА;
• уменьшится срок взаимодействия компании и сотрудника по вопросу персональных данных. Если ранее работник просил предоставить информацию об обработке его личных данных или прекратить их обрабатывать, то компания давала ответ в течение 30 дней. Теперь этот срок равняется 10 рабочим дням. Столько же дней отводится на то, чтобы отреагировать на запрос Роскомнадзора. 

Подробнее, какие изменения внес закон о персональных данных с 1 сентября 2022 года и как действовать работодателям в связи с этим, узнайте в нашем экспресс-курсе.

Персональные данные в организации. Алгоритм работы с ними

Правильно организовать работу с персональной информацией поможет следующая инструкция:

Шаг 1. Сформируйте Положение о персональных данных, в котором зафиксируйте правила обработки и хранения персональных сведений. По новому закону теперь компания должна для каждой цели обработки указывать:

• какие категории персональных данных она будет обрабатывать и их перечень;

• категории субъектов, данные которых обрабатываются;

• как и сколько будут обрабатываться и храниться данные;

• как будут уничтожаться данные, если достигли цели обработки и информация больше не нужна.

Шаг 2. Издайте приказ об утверждении Положения и ознакомьте с ним всех сотрудников под подпись.

Шаг 3. Назначьте ответственного за работу с персональной информацией и составьте допсоглашение к трудовому договору с этим сотрудником, где пропишите новые обязанности.

Также определите, у кого из сотрудников будет доступ к персональным сведениям. Выбранные работники должны подписать соглашение о неразглашении данных.

Шаг 4. Попросите всех сотрудников компании дать согласие на обработку персональных данных. Согласно изменениям в законе теперь согласие на обработку персональных данных помимо конкретного, сознательного и информированного должно быть еще предметным и однозначным. (ст. 9 Закона № 152-ФЗ). Это означает, что из текста документа должно быть понятно, зачем компания собирает персональные сведения, а работник должен ясно выразить, что он не против.

Важно! Если работник молчит или бездействует, это не считаются согласием на обработку персональной информации. Согласие обрабатывать личные сведения, разрешенные для распространения, нужно оформлять отдельно. В нем можно запретить передачу данных неограниченному кругу лиц.

Как правильно составить согласие на распространение персональных данных читайте в статье.

Шаг 5. Храните данные так, чтобы к ним имели доступ только уполномоченные сотрудники. Если персональная информация на бумаге, то хранить стоит в сейфах, несгораемых шкафах или специальном помещении. 

Какие особенности учесть при хранении персональных данных читайте в статье. 

Шаг 6. Обратитесь в Роскомнадзор, если еще этого не сделали. По новым правилам не сообщать ведомству о том, что вы оператор персональных данных можно теперь только в двух случаях: 

• если личные сведения включаются в государственные информационные системы персданных, созданные в целях защиты безопасности государства и общественного порядка;
• когда компания обрабатывает персональную информацию вручную, без автоматизации.

Чтобы уверенно работать с персональными данными узнайте о новых требованиях 2022–2023 года в нашем курсе.

Положение о персональных данных работников — образец 2023 года

Положение о персональных данных работников — образец 2023 года вы найдете в этой статье — должно быть обязательно включено в структуру кадрового документооборота фирмы, имеющей наемных сотрудников. Каковы нюансы составления этого источника? Для чего нужно положение о работе с персональными данными работников? Рассмотрим ответы на эти и другие вопросы, а также приведем образец заполнения такого положения.

Есть вопросы, какие кадровые документы должны быть оформлены в обязательном порядке, как их вести и заполнять? Задайте их на нашем форуме. Например, здесь можно узнать, чем грозит отсутствие согласия на обработку данных.

Что такое персональные данные

Под персональными данными принято понимать любую информацию, относящуюся к человеку — субъекту, определяемому прямо либо косвенно согласно критериям закона «О персональных данных» от 27. 07.2006 № 152-ФЗ.

Данные о человеке попадают под юрисдикцию закона № 152-ФЗ в том случае, если находятся в распоряжении оператора персональных данных или подлежат обработке с его участием (п. 1 ст. 1 закона № 152-ФЗ). Признакам оператора, в частности, соответствуют фирмы, имеющие наемных работников, поскольку они осуществляют обработку широкого спектра сведений о субъектах в процессе выстраивания с ними трудовых отношений.

Полный перечень сведений о работниках, являющихся персональными данными, вы найдете в «КонсультантПлюс». Это важно знать, поскольку к персональной информации относятся не только сведения о работнике, но и его фото, например. Есть и другие интересные моменты. А ведь за нарушения в работе с персональными данными установлены довольно существенные штрафы. Получите бесплатный доступ к К+ и переходите в Путеводитель. Это убережет вас от ошибок и позволит избежать ответственности.

Как составить согласие на обработку персональных данных, смотрите здесь.

См. также «Пропуск с фото может повлечь штраф за персональные данные».

Для чего нужно положение о работе с персональными данными

Нормы ст. 87 ТК РФ, а также п. 2 ст. 18.1 закона № 152-ФЗ предписывают работодателям регламентировать операции с персональными данными своих работников — посредством издания документов, определяющих политику предприятия в области персональных данных, локальных актов по вопросам обработки данных. При этом соответствующие документы и акты должны определять (для каждой цели обработки данных):

• категории и перечни данных;
• категории субъектов, в отношении которых осуществляется обработка персональных данных;
• способы, сроки обработки, хранения данных;
• порядок уничтожения данных при достижении целей осуществления их обработки либо при появлении иных законных оснований.

Документы и акты не могут включать норм, ограничивающих прав субъектов данных, так же, как и возлагающих на предприятие полномочия и обязанности, что не предусмотрены законом.

Отметим, что в действующих федеральных источниках права, четко не определено, каким именно образом данная обязанность должна выполняться. На практике это чаще всего осуществляется посредством разработки и утверждения фирмой внутрикорпоративного положения о персональных данных нанятых работников.

ВАЖНО! С 1 сентября 2022 года у операторов персональных данных появилась новая обязанность — уведомление Роскомнадзора об установлении фактов неправомерной или случайной утечки персональных данных в течение 24 часов после инцидента (ч. 3.1 ст. 21 закона № 156-ФЗ в редакции, действующей с 01.09.2022).

Узнайте больше из специального материала о новых обязанностях операторов персональных данных.

Является ли положение о персональных данных обязательным для работодателя документом? Ответ на этот вопрос дали эксперты «КонсультантПлюс». Получите пробный доступ к системе и переходите в материал.

Положение о персональных данных работников: структура документа

Рассматриваемый документ содержит локальные нормы, определяющие:

• цели и задачи фирмы при работе с персональными данными;
• перечни фактических и потенциально задействуемых в бизнес-процессах компании персональных данных;
• описание операций с данными, практикуемых компанией;
• способы доступа к данным, используемые в фирме;
• обязанности сотрудников фирмы, задействующих при выполнении трудовой функции те или иные данные;
• права сотрудников фирмы на приобретение санкционированного доступа к данным;
• правовые механизмы ответственности работников фирмы за нарушения при операциях с данными.

Персональные данные без штрафов Время прохождения около 5 мин. Пройти тест

Исходя из отмеченного перечня норм, положение об обработке персональных данных работников может быть представлено следующими ключевыми разделами:

• устанавливающим общие положения документа;
• фиксирующим критерии выделения персональных данных из массива информации, задействуемой в документообороте и на иных участках внутрикорпоративных коммуникаций;
• определяющим перечень ключевых операций с персональными данными;
• регламентирующим осуществление соответствующих операций;
• определяющим порядок доступа работников фирмы и иных лиц к данным;
• устанавливающим обязанности сотрудников, участвующих в операциях с данными;
• устанавливающим права сотрудников компании в части получения доступа к таким данным и осуществления необходимых операций с ними;
• определяющим механизмы ответственности сотрудников фирмы за нарушения локальных норм и положений законодательства РФ, регламентирующих операции с персональными данными.

Положение о внутрикорпоративных операциях с персональными данными должен заверить руководитель фирмы. С копией этого документа обязаны ознакомиться все сотрудники под расписку (подп. 6 п. 1 ст. 18.1 закона № 152-ФЗ).

Эксперты «КонсультантПлюс» подробно разъяснили специфику обработки персональных данных работников предприятия. Получите пробный доступ к публикации на данную тему бесплатно.

Где можно скачать образец положения об обработке персональных данных работников

Загрузить актуальный для 2023 года образец внутрикорпоративного положения об операциях с подобными данными вы можете на нашем портале, по ссылке ниже. Для вас доступен источник, соответствующий структуре, рассмотренной нами выше.

Скачать образец

Альтернативный бланк положения о персональных данных работников и образец его заполнения предоставили эксперты КонсультантПлюс. Вы можете скачать бланк и образец такого положения бесплатно по этой ссылке.

Итоги

Каждая фирма, имеющая статус оператора персональных данных (таковыми являются все работодатели), обязана утвердить локальный правовой акт, который регламентирует операции с подобными данными. Чаще всего таким локальным актом становится положение, утверждаемое генеральным директором фирмы.

Ознакомиться с прочими аспектами кадрового документооборота вы можете в статьях:

• «Воинский учет в организации — пошаговая инструкция»;
• «Какой срок хранения документов в архиве организации».

Источники:

• Федеральный закон от 27.07.2006 № 152-ФЗ
• Трудовой кодекс РФ

Как организациям следует выполнять свои требования к конфиденциальности данных?

Image

Данные относятся к наиболее ценным активам, которые необходимо защищать любой ценой. Но в мире бизнеса, управляемом цифровыми технологиями, преобладают киберпреступления, поэтому защита данных и конфиденциальность данных находятся в центре внимания. Растущее использование технологий и растущая подверженность эволюционирующим киберугрозам резко изменили ситуацию с безопасностью данных и конфиденциальностью. По этим причинам международные регулирующие органы по всему миру разработали строгие законы о конфиденциальности данных для предприятий.

Законы о конфиденциальности данных направлены на защиту данных отдельных лиц, а также на предоставление им контроля над своими данными. При наличии множества правил конфиденциальности данных предприятия теперь обязаны соблюдать законы о конфиденциальности данных и обеспечивать соблюдение требований. Для того чтобы организация наилучшим образом соответствовала этим правилам, важно ознакомиться с некоторыми популярными международными законами о конфиденциальности данных, действующими во всем мире. Необходимость глобального обзора обусловлена ​​глобальным присутствием всех компаний, ведущих онлайн-бизнес. Кроме того, многие правила основаны на прецедентах, установленных в других странах.

Международные законы о конфиденциальности данных

Конфиденциальность данных стала высокоприоритетной, особенно после того, как многие глобальные регулирующие и руководящие органы приняли и обеспечили соблюдение различных законов о конфиденциальности данных. Эти законы были приняты для регулирования и обеспечения безопасности деятельности организаций, занимающихся обработкой персональных данных, по обработке данных. В настоящее время 128 стран имеют действующее законодательство о безопасности и конфиденциальности данных для защиты персональных данных. К наиболее известным из них относятся следующие:

• GDPR EU — Общий регламент Европейского Союза о защите данных — один из самых популярных и всеобъемлющих международных законов о конфиденциальности данных. Он регулирует обработку персональных данных граждан ЕС. Организации, обрабатывающие персональные данные граждан ЕС, должны соблюдать GDPR ЕС. Регламент защищает права на конфиденциальность данных физических лиц Европейского Союза.
• GDPR UK — Закон об общем регулировании защиты данных Соединенного Королевства — это довольно новый и недавно принятый закон о конфиденциальности данных в Великобритании. После Brexit 1 января 2021 года вступило в силу Регламент GDPR Великобритании. Согласно новому закону, организации, обрабатывающие персональные данные граждан Великобритании, обязаны соблюдать GDPR Великобритании. Это закон о конфиденциальности данных, который отражает GDPR ЕС с несколькими поправками, характерными для требований Великобритании.
• CCPA . Закон штата Калифорния о конфиденциальности потребителей направлен на защиту личных данных жителей Калифорнии. Это единственный в своем роде закон в Соединенных Штатах, который регулирует обработку данных потребителей и дает потребителям полный контроль над использованием их данных.
• HIPAA — Закон о переносимости и подотчетности медицинского страхования (HIPAA) разработан для защиты конфиденциальной информации о здоровье пациента (PHI). Организации, обрабатывающие PHI, должны соответствовать требованиям HIPAA. Это закон о защите данных, который организации должны соблюдать, применяя необходимые административные, технические и физические меры безопасности для защиты PHI и электронных данных PHI.
• PIPEDA . Закон об электронных документах о защите личной информации (PIPEDA) – это канадский закон о конфиденциальности данных, который защищает способы обработки личной информации организациями частного сектора. Закон регулирует коммерческую деятельность по обработке и применяется ко всем организациям частного сектора в Канаде, которые обрабатывают личные данные граждан для коммерческого использования.
• PDPA (Сингапур) . Основная цель Закона Сингапура о защите персональных данных (PDPA) состоит в том, чтобы «регулировать сбор, использование и раскрытие персональных данных организациями таким образом, который признает как права отдельных для защиты своих личных данных и необходимости организаций собирать, использовать или раскрывать личные данные для целей, которые разумный человек счел бы целесообразными в данных обстоятельствах».
• PDPA Malaysia . Закон Малайзии о защите персональных данных (PDPA) регулирует обработку персональных данных коммерческими организациями. Закон вступил в силу 15 ноября 2013 года и был введен в действие для обеспечения соблюдения определенных обязательств в отношении конфиденциальности данных и защиты прав субъекта данных в отношении предоставления персональных данных. Закон усиливает практику защиты данных и конфиденциальности, тем самым расширяя возможности субъектов данных контролировать свои данные.
• Закон Австралии о конфиденциальности . Закон о конфиденциальности — это законодательство Австралии. Созданный для защиты личной информации граждан Австралии, он является одним из первых в мире законодательных актов о конфиденциальности. Закон, принятый в 1988 году, регулирует порядок обработки личной информации частными и государственными организациями. Закон, в который постоянно вносились изменения с момента его первоначального принятия, способствует обеспечению безопасности и конфиденциальности отдельных лиц и регулирует порядок обращения организаций с личной информацией.
• Новая Зеландия Privacy Ac t . Одним из законов о конфиденциальности, который часто упускают из виду, является Закон Новой Зеландии о конфиденциальности. Что делает этот закон заслуживающим упоминания, так это то, что он содержит любопытный раздел, который позволяет агентству оставлять за собой «решение не подтверждать и не опровергать личную информацию». Это несколько необычно по сравнению со всеми другими законами о конфиденциальности.

Технологии защиты данных

Ожидается, что организации во всем мире будут соблюдать различные правила конфиденциальности данных, в которые они входят. Несоблюдение таких законов может привести к штрафам, санкциям, финансовым потерям и возможной потере репутации. Организации должны внедрять передовые методы и решения для максимальной защиты данных. Внедрение технологий может помочь компании ограничивать и контролировать доступ, а также реагировать на угрозы. Для предотвращения подобных инцидентов и обеспечения защиты данных должны быть реализованы следующие меры:

• Предотвращение потери данных (DLP) — Предотвращение потери данных — это программное обеспечение, которое обнаруживает, отслеживает и контролирует действия, связанные с конфиденциальными данными. Передовая технология может предотвратить серьезные инциденты, такие как утечка данных, случайное удаление данных и эксфильтрация данных.
• Управление идентификацией и доступом (IAM) — IAM — это метод проверки учетных данных и разрешений для всех входов в систему в выбранных системах. Технология гарантирует, что правильный объект получит привилегированный доступ на основе управления доступом на основе ролей. Эта технология обеспечивает гибкие процессы аутентификации, многофакторную аутентификацию, а также безопасность, регистрацию сеансов и управление ими, а также аналогичные функции, предотвращающие несанкционированный доступ.
• Шифрование — Шифрование — это метод защиты данных, который гарантирует, что только пользователь с правильным ключом шифрования может расшифровать данные. Таким образом, данные защищены от разглашения. Это один из самых безопасных способов защиты и обеспечения конфиденциальности данных, поскольку даже в случае кражи данных информация не может быть прочитана неавторизованным пользователем.
• Токенизация . Токенизация — это метод, который включает замену конфиденциальных данных случайными строками символов, известными как токены. Без хранилища токенов пользователь не может отменить или получить доступ к данным. Это еще один способ защиты конфиденциальных данных от несанкционированного доступа.
• Платформа защиты конечных точек (EPP) . Программное обеспечение для защиты конечных точек развертывается на устройствах для предотвращения нарушений безопасности, таких как вредоносное ПО, вторжение, потеря данных и другие вредоносные действия. Программное обеспечение помогает обнаруживать и предотвращать угрозы на конечных точках, таких как серверы, сети, настольные компьютеры, мобильные устройства, принтеры, маршрутизаторы и подключенные устройства. Сетевые порты также могут быть защищены. EPP отслеживает сетевой периметр и фильтрует трафик для обеспечения максимальной безопасности.
• Брандмауэры — Брандмауэры — это сетевые объекты, которые могут состоять как из аппаратного, так и из программного обеспечения. Они предназначены для мониторинга входящего и исходящего сетевого трафика, а также для его фильтрации в соответствии с установленным набором правил.
• Программное обеспечение для удаления данных — Удаление данных — это программное обеспечение, которое можно использовать для удаления электронных данных с любого устройства хранения таким образом, чтобы их нельзя было восстановить. Как только данные будут сочтены неактуальными, они могут быть уничтожены с помощью этой технологии. Таким образом, организации снимут ответственность за хранение ненужных данных. На самом деле удаление данных является требованием многих правил конфиденциальности данных.

Передовой опыт обеспечения конфиденциальности данных

Конфиденциальность и безопасность данных — это принятие и внедрение передового опыта. Следование передовым практикам может помочь организации оптимизировать свои процессы для реализации наилучших мер по обеспечению конфиденциальности данных. Некоторые передовые отраслевые практики включают:

Политики конфиденциальности данных

Политики конфиденциальности данных являются важными документами в процессе обеспечения соответствия требованиям. Это юридический документ, который помогает сотрудникам организации следовать определенным правилам и рекомендациям в соответствии с различным законодательством. Организация должна четко определить сферу своей политики, а также установить четкие правила, направленные на обеспечение конфиденциальности и безопасности данных. Это включает в себя определение процессов и методов, обеспечивающих эффективную реализацию.

Минимальный сбор данных

Лучший способ обеспечить безопасность и конфиденциальность данных — ограничить сбор данных. Организации должны обеспечить сбор и хранение только данных, необходимых для ведения бизнеса, до тех пор, пока в них больше нет необходимости. После этого организация должна обеспечить безопасное удаление данных. Сведение к минимуму сбора данных также может снизить затраты на хранение и уменьшить степень соответствия требованиям.

Обеспечение прозрачности

Клиенты всегда ценят прозрачность, когда речь идет об обработке и хранении их данных. Поэтому важно, чтобы клиенты были включены и предлагали свое согласие в процессе конфиденциальности, включая согласие, уведомление и варианты, позволяющие им изменить свой выбор при сборе данных. Это включает в себя возможность для клиентов отказаться от сбора данных.

Инвентаризация данных

Одним из способов обеспечения конфиденциальности данных является создание реестра данных и их классификация на основе их конфиденциальности. Как только организация узнает о хранимых данных, о том, как они обрабатываются и как они хранятся, становится легче реализовать меры безопасности и конфиденциальности вокруг них. Политики могут быть определены на основе того, как информация собирается, хранится и обрабатывается для обеспечения максимальной безопасности.

Конфиденциальность по дизайну

Конфиденциальность данных по дизайну имеет решающее значение для обеспечения того, чтобы системы и процессы соответствовали стандартам и правилам конфиденциальности и безопасности данных. Конфиденциальность по замыслу должна быть основой, на которой заложены жизненный цикл разработки или бизнес-процессы. Организация должна стремиться к внедрению конфиденциальности в качестве важного компонента на каждом этапе разработки и процесса.

Обучение и осведомленность

Конфиденциальность и безопасность данных должны быть неотъемлемой частью деловой культуры и рабочего процесса. С этой целью каждый сотрудник должен пройти надлежащее обучение передовому опыту в отрасли, преобладающим киберугрозам, требованиям к конфиденциальности данных, руководствам и соответствующим принципам безопасности данных. Кроме того, сотрудники должны быть осведомлены о деловой практике и нести ответственность за признание внутренних политик безопасности и лучших практик кибербезопасности в организации.

Заключение

Конфиденциальность данных важна не только с точки зрения соответствия, но и с точки зрения защиты прав потребителей. В мире, управляемом данными, потребители часто признают и высоко ценят приоритизацию конфиденциальности данных. Это повышает их уверенность в бизнесе и рабочем процессе в отношении их личных данных. Установка конфиденциальности в качестве основы бизнес-процессов и политик поможет организациям успешно выполнять требования конфиденциальности данных в соответствии с различными отраслевыми стандартами и правилами.

---

Об авторе: Нарендра Саху (PCI QSA, PCI QPA, CISSP, CISA и CRISC) является основателем и директором VISTA InfoSec , глобальной консалтинговой фирмы по информационной безопасности, базирующейся в США. , Сингапур и Индия. Г-н Саху имеет более чем 25-летний опыт работы в ИТ-индустрии, специализируясь на консультировании по вопросам информационных рисков, оценке и предоставлении услуг по соблюдению нормативных требований. VISTA InfoSec специализируется на аудите информационной безопасности, консалтинге и услугах по сертификации, которые включают GDPR, HIPAA , CCPA, NESA, MAS-TRM, PCI DSS Compliance and Audit, PCI PIN, SOC2, PDPA и PDPB, и это лишь некоторые из них. С 1994 года VISTA InfoSec сотрудничает с организациями по всему миру для решения проблем нормативно-правовой базы и информационной безопасности в их отрасли. VISTA InfoSec сыграла важную роль, помогая ведущим многонациональным компаниям обеспечить соответствие требованиям и защитить свою ИТ-инфраструктуру.

Примечание редактора:   Мнения, выраженные в этой статье приглашенного автора, принадлежат исключительно автору и не обязательно отражают точку зрения Tripwire, Inc.

Руководство HR по защите данных сотрудников

Защита данных сотрудников становится все более важной для организаций, стремящихся соблюдать глобальные законы о конфиденциальности. Это заставляет отделы кадров всех организаций быть ответственными хранителями данных своих сотрудников.

Еще в 2016 году в Snapchat произошла утечка данных сотрудников. Заработная плата 700 нынешних и бывших сотрудников была взломана злоумышленником, выдававшим себя за генерального директора социальной сети Эвана Шпигеля. Это было катастрофой для репутации компании.

В этой статье рассказывается о распространенных заблуждениях работодателей в отношении защиты персональных данных сотрудников. Затем обсуждаются современные правила конфиденциальности, после чего следует обзор обязательств работодателя в течение всего жизненного цикла сотрудника.

Что такое защита данных сотрудников?

Защита данных сотрудников – это действие по обеспечению защиты персональных данных сотрудников во время работы в компании. Персональные данные включают в себя такую ​​информацию, как имя, адрес, номера социального страхования, реквизиты банковского счета и т. д. Компания должна обеспечить, чтобы никто не имел доступа к этой информации без согласия сотрудника.

Неправильные представления о данных сотрудников

Когда работодатель нанимает сотрудника, у него есть ряд прав на использование его личных данных. Чаще всего работодатели имеют определенные заблуждения о том, что они могут и не могут делать с персональными данными сотрудников в соответствии с законом. Вот самые распространенные заблуждения, которые может иметь работодатель в отношении защиты данных своих сотрудников.

1. Работодатели считают, что им не нужно уведомлять сотрудников перед обработкой данных. Однако большинство глобальных законов о конфиденциальности требуют, чтобы работодатели уведомляли своих сотрудников о каждом случае сбора и обработки данных.
2. Работодатели считают, что они имеют неограниченное право контролировать своих сотрудников по соображениям безопасности и производительности. Однако большинство глобальных законов о конфиденциальности разрешают наблюдение за сотрудниками только при определенных условиях и до тех пор, пока такое наблюдение не является необоснованно навязчивым для сотрудников.
3. Работодатель, находящийся в США, считает, что законы других стран на него не распространяются. Это неверно, поскольку такие законы, как GDPR, могут применяться и в США, если, например, они обрабатывают данные, принадлежащие резидентам ЕС. Большинство глобальных законов о конфиденциальности имеют экстратерриториальное применение. Поэтому для организации важно определить, какие законы о конфиденциальности применяются к ней в зависимости от места жительства их сотрудников, гражданства, места работы или любых других соответствующих факторов.
4. Работодатели считают, что утечка данных приведет к штрафам. Это может быть так, но это зависит от серьезности нарушения и его воздействия. Помимо штрафов, работодателей также могут попросить предоставить дополнительные услуги по смягчению последствий для сотрудников, пострадавших от нарушения, а также пересмотреть или модернизировать свои системы безопасности, чтобы гарантировать, что нарушение не произойдет снова.

Глобальные законы о конфиденциальности данных о защите данных сотрудников

Если мы посмотрим на любую организацию, отдел кадров всегда хранит большие объемы личных данных и конфиденциальных личных данных о своих бывших, нынешних и потенциальных сотрудниках.

Диапазон личных данных, хранящихся в отделе кадров организации, может быть от их имени, номера социального страхования, адреса, даты рождения, предыдущих адресов до их медицинской, финансовой и другой конфиденциальной личной информации. Попав в чужие руки, эти данные могут быть опасны и могут привести к краже личных данных и другим угрозам.

Чтобы решить эту проблему, в правилах конфиденциальности данных во всем мире действуют законы, обязывающие работодателей защищать личные данные сотрудников и предотвращать случаи их нарушения. Эти законы также предоставляют сотрудникам права на их данные. Давайте посмотрим на обязательства, которые работодатели несут в соответствии с основными мировыми законами о конфиденциальности.

Европейский союз

1. Закон, регулирующий личные данные заявителя и работника?
Общий регламент по защите данных (GDPR)

2. Нужно ли мне иметь заявление о конфиденциальности или соглашение?
Принцип прозрачности требует, чтобы работодатели информировали своих сотрудников об их правах в отношении их личных данных и их методах сбора данных. Поэтому важно иметь заявление о конфиденциальности или соглашение.

3. Как долго я должен хранить данные сотрудников? Что такое лучшая практика?
GDPR требует от работодателей хранить данные в форме, позволяющей идентифицировать субъектов данных, не дольше, чем это необходимо для целей, для которых они обрабатываются.

4. Могу ли я передавать данные сотрудников за границу?
Персональные данные, передаваемые в третью страну за пределами ЕС, могут иметь место только в том случае, если обеспечен адекватный уровень защиты или существуют меры безопасности в случае передачи в неадекватные страны. Данные, передаваемые за пределы ЕС, и последующий доступ к ним других организаций внутри группы должны оставаться ограниченными до минимума, необходимого для намеченных целей.

5. Могу ли я передать данные сотрудника третьему лицу?
При передаче персональных данных сотрудников третьим лицам работодатель несет ответственность за оценку того, соответствует ли обработчик данных требованиям GDPR.

6. Каковы последствия нарушения?
GDPR ограничивает размер наказания 4% от мирового годового оборота или 20 млн евро — в зависимости от того, что больше, в зависимости от вида и серьезности нарушения. Субъекты данных имеют право подать жалобу в надзорный орган и получить компенсацию.

Соединенные Штаты Америки (Калифорния)

1. Закон, регулирующий личные данные заявителя и сотрудника?
Закон штата Калифорния о конфиденциальности потребителей (CCPA)

2. Нужно ли мне иметь заявление о конфиденциальности или соглашение о работе с данными сотрудников?
Рекомендуется, но не требуется по закону.

3. Как долго я должен хранить данные сотрудников? Что такое лучшая практика?
CCPA не требует хранения информации в течение какого-либо фиксированного периода, но рекомендуется не хранить информацию дольше, чем это необходимо.

4. Могу ли я передавать данные сотрудников за границу?
Особых ограничений на передачу личных данных за границу нет.

5. Могу ли я передать данные сотрудника третьему лицу?
Предприятия должны заключать контракты с поставщиками услуг, которым они раскрывают персональные данные своих сотрудников в деловых целях. Передача или продажа ПД работника третьей стороне не ограничена — работодатели должны только информировать своих сотрудников о том, что и кому продается в уведомлении, предоставляемом во время сбора ПД.

6. Каковы последствия нарушения?

• Расследование Генерального прокурора Калифорнии;
• Подача гражданского иска Генеральным прокурором Калифорнии, если обнаружится, что причиной нарушения было несоблюдение разумных и надлежащих мер безопасности для защиты личных данных сотрудников.
• Максимальные гражданские штрафы в размере 7500 долларов США за умышленные нарушения и минимальные гражданские штрафы в размере 2500 долларов США за непреднамеренные нарушения CCPA могут быть назначены судом;
• Сотрудники могут подавать частные иски о возмещении убытков в размере от 100 до 750 долларов США или о возмещении фактического ущерба (в зависимости от того, какая сумма больше) за каждый случай нарушения, если будет обнаружено, что причиной нарушения было несоблюдение разумных и надлежащих мер безопасности для защиты ИП сотрудников.

Бразилия

1. Закон, регулирующий личные данные заявителей и сотрудников?
Lei Geral de Protecao de Dados (LGPD)

2. Нужно ли мне иметь заявление о конфиденциальности или соглашение о работе с данными сотрудников?
Предприятия должны информировать сотрудников о своих методах работы с данными в уведомлении о конфиденциальности.

3. Как долго я должен хранить данные сотрудников? Какова наилучшая практика?
Ожидается, что работодатели удалят персональные данные сотрудников, когда:

• Цель обработки достигнута или данные больше не нужны или не подходят для достижения конкретной намеченной цели;
• Период обработки закончился;

Однако работодатели могут сохранять личные данные в хранилище по определенным исключительным причинам, таким как соблюдение правовых или нормативных обязательств.

4. Могу ли я передавать данные сотрудников за границу?
LGPD имеет строгие ограничения на передачу личной информации за границу. Страна назначения должна иметь «адекватный уровень защиты», или должна быть использована защита для защиты передаваемых данных, или должно быть какое-то другое обоснование для передачи.

5. Могу ли я передать данные сотрудника третьему лицу или обработчику?
LGPD требует, чтобы контролер данных получил согласие субъектов данных, прежде чем передавать личные данные субъекта данных третьей стороне (если не применяется отказ).

6. Каковы последствия нарушения?
После расследования, проведенного ANPD, штрафы в размере до 2% от доходов организации в Бразилии за финансовый год (общая максимальная сумма составляет не более пятидесяти миллионов реалов), а также ежедневные штрафы, блокировка и удаление уязвимые персональные данные, включая частичную или полную приостановку деятельности по обработке данных на 6 месяцев, а также частичный или полный запрет деятельности по обработке данных в Бразилии. Также важно помнить, что бразильская конституция и закон о защите прав потребителей позволяют субъектам данных или их представителям возбуждать частные иски против контролеров данных за ущерб, причиненный несоблюдением LGDP.

Новая Зеландия

1. Закон, регулирующий личные данные заявителя и сотрудника?
Закон Новой Зеландии о конфиденциальности 2020 г. («Закон о конфиденциальности»).

2. Нужно ли мне иметь заявление о конфиденциальности или соглашение о работе с данными сотрудников?
Закон о конфиденциальности требует, чтобы работодатели информировали своих сотрудников о фактах сбора информации, целях сбора информации, предполагаемых получателях информации, последствиях непредоставления информации и их правах на доступ к своей личной информации и ее исправление. Поэтому рекомендуется иметь заявление о конфиденциальности.

3. Как долго я должен хранить данные сотрудников? Что такое лучшая практика?
Данные сотрудника не должны храниться дольше, чем это требуется для целей, для которых они могут использоваться на законных основаниях.

4. Могу ли я передавать данные сотрудников за границу?
Работодатель может передавать личную информацию сотрудников за пределы Новой Зеландии только в том случае, если страна назначения обеспечивает гарантии, сопоставимые с теми, которые предусмотрены Законом Новой Зеландии о конфиденциальности, страна назначения является частью установленной обязательной схемы, изданной правительством Новой Зеландии, или если сотрудник прямо разрешает раскрытие личной информации после того, как он был проинформирован о неадекватных стандартах защиты данных иностранного государства.

5. Могу ли я передать данные сотрудника третьему лицу?
Работодатель не должен раскрывать личную информацию сотрудников другой организации или любому лицу, если для этого нет разумных оснований в соответствии с Законом о конфиденциальности.

6. Каковы последствия нарушения?

• Уголовное преследование (в случае осуждения может быть наложен штраф в размере не более 10 000 долларов США.
• Гражданское наказание в соответствии с решением, принятым Директором Трибунала по пересмотру прав человека.
• Частное право на иск пострадавшего лица или представителя от имени лица или группы лиц.

Сингапур

1. Существует ли закон, регулирующий личные данные заявителя/сотрудника?
Закон о защите персональных данных от 2012 г.

2. Нужно ли мне иметь заявление о конфиденциальности или соглашение о работе с данными сотрудников?
Да. В соответствии с PDPA организации должны сформулировать и внедрить политику и практику, чтобы уведомлять сотрудников о целях, для которых их личные данные (включая записи с камер видеонаблюдения) собираются, используются или раскрываются, и получать их согласие, если не применяется какое-либо исключение.

3. Как долго я должен хранить данные сотрудников? Какова наилучшая практика?
PDPA не устанавливает срок хранения персональных данных. Однако организация должна прекратить хранить свои документы, содержащие личные данные, или удалить средства, с помощью которых личные данные могут быть связаны с конкретным сотрудником, как только будет разумно предположить, что цель сбора больше не служит сохранению. ; и хранение больше не требуется для деловых или юридических целей.

4. Могу ли я передавать данные сотрудников за границу?
Да. PDPA требует, чтобы организация, передающая персональные данные за границу, принимала меры для обеспечения сопоставимого стандарта защиты персональных данных за границей.

5. Могу ли я передать данные сотрудника третьему лицу?
Если данные работника передаются третьей стороне с целью управления или прекращения трудовых отношений, для такой передачи не требуется согласия, но работодатель должен уведомить соответствующих работников о целях такой передачи.

6. Каковы последствия нарушения?
Если будет установлено, что организация нарушает какое-либо положение PDPA, Комиссия по защите персональных данных может начать расследование поведения организации. Организации также может быть предписано принять любые меры по исправлению положения для обеспечения соблюдения PDPA, включая уплату финансового штрафа в размере до 1 миллиона сингапурских долларов. PDPA также предписывает, что любое лицо, понесшее убытки или ущерб непосредственно в результате нарушения со стороны организации, может подать частный гражданский иск в отношении таких понесенных убытков или ущерба.

HR Жизненный цикл обязательств сотрудников

Отделу кадров любой организации необходимо помнить о своих обязательствах на протяжении всего срока службы сотрудников, с момента приема на работу до окончания периода занятости. Давайте посмотрим на обязательства, о которых HR должен помнить в течение жизненного цикла сотрудника.

Обязательства в процессе найма и отбора:

В процессе найма работодатель должен помнить о следующих обязательствах по защите данных:

1. Работодатели должны информировать соискателей о типах личных данных, которые они потребуют от них предоставить, и о целях, для которых они будут использоваться.
2. Сбор данных в процессе найма должен быть ограничен и связан с выполнением работы, на которую претендуют.
3. Формы заявлений должны содержать разрешения от претендентов на работу, если их личные данные собираются от третьих лиц, таких как предыдущие работодатели или рекомендации.
4. Проверка биографических данных не должна быть чрезмерно навязчивой, и перед ее началом необходимо получить разрешение соискателя работы — результаты этих проверок являются очень конфиденциальной информацией, и поэтому их следует тщательно защищать.
5. Сохранение личных данных неудачно соискателей должно быть ограничено — сохранять их данные только для рассмотрения их на предмет будущих вакансий, если они согласны на это — или удалять личные данные.
6. Оценка кандидатов с использованием общедоступных данных разрешена некоторыми глобальными законами о конфиденциальности, такими как CCPA. Тем не менее, требования могут отличаться от одного закона к другому. Например, GDPR позволяет работодателям проводить проверку биографических данных на основе общедоступной информации только при наличии законного основания для обработки этих данных. Это требует от работодателей учитывать, связана ли общедоступная информация, такая как профиль заявителя в социальных сетях, с деловыми или личными целями, поскольку это может быть важным показателем юридической допустимости проверки данных.

Обязательства в течение срока пребывания в должности

В течение периода занятости работодатель должен помнить о следующих обязательствах по защите данных: сбор и обработка их персональных данных.

Сбор, обработка и хранение персональных данных работников должны быть ограничены тем, что необходимо, уместно и соразмерно любой функции, которую работодатель выполняет в контексте трудовых отношений.

Работодатель, как правило, должен избегать полагаться на согласие работников на обработку большей части данных на работе из-за дисбаланса полномочий между работодателем и работником. Исключительные обстоятельства, при которых можно полагаться на согласие, могут включать получение согласия от сотрудников на добровольные программы льгот для сотрудников, поскольку отказ не влечет неблагоприятных последствий для трудовых отношений. Такое согласие должно быть свободно дано и хорошо задокументировано.

Работодатели могут иметь возможность контролировать производительность своих сотрудников, безопасность и соблюдение политик компании. Однако они обязаны информировать сотрудников о таком мониторинге до его проведения и применять надлежащие меры безопасности для защиты данных, собранных в ходе мониторинга.

Работодатели должны проводить оценки на основе рисков и принимать меры для снижения рисков конфиденциальности своих сотрудников, прежде чем они будут проводить профилирование или любую другую деятельность по обработке данных с высоким уровнем риска с данными своих сотрудников. Действия по обработке данных с высоким риском могут включать сбор медицинских данных для медицинского страхования, профилирование для оценки эффективности или другие процессы принятия решений, связанные с трудоустройством.

Работодатели обязаны выполнять права DSR сотрудников в установленные сроки. Эти права включают право запрашивать доступ к своим личным данным, удалять свои личные данные или отказываться от определенных форм обработки. Как правило, доступ и изменение данных, которые могут нанести ущерб управлению и функционированию работодателя или содержат информацию третьих лиц, освобождаются от требований DSR сотрудников.

Работодатели должны обеспечить наличие надлежащих и разумных мер безопасности для защиты данных своих сотрудников. Если доступ к данным сотрудников получен, получен или скомпрометирован в результате инцидента безопасности, работодатели должны уведомить пострадавших сотрудников и/или регулирующие органы в установленные сроки в соответствии с применимым законодательством о конфиденциальности.

Работодатели должны оценивать практику конфиденциальности внешних третьих сторон и поставщиков, с которыми они заключают контракты на обработку данных своих сотрудников по любой причине, например. Кадровые услуги, договоры безопасности или услуги медицинского страхования и т. д. Лучше всего иметь договорные соглашения, содержащие гарантии защиты передаваемых данных.

Работодатели должны регулярно обновлять свои кадровые записи, чтобы отражать точную и необходимую личную информацию о своих сотрудниках. Неточная, устаревшая или нежелательная информация должна быть изменена или удалена.

Обязательства при увольнении

После увольнения сотрудника работодатели должны соблюдать следующие обязательства по защите данных:

1. Работодатели должны иметь четкую политику и процедуры хранения данных. Личные данные сотрудников и бывших сотрудников, которые больше не нужны, должны быть удалены, а все, что требуется для законных целей (юридических, бухгалтерских, налоговых или будущих должностей), должно храниться в отдельных защищенных базах данных с ограниченным доступом.
2. Работодатели должны получить согласие увольняющихся сотрудников, если они хотят сохранить свои данные для будущих должностей.
3. Бывшие работники имеют право доступа к своим персональным данным, хранящимся у работодателя. Однако работодатели не обязаны обновлять и исправлять личные данные бывших сотрудников.

Как Securiti может помочь?

Данные растут в геометрической прогрессии, и работодатели собирают все больше и больше персональных данных своих сотрудников. Чтобы соответствовать законам о конфиденциальности, организациям необходимо иметь оптимизированный и автоматизированный процесс, с помощью которого они могут управлять данными своих сотрудников.

• Securiti предлагает комплексное решение для работодателей, позволяющее охватить все основы любых правил конфиденциальности и обеспечить их соблюдение. Вот некоторые из модулей, которые Securiti использует, чтобы помочь организациям соответствовать требованиям.
Решение Securiti Data Mapping Solution
• помогает работодателям проводить эффективное сопоставление данных, которое может помочь им определить правильную правовую основу и обеспечить законную обработку данных.
• Securiti помогает работодателям создавать уведомления о конфиденциальности и включать аналитику конфиденциальных данных для обеспечения соблюдения конфиденциальности во всех действиях и проектах по обработке данных.
• Решение Securiti для оценки воздействия на конфиденциальность данных включает ИИ, чтобы автоматизация оценки запускала и проводила оценку на основе рисков.
• Решение Securiti для управления утечками данных быстро выявляет скомпрометированные данные и затрагиваемые субъекты данных в случае нарушения безопасности. Он использует встроенное исследование конфиденциальности, чтобы помочь организациям доставлять уведомления о нарушениях в течение нескольких часов после инцидента безопасности.

  No related posts.