Обеспечение защиты персональных данных при доступе дистанционного сотрудника

Как обеспечить эффективную информационную защиту персональных данных (далее – персданные, ПД)? Этот вопрос является камнем преткновения, когда доступ к личным сведениям предоставлен (сохранен) дистанционному работнику, да еще и за границей.

Если ранее вызывало споры место работы таких сотрудников (по трудовому законодательству), то теперь возникла проблема со стороны Роскомнадзора. Инспекция труда обещает сообщать в налоговую и в Роскомнадзор о выявлении дистанционной работы за границей и доступа удаленного работника к ПД.

Рассмотрим, как законно обеспечить дистанционному работнику за рубежом доступ к удаленной базе данных компании на территории России.
ИНТЕРЕСНЫЕ СТАТЬИ

Как правильно организовать в компании перевод на дистанционную работу

Подробнее

Право доступа к персональным данным дистанционного работника за границей

Работодатель часто предоставляет удаленным сотрудникам за границей доступ к информационной системе (далее – ИС) и базам данных, в которых содержатся персданные граждан России, в том числе – и работников компании.
ВАЖНО!

Доступ такого сотрудника к персданным на территории России не относится к трансграничной передаче. В отдельных ответах и консультациях должностные лица дают рекомендации в подобных случаях оператору (работодателю) исполнять обязанности как при трансграничной передаче. Однако так поступать некорректно. Это противоречит закону

Термин «трансграничная передача» означает передачу персданных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее – Закон № 152-ФЗ).

Следовательно, мы обсуждаем случай обычной передачи должностным лицам организации персональных данных работников. Для этого по закону необходим доступ. Чтобы предоставить его, нужно выполнить следующие требования (ст. 88 ТК РФ):

  • осуществлять передачу персданных работника в пределах одной организации, у одного индивидуального предпринимателя по положениям локального нормативного акта (далее – ЛНА). Работник должен быть с ним ознакомлен под роспись;
  • разрешать доступ к ПД работников только специально уполномоченным лицам. Они должны иметь право получать лишь те персданные, которые необходимы для выполнения конкретных функций.
ПРАВИЛА ОБЕСПЕЧЕНИЯ ДОСТУПА ДИСТАНЦИОННОГО РАБОТНИКА К ПЕРСОНАЛЬНЫМ ДАННЫМ

  1. Доступ сотрудника организации к ПД работников закрепляется в ЛНА. Должность работника, допущенного к таким сведениям, должна быть прописана в этом ЛНА.
  2. Работник вправе иметь доступ только к тем ПД, которые необходимы для выполнения функции. Следовательно, его доступ может быть полным или ограниченным. При ограниченном – важно иметь обоснование необходимости допуска именно к этим ПД.
  3. Доступ дистанционного сотрудника при работе с ПД в ИС, базах данных должен быть обеспечен ограничением при входе в ИС по логину и паролю
ИНТЕРЕСНЫЕ СТАТЬИ

Риски самозанятости для работодателя

Подробнее

Персональный консультант по трудовому праву подскажет, может ли самозанятый работать за границей

Риски работодателя при удаленном доступе к персональным данным

При работе дистанционных сотрудников с персданными самый большой риск – это утечка сведений в результате несанкционированного доступа к базе данным.

Конечно, при нахождении рабочего места на территории организации такие риски гораздо ниже, чем при дистанционной работе. На своей территории компания обеспечивает и организационные, и технические средства защиты. Но как гарантировать подобные меры, например, при работе в кафе, коворкинге, парке? Рассмотрим условия, которые важно учесть.

Условие 1: указать обязанности работника

В первую очередь при обеспечении дистанционного доступа к базам данных важно прописать обязанности работника. Также должна быть указана следующая информация:

  • место, где он может работать с ПД;
  • требования защиты оборудования;
  • необходимость информирования при любых угрозах несанкционированного доступа к ПД и т.д.
ВАЖНО!

Дистанционный доступ должен быть учтен при оценке угроз безопасности персональных данных

Условие 2: определить уровни угрозы и перечень мероприятий по защите ПД

Следует устанавливать уровни угрозы и перечень мероприятий по защите персданных при разных способах выполнения работы:

  • дистанционно на территории России;
  • дистанционно в иностранном государстве;
  • дистанционно в иностранном государстве, отнесенном к недружественной стране.
ОБРАТИТЕ ВНИМАНИЕ!

При любом способе изложения обязанностей уполномоченного работника ответственность за обеспечение защиты персональных данных и все риски несет работодатель (ст. 22.1 Закона № 152-ФЗ)

Ответственность работника, имеющего доступ к персональным данным

Допустим, дистанционный сотрудник нарушил правила безопасности при работе с персональными данными и это привело к несанкционированному доступу (утечке). Что в этом случае может сделать работодатель?

Уволить за разглашение охраняемой законом тайны, в том числе – ПД другого работника (по пп. «в» п. 6 ч. 1 ст. 81 ТК РФ)? Спорно. Привлечь к материальной ответственности? На практике – нереально.
ИНТЕРЕСНЫЕ СТАТЬИ

Что важно знать каждой компании об информационной безопасности при обработке персональных данных

Подробнее

Кроме того, вскоре может быть принят проект про оборотные штрафы при утечке персданных. Тогда компании грозят уже реальные финансовые риски, а не только фиксированные штрафы.

Следовательно, работодателю нужно принимать превентивные меры. А именно –минимизировать риски при передаче ПД.

В случае с удаленным работником за границей для этого есть два «рабочих» способа:

  • исключить доступ к персданными дистанционного работника вне вашей зоны контроля;
  • по возможности, использовать гражданско-правовые договоры вместо трудовых. В них нужно прописывать ответственность исполнителя за нарушения порядка работы с ПД, в том числе и материальную.
Проведите аудит ПД на соответствие новым требованиям с помощью нашей экспертной компании. Подготовьтесь к изменениям 2024 года, чтобы избежать многомиллионных штрафов, снизить репутационные риски и быть готовыми к возможным проверкам!

Заказать аудит персональных данных

Заказать

Материал подготовила Валентина Митрофанова,
эксперт по трудовому праву и профессиональным стандартам,
управляющий партнер компании «Митрофанова и партнеры»анова и партнеры»
Поделиться материалом
Скопировать ссылку