Распространение персональных данных: что это такое, действия работодателя
Система Главбух подготовила справочник для компаний по работе с персдаными. В нем — подборка всех документов, которые должны быть в компании для работы с персональными данными работников, клиентов, контрагентов и пользователей сайтов. Скачать справочник >>
Что такое распространение персональных данных
Распространение персональных данных – это передача или совместное использование личной информации человека, такой как его имя, адрес, номер телефона или любые другие данные, которые могут его идентифицировать. Такое распространение может происходить как преднамеренно, например, при передаче данных сторонним поставщикам услуг, так и непреднамеренно, в результате утечки или нарушения целостности данных. В каких документах содержатся персональные данные, вы узнаете из рекомендации Системы Главбух.
Чтобы иметь полное представление, что такое распространение персональных данных, необходимо рассмотреть различные сценарии, в которых персданные могут быть переданы или распространены:
Внутренняя коммуникация: Обмен данными сотрудников в различных отделах организации.
Внешний обмен: Предоставление данных сторонним поставщикам услуг, таким как службы расчета заработной платы или администраторы льгот.
Публичное раскрытие: Случайное или преднамеренное предоставление персональных данных в открытый доступ, например, через незащищенные веб-сайты или незащищенные файлы.
Нарушение целостности данных: Несанкционированный доступ к персональным данным и их распространение злоумышленниками.
Обязанности работодателя по распространению персональных данных
Работодатели играют важнейшую роль в предотвращении распространения персональных данных. Они должны внедрять надежные политики и практики защиты данных, которые включают в себя:
Классификация и управление данными: Идентификация и классификация персональных данных для применения соответствующих мер безопасности.
Контроль доступа: Ограничение доступа к персональным данным только теми сотрудниками, которым они необходимы для работы.
Шифрование данных: Обеспечение шифрования персональных данных как при передаче, так и в состоянии покоя для предотвращения несанкционированного доступа.
Регулярные аудиты: Проведение регулярных аудитов для выявления потенциальных уязвимостей в практике защиты данных.
Обучение сотрудников: Обучение сотрудников важности защиты данных и способам безопасного обращения с ними.
Кроме того, следует учитывать следующее. Если требуется передать данные сотрудника третьим лицам или опубликовать их в интернете, необходимо предварительно получить согласие сотрудника на передачу этих данных. Это согласие следует запрашивать каждый раз, когда планируется передача персональных данных сотрудника (ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).
Если данные будут передаваться неограниченному кругу лиц, необходимо получить от сотрудника письменное согласие на распространение персональных данных, так как согласие на их обработку в данном случае не подходит (ст. 88 ТК РФ, ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ, приказ Роскомнадзора от 24.02.2021 № 18).
Как получить персональные данные сотрудника у третьих лицУзнать >>
Как передавать персональные данные сотрудников третьим лицамУзнать >>
Действия работодателя до передачи персональных данных внутри организации
Утвердить сотрудника, ответственного за организацию работы с персональными данными, через приказ (п. 1 ч. 1 ст. 18.1 Закона №152-ФЗ, ст. 88 ТК РФ). Внести необходимые изменения в его должностные инструкции или трудовой договор. Обязать его разрабатывать локальные акты в сфере обработки персональных данных и контролировать их выполнение.
Издать локальный нормативный акт, например, положение о порядке обработки персональных данных работников. В этом акте необходимо детально описать цели, объем и категории персональных данных для каждого случая обработки, порядок передачи данных между структурными подразделениями.
Приказом определить должности работников, которые могут иметь доступ к персональным данным, и для каждой должности установить перечень разрешенных к обработке данных.
Ознакомить работников под подпись с локальным нормативным актом и приказом.
Действия работодателя до передачи персональных данных третьим лицам
Определить перечень ситуаций, когда согласие работника на передачу персональных данных не требуется по закону, например, предоставление сведений в СФР, ФНС, прокуратуру и т.п. Ознакомить сотрудников с этим списком, чтобы предотвратить непреднамеренную утечку данных.
Если данные работников распространяются в рамках исполнения договора с другой организацией, например, с аутсорсером, необходимо включить в договор поручение оператора. Требования к его содержанию указаны в ч. 3 ст. 6 Закона № 152-ФЗ.
Если данные передаются без договора, например, по запросу от другой организации, необходимо заключить с ней соглашение о конфиденциальности или запросить гарантийное письмо о соблюдении режима конфиденциальности. Документ должен содержать цели обработки персональных данных.
В случаях, указанных в пунктах 2 и 3, обязательно получить от работника письменное согласие на распространение его личной информации третьим лицам.
Роль бухгалтера в защите распространяемых персональных данных
Бухгалтерам отводится уникальная роль в управлении и защите персональных данных. Их работа часто связана с обработкой конфиденциальной финансовой и личной информации, что делает их ключевой фигурой в предотвращении распространения персональных данных. Вот некоторые конкретные действия, которые должны предпринять бухгалтеры:
Безопасная работа с данными: Всегда используйте безопасные методы хранения и передачи персональных данных, например, зашифрованные электронные письма или защищенные платформы обмена файлами.
Соблюдение нормативных требований: Убедитесь, что все методы работы с персональными данными соответствуют соответствующим нормативным актам, таким как Федеральный закон о персональных данных.
Регулярные обновления и проверки: Следите за изменениями в законах о защите данных и регулярно проверяйте методы обработки данных на соответствие требованиям.
Минимизация данных: Собирайте и храните только минимальный объем персональных данных, необходимый для целей учета.
Документация и отчетность: Ведите подробный учет практики обработки данных и незамедлительно сообщайте о любых случаях нарушения данных.
Что такое распространение персональных данных
Распространение персональных данных – это передача или совместное использование личной информации человека, такой как его имя, адрес, номер телефона или любые другие данные, которые могут его идентифицировать. Такое распространение может происходить как преднамеренно, например, при передаче данных сторонним поставщикам услуг, так и непреднамеренно, в результате утечки или нарушения целостности данных. В каких документах содержатся персональные данные, вы узнаете из рекомендации Системы Главбух.
Чтобы иметь полное представление, что такое распространение персональных данных, необходимо рассмотреть различные сценарии, в которых персданные могут быть переданы или распространены:
Внутренняя коммуникация: Обмен данными сотрудников в различных отделах организации.
Внешний обмен: Предоставление данных сторонним поставщикам услуг, таким как службы расчета заработной платы или администраторы льгот.
Публичное раскрытие: Случайное или преднамеренное предоставление персональных данных в открытый доступ, например, через незащищенные веб-сайты или незащищенные файлы.
Нарушение целостности данных: Несанкционированный доступ к персональным данным и их распространение злоумышленниками.
Обязанности работодателя по распространению персональных данных
Работодатели играют важнейшую роль в предотвращении распространения персональных данных. Они должны внедрять надежные политики и практики защиты данных, которые включают в себя:
Классификация и управление данными: Идентификация и классификация персональных данных для применения соответствующих мер безопасности.
Контроль доступа: Ограничение доступа к персональным данным только теми сотрудниками, которым они необходимы для работы.
Шифрование данных: Обеспечение шифрования персональных данных как при передаче, так и в состоянии покоя для предотвращения несанкционированного доступа.
Регулярные аудиты: Проведение регулярных аудитов для выявления потенциальных уязвимостей в практике защиты данных.
Обучение сотрудников: Обучение сотрудников важности защиты данных и способам безопасного обращения с ними.
Кроме того, следует учитывать следующее. Если требуется передать данные сотрудника третьим лицам или опубликовать их в интернете, необходимо предварительно получить согласие сотрудника на передачу этих данных. Это согласие следует запрашивать каждый раз, когда планируется передача персональных данных сотрудника (ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).
Если данные будут передаваться неограниченному кругу лиц, необходимо получить от сотрудника письменное согласие на распространение персональных данных, так как согласие на их обработку в данном случае не подходит (ст. 88 ТК РФ, ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ, приказ Роскомнадзора от 24.02.2021 № 18).
Как получить персональные данные сотрудника у третьих лицУзнать >>
Как передавать персональные данные сотрудников третьим лицамУзнать >>
Действия работодателя до передачи персональных данных внутри организации
Утвердить сотрудника, ответственного за организацию работы с персональными данными, через приказ (п. 1 ч. 1 ст. 18.1 Закона №152-ФЗ, ст. 88 ТК РФ). Внести необходимые изменения в его должностные инструкции или трудовой договор. Обязать его разрабатывать локальные акты в сфере обработки персональных данных и контролировать их выполнение.
Издать локальный нормативный акт, например, положение о порядке обработки персональных данных работников. В этом акте необходимо детально описать цели, объем и категории персональных данных для каждого случая обработки, порядок передачи данных между структурными подразделениями.
Приказом определить должности работников, которые могут иметь доступ к персональным данным, и для каждой должности установить перечень разрешенных к обработке данных.
Ознакомить работников под подпись с локальным нормативным актом и приказом.
Действия работодателя до передачи персональных данных третьим лицам
Определить перечень ситуаций, когда согласие работника на передачу персональных данных не требуется по закону, например, предоставление сведений в СФР, ФНС, прокуратуру и т.п. Ознакомить сотрудников с этим списком, чтобы предотвратить непреднамеренную утечку данных.
Если данные работников распространяются в рамках исполнения договора с другой организацией, например, с аутсорсером, необходимо включить в договор поручение оператора. Требования к его содержанию указаны в ч. 3 ст. 6 Закона № 152-ФЗ.
Если данные передаются без договора, например, по запросу от другой организации, необходимо заключить с ней соглашение о конфиденциальности или запросить гарантийное письмо о соблюдении режима конфиденциальности. Документ должен содержать цели обработки персональных данных.
В случаях, указанных в пунктах 2 и 3, обязательно получить от работника письменное согласие на распространение его личной информации третьим лицам.
Роль бухгалтера в защите распространяемых персональных данных
Бухгалтерам отводится уникальная роль в управлении и защите персональных данных. Их работа часто связана с обработкой конфиденциальной финансовой и личной информации, что делает их ключевой фигурой в предотвращении распространения персональных данных. Вот некоторые конкретные действия, которые должны предпринять бухгалтеры:
Безопасная работа с данными: Всегда используйте безопасные методы хранения и передачи персональных данных, например, зашифрованные электронные письма или защищенные платформы обмена файлами.
Соблюдение нормативных требований: Убедитесь, что все методы работы с персональными данными соответствуют соответствующим нормативным актам, таким как Федеральный закон о персональных данных.
Регулярные обновления и проверки: Следите за изменениями в законах о защите данных и регулярно проверяйте методы обработки данных на соответствие требованиям.
Минимизация данных: Собирайте и храните только минимальный объем персональных данных, необходимый для целей учета.
Документация и отчетность: Ведите подробный учет практики обработки данных и незамедлительно сообщайте о любых случаях нарушения данных.