Обеспечение защиты персональных данных при доступе дистанционного сотрудника
Если ранее вызывало споры место работы таких сотрудников (по трудовому законодательству), то теперь возникла проблема со стороны Роскомнадзора. Инспекция труда обещает сообщать в налоговую и в Роскомнадзор о выявлении дистанционной работы за границей и доступа удаленного работника к ПД.
Рассмотрим, как законно обеспечить дистанционному работнику за рубежом доступ к удаленной базе данных компании на территории России.
- Право доступа к персональным данным дистанционного работника за границей
- Риски работодателя при удаленном доступе к персональным данным
- Ответственность работника, имеющего доступ к персональным данным
Право доступа к персональным данным дистанционного работника за границей
Работодатель часто предоставляет удаленным сотрудникам за границей доступ к информационной системе (далее – ИС) и базам данных, в которых содержатся персданные граждан России, в том числе – и работников компании.Термин «трансграничная передача» означает передачу персданных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее – Закон № 152-ФЗ).
Следовательно, мы обсуждаем случай обычной передачи должностным лицам организации персональных данных работников. Для этого по закону необходим доступ. Чтобы предоставить его, нужно выполнить следующие требования (ст. 88 ТК РФ):
- осуществлять передачу персданных работника в пределах одной организации, у одного индивидуального предпринимателя по положениям локального нормативного акта (далее – ЛНА). Работник должен быть с ним ознакомлен под роспись;
- разрешать доступ к ПД работников только специально уполномоченным лицам. Они должны иметь право получать лишь те персданные, которые необходимы для выполнения конкретных функций.
Персональный консультант по трудовому праву подскажет, может ли самозанятый работать за границей
Риски работодателя при удаленном доступе к персональным данным
При работе дистанционных сотрудников с персданными самый большой риск – это утечка сведений в результате несанкционированного доступа к базе данным.Конечно, при нахождении рабочего места на территории организации такие риски гораздо ниже, чем при дистанционной работе. На своей территории компания обеспечивает и организационные, и технические средства защиты. Но как гарантировать подобные меры, например, при работе в кафе, коворкинге, парке? Рассмотрим условия, которые важно учесть.
Условие 1: указать обязанности работника
В первую очередь при обеспечении дистанционного доступа к базам данных важно прописать обязанности работника. Также должна быть указана следующая информация:
- место, где он может работать с ПД;
- требования защиты оборудования;
- необходимость информирования при любых угрозах несанкционированного доступа к ПД и т.д.
ВАЖНО!
Дистанционный доступ должен быть учтен при оценке угроз безопасности персональных данных
Следует устанавливать уровни угрозы и перечень мероприятий по защите персданных при разных способах выполнения работы:
- дистанционно на территории России;
- дистанционно в иностранном государстве;
- дистанционно в иностранном государстве, отнесенном к недружественной стране.
Ответственность работника, имеющего доступ к персональным данным
Допустим, дистанционный сотрудник нарушил правила безопасности при работе с персональными данными и это привело к несанкционированному доступу (утечке). Что в этом случае может сделать работодатель?Уволить за разглашение охраняемой законом тайны, в том числе – ПД другого работника (по пп. «в» п. 6 ч. 1 ст. 81 ТК РФ)? Спорно. Привлечь к материальной ответственности? На практике – нереально.
ИНТЕРЕСНЫЕ СТАТЬИ
Что важно знать каждой компании об информационной безопасности при обработке персональных данных
Следовательно, работодателю нужно принимать превентивные меры. А именно –минимизировать риски при передаче ПД.
В случае с удаленным работником за границей для этого есть два «рабочих» способа:
- исключить доступ к персданными дистанционного работника вне вашей зоны контроля;
- по возможности, использовать гражданско-правовые договоры вместо трудовых. В них нужно прописывать ответственность исполнителя за нарушения порядка работы с ПД, в том числе и материальную.
Проведите аудит ПД на соответствие новым требованиям с помощью нашей экспертной компании. Подготовьтесь к изменениям 2024 года, чтобы избежать многомиллионных штрафов, снизить репутационные риски и быть готовыми к возможным проверкам!
Заказать аудит персональных данных
Материал подготовила Валентина Митрофанова,
эксперт по трудовому праву,
управляющий партнер компании «Митрофанова и партнеры»