В этой статье мы расскажем, какие правовые риски для топ-менеджеров создают сервисы распознавания документов и как соблюдать новые требования законодательства при оцифровке данных сотрудников.
В России с 1 марта 2023 года введены новые требования к операторам персональных данных. Теперь операторы, к которым относятся работодатели, обязаны запрашивать у Роскомнадзора разрешение на передачу персональных данных за границу, а в случае ошибок при их обработке — оценивать степень вреда субъектам.
Изменения правил не случайны, перемены в этом поле в буквальном смысле «назрели».
Судите сами.
Только за первый квартал 2023 года, по данным Роскомнадзора, произошло 39 утечек персональных данных. По экспертным оценкам Infowatch, в результате инцидентов в сеть попали 350 млн уникальных записей персональных данных.
В 2022 году, по данным Роскомнадзора, было выявлено 150 утечек, из-за которых в Интернет попали 600 млн записей о гражданах России. Эксперты оценивают объем скомпрометированных записей в 660 млн строк.
Обратим внимание на требование Роскомнадзора об оценке вреда от ущерба в результате утечки.
Согласно приказу ведомства от 27 октября 2022 г. №178 «Об утверждении требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения ФЗ “О персональных данных”», выделяется 3 степени вреда субъектам персональных данных — высокая, средняя и низкая.
Высокая степень вреда может быть причинена в случае ошибок при обработке:
биометрических персональных данных;
специфических категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости;
обработки персональных данных несовершеннолетних;
поручение иностранному лицу (иностранным лицам) осуществлять обработку персональных данных граждан Российской Федерации;
сбора персональных данных с использованием баз данных, находящихся за пределами Российской Федерации;
Рассмотрим случай из реальной практики, когда работодатель при утечке биометрических данных причинил своим сотрудникам вред высокой степени.
У компании «Ситимобил» в открытый доступ попало больше 4000 фотографий паспортов водителей службы такси. К чести компании стоит сказать, что она взяла на себя ответственность за этот инцидент и оперативно проинформировала об этом инциденте Роскомнадзор.
Судя по всему, в ходе ошибки при обработке биометрических данных таксистов (изображений паспортов людей) им был нанесен вред высокой степени.
Этот инцидент напрямую связан с кадровыми процессами.
Напомню, что в список документов, необходимых сотрудникам кадровых служб для оформления персонала компаний, входят паспорт, СНИЛС, трудовая книжка. Также трудоустроенный предоставляет выписку из банка с реквизитами своего счета для начисления зарплаты.
Для отдельных должностей требуется предоставление дипломов об образовании, водительских прав и других необходимых справок.
Обычно ввод, обработка и хранение персональных документов при приеме на работу ведется в системах кадрового учета или специальных модулях комплексных систем управления предприятием.
Далее внесенные в систему данные уже в цифровом виде используются для оформления на работу, отпусков, переводе на другую должность и подготовке других документов кадрового учета.
Помимо внутренних информационных систем кадровым службам предлагается вывести данный процесс на аутсорсинг. То есть работа штатного кадровика по вводу документов при приеме на работу новых сотрудников заменяется передачей изображений документов конфиденциальными и персональными данными на обработку в сервисы извлечения данных.
Это сопряжено с очевидными рисками, так как в этих сервисах работают удаленные операторы, которые вводят или корректируют данные из документов, не поддавшиеся автоматической обработке в силу недоработанности алгоритмов.
На российском рынке такие сервисы предлагают компании Beorg (проект «Биорг.Найм»), DBrain (совместный проект DBrain со «СберРешения»), Directum, EasyDocs, DreamDocs (ранее ApRbot).
Если сервис распознавания документов поручит обработку персональных данных россиян иностранному лицу (оператору верификации), то утечка в такой ситуации также причинит субъекту персональных данных вред высокой степени.
Помимо этого компании, сотрудничающей с сервисом распознавания документов, чьи операторы верификации работают за рубежом, по введенным с 1 марта требованиям, необходимо будет уведомлять Роскомнадзор о передаче данных за границу.
Отказ от взаимодействия с регулятором в этом случае может привести к нарушению приказа Роскомнадзора и к соответствующим правовым последствиям.
В случае же утечки персональных данных из заграничной базы данных, а де-факто от оператора верификации, пострадавшим сотрудникам также будет причинен вред высокой степени.
На что следует обратить внимание руководителям компаний и сотрудникам кадровых служб, автоматизируя процессы обработки для обеспечения сохранности персональных данных сотрудников? И как избежать утечек данных своих работников?
Следует учитывать, что, согласно законодательству, информация может свободно использоваться любым лицом и передаваться одним лицом другому лицу, если федеральными законами не установлены ограничения доступа к информации либо иные требования к порядку ее предоставления или распространения.
Однако, если обладатель информации не заинтересован в выводе ее в открытый доступ, здесь, как раз, и действуют «иные требования».
В соответствии с законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», эти данные относятся к охраняемой законом тайне.
Если обладателем информации, составляющей коммерческую тайну, установлен в письменной форме режим коммерческой тайны, то также эта информация запрещена к разглашению.
В предпринимательской деятельности практически каждый документ компании — носитель охраняемой законом или соглашением сторон информации.
Если владелец информации не признал ее ограниченный доступ, то распознавание ее при оцифровке с применением дополнительного человеческого труда и даже при невыясненной безопасности облачного сервиса, через которое она проходит, действительно является легальным.
Но в случаях, перечисленных выше, — абсолютно противозаконно и грозит утечкой с высокой степени вреда людям, поскольку даже если сервис распознавания заботится об информационной защите того, что попало на облако, «полуавтоматика» с участием операторов, практически, сводит на нет ее конфиденциальность.
В силу определенной незрелости российского законодательства, основная ответственность возлагается не на систему распознавания, а на саму компанию, допустившую при найме сотрудников утечку их персональной информации без согласия нанимаемых.
Если даже кадровик некой компании, которая при оцифровке данных нанимаемых сотрудников, привлек третьи лица для формирования электронного документооборота, то он рискует даже не столько подвергнуться законодательной ответственности, сколько самому подвергнуть свою компанию репутационным рискам.
В случае возникшего судебного спора компания деятельностью этих самых третьих лиц прикрываться не сможет – отвечать она будет сама. Причем уже в 2023 году ответственность может быть вплоть до ст. 183 УК.
Таким образом, легальным и безопасным решением может быть ввод данных при приеме на работу из документов работников только внутри информационного контура организации.
На российском рынке такие системы распознавания есть. При рекрутинге персонала они не отправляют данные за пределы ИТ систем работодателя.
О том, что передача персональных данных на обработку в сторонние сервисы создает риски утечки, хорошо говорят инциденты в крупнейших облачных сервисах «Яндекса», «Сбера» и Mail.ru (принадлежит VK).
Сомневаться в том, что в этих компаниях работает большой штат ИТ-специалистов и есть возможность применять весь возможный арсенал средств обеспечения информационной безопасности точно не приходится.
Только в 2023 году стало известно об утечке данных миллионов пользователей в Mail.ru, десятков тысяч пользователей платформы «СберПраво», сотен тысяч пользователей и сотрудников сервиса «СберЛогистика», почти 50 млн клиентов «Сбера» в программе лояльности «СберСпасибо».
Напомним, что рекордная утечка в Сбербанке была в 2019 году, когда для 60 млн клиентов банка общедоступными стали их ФИО, паспортные данные и другие сведения, включая информацию по кредитам.
Отдельно стоит выделить утечки в сервисах компании «Яндекс», потому что облачное решение «Толока» (международный проект «Яндекса») предоставляет удаленных верификаторов для ввода персональных данных в решениях по приему на работу компании DBrain.
В 2023 году в открытом доступе оказались исходные коды самих сервисов «Яндекса», а в 2022 году произошли утечки данных тысяч клиентов «Яндекс.Практикума» и более 6,8 млн пользователей сервиса «Яндекс.Еда».
Компании, передающие ввод данных некоему сервису, использующему для конечной оцифровки операторов, по сути допускают по различным причинам возможность разглашения им данных соискателей и сами создают дополнительные риски утечки данных.
Естественно, отсюда следует вывод: при оцифровке бумажных документов данные не должны передаваться во внешние сервисы, чтобы гарантировать трудоустраивающей компании, что персональные данные сотрудников не уйдут за ее пределы.
Сейчас как никогда важно обеспечить безопасную оцифровку бумажных данных при найме персонала. Судя по развитию законодательства в этой сфере, ошибки в этой сфере дорого обойдутся компаниям.
В правительстве уже поступил законопроект об ответственности за кражу, незаконное распространение и продажу личных данных граждан России.
Для компаний предлагается введение штрафов от 300 тысяч до 2 миллионов рублей и уголовная ответственность для руководителей с лишением свободы на срок до 6 лет.
Хотя по действующему законодательству максимальная сумма штрафа составляет 500 тыс. рублей. Но теперь, возможно, будет введен оборотный штраф: он будет повышен в 2 раза в случае повторной утечки данных у компании.
Реклама: Смирнова Людмила Владимировна, ИНН 772003225176.
