Стремясь увеличить количество клиентов, приумножить прибыль, повысить привлекательность производимых продуктов и оказываемых услуг, предприниматели трудоустраивают новых сотрудников. Люди — главный актив. Взаимодействуя с человеческим капиталом, бизнесмены-работодатели вступают в отношения с сотрудниками как операторы персональных данных.
Иллюстрация: Вера Ревина/Клерк.ру
Данные принято разделять на:
общие данные (ФИО, дата рождения, паспорт, место регистрации и работы, номер телефона, e-mail и др.);
специальные (политические, религиозные и философские взгляды, состояние здоровья и др.);
биометрические (физиологические особенности человека, которые используются для установления личности: фото, отпечатки пальцев, анализ ДНК, цвет глаз и др.)
Прежде, чем приступить к обработке персональных данных, компании обязаны уведомить Роскомнадзор. При трансграничной передаче — Роскомнадзор уведомляется дополнительно.
По условиям п.1 ч. 1 ст. 6, ч. 1 ст. 9 закона от 27.07.2006 № 152-ФЗ «О персональных данных», обработка персональных данных осуществляется только с согласия работника.
Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Для передачи информации о сотруднике сторонним организациям и третьим лицам, например, курьерской службе, компания оформляет отдельное согласие дополнительно.
Ч. 1. ст. 18.1. закона от 27.07.2006 № 152-ФЗ «О персональных данных», наделяет оператора правом самостоятельно определять состав и перечень мер, необходимых и достаточных для выполнения требований закона.
Работодатели обязаны уберечь персональные данные сотрудников от неправомерного или случайного доступа, от их уничтожения, изменения, копирования, распространения и иных неправомерных действий.
01 марта 2023 года приказом от 27.10.2022 № 178 Роскомнадзор ввел 3 вида рисков, которые должна оценить компания-оператор для определения вреда субъектам персональных данных: высокий, средний, низкий.
Например, обработка биометрических персональных данных — это высокая степень риска; получение согласия на обработку персональных данных через интернет без идентификации субъекта — это средняя степень; низкая степень вреда — общедоступные источники персональных данных.
Правительство в постановлении от 01.11.2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», установило 4 уровня защищенности информации, которые требуется обеспечить в организации.
При всех четырех уровнях защищенности необходимо соблюдать четыре общих требования к защите персональных данных сотрудников организации:
обеспечить режим безопасности помещений, в которых размещаете информационную систему, чтобы не допустить проникновение посторонних;
обеспечить сохранность носителей информации;
утвердить перечень сотрудников, которых допустили к персональным данным;
использовать средства защиты информации, которые прошли оценку соответствия требованиям закона в области обеспечения безопасности информации, если потребуется нейтрализовать угрозы безопасности.
В случае, когда оператор не использует автоматизированных программ, обрабатывает персональные данные сотрудников исключительно на бумажных носителях, компания обязана вести соответствующие журналы и книги с утвержденным порядком записей.
Выстраивая корпоративную систему защиты персональных данных на предприятиях, операторы, по возможности разрабатывают следующие документы:
положение о работе с персональными данными;
положение о защите персональных данных;
положение о порядке уничтожения персональных данных;
политика обработки персональных данных пользователей сайтов;
положение о внутреннем аудите работы с персональными данными;
регламент о допуске работников к обработке персональных данных;
приказ о назначении ответственного по работе с персональными данными;
обязательство сотрудников о неразглашении;
уведомление о начале обработки данных;
согласия субъектов персональных данных.
В отдельных случаях может потребоваться:
уведомление об изменении сведений;
уведомление о трансграничной передаче данных;
уведомление о прекращении обработки данных;
уведомление об уничтожении данных.
Часть предпринимателей издает Политику обработки персональных данных и включают в нее все вопросы.
Кроме обработки, операторы подтверждают уничтожение сведений о персональных данных. Уничтожение персональных данных на бумажных носителях фиксируются в актах. Удаление сведений из электронного хранилища информационной системы доказывает выгрузка из журнала, где зарегистрированы все события.
В соответствии с ч. 7 ст. 2, пп. 4 п. 2 ст. 4 закона от 27.11.2018 № 422-ФЗ «О проведении эксперимента по установлению специального налогового режима «Налог на профессиональный доход», физические лица, применяющие специальный налоговый режим «Налог на профессиональный доход», не имеют работодателя и не привлекают наемных работников.
В отсутствии сотрудников, самозанятый не обязан уведомлять Роскомнадзор об обработке персональных данных, но при осуществлении предпринимательской деятельности самозанятому могут быть доступны персональные данные, например, покупателей или заказчиков — физических лиц, в данных случаях самозанятый будет являться оператором.
ООО «ЯЗАНЯТ» является оператором персональных данных пользователей Платформы и предпринимает необходимые организационные и технические меры, чтобы защищать конфиденциальность персональных данных пользователей и предотвращать неавторизованный доступ к ним третьих лиц. Меры созданы в соответствии с применимым законодательством таким образом, чтобы обеспечить уровень безопасности, который отвечает рискам обработки персональных данных.
Таким образом работа через платформу «ЯЗАНЯТ» предоставляет гарантию отсутствия рисков, связанных с обработкой и защитой персональных данных и исключает риски претензий и штрафов со стороны контролирующих органов для всех сторон договорных отношений.
Реклама: ООО «ЯЗАНЯТ», ИНН 7704444693, erid: LjN8K1iaX
