Советы / Кадровое делопроизводство
31 августа
656

Как избежать штрафа за работу с персональными данными при удаленной работе

Максимальная сумма штрафа за нарушение требований законодательства об использовании баз данных, находящихся на территории РФ, составляет на сегодняшний день 6 миллионов рублей только за одно нарушение (часть 8 статьи 13.11 КоАП РФ). Игнорировать требования законодательства о персональных данных сегодня крайне неразумно, но и разобраться в этой теме самостоятельно тоже непросто — есть масса нюансов, особенно если вы доверили обработку персональных данных удаленному сотруднику.

Какие особенности работы с персональными данными существуют в отношении дистанционных работников и как эти требования реализовать в повседневной жизни, объясняет юрист, эксперт в области трудового права Александр Южалин.

Сначала придется определиться с основными терминами и определениями, которые нам потребуются в дальнейшем. В статье 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» читаем:

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Если рассматривать содержание вышеприведенных определений в контексте трудовых отношений, то оператор — это работодатель, субъект персональных данных — работник и иные лица, чьи персональные данные обрабатывает оператор. Персональные данные — любая информация, относящаяся к человеку (субъекту персональных данных), с помощью которой его можно идентифицировать. Персональные данные могут быть указаны на бумажных носителях (в документах), а также находиться в информационных системах, в виде, например, электронных документов или баз данных. Обработка персональных данных — любое действие с персональными данными.

Закон определяет порядок обработки персональных данных и правила их передачи и предоставления как внутри компании, так и за ее пределами. Данные требования необходимо соблюдать в контексте дистанционной работы.

Так, если дистанционный работник при выполнении своих должностных обязанностей имеет доступ к персональным данным (в том числе к серверу, электронной почте, бумажным и электронным документам, базам данных), то для правомерной обработки персональных данных, включая их передачу как внутри организации, так и за ее пределы, необходимо закрепить соответствующий порядок.

Для этого рекомендуем разработать отдельный локальный нормативный акт по дистанционной работе с персональными данными. Либо необходимо включить соответствующий раздел в общий локальный нормативный акт, определяющий политику по защите персональных данных в организации в целом (статья 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»).

Обратите внимание! Локальный акт, определяющий политику работодателя в области работы с персональными данными, является обязательным документом в организации.

Локальный акт, который определяет особенности обработки персональных данных дистанционными работниками, не является по закону обязательным. Однако, учитывая специфику дистанционной работы, лучше отдельно регламентировать эти процессы внутри организации. Рекомендуем отразить в таком локальном акте:
  • какие адреса электронной почты будут использоваться для передачи любых персональных данных, включая документы, их содержащие;
  • какие необходимые меры защиты (правовые, организационные и технические) обеспечивает работодатель при обработке персональных данных;
  • к каким системам у работника будет организован доступ (сервер, сайт компании, портал, «1С» и т.д.) в течение дистанционной работы;
  • какие обязанности необходимо выполнять работнику, допущенному к персональным данным (отправка файлов только «под паролем», обезличивание персональных данных (при необходимости) и т.д.);
  • какую ответственность будет нести работник за нарушение порядка работы с персональными данными (уголовная, административная, дисциплинарная — вплоть до увольнения);
  • порядок организации общения по каналам связи между должностными лицами, работающими удаленно, для решения рабочих вопросов, связанных с использованием персональных данных работников и иных лиц;
  • что должен делать работник в случае выявления несанкционированного доступа к персональным данным при удаленной работе (как он может выявить такой несанкционированный доступ);
  • обязанности и ответственность IT-специалистов по организации возможности удаленной работы и допуска работника к защищенной информации.
Этот перечень не является исчерпывающим: если вы сочтете необходимым его расширить, это можно и нужно сделать. Чем подробнее будет регламентирована данная область работы, тем надежнее будут защищены интересы работодателя.

Работника необходимо ознакомить с данным локальным нормативным актом.

Особое внимание следует уделить тому, к каким именно персональным данным работнику действительно необходимо дать доступ. Если для выполнения своей трудовой функции работнику не требуется обрабатывать соответствующие виды персональных данных, доступ к ним должен быть ограничен. Если обработка персональных данных все же необходима, то нужно четко понимать, в каких пределах работнику следует предоставить такой доступ. Не должно получиться так, чтобы у работника был доступ к персональным данным, которые не требуются ему для выполнения своей работы.

В соответствии с требованиями статьи 86 Трудового кодекса РФ и 152-ФЗ «О персональных данных» от 27 июля 2006 года, необходимо определить перечень должностных лиц, имеющих доступ к персональным данным. В локальном акте должен быть закреплен внутренний доступ к персональным данным.

Внутренний доступ к персональным данным бывает полный и ограниченный.

При работе с полным доступом необходимо указать перечень должностей, для которых он установлен, а при ограниченном доступе, помимо должностей, указать перечень персональных данных, к которым допущены работники, и перечень действий с ними с указанием целей обработки. При этом нужно учесть, что обрабатываться могут не только персональные данные работников, но и персональные данные третьих лиц (клиентов, партнёров, контрагентов).

Уделите также внимание основаниям, в соответствии с которыми производится обработка персональных данных работодателем (как оператором) в целом. Перед тем, как начинать обработку персональных данных, работодателю необходимо определиться с тем, какое основание для такой обработки есть и можно ли в принципе начинать обработку данных (в том числе направлять их своим сотрудникам).

Случаи, при которых оператор (в нашем случае работодатель) имеет право обрабатывать персональные данные, установлены статьей 6 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных». Их более 10, однако особенно хотелось бы выделить два момента:

— обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
— обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.

То есть работодатель может обрабатывать персональные данные субъекта в случае, если от такого субъекта получено соответствующее согласие. При этом, чтобы такое основание работало, согласие должно быть оформлено по правилам, установленным статьей 9 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных». И если согласие есть, обработка может производиться.

Однако вместе с этим обработка может производиться и без такого согласия. Речь идет о ситуациях, когда, обрабатывая персональные данные работников или третьих лиц, работодатель выполняет требование закона. Иными словами, для того, чтобы исполнить требование закона, работодатель (оператор) не должен спрашивать на это разрешения или получать предварительно согласие. Обработка происходит потому, что это прямая обязанность оператора. В связи с этим, перед тем как начать обработку тех или иных персональных данных, работодателю (оператору) стоит задать себе вопрос: в каких целях (или для чего) будет производиться обработка персональных данных того или иного лица? Если для того, чтобы выполнить требование закона, то дополнительных согласий получать от субъекта персональных данных не требуется. Если цель какая-то иная, скорее всего вам придется предварительно запрашивать от человека согласие, оформленное в соответствии с требованиями закона (если ваша цель не попадает под другое основание, указанное в статье 6 закона «О персональных данных»).

Совет! Обязательно ознакомьтесь с полным перечнем случаев, в которых оператор (в частности — работодатель) имеет право обрабатывать персональные данные работников и иных лиц.

Наша рубрика с материалами экспертов по кадровому делопроизводству пополняется еженедельно. Чтобы не пропустить самое важное, подпишитесь на наш Телеграм-канал.

Свежие вакансии
Вахта
26 октябряВолжский


Вахта
ВчераВолжский

Будьте первым
Вахта
от 110 000 руб./месяц
26 октябряВолжский

Вахта
26 октябряВолжский