Как безопасно пересылать персональные данные
Мы постоянно пересылаем свои и чужие персональные данные — когда устраиваемся на работу, записываемся в спортивную секцию или к врачу, регистрируемся на сайте госучреждения или покупаем одежду в интернет-магазине. Относиться к этому стоит серьёзно, поскольку небезопасная передача данных может привести к тому, что они попадут в чужие руки.
Увы, нет ни одного способа, который бы на 100% гарантировал безопасность передачи персональных данных. Однако есть ряд мер предосторожности, соблюдая которые, вы значительно снизите риск утечки.
Можно ли пересылать персональные данные по электронной почте
Электронная почта — один из самых распространённых способов передачи персональных данных. При этом он далеко не самый безопасный: нельзя быть полностью уверенным в том, что никто, кроме вас и вашего собеседника, не получит доступ к данным. Злоумышленники могут взломать как ваш аккаунт, так и аккаунт получателя. Напомним, что взлом почты — это очень распространенное явление, ежедневно злоумышленники взламывают по несколько тысяч аккаунтов. И это относится не только к кинозвёздам и политикам.
Тем не менее, при условии соблюдения правил безопасности пересылать персональные данные посредством электронной почты можно.
Пересылайте важные данные только посредством защищенного вложения в электронное письмо. На вложение (например, на заархивированную папку) установите пароль и сообщите его получателю другим способом — через мессенджер или по телефону.
Никогда не пересылайте ценную информацию в теле письма
Распространённым способом пересылки данных также стала отправка ссылки на документ, хранящийся в облачном сервисе. Важно понимать, что, в зависимости от возможностей «облака» и от заданных вами настроек доступа, такая ссылка в любом может стать общедоступной — то есть перейти по ней сможет любой получатель.
В связи с этим не рекомендуется пересылать персональные данные таким образом. Конечно, после пересылки можно закрыть доступ, удостоверившись, что получатель воспользовался данными. Ссылка станет недействительной, и даже в случае взлома почты злоумышленник не сможет добраться до информации. Но между моментом, когда вы отправили ссылку, и моментом, когда вы закрыли доступ, может пройти несколько дней — и всё это время ваши данные будут в опасности.
В чём опасность пересылки персональных данных по электронной почте
- Их можно случайно отправить не тому получателю.
Почти каждый человек хоть раз в жизни отправлял электронное письмо не туда, куда нужно: путал буквы, выбирал не тот адрес из списка или случайно нажимал кнопку «отправить всем». Если вы ошиблись при отправке рядового письма, не содержащего важной информации, то ничего страшного не случится. Однако если в письме содержались чьи-то персональные данные, вы рискуете раскрыть их человеку, которому их видеть не следует. - При взломе аккаунта злоумышленник получит доступ к информации в папке «Отправленные».
Некоторые целенаправленно хранят персональные данные в почте, другие просто забывают, что кому-то отправляли номер банковской карты или паспорта. Если злоумышленник получит доступ к вашей почте, он обязательно заглянет в папку «Отправленные» и найдёт там ваши данные.
Отправить не туда: история Университета Восточной Англии
В июне 2018 года в Университете Восточной Англии (Норидж, графство Норфолк) произошла неприятность. По электронной почте была отправлена таблица, содержащая информацию о болезнях, личных проблемах (в том числе пережитом сексуальном насилии) и семейных утратах 191 студента программы American Studies.
Таблица создавалась на основе уважительных причин, которые студенты сообщали при отсутствии на занятиях и задержках в написании эссе. Сложно сказать, для каких целей предназначалось письмо, но его получили. все студенты программы, почти 300 человек.
В итоге тем студентам, чьи данные были отправлены сотням одногруппников, университет выплатил суммарную компенсацию в размере 140 тысяч фунтов (более €160000) и принёс извинения. Однако впоследствии некоторые студенты, чьи данные были раскрыты, признавались, что забыть о случившемся и смотреть в глаза одногруппникам стало практически невозможно.
Меры предосторожности при передаче данных электронной почтой
Удаляйте письма с персональными данными из любых папок почтового сервиса — «Отправленные», «Полученные» и др.
Тщательно проверяйте адрес получателя, а при общей переписке внимательно следите за тем, чтобы не нажать кнопку «Отправить всем».
Не размещайте персональные данные в теле письма. Используйте архив с паролем.
Можно ли пересылать персональные данные через мессенджеры
Как ни странно, передача персональных данных посредством мессенджеров может быть вполне безопасной. Давайте разберёмся, почему.
Важнейшее свойство безопасного мессенджера — сквозное шифрование, которое обеспечивает конфиденциальность переписки. Суть его в том, что у отправителя и получателя есть по два специальных ключа: личный и открытый. Личный ключ позволяет читать сообщение, а открытый — отправлять. Оба этих ключа генерируются мессенджером автоматически при ведении переписки, пользователь никак не участвует в этом процессе. Шифрование повторяется в течение нескольких миллисекунд для каждого сообщения. Никто, кроме вас с получателем, даже разработчик мессенджера, не сможет прочитать вашу переписку, не зная соответствующих ключей.
И это хороший метод защиты любых данных.
Помимо наличия сквозного шифрования, при выборе мессенджера стоит обратить внимание ещё на несколько опций:
возможность самоудаления сообщений через заданное время;
блокировка пользователей, от которых вы не хотите получать сообщения;
вход в приложение мессенджера по паролю или, что ещё лучше, с помощью двухфакторной аутентификации.
Сквозное шифрование сегодня есть почти у всех известных мессенджеров (iMessage, Telegram, Whatsapp и др.), а вот другими защитными функциями может похвастаться не каждый. Так, упомянутый Whatsapp по состоянию на 2022-й год так и не обзавёлся опции блокировки с помощью пароля.
Самым защищённым общедоступным мессенджером на 2022 год считался Signal. Помимо перечисленных функций, Signal предлагает и многие другие, включая сквозное шифрование SMS-сообщений с помощью синхронизации приложения с SMS.
Есть одна тонкость: мессенджеры автоматически создают папки в памяти вашего компьютера или телефона. В этих папках остаются все вложения, которые вы и ваш собеседник отправляли друг другу.
Если вы не хотите, чтобы данные сохранялись, то можете отключить эту функцию в настройках. И на всякий случай проверьте, не лежат ли сейчас в этих папках ваши персональные данные — например, документы или фото, которые вы не хотели бы сохранять.
Будьте осторожны, если открываете мессенджер с чужого устройства. Так вы можете случайно сохранить ваши персональные данные там, где им совершенно не место
Как нельзя пересылать персональные данные
Онлайн-чаты и мессенджеры социальных сетей.
Это самый опасный способ передачи персональных данных. Как минимум потому что соцсети очень часто становятся объектами взлома. Если вам предлагают отправить персональные данные сообщением в соцсети, всегда отказывайтесь и выбирайте более безопасный вариант.
Приложения соцсетей.
То же касается и приложений социальных сетей. Многие из них (например, Snapchat) не имеют сквозного шифрования, что делает их уязвимыми для хакеров.
В некоторых мессенджерах эта функция есть, но она неактивна по умолчанию и её нужно настроить самостоятельно. Будьте бдительны и проверяйте, работает ли сквозное шифрование в том или ином мессенджере (это можно уточнить с помощью поисковой системы).
Можно ли пересылать персональные данные через облачные сервисы
Как мы уже писали, можно открыть доступ к документу, лежащему в облачном сервисе, получить сгенерированную ссылку на него и отправить эту ссылку получателю. Но есть ещё более безопасный способ — воспользоваться встроенными функциями самого облачного сервиса.
- Загрузите нужные документы в «облако» и откройте доступ конкретному получателю. Используя доступ по ссылке, вы не сможете контролировать, кто просматривал ваши данные. А выдав права на просмотр через встроенную функцию — сможете.
- Некоторые облачные системы (например Dropbox) предлагают возможность поставить пароль на документ, которым вы делитесь. Если это возможно — поставьте.
Не забудьте о мерах безопасности, которые следует принять после отправки данных нужному пользователю:
- после того, как получатель использовал или скопировал данные, закройте доступ или удалите документ;
- попросите получателя удалить данные со своего компьютера после того, как он выполнил свою задачу — вы ведь не знаете, предпринимает ли ваш собеседник меры предосторожности, способные предотвратить утечку.
А как же физические носители?
Конечно, вы можете передавать данные и с помощью физических носителей, будь то диск или «флешка». Однако важно понимать, что если вы посылаете носитель по почте, он точно так же может быть украден или потерян.
Наиболее безопасный способ передачи данных — самостоятельно приехать к получателю и принести ему «флешку» или диск. Но будем честны: сейчас так почти никто не поступает, поскольку это неудобно, особенно при передаче данных в другой город или страну. Поэтому смело передавайте данные через интернет. Соблюдая, конечно, правила безопасности.
GDPR: как работать с персональными данными ваших работников, фрилансеров и европейских сотрудников контрагентов
Статья представляет собой краткую выжимку и мою интерпретацию положений Регламента GDPR (“Регламент”) в связке с Заключением (Opinion) 2/2017 об обработке данных в трудовых отношениях (on data processing at work) от 08.06.2017. Адресуется компаниям, у которых есть полноценные офисы либо дистанционные работники и/или фрилансеры в странах Евросоюза, а также контрагенты (партнеры) с европейскими сотрудниками, данные которых вы можете получать в процессе работы над совместными проектами.
Разбираем вопросы обработки персональных данных при найме (рекрутинге) работников, заключении договоров с фрилансерами или бизнес-партнерами; мониторинге сотрудников на рабочем месте и дистанционно, в том числе через автоматические системы снятия данных.
Для удобства и там, где это не противоречит контексту, работников, фрилансеров и сотрудников контрагентов будем обобщённо именовать «Сотрудник».
Убедитесь, что у вас есть основания для обработки данных сотрудников
Обработка персональных данных сотрудников обычно проводится, как минимум, на одном из следующих оснований:
- личное согласие;
- необходимость выполнения предписаний закона (как правило, трудового законодательства или AML/CFT при проведении платежей);
- необходимость исполнения уже заключенного договора или необходимость заключения договора, по запросу самого владельца персональных данных;
- наличие законного интереса у вашей компании в такой обработке.
В отношениях с сотрудниками обработку персональных данных надежнее основывать на заключаемых договорах. Если все вопросы обработки технически сложно или нецелесообразно фиксировать в договорах, то потребуется ответственно подойти к обоснованию законного интереса вашей компании в такой обработке.
Рассмотрим, какие условия и как нужно сформулировать в трудовых или коммерческих договорах, чтобы они позволяли обрабатывать вам персональных данные в соответствии с GDPR. (Учитывая, что обработка на основании законного интереса, как и обработка на основании договора, тоже нуждается в документировании и совпадает с последней по многим параметрам, отдельно рассматривать ее не будем).
Приведем полностью формулировку статьи 6(1)(b) Регламента (перевод с анг.): «обработка необходима для исполнения договора, стороной которого является владелец данных, или для принятия мер по запросу владельца персональных данных до заключения договора».
Из данной формулировки следует ряд обязательных элементов.
Необходимость данных в рамках договора
Согласно пункту 44 Преамбулы Регламента, обработка является законной, если необходима в контексте договора или намерения его заключить. Значит, смотрим на контекст самого договора. Заключение 2/2017 рекомендует в таких случаях применять тест пропорциональности (proportionality test), чтобы оценить, нужна ли обработка для достижения законной цели (в частности, для исполнения или заключения договора), а также какие меры нужно предпринять, чтобы свести вмешательство в частную жизнь до минимума.
Регламент не расшифровывает, что включает в себя «тест пропорциональности». Заключение 2/2017 содержит только оговорку, что такой тест может стать частью процедуры DPIA . В самой процедуре DPIA пропорциональность обработки описывается через множество критериев, которым должна следовать компания-контролер. На мой взгляд, самые важные, это:
- адекватность обрабатываемых данных целям обработки;
- сами цели обработки должны быть конкретными (specific) и ясно выраженными (explicit).
Пример A: Разумно требовать от специалиста PR или менеджера по работе с клиентами предоставлять свое фото для размещения на сайте вашей компании. Это может быть обосновано особенностями работы данных сотрудников, когда внешность играет психологическую роль в продвижении интересов компании, росте продаж. Напротив, вряд ли нужно требовать и передавать клиентам (или размещать в публичном доступе) фото разработчиков, которые максимум участвуют митингах голосом, даже не включая веб-камеру, и большего от них никогда не требуется.
Думаю, будет непропорциональным сформулировать в договоре условие о контактных данных следующим образом:
Пример В: «Контактные данные работника: … email для направления предложения о работе, трудового контракта или информационных материалов /КОМПАНИИ/». Направление «информационных материалов» — явно лишняя цель для исполнения трудового договора, подразумевает и рассылку рекламы. Однако, если вы напишите немного по-другому: «уведомлений об изменении рабочего графика, информации о выходных днях и т.п.», это будет ясно выраженной, конкретной целью, и использование email будет адекватным ей.
(Очевидно, что просто указать «email» и затем использовать его для рассылки маркетинговых материалов, тоже недопустимо).
Пример С: Ваша компания работает в качестве агента и продвигает услуги тех же самых разработчиков на международных рынках. Так как размещение фото обусловлено особенностями работы с заказчиками, необходимостью оценки ими имиджа / психологического портрета разработчика перед принятием решения о найме, размещение фото может быть обоснованным.
(Только не забывайте предупредить разработчика об использовании фото до заключения договора с ним. Также рекомендуется, чтобы тем разработчикам, кто не согласится указать свое фото в профиле, вы все равно предоставили возможность пользоваться услугами вашей компании, хотя бы эффективность найма уменьшилась в связи с отсутствием фото).
Пример D: Ваш сотрудник (к примеру, системный администратор) работает с серверами, обслуживающими масштабные и высоконагруженные приложения, должен быть доступен 24 часа в сутки (если, конечно, вы еще соблюдаете и требования трудового законодательства о соответствующей оплате таким сотрудникам). Вы можете предусмотреть в договоре условие о звонках на его личный номер телефона в экстренных случаях. Напротив, если сотрудник в нерабочее время не нужен, лучше не используйте личный номер телефона (даже если он вам известен).
И пример из Заключения 2/2017: Компания по доставке не вправе рассылать покупателям фото курьеров (для проверки, что курьер действительно является таковым), так как для доставки посылок в передаче фото нет необходимости.
Какая бы необходимость в сборе персональных данных не возникала в вашей компании, всегда задавайте себе вопрос: а эти данные вам точно нужны? Даже если ваш сотрудник вроде и не возражает вам их предоставить. Помните, что ваш сотрудник изначально рассматривается с точки зрения GDPR уязвимой стороной трудовых отношений, а его согласие – априори несвободным. Поэтому, задача обеспечить минимальное вмешательство в частную жизнь (в том числе в рамках договоров с сотрудниками) лежит на вашей компании, а не на сотруднике.
Дополнительно рекомендую изучить требования регулирующего органа по защите персональных данных в государстве ведения вашего бизнеса. Например, на Кипре, популярном в последнее время месте релокации IT и финтех бизнеса из России и других стран СНГ, обязательно применение процедуры DPIA, если ведется систематический мониторинг активности работников, включая наблюдение за рабочими местами, интернет-активностью или используется GPS на транспортных средствах работников.
Владелец данных должен быть стороной договора
Казалось бы, здесь все очевидно. Однако, есть один тонкий момент, на который мало кто обращает внимание. Это обработка персональных данных сотрудников ваших партнеров (клиентов, исполнителей, посредников и пр.), при которой возникает юридический разрыв.
У вашей компании нет никакого договора с сотрудниками ваших партнеров. И даже согласие на обработку данных чаще всего не получится запросить. Да, такие люди являются работниками вашего партнера (хотя могут быть фрилансерами и даже персоналом, предоставленным третьими лицами). И логично предположить, что раз они у него работают, то рамках договора с вашим партнером уже согласились передавать свои данные вам. Но это не так.
Вы не знаете, насколько качественно ваш партнер оформил все документы в рамках GDPR. Получено ли от его сотрудника согласие и дано ли оно свободно, или была ли оговорена обработка персональных данных в договоре с таким сотрудником. Я очень сомневаюсь, что вы можете полностью положиться на вашего партнера в этом вопросе. Между тем, получив данные его сотрудников, ваша компания как минимум становится обработчиком (processor), т.е. обрабатывающей персональные данные от имени и по поручению контролера (controller). И чтобы избежать ответственности за нарушение GDPR, ваша компания-обработчик должна как минимум действовать на основании законных инструкций вашего партнера.
В таких ситуациях я бы рекомендовал включать в любой договор с вашими партнерами отдельный пункт о том, что контрагент гарантирует соблюдение им всех правил работы с персональными данными его сотрудников или связанных лиц, которые могут быть применимы к нему по месту ведения бизнеса, в том числе освобождает вашу компанию от любых претензий, исков, которые могут быть связаны с любыми нарушениями применимого закона при передаче вам данных, и гарантирует самостоятельное возмещение ущерба по таким искам и претензиям. Классический пункт об освобождении от ответственности и возмещения ущерба (indemnity), но только в отношении персональных данных.
На практике, как только вы включите в договор пункт об освобождении вас от ответственности, юристы вашего партнера, скорее всего, захотят его вычеркнуть. Как быть?
Оформляйте передачу персональных данных в соответствии с положениями Регламента, и вашему партнеру будет сложно не согласиться с этим.
Для компаний-обработчиков, получающих данные от своих партнеров (контролеров), Регламент (статья 28(3)) содержит обязательные требования к содержанию договора в части передаваемых данных. В частности, нужно указать, какие данные (категории), для каких целей и на какой срок передаются вашей компании, и многое другое. Если же персональные данные передаются вашей компанией дальше, новому обработчику, с ним необходимо согласовать идентичные обязательства.
Если совместная работа по проекту предполагает передачу персональных данных за пределы Евросоюза, в третьи страны без адекватного уровня защиты персональных данных, вместе с заключаемым договором необходимо составить и подписать Стандартные договорные условия защиты персональных данных (Standard contractual clauses)(статья 46(1)(2)(с) Регламента). Даже если партнер не требует такого документа, при передаче данных европейских сотрудников лучше иметь заранее разработанный шаблон и самим настоять на его подписании. Это позволит значительно уменьшить риск ответственности за обработку персональных данных в нарушение GDPR.
Принятие мер, необходимых до заключения договора, по запросу владельца персональных данных
Здесь должна прослеживаться чёткая взаимосвязь: мероприятия проводятся в отношении самого владельца данных, и он сам дает разрешение на их проведение в запросе.
Пример: Проверка криминальной истории кандидата, если его должность предполагает работу с данными повышенной секретности и без проверки нельзя получить приглашение на работу. При этом работодатель заранее в описании вакансии информирует кандидата о необходимости пройти проверку каких-то криминальных фактов в его биографии. И кандидат, направляя свое резюме или иным способом подтверждает, что согласен с такой проверкой.
Для того, чтобы правильно сформировать от кандидата легитимный запрос на обработку его данных, нужно до начала обработки предоставить кандидату максимум необходимой информации о будущей обработке, включая методы принятия решений по ее результатам. (Подробнее см. Соблюдаем процедуру: вначале информирование, затем – обработка ниже.
Фрилансеры: они тоже работники?
В Заключении 2/2017 под работниками рекомендуется рассматривать не только тех, кто работает по трудовому договору, но и фрилансеров, если отношения с ними носят характер трудовых. Здесь есть сложность.
Что означает «трудовые отношения» с фрилансерами, причем, именно в плане GDPR? Заключение 2/2017 не дает ответа на этот вопрос. Думаю, что нужно смотреть на контекст, в каком любые работники упоминаются в Регламенте. Это их априори невыгодное положение перед работодателем, когда они не могут отказать предоставить свои данные без риска не получить или потерять работу, или других негативных последствий. Если следовать такой логике, то фрилансер может быть приравнен к работнику в ситуациях, когда ваша компания будет для него единственным источником заказов. Если же доля заказов (и оплаты) со стороны вашей компании невелика и фрилансер может выбрать, сотрудничать ли с вами и на каких условиях, то у него появляется больше свободы принимать решения относительно своих персональных данных. И в этом случае его можно рассматривать как независимого предпринимателя, а не работника.
Соблюдаем процедуру: вначале – информирование, затем – обработка
Владелец данных должен быть проинформирован до начала обработки. Это общее требование статьи 13 Регламента. В каждом отдельном случае (обработка в рамках договора или до его заключения), а также без договора, но при наличии законного интереса у вашей компании, владелец данных должен получить необходимый минимум информации.
В случае с сотрудниками такое информирование лучше производить одновременно с размещением требований к кандидату на вакансию. Если же заключается коммерческий договор с фрилансером – проинформировать нужно до заключения договора, или, в крайнем случае, одновременно с его подписанием. Вместе с иной информацией, перечисленной в статье 13 Регламента, обязательно нужно указать, включено ли предоставление персональных данных в обязанности будущего сотрудника и какие последствия могут быть, если он откажется их предоставить.
Не забывайте, что форма информирования должна быть как можно более простой и доступной. Не включайте эту информацию в текст основного договора, где она может затеряться. Лучше оформляйте в виде отдельного документа. Желательно, чтобы такой документ был датирован до даты подписания основного договора.
Это были общие требования к обработке персональных данных на основании заключенного договора, в связи с необходимостью заключения договора по запросу владельца данных или при наличии законного интереса. Далее кратко рассмотрим обработку персональных данных при рекрутинге сотрудников, мониторинг сотрудников на рабочем месте и в удаленном режиме, а также мониторинг времени присутствия на рабочем месте и/или затраченного времени.
Обработка данных при рекрутинге (найме) сотрудников
Рекрутеры любят просматривать профили кандидатов в соцсетях. Некоторые даже просят указать ссылки на них в анкетах или в резюме. При сборе данных из социальных сетей вашей компании необходимо выяснить, предназначены ли данные профили для личного использования или использования в бизнес-целях. Ключевое здесь – использование. Знайте, что даже открытые для публичного просмотра профили нельзя использовать в целях рекрутинга, оценки кандидата при приеме на работу, если это прямо не связано с будущей функцией кандидата в вашей компании или на проекте.
Пример: Кандидат принимается на позицию менеджера по связям с общественностью или первого лица компании, которая предполагает формирование общественного имиджа компании. В этом случае может быть оправдано изучение каких-либо политических предпочтений кандидата, отсутствия его связи с радикальными течениями или неоднозначных публичных высказываний, что может причинить ущерб компании. Или же кандидат принимается на должность менеджера по развитию бизнеса. Поэтому, может быть оправданным для работодателя перед заключением трудового договора убедиться, что у кандидата имеется наработанная сеть деловых контактов.
Обработка данных в процессе работы и после прекращения договора
Социальные сети
Не допускается принуждать работников использовать в социальных сетях только профиль, связанный с работодателем. Даже если такая обязанность предусмотрена особенностями их работы (например, представитель PR-службы, пресс-секретарь, менеджер по работе с клиентами и т.п.). В любом случае у таких сотрудников должна сохраняться возможность использования личного, непубличного профиля.
Установка средств (систем, приложений) электронной обработки данных на рабочие компьютеры сети
Речь идет о любых системах и приложениях, в том или ином виде собирающих персональных данные и передающие их работодателю или третьим лицам. Установка требует информированного согласия работника. Даже самостоятельные действия сотрудника по активации приложения на своей рабочей машине или предоставление доступа для удаленной установки системы с настройками по умолчанию не будут считаться выражением согласия на установку. Так как согласие должно быть дано собственными активными действиями пользователя, только установка с изменением дефолтных настроек может быть приравнена к информированному и свободному выражению воли сотрудника на установку.
При мониторинге сотрудников или данных их устройств (включая личных, подключаемых к корпоративной сети или WiFi) у работодателя должна быть разработанная, легко и постоянно доступная и понятная каждому сотруднику Политика мониторинга рабочего места. Чтобы каждый четко понимал, что и как собирается, и в каких целях будет использовано.
Политика мониторинга, как и любая иная политика по обработке персональных данных (о конфиденциальности) должна регулярно пересматриваться. Необходима переоценка, насколько мониторинг является необходимым для удовлетворения законных интересов компании. Поэтому, я бы рекомендовал тем, кто хотел бы снять возможные претензии в случае конфликта или проверок, но не готов выделять на это много ресурсов:
- делайте минимум раз в год протоколы / приказы с поручениями провести инвентаризацию всей вашей системы сбора и обработки персональных данных;
- по результатам инвентаризации вносите хотя-бы минимальные изменения в Политику (например, сокращайте срок хранения отдельных категорий данных);
Пример A из Заключения 2/2017: Блокирование подряд всех имейлов, которые могут потенциально представлять угрозу утечки данных компании-работодателя, требует обязательного информирования об этом работника (каждый раз до отправки письма), с возможностью отказаться от отправки. Иначе существует риск превышения необходимого вмешательства в частную жизнь и произвольного доступа к личной переписке работника.
Пример B из Заключения 2/2017: При использовании облачных сервисов для загрузки или редактирования рабочей информации работнику нужно выделить приватное пространство. Например, календари могут использоваться для фиксирования рабочих и частных событий (встреч, например).
Пример С из Заключения 2/2017: Если для предотвращения рисков, связанных с удаленным доступом к базе данных работодателя, нельзя отказаться от постоянного мониторинга рабочего компьютера дистанционного сотрудника, рекомендуется совсем запретить использование рабочего компьютера в частных целях.
Мониторинг сотрудников в режиме «home-office» и дистанционных сотрудников
Использование технологий, позволяющих отслеживать клики и движения мышкой, иные подобные действия сотрудников, а также снятие скриншотов (как выборочно, так и в периодическом интервале), получение сведений о загруженных приложениях и времени их загрузки, получение данных с вебкамер или снятие показаний о пути, пройденном сотрудником (привет обители зла Амазону и остальным!), считается непропорциональным. Такой мониторинг, скорее всего, будет за пределами законных интересов работодателя (пункт 5.4.1. Заключения 2/2017).
Что здесь можно рекомендовать?
Во-первых, (как бы знакомо это уже не звучало), понять – нужен ли вам такой мониторинг или нет. Во-вторых, четко обозначить (с документированием), в чем состоит ваш законный интерес, и если возможно, зафиксировать такой мониторинг в действующих договорах.
К примеру, работа программиста по проекту не может быть заранее оценена с точки зрения необходимого времени. Оплата формируется по количеству отработанных часов. Ваш заказчик настаивает на мониторинге активности вашего работника через снятие скриншотов или отслеживает его действия на облачном сервере. Условие заказчика о скриншотах или о контроле на сервере следует зафиксировать в договоре с заказчиком (если рабочее время оценивается через любые иные системы учета — аналогично). Сотрудник, работающий по проекту данного заказчика, также должен быть заранее уведомлен о мониторинге, а в договоре с ним должна быть прописана возможность такого мониторинга.
Мониторинг рабочего времени/присутствия на рабочем месте через систему доступов
Это любимая “фишка” многих отечественных компаний, от «мала до велика»: поставить электронную проходную и взимать штрафы за минутные опоздания, либо заносить эти сведения в личное дело. Так вот, с вашими европейскими сотрудниками такое почти всегда недопустимо.
Пример из Заключения 02/2017: Можно использовать систему учета доступа (дата, время, владелец ключа доступа) для того, чтобы контролировать доступ в особо режимные места. Например, в серверную, где хранится важная информация. Но нельзя использовать полученные данные в целях оценки производительности сотрудников (время присутствия/отсутствия на рабочем месте).
Мониторинг «атмосферы счастья» в компании
Не допускается наблюдение за выражением лиц сотрудников с использованием автоматических средств, для выявления отклонений от заранее определённых двигательных паттернов. Дополнительно к мониторингу, данные такого наблюдения могут лечь в основу профилирования сотрудника и принятия в отношении него автоматических решений. Это является непропорциональным по отношению к правам и свободам сотрудников. По общему правилу, работодатель должен воздерживаться от использования таких технологий распознавания лиц. Хотя определенные изъятия из общего правила могут допускаться.
(Предполагаю, изъятия допустимы там, где имеют место вредные производства (они еще остались в Европе?) или для контроля усталости водителей и операторов, как описано в статье про Амазон, по ссылке выше).
Какие действия необходимо произвести перед передачей персональных данных в адрес контрагента
Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО »СБЕР А». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.
Программа разработана совместно с АО »СБЕР А». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.
Заключен договор поставки между двумя юридическими лицами. В договоре стороны указали контактные данные работников обеих организаций, которые являются исполнителями по данному договору: Ф.И.О., номер мобильного телефона и адрес электронной почты.
Нужно ли оформлять отдельное согласие на распространение персональных данных третьим лицам между работником и организацией в целях соблюдения норм Федерального закона N 152 «О персональных данных»?
Любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу, является персональными данными (п. 1 ст. 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных», далее — Закон N 152-ФЗ). Контактные данные работников (Ф.И.О., должность) в совокупности с номером телефона и адресом электронной почты подпадают под определение персональных данных, а потому обработка подобной информации, в том числе сбор, запись, копирование, хранение, использование и т.п., должны осуществляться в соответствии с правилами, установленными Законом N 152-ФЗ. По общему правилу, сформулированному в п. 1 ч. 1 ст. 6 Закона N 152-ФЗ, обработка персональных данных допускается с согласия субъекта на такую обработку. Исчерпывающий перечень случаев — исключений из этого правила определен в пп. 2-11 ч. 1 ст. 6 Закона N 152-ФЗ.
Так, в соответствии с п. 5 ч. 1 ст. 6 Закона N 152-ФЗ допускается обработка персональных данных, если она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Однако работник организации в рассматриваемом случае не является ни стороной договора, ни выгодоприобретателем, ни поручителем. Он действует в интересах юридического лица, являющегося для него работодателем, которое представляет собой известную юридическую фикцию и может участвовать в гражданском обороте через своих работников. При этом обработка при заключении и исполнении договора персональных данных работников юридического лица без их согласия не поименована в соответствующем перечне случаев пп. 2-11 ч. 1 ст. 6 Закона N 152-ФЗ.
В связи с этим отметим, что работодателю предоставлено право обрабатывать персональные данные работника исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получения образования и продвижения по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества (п. 1 ст. 86 ТК РФ).
В п. 8 ст. 86 ТК РФ указано, что работники и их представители должны быть ознакомлены под подпись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований Трудового кодекса РФ и иных федеральных законов (ст. 87 ТК РФ).
Из положений ст. 88 ТК РФ следует, что при передаче персональных данных работника на работодателя возлагается обязанность не сообщать персональные данные работника третьей стороне без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами. Аналогичное требование закреплено в ст. 7 Закона N 152-ФЗ.
Передача работодателем сведений о своих сотрудниках контрагенту в рамках реализации договора не является распространением персональных данных*(1) в контексте Закона N 152-ФЗ, а означает сообщение персональных данных работников третьей стороне, что требует, как следует из приведенных норм, письменного согласия работника. Поскольку работодатель обязан соблюдать предусмотренные ст. 88 ТК РФ правила передачи персональных данных, именно он и должен получить такое согласие. Полагаем, что необходимость соблюдения контрагентом данного условия не зависит от того, будет оно прописано в договоре между юридическими лицами или нет. При этом в ч. 3 ст. 9 Закона N 152-ФЗ прямо указано, что обязанность по предоставлению доказательств получения согласия субъекта персональных данных на их обработку возлагается законом на оператора (в данном случае на работодателя работников, чьи персональные данные переданы третьей стороне)*(2).
На организацию-контрагента в такой ситуации распространяются предписания ч. 3 ст. 18 Закона N 152-ФЗ, согласно которым если персональные данные получены не от субъекта персональных данных, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных информацию, указанную в приведенной норме. Исключения из этого правила установлены в ч. 4 ст. 18 Закона N 152-ФЗ. Так, оператор освобождается от указанной обязанности, если субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором.
Исходя из буквального содержания приведенных норм, можно заключить, что оператор персональных данных, получая конфиденциальную информацию о гражданине от третьего лица, должен быть уверен, что этому гражданину — работнику другого оператора должно быть известно, для каких целей и в каких пределах осуществляется такая передача. Заметим, что законодатель не конкретизирует, каким образом надлежит подтверждать исполнение данной обязанности оператору, который передает персональные данные своих работников. Очевидно, это отнесено на усмотрение контрагентов. На наш взгляд, в таких ситуациях можно предусмотреть в типовых формах документов строку, в которой либо сам передающий оператор гарантирует соблюдение им требований ст. 18 Закона N 152-ФЗ, либо субъект персональных данных расписывается собственноручно, подтверждая, что ему известны цели обработки его персональных данных другим оператором. После получения таких сведений, как мы полагаем, организация может обрабатывать персональные данные работников организации-контрагента, но исключительно в целях исполнения договора со своим контрагентом.
Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Амирова Лариса
Ответ прошел контроль качества
Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.
*(1) Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц (п. 5 ст. 3 Закона N 152-ФЗ).
*(2) Вопрос: Требуется ли получение Банком согласия от представителя юридического лица на обработку его персональных данных, содержащихся в доверенностях, выданных клиентом — юридическим лицом своему представителю и предоставляемых представителем в Банк для подтверждения своих полномочий действовать от имени юридического лица — клиента Банка? Если требуется, то является ли факт предоставления доверенным лицом доверенности достаточным подтверждением наличия его согласия на обработку ПД, содержащихся в доверенности? (ответ Управления Роскомнадзора по Ивановской области, июнь 2017 г.)
Персональные данные. Как не нарваться на штраф от Роскомнадзора
Иллюстрация: Вера Ревина/Клерк.ру
Введение
В очередной раз брала ипотеку. Сотрудники банка приносят мне договор и согласие на обработку и передачу персональных данных. Открываю согласие, а там 2 листа третьих организаций, которым попадут мои данные.
Представляете, сколько незнакомых номеров мне начнут звонить и предлагать свои услуги. А может среди них есть недобросовестные компании?
После моих долгих возмущений сотрудники банка сдались. Я написала от руки запрет на передачу моих данных третьим лицам.
Коллеги, так вот, важно беречь не только свои персональные данные, но также правильно уведомлять органы о сборе персональных данных, их обработке, передаче и утечке.
Давайте во всем разбираться по порядку.
Персональные данные и операторы по их обработке
Персональные данные — это любая информация, которая относится к определенному физлицу. Они включают в себя следующую информацию:
Если в компании есть сотрудники, то она автоматически становится оператором сбора и передачи персональных данных, потому что передает данные в налоговую и т.д.
Согласно статье 65 ТК каждый сотрудник должен
подписать согласие на обработку персональных данных;
подписать два согласия на передачу обработки;
ознакомиться с политикой конфиденциальности;
ознакомиться с положением о персональных данных и с положением о защите персональных данных.
Компания, в свою очередь, должна уведомить Роскомнадзор о намерении осуществлять обработку данных нового сотрудника.
Как бухгалтеру «индексировать ЗП» на 50% осенью 2023 года?
Приглашаем вас на бесплатный 3-дневный марафон «Успешный бухгалтер». Разберемся, как заработать первые 100.000₽ без постоянного поиска клиентов и увольнения из найма
Как уведомить
Есть несколько способов уведомить РКН:
Сформировать уведомление и направить в бумажном виде в территориальный орган РКН.
Сформировать уведомление и направить в электронном виде с использованием усиленной квалифицированной электронной подписи.
Сформировать уведомление и направить в электронном виде с использованием средств аутентификации ЕСИА.
Нововведения в законе о персональных данных
С 1 сентября 2022 каждый оператор обработки персональных данных обязан:
определять процессы обработки персональных данных согласно цели;
сообщать в РКН об утечке ПДн;
взаимодействовать с ФСБ, если компания подверглась компьютерным атакам;
введены дополнительные требования к соглашению о поручении обработки ПДн.
С 1 марта 2023:
РКН получает право запрещать или ограничивать трансграничную передачу ПДн;
вред, который может быть причинен субъекту ПДн, обязательно оценивается по форме РКН;
появились требования от РКН к уничтожению ПДн;
изменения к уведомлению подаются до 15 числа месяца, следующего за изменениями.
Когда уведомлять Роскомнадзор о начале обработке персональных данных
Оператор персональных данных должен всегда отправлять уведомление в РКН о начале обработки, за исключением некоторых ограниченных случаев:
включенных в государственные информационные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;
в случае если оператор осуществляет деятельность по обработке ПДн исключительно без использования средств автоматизации;
обрабатываемых согласно законодательству о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства.
Телеграм-канал про актуальные новости и секреты бухгалтеров для новичков и профессионалов
Примеры из личного опыта
Внутренние документы оператора
Прежде чем обрабатывать персональные данные, оператор должен определить для каждой цели обработки следующие параметры:
Категории и перечень ПДн: общедоступные, биометрические, специальные и пр.
Категории субъектов персональных данных: работники, клиенты и пр.
Способы, сроки их обработки и хранения.
Порядок уничтожения ПДн.
Если сбор данных происходит онлайн, то политика обработки ПДн должна быть доступна на всех страницах сайта, где осуществляется сбор.
Поручение обработки
Оператор ПДн вправе поручить обработку третьему лицу, но только с согласия субъекта персональных данных.
Для это важно определить и указать в соглашении о передачу обработки следующие параметры:
Обязанность обработчика соблюдать требования о локализации.
Обязанность обработчика информировать оператора об утечках.
Обязанность обработчика соблюдать требования ст. 18.1 ФЗ «О персональных данных».
Если ПДн передаются на обработку иностранному обработчику, то он отвечает перед субъектом ПДн наравне с оператором.
Подборка полезных материалов «Чемодан бухгалтера»: методички, чек-листы и инструкции
Утечка ПДн
При неправомерной или случайной утечке персональных данных в соответствии с ФЗ №152 от 27.07.2006 «О персональных данных» оператор обязан уведомить уполномоченный орган о случившемся инциденте.
Уведомление подается в РКН о каждом факте неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъекта ПДн:
24 часа данные об инциденте, причинах, предполагаемом вреде, предпринятых мерах;
72 часа данные о проведенном расследовании и виновных лицах.
Оператор персональных данных обязан подключиться к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы (ГосСОПКА) под управлением ФСБ.
После чего туда надо будет направлять информацию обо всех инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПД.
Штрафы
За нарушение законодательства в области персональных данных предусмотрены штрафы (ст. 13.11 КоАП):
для юрлиц — первичное нарушение 60 000 — 100 000, повторное до 300 000 руб.;
для должностных лиц — первичное 10 000 — 20 000 руб., повторное до 50 000 руб.;
для граждан — первичное 2 000 — 6 000 руб. повторное до 12 000 руб.
Непредставление или несвоевременное предоставление информации (уведомлений о начале обработке персональных данных, ст.19.7 КоАП) влечет предупреждение или наложение административного штрафа:
юрлица — 3 000 — 5 000 руб.;
должностные лица — 300 — 500 руб.;
физлица — 100 — 300 руб.
Заключение
Бывает, что предприниматели игнорируют или не знают о существовании некоторых законов, в частности, закона о персональных данных. В итоге получают штрафы, которых можно было избежать.
Задача бухгалтера — предупреждать предпринимателя о возможных последствиях, помогать находить выгодные для компании пути в рамках законодательства.