Вопрос. Сотрудник переехал за границу, но продолжает трудиться в компании. Как в этом случае обеспечить защиту переданных?
Рекомендация эксперта ИПК. Вопрос о защите пердсанных является камнем преткновения с сотрудниками, которые работают дистанционно, и работодатель обеспечил им доступ к информационной системе, где содержатся персданные граждан, в том числе работников компании. Проблема пришла со стороны Роскомнадзора. Инспекция труда при выявлении дистанционной работы за границей обещает передавать эти сведения в налоговую и Роскомпандзор (при доступе работника к персональным данным).
Обратите внимание, если работодатель предоставил доступ удаленным сотрудникам, которые трудятся за границей, к персданным, это не является трансграничной передачей. Это важно, так как в некоторых источниках были рекомендации распространять на эту ситуацию обязанности оператора как при трансграничной передаче. Но это некорректно.
Если это не трансграничная передача, то что? Это обычный доступ к персональным данным работников должностных лиц организации. На эту передачу (доступ) закон установил такие требования (ст. 88 ТК РФ):
-
осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;
-
разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций.
Таким образом, при организации дистанционного доступа важно будет доказать, что:
1. Доступ работника организации к ПД работников осуществляется в ЛНА, то есть должность работника допущенного к ПД должна быть прописана в ЛНА.
2. Работник должен быть допущен только к тем ПД, которые необходимы для выполнения функции. Таким образом, у работника может быть полный или ограниченный доступ. При ограниченном доступе важно иметь обоснование необходимости допуска именно к этим ПД.
3. При работе с ПД в ИС, базах данных такой доступ должен быть обеспечен ограничением при входе в ИС по логину, паролю дистанционного работника.
Кроме соблюдения указанных требований, большой проблемой являются риски утечки или несанкционированного доступа к персональным данным. При нахождении рабочего места работника на территории организации такие риски, естественно, гораздо меньше, чем при удаленном рабочем месте. На территории компании организация обеспечивает и организационные и технические средства защиты. А как дистанционный работник организует эти средства защиты, работая, например, в кафе, коворкинге, парке?
Совет
Если работодатель обеспечивает доступ удаленного работника к базам данных, рекомендуем прописывать обязанности работника:
|
Важно, что дистанционный доступ к персданным необходимо учитывать при оценке угроз безопасности ПД. Рекомендуем устанавливать разные уровни угрозы и перечень мероприятий по защите персональных данных при работе дистанционно:
-
на территории РФ;
-
в иностранном государстве;
-
в иностранном государстве, отнесенном к недружественной стране.
Даже если компания пропишет обязанности работника по обеспечению защиты, все равно все риски лежат на работодателе и ответственном лице за защиту персональных данных (ст. 22.1 Закона от 27.07.2006 N 152-ФЗ).
Что можно сделать с дистанционным сотрудником, который нарушил порядок безопасности работы с персональными данными и из-за этого произошел несанкционированный доступ (утечка):
-
уволить по ст. 81 часть первая пункт 6 пп «в» – спорно;
-
привлечь к материальной ответственности – нереально.
Как подстраховаться:
-
исключить доступ дистанционного работника к персональным данным вне зоны контроля работодателя;
-
по возможности, использовать гражданско-правовые договоры, прописывая ответственность, в том числе материальную, исполнителя за нарушения в обеспечении порядка работы с персональными данными.
Скачайте образцы документов для работы: |
|
Бланк приказа о назначении ответственного за обработку персданных
|
|
Образец акта об уничтожении персданных |
|
Пример нового согласия на обработку персданных |
Узнайте о новых требованиях работы с персональными данными в нашем курсе. |