Pravo-76.ru

Юридический журнал
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Обязательство о неразглашении персональных данных работников 2021 и 2021

С учетом активного перехода компаний в цифру и на удаленную работу, вероятность утечки или хищения персональных данных (ПДн) возрастает, возрастают и репутационные риски и риски внеплановых проверок Роскомнадзора, прокуратуры и ФСБ.

С момента принятия 152-ФЗ «О персональных данных» правительство и Роскомнадзор не раз задавались вопросом — как повысить ответственность операторов ПДн за утечки?

Причина тому — ежегодный рост утечек ПДн граждан. Способов использования похищенных данных достаточно много, от банальных рассылок спама до продуманных схем социальной инженерии. Вот наиболее частые:

  • Распространение вирусов и вредоносного ПО через рассылки спама на почту, мессенджеры, соцсети людей, чьи данные были похищены.
  • Кража аккаунтов в социальных сетях в целях шантажа, компрометация публичных личностей.
  • Проникновение в сеть организаций для хищения ценной информации (клиентская база, ноу-хау, заявки от клиентов) или же шифрования серверов и ПК сотрудников в целях вымогательства денег.
  • Предложения о покупке сомнительных лекарств и непроверенных способов лечения на основе полученных медицинских данных.
  • Склонение людей к противоправным действиям, пользуясь их слабостями.
  • Деяния уголовных элементов, сексуальных маньяков, продавцов наркотиков в отношении детей.
  • Социальная инженерия. Мошенники часто представляются сотрудниками банков и манипулируют людьми с целью получения денежных средств или сообщения информации, которая позволит им получить доступ к банковским счетам и картам.

По данным отчета Центрального банка, за первые шесть месяцев 2020 года было зафиксировано более 300 тысяч несанкционированных операций со средствами граждан, совершенных без их согласия. Их объем составил порядка 4 млрд рублей. Это на 39% больше того же периода 2019 года.

Ежегодный рост утечек ПДн налицо. Законодатели призывают к ответственности путем повышения штрафов, увеличения числа проверок для того, чтобы компании принимали меры по обеспечению безопасности обрабатываемых ими ПДн.

Unsplash

Несанкционированный доступ к персональным данным – какие пробелы исправить работодателю

Федеральный закон от 30.12.2020 N 515-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения конфиденциальности сведений о защищаемых лицах и об осуществлении оперативно-розыскной деятельности» изменил 29 декабря 2020 года пункт 6 части 2 статьи 19. Оператора персональных данных, т.е. работодателя и его полномочные лица (в частности: кадровиков, бухгалтеров, системных администраторов), обязали обратить особое внимание на факты несанкционированного доступа к персональным данным и принимать меры по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных, а также меры по реагированию на инциденты в них.

Читать еще:  Профессии связанные с психологией список где может работать психолог

Многие работодатели это делали, делают и будут делать без напоминания регулятора, но это новшество обязывает обратить внимание на:

  • технологии обнаружения несанкционированного доступа,
  • поведение работников, привыкших «делиться» данными своей учетной записи с соседями по кабинету, по трудовой функции,
  • элементарные сообщения специализированных программ (наличие таковых) и документирование их отработки,

К сожалению, перечисленное является бытовым, привычным проявлением несанкционированного доступа к персональным данным, повсеместно распространенным, с которым бороться сложно. Но новшество касается именно этих «дыр» в политике обработки данных работодателем, в информационной безопасности персональных данных юридического лица.

Раскрытие данных без согласия

Обновленная редакция закона о персональных данных затрагивает тему несанкционированного их раскрытия. Каждое лицо, распространившее и обработавшее ПД, обязано самостоятельно доказывать правомерность дальнейшего распространения и использования персданных, если данные раскрыты неопределенному кругу лиц:

  • субъектом персданных без предоставления согласия оператору;
  • по причине правонарушения (преступления);
  • в следствие форс-мажора.

Почему закон поменялся?

Специалисты уверены, что дело в кибермошенниках, которые активны в последнее время. Например, в 2020 году они украли у россиян 10 миллиардов рублей, а это на 52, 2 % больше, чем в 2019 году. Это происходит и потому, что пользователи активно оставляют данные в сети. Они соглашаются на обработку данных, но затем информация утекает в третьи руки.

Данные используют для обзвона, но это не самое страшное. Плохо, если информация попадает в руки хакеров, которые с ее помощью крадут деньги. В итоге власти решили, что надо ужесточить правила работы с данными, чтобы сайты не раздавали их направо и налево.

Когда дается обязательство о неразглашении персональных данных

Персональные данные (далее — ПД) работника должны быть надежно защищены от доступа третьих лиц. За нарушение правил работы с личной информацией предусмотрена различного рода ответственность.

Читать еще:  Режим труда и отдыха оптимальные режимы труда и отдыха

В соответствии со ст. 88 ТК РФ разрешение на доступ к ПД сотрудникам организации предоставляет работодатель. При этом, в соответствии с п. 7 ч. 1 ст. 86 ТК РФ, именно работодатель обязан обеспечить сохранность ПД от доступа третьих лиц. Для этого принимаются различные меры, которые не позволят посторонним получить доступ к личным данным сотрудников.

В числе мер, которые могут быть использованы для обеспечения конфиденциальности, — оформление обязательства о неразглашении персональных данных.

Отзыв согласия

Работник организации в любой момент имеет право отозвать свое согласие на обработку и распространение персональных данных.

Для этого ему достаточно будет подтвердить свое решение письменным требованием в произвольной форме.

В документе следует указать:

  • ФИО заявителя;
  • контакты заявителя;
  • ПДн, обработку и распространение которых необходимо прекратить.

Работодатель должен прекратить пользоваться информацией в течение трех рабочих дней. Иначе сотрудник имеет право обратиться в суд (п. 14 ст. 10.1 Закона № 152-ФЗ).

Не стоит забывать, что есть ПДн, на обработку которых согласие сотрудника не требуется, например, те, что нужны для исполнение трудового договора. Все остальные данные компании-работодателю стоит уничтожить.

Форма закрепления обязательства

Расписка о неразглашении персональных данных аналогична обязательству, о котором речь пойдет ниже.

В то же время положение о работе с персональными данными представляет собой локальный правовой акт либо же, как вариант, он может быть включен в качестве раздела в Правила внутреннего распорядка в организации. Он разрабатывается юридическим отделом предприятия, а подпись на нем ставит генеральный директор компании, тем самым вводя этот документ в действие.

В этом документе требуется указать, какие задачи и цели данная организация ставит перед собой, когда она осуществляет операции с конфиденциальной информацией, относящейся к своему персоналу. Также там нужно привести перечни сведений, относимых к секретным.

Помимо этого в него включаются виды операций с таким данными, которые часто практикуются внутри данной организации.

Читать еще:  Что значит работа вахтовым методом плюсы и законодательные особенности

Также в документе описывается, каким образом реализуется доступ к информации внутри этой структуры. Равным образом в нем указывается, какие права возникают у сотрудников в плане пользования информацией и какие обязанности для них предусмотрены в ходе использования сведений данного рода.

С этим документом после его принятия нужно познакомить сотрудников, которые в свою очередь ставят собственные подписи в журнале ознакомления, ведущемся структурным подразделением компании, отвечающим за работу с кадрами.

  1. Наверху листа идет обозначение компании, при этом требуется указать ее организационно-правовую форму и наименование. Эти реквизиты составляют шапку.
  2. Далее по центру идет название, сначала по центру помещается слово «приказ», а строчкой ниже приводится уточнение «О неразглашении персональных данных». Ниже идет указание на номер документа и на дату его выпуска.
  3. Далее следует основной текст, формулировки в таком приказе приводятся от первого лица Сначала идет ссылка на Федеральный закон №152-ФЗ «О персональных данных», ниже слово «Приказываю», далее идут пункты, относящиеся к такому приказу, он может включать такое положение, как назначить такое-то лицо (приводятся его ФИО и должность) ответственным за произведение обработки данных персонального характера.

Именно эта часть является основной в данном документе. Помимо этого в тексте может предписываться возложить ответственность на сотрудников, указанных выше (в той же таблице) ответственность личного характера за сбережение персональных данных сотрудников.

  • Кроме того, лицу, которое несет ответственность за работу с информацией персонального характера, может быть приказано в такой-то срок предоставить сотрудникам для подписи обязательство о сохранении ими в тайне персональных данных. Такие пункты в стандартном случае включаются в документ данного рода.
  • Ниже идет заключительная часть приказа. Она включает подпись генерального директора и ее расшифровку. Под ними размещаются подписи сотрудников организации, указанных в таблице выше в том, что они были ознакомлены с приказом, а также расшифровки их подписей.
  • голоса
    Рейтинг статьи
    Ссылка на основную публикацию
    ВсеИнструменты
    Adblock
    detector