Доступ к персональным данным

Главная — Информационная безопасность — Защита информации — Доступ к данным — Доступ к персональным данным

ОФОРМИТЬ ЗАЯВКУ 30 дней для тестирования «СерчИнформ КИБ» с полным функционалом

В любой государственной или коммерческой организации хранятся данные о личности работников, их социальном и имущественном положении. Разглашение каких-либо персональных данных недопустимо, поскольку его последствиями могут быть вмешательство в личную жизнь, разорение, потеря репутации. Доступ к персональным данным ограничен узким кругом людей, несущих ответственность за сохранность и обработку данных. За распространение данных без согласия их владельца предусмотрено наказание (Федеральный закон № 152-ФЗ от 27 июля 2006 г.). Характер наказания зависит от тяжести последствий, возникающих из-за распространения данных.

Состав персональных данных

Персональные данные сотрудников компании – это конфиденциальные сведения, сообщаемые работодателю при трудоустройстве. Эти данные используются для учета кадров, начисления вознаграждения, распределения льгот или выявления нарушителей трудового законодательства.

К данным конфиденциального характера относятся:

номер паспорта, дата и место рождения, домашний адрес, телефон;
автобиографические сведения;
данные об образовании, специальности, трудовом стаже, должности;
информация о семейном статусе и данные членов семьи;
сведения о прохождении воинской службы, пребывании в запасе;
данные о размере зарплаты;
данные о наличии судимостей;
персональные данные интернет-пользователей (email, номер карты, на которую перечисляется зарплата);
данные о наличии у субъекта социальных льгот.

Конфиденциальной информацией считаются не только данные людей, работающих в компании, но и персональные данные ее клиентов, смежников, посетителей официального сайта.

Компания является оператором, отвечающим за хранение персональных данных.

Владелец персональных данных должен дать разрешение на работу с ними. Иногда соответствующий пункт включается в трудовое соглашение.

На обработку данных о принадлежности к определенной расе, религиозных верованиях и политических взглядах, а также данных о здоровье и частной жизни субъект должен обязательно дать письменное согласие.

Обязанности операторов персональных данных

В организации должны быть разработаны документы о политике защиты информации и положение о допустимых действиях с персональными данными.

В нем описываются правила хранения, использования и удаления конфиденциальных данных. Здесь говорится также о доступе к персональным данным, хранимым на электронных носителях, и возможностях защиты персональных данных. Оговариваются способы обработки, которой подвергаются персональные данные, границах изучения данных.

Документ должны подписать все сотрудники.

Личная информация сообщается только субъектам данных. Чтобы получить персональные данные, кадровикам иногда приходится обращаться в сторонние организации (например, делать запросы в архивы). При этом данные предоставляются лишь с согласия их владельца.

Исключением являются случаи, когда персональные данные необходимы для спасения жизни человека или оказания ему неотложной помощи.

Право на изучение персональных данных дается уполномоченным должностным лицам. Доступ к изучению персональных данных оговаривается в специальном регламенте. Как правило, доступ к данным имеет руководство компании, бухгалтеры и кадровики.

Порядок предоставления допуска к изучению данных следующий:

1. Издается приказ о назначении человека, ответственного за соблюдение правил хранения и обработки персональных данных;

2. Утверждается список работников (регламент) с доступом к конкретным данным;

3. Должностные лица подписываются под индивидуальными обязательствами о нераспространении персональных данных.

«СёрчИнформ FileAuditor» проводит автоматическую классификацию документов в файловой системе, которые содержат персональные данные.

Права владельцев персональных данных

Субъект (владелец) персональных данных по закону (ст. 14 ФЗ № 152) может потребовать проверки, уточнения, исправления, дополнения или обновления данных. Ему должны дать объяснения по поводу причин изучения данных, а также предоставить сведения о лицах, имеющих допуск к использованию персональных данных.

Оператор имеет право отказать в выдаче человеку таких сведений только, если данными интересовались органы безопасности страны, или персональные данные понадобились при его задержании по подозрению в преступной деятельности.

Если субъект работает по договору, то обработка его персональных данных продолжается до окончания договорного срока.

Действия с данными при наборе или увольнении персонала

При подаче заявления и документов на трудоустройство соискатель представляет данные об образовании, предыдущей работе, квалификации, а также контактные данные. Организация должна получить его разрешение на изучение персональных данных. Однако существуют исключение из этого правила.

Работодатель не отвечает за сохранность данных:

1. Если соискатель дал объявление о поиске работы и разместил персональные данные на общедоступном сайте;

2. Направление в компанию человеку дали в агентстве по трудоустройству, которое уже имеет подробную информацию о соискателе.

Если при найме требуется получить дополнительные данные о человеке, сделать запрос по месту предыдущей работы, то для получения данных руководство отдела кадров должно заручиться его согласием.

При отказе в приеме на работу персональные данные соискателя уничтожаются в течение одного месяца.

Когда сотрудник увольняется, его персональные данные хранят в архиве организации еще несколько лет:

данные об уплате налогов – 4 года;
данные об оплаченных отпусках – 5 лет;
данные о дисциплинарных взысканиях – 3 года.

Когда возможна выдача данных без разрешения владельца

Персональные данные могут быть переданы третьим лицам без согласования с субъектом только в следующих случаях:

данные запрашиваются Пенсионным Фондом или Фондом Социального Страхования (ч. 2 ст. 22 Трудового Кодекса РФ);
персональные данные субъекта затребованы налоговыми службами (ст. 24 НК Российской Федерации);
персональные данные просят предоставить судебные органы;
данные сообщаются провайдерам – поставщикам интернет-услуг для работы компании (ст. 44 Федерального закона №126-ФЗ «О связи» от 7 июля 2003 года).

Персональные данные человека можно сообщать посторонним также в случае его пропажи (при обращении в полицию или медицинские учреждения).

Ответственность за нарушение правил работы с данными

За нарушение закона об использовании и хранении персональных данных предусмотрены следующие наказания:

1. Дисциплинарные – выговоры, увольнение с работы (нарушение трудовых обязательств, касающихся обработки конфиденциальных данных);

2. Штрафы, возмещение ущерба, связанного с утечкой данных (материальная ответственность);

3. Отстранение от работы с документацией, отказ в доступе к персональным данным и другой конфиденциальной информации (административные наказания);

4. Уголовная ответственность. Она назначается, например, за сбор и распространение данных о частной жизни субъекта. Возможно уголовное наказание за несанкционированное проникновение в информационную систему, похищение персональных данных и выдачу их заинтересованным лицам.

***

Незаконное использование персональных данных – это серьезное нарушение закона.

Компания-оператор отвечает за охрану данных, касающихся не только ее собственного персонала, но также данных, доверенных ей клиентами и смежниками.

Требуется строгое соблюдение порядка обработки персональных данных, их выдачи третьим лицам. Компания разрабатывает специальный регламент, касающийся допуска к изучению секретных сведений и использованию данных конфиденциального характера.

Владелец данных может обращаться в компанию по поводу уточнения своих персональных данных, внесение поправок при необходимости изменения или удаления данных.

13.10.2020

Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.

Заполняя настоящую веб-форму и отправляя указанные в ней персональные данные, я даю свое согласие ООО «СерчИнформ» (далее – оператор) на обработку моих персональных данных в соответствии с Политикой конфиденциальности (https://searchinform.ru/resources/security/, далее — Политика) с правом передачи оператором моих персональных данных третьим лицам, которые являются партнерами оператора. Я понимаю, что мои персональные данные будут переданы с использованием открытых каналов связи (сети международного обмена Интернет) и впоследствии могут обрабатываться как с использованием средств автоматизации, так и без использования таких средств.

Давая настоящее согласие, я подтверждаю, что:

действую свободно, своей волей и в своих интересах;
являюсь дееспособным;
настоящее согласие является конкретным, информированным и сознательным;
ознакомился с Политикой в отношении обработки персональных данных, размещенной на настоящем сайте.

Я понимаю, что в соответствии с федеральным законодательством получение оператором согласия на обработку персональных данных является обязательным, и в случае моего отказа от их предоставления и (или) отсутствия согласия на их обработку, интересующие меня услуги не могут быть оказаны оператором.

Я, в соответствии с ч.1 ст. 18 Федерального закона от13.03.2006 г. №38-ФЗ «О рекламе», даю своё согласие ООО «СерчИнформ» (ИНН 7704306397, адрес: 127254, г. Москва, проезд Огородный, д. 16/1, стр. 3, помещение 901) (далее - СерчИнформ) на направление мне на указанные мной контактные данные сообщений в информационных и/или рекламно-информационных целях об услугах (в широком понимании этого определения, в том числе, но не ограничиваясь, сервисах, мероприятиях, встречах, вебинарах, конференциях и т.д.) СерчИнформ со следующими условиями:

Я даю согласие на получение информации и рекламы путем осуществления прямых контактов со мной с помощью любых средств связи включая, но не ограничиваясь, направления sms-сообщений и/или puch-уведомлений и/или электронных писем и/или сообщений в мессенджерах и/или посредством телефонных звонков и/или факсимильной связи.
Я гарантирую, что предоставленная мной информация является полной, достоверной и точной, а также что при представлении информации не нарушаются действующее законодательство Российской Федерации, законные права и интересы третьих лиц. Вся представленная информация заполнена мной в отношении себя лично.
Я согласен/согласна с тем, что текст данного мной по собственной воле и в моих интересах согласия хранится в электронном виде в базе данных СерчИнформ и подтверждает факт согласия на обработку моих контактных данных в соответствии с положениями настоящего документа.
Настоящее согласие действует до поступления в СерчИнформ любым способом (письменно, устно, в электронном виде) требования от меня как субъекта персональных данных о прекращении обработки персональных данных в соответствии с ч.2 ст. 15 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных».
Я подтверждаю, что любое моё действие по нажатию на кнопку «Отправить», «Зарегистрироваться», «Записаться», «Оставить заявку», проставлению отметки « » является достаточной формой согласия и позволяет подтвердить сторонам факт получения такого согласия, при этом иных доказательств для дополнительного подтверждения моего свободного волеизъявления не потребуется.
Я подтверждаю, что владею информацией о том, что в любой момент в течение всего срока действия настоящего согласия, я вправе отозвать согласие и отписаться от получения рассылок как путем устного обращения к представителю СерчИнформ, так и путем перехода по соответствующей ссылке в любом письме, или путем направления письменного уведомления в СерчИнформ об отзыве своего согласия и отказе от рассылок.