что необходимо работнику для получения доступа к конфиденциальной информации
Перечень сведений конфиденциального характера
Перечень конфиденциальной информации на предприятии — это список закрытых от посторонних сведений. В их число, как правило, входят коммерческая информация, персональные и профессиональные данные (последние два вида определены федеральными законами).
Какие сведения входят
Как правило, реестры конфиденциальных данных предприятия состоят из нескольких видов закрытых материалов. Разделы о коммерческой тайне и персональных данных присутствуют в перечнях всех организаций, они составляются по нормам законов №98-ФЗ и №152-ФЗ. Сведения профессионального характера вносятся в номенклатуру в соответствии с профилем деятельности конкретной фирмы. Доступ к ней ограничен специальными законами: о банковском деле, об адвокатуре и пр.
Как утвердить перечень
Реестр в большинстве случаев состоит из двух разделов — коммерческой тайны и информации, доступ к которой ограничен законодательно.
1. Официально утвержденного перечня конфиденциальных сведений в области коммерческой тайны не существует. Каждая организация сама устанавливает, к каким материалам следует ограничить доступ третьих лиц. Чаще всего закрывают данные о:
2. Информация, доступ к которой ограничивается законом. Сюда относятся персональные данные, материалы профессионального характера, налоговая, банковская, адвокатская, нотариальная, врачебная, аудиторская и прочие виды тайн.
Чтобы понять, какое назначение имеет перечень конфиденциальных сведений предприятия, необходимо руководствоваться практическими соображениями и требованиями закона:
На предприятии надо составить и оформить перечень конфиденциальных сведений фирмы и ограничить их распространение. Для этого разрабатываются локальные нормативные акты и проводятся организационные мероприятия, определенные ст. 10 закона №98-ФЗ:
Мероприятия, устанавливающие режим конфиденциальной информации, регламентируются положением, инструкцией или регламентами. Документационное оформление зависит от установленных в организации правил документооборота. Для введения в действие документа издается приказ об утверждении перечня сведений конфиденциального характера. С его содержанием надо ознакомить всех причастных к тайне сотрудников.
Кто имеет доступ
Работников, получивших доступ, знакомят с реестром и мерами, обеспечивающими режим конфиденциальности, под роспись. Лиц, допущенных к информации, относящейся к перечню конфиденциальности, определяет руководитель. Обычно это список должностей, который оформляется приложением к приказу или отдельным пунктом в инструкции или положении. Сотруднику обеспечиваются условия для сохранения тайны: специальная мебель, запирающиеся шкафы и пр. Допуск к сведениям ограниченного доступа, если он не предусмотрен трудовым договором, предоставляется с согласия служащего.
Ответственность за нарушение
Работники или контрагенты, разгласившие перечень информации, относящейся к конфиденциальной информации, несут ответственность:
Что относится к персональным данным. Кому их можно передавать, как хранить и уничтожать
В последние годы вопрос о персональных данных стал крайне острым ввиду активной цифровизации, а следовательно, и с ростом рисков по утечке и мошенническом использовании информации. При проведении проверок инспекторы обращают внимание на документы, относящиеся к персональным данным, их наличие, хранение, согласие работников на обработку и т.д.
Что такое персональные данные и что к ним относят
Персональные данные — это любая информация, прямо или косвенно относящаяся к физическому лицу, и позволяющая его определить. Это из статьи 3 ФЗ «О персональных данных», от 27.07.2006 № 152-ФЗ (далее — Закон).
К персональным данным, согласно данному закону, относят:
Но стоит учитывать, что некоторые из этих данных сами по себе, без связки с другими данными, персональными являться не могут. Если номер телефона сам по себе не является персональными данными, то в базе оператора, с указанием ФИО владельца — является. Адрес электронной почты в формате petrov_sergey_1987@mail.ru — тоже относится к персональным данным, как и ФИО, с привязкой к ИНН, номеру телефона или месту регистрации.
Также существует классификация персональных данных. Их подразделяют на:
Такая классификация дана в Постановлении Правительства от 1 ноября 2012 г. № 1119.
Немного подробнее по каждой категории.
Общедоступные — те, на доступ к которым дано согласие субъекта персональных данных, а не те, которые можно найти в общем доступе в интернете.
Специальные — информация о расе, национальности и религии; политических и философских взглядах, здоровье, подробностях личной жизни,
Биометрические — информация о физиологических и биологических особенностях человека. Это отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии.
Но здесь тоже важна определенная привязка к личности. Например, отпечаток пальца, используемый для идентификации сотрудника для входа в офис. Или скан радужной оболочки глаза.
К иным данным относится все остальное. Это как папка «разное» на большинстве компьютеров. Это электронная почта или геолокация,
информация о принадлежности к определенной социальной группе,
Обработка персональных данных
Любой договор с физлицом, содержащий его личные данные (а он и будет их содержать, если это не публичная оферта), должен в обязательном порядке содержать раздел о персональных данных. Без письменного согласия человека, обработка персональных данных оператором, а также их передача третьим лицам — запрещена.
Вообще, обработка персональных данных — это вообще любые действия, которые с ними делают. Сюда входит:
В свою очередь, обработка может осуществляться тремя путями:
После того, как персональные данные обработаны они отправляются на хранение в архив. Это может быть и отдельное специализированное помещение (если речь о бумажных документах) и электронное хранилище (например, облачное). В любом случае вам впоследствии нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (в силу закона).
Что будет, если нарушить законодательство о персональных данных
Следит за соблюдением законодательства в этой сфере организация, которая у многих на слуху — Роскомнадзор. Применяемая статья — 13.11 КоАП.
Если собирать персональные данные о гражданах РФ на серверы, расположенные за пределами РФ — штраф до 6 миллионов.
Что делать, чтобы не попасть под штрафы
Чтобы собирать, хранить и обрабатывать ПД, нужно соблюдать требования Закона № 152-ФЗ. Краткий чек-лист:
Все нужна регистрация в Роскомнадзоре?
Может возникнуть ощущение, что уже давно всем работодателям нужно бежать в Роскомнадзор и регистрироваться как оператору персональных данных. Однако это не так. Вот исключения:
Во всех остальных случаях — регистрация обязательна!
Не забудьте, что в Делис Архив действует акция «Новогодняя» — дарим полезные подарки действующим и будущим клиентам!
Доступ к конфиденциальной информации
Аудит и классификация данных
на базе системы
В российском законодательстве особое внимание уделяется вопросам хранения и доступа к информации. В первую очередь речь идет о работе сотрудников коммерческих и государственных организаций, у которых есть доступ к конфиденциальной информации – коммерческой и государственной тайне. Это создает риск утечки данных. Примеры, которые хорошо иллюстрируют проблему – промышленный шпионаж и воровство технологий, несанкционированный доступ к базам данных клиентов банков.
Для того чтобы обезопасить информацию, принимаются обязательные меры по ее защите. Они описываются в Федеральном законе «О коммерческой тайне». Среди них можно выделить контроль за порядком получения информации и установление ограничительных мер, а также строгий учет всех лиц, которым доступны такие сведения.
Для соблюдения этих мер используются разрешительные системы доступа персонала организаций к информации.
Что такое конфиденциальная информация
Конфиденциальные данные – это информация, доступ к которой имеет ограниченный круг лиц. При этом те, кто получает конфиденциальные сведения, не имеют права раскрывать их третьим лицам без предварительной договоренности и согласия контролирующих органов.
Организации ограничивают доступ к определенной информации из-за того, что она напрямую связана с коммерческим интересом предприятия или имеет ценность сама по себе.
Разрешительные системы
Разрешительная система доступа к информации – это комплекс мер, направленных на борьбу с несанкционированным доступом к данным (НСД). В каждой организации системы устроены по-разному, но, исходя из требований закона, у них есть общие черты:
Для понимания того, как функционирует разрешительная система, нужно подробнее рассмотреть, как реализовывается каждая функция, возлагаемая на нее.
Нормативно-правовая база
Каждая разрешительная система опирается на свод нормативно-правовых документов организации, в котором описываются правила работы с защищаемыми сведениями, а также требования к лицам, которые получают конфиденциальную информации.
От того, насколько проработана правовая база системы, зависит то, как успешно она будет функционировать. В нормативно-правовых актах следует максимально детально отразить, как строится управленческая вертикаль организации (кто и каким образом выдает разрешение на доступ к конфиденциальной информации), описать требования к сотрудникам и указать перечень лиц, ответственных за управление конфиденциальной информацией.
Чем детальнее проработана нормативно-правовая база в организации, тем меньше риск утечки данных. Важно сделать так, чтобы каждое действие, связанное с защищенными данными, подвергалось контролю внутри организации.
В документах нужно перечислить сотрудников, которые могут санкционировать доступ к сведениям. При этом нужно разграничивать их полномочия. К примеру, директор имеет право предоставить разрешение на просмотр любых данных, в то время как руководитель отдела ограничен своей сферой деятельности.
Определение круга лиц, которые получают разрешение
Для защиты конфиденциальных сведений устанавливается строгий контроль за тем, кто входит в круг лиц, имеющих допуск к секретным сведениям. Сотрудникам организации выдвигаются требования, соразмерные с важностью сведений, к которым они имеют допуск. Обязательное требование – запрет на разглашение внутренней информации.
В зависимости от ценности защищаемых сведений, меняются требования. К примеру, доступ к наиболее ценной информации могут иметь только доверенные сотрудники или персонал конкретных структурных подразделений организации, которым эта информация нужна для служебных целей. В случае работы с государственной тайной работник часто не имеет права покидать пределы РФ. Запрет на выезд за границу – один из частных способов защитить ценные сведения от утечки.
Другие возможные требования к лицу, которое получает доступ к конфиденциальной информации:
Помимо этих требований, могут выдвигаться и другие. Все зависит от важности конфиденциальной информации и сферы работы организации.
Система контроля доступа также учитывает и ценность самих конфиденциальных данных. Так, к менее значимым конфиденциальным сведениям допуск могут получать даже рядовые сотрудники, в то время как к более ценным только те, которые занимают руководящие должности.
Конкретный сотрудник должен получать разрешение на изучение только тех документов, которые нужны ему для выполнения служебных обязанностей. При этом в документообороте надо обязательно указывать перечень документов и сведений, к которым человек получил доступ, а также время его получения.
Во многих организациях сотруднику предоставляют частичное право на просмотр документов. Бывает так, что для выполнения работы не нужна полная версия документа. Это дополнительная мера, способствующая увеличению безопасности.
Контроль за сотрудниками, имеющими доступ к информации
Каждый работник, который получил допуск к информации, должен быть ответственным за ее сохранность. В случае несанкционированного доступа, ответственность за возникшие проблемы несут также и те, кто выдавал допуск на изучение сведений.
Наблюдением за сотрудниками, получившими разрешение на изучение конфиденциальной информации, занимаются специалисты, указанные в правовых документах организации. В коммерческих компаниях этим обычно занимается служба безопасности или другое специально созданное структурное подразделение.
Более строгий контроль осуществляется в государственных организациях. Лица, которые получают сведения, не всегда имеют право покидать пределы России. Допуск к документам выдается в зависимости от уровня их секретности («Секретно», «Совершенно секретно», «Особой важности»), а также ранга сотрудника (чем выше должность, тем выше доверие к лицу).
Разрешительная система предполагает постоянный учет. Записывается время предоставления доступа к конфиденциальным сведениям, указывается перечень лиц, которые его получали. Кроме того, перечисляются конкретные положения документа, к которым пользователь получал допуск. Учет необходим для того, чтобы эффективней контролировать лиц, имеющих разрешение. Кроме того, он помогает расследовать случаи утечки сведений и находить виновных.
Хранение, обработка и передача информации
Должностные лица обязаны контролировать документооборот организации и следить, чтобы никто не получил к нему несанкционированный доступ. Для этого конфиденциальные сведения должны передаваться по защищенным каналам связи и храниться надежным образом.
Физические документы ранжируются по грифам и располагаются в охраняемом месте, в пределах которого могут находиться только доверенные лица. Выдача документов для просмотра происходит под наблюдением уполномоченных сотрудников.
Если данные хранятся на электронных носителях, то они должна быть зашифрованной. Самая важная и засекреченная информация должна храниться на устройствах без подключения к Интернету. Допускается ее передача по локальной сети организации, но только в зашифрованном виде. Эти меры позволяют защитить сведения от НСД.
Порядок доступа к конфиденциальной информации
При получении доступа к конфиденциальной информации сотрудник делает прямой запрос руководителю. В нем он должен указать причины, по которым ему понадобилась закрытая информация. Иногда запрос предварительно проверяют сотрудники более низкого ранга и служба безопасности.
Для получения разрешения сотрудник обязан изучить нормативно-правовую базу организации, касающуюся секретных сведений. Кроме того, он подписывает документ, по которому на него накладываются дополнительные обязательства, в том числе требование о неразглашении секретных данных.
Документ, который разрешает доступ к информации, – это допуск, в котором перечислены лица, получающие его, и перечень сведений, которые им выдаются. На нем обязательно должна быть подпись руководителя или официальная печать. Обязательному протоколированию подлежат дата и время получения информации.
Допуск могут выдавать и другие лица – заместители руководителя и иные должностные лица. Они выдают разрешения только в пределах своих полномочий.
Доступ к конфиденциальной информации – важный вопрос как для коммерческих, так и для государственных организаций. Чтобы защитить сведения, в организациях вводятся разрешительные системы доступа к информации, которые позволяют уберечь секретные данные он несанкционированного проникновения к ним и предотвратить их утечку из-за сотрудников.
Персональные данные сотрудника: как с ними работать
Неоднозначное понимание того, что именно скрывается под персональными данными, в итоге приводит к конфликту между сторонами, когда работодатель и работник злоупотребляют своими правами. Чтобы избежать таких ситуаций, надо понимать, как правильно обрабатывать персональные данные на каждом этапе взаимодействия.
Основные документы, на которые нужно ориентироваться при обработке персональных данных, — это Конституция РФ (ст. 24) и Федеральный закон от 27.07.2006 № 152-ФЗ (далее — Закон о персональных данных).
В ст. 24 Конституции РФ говорится, что «сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются». Закон о персональных данных определяет значение не только ключевых понятий, с которыми придется сталкиваться на практике каждому работодателю, но и вводит принципы и условия обработки персональных данных, права субъекта персональных данных и другие важные моменты.
Вопросам защиты персональных данных работника посвящена гл. 14 ТК РФ.
Что включают персональные данные работника
Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных). Как правило, эти данные позволяют идентифицировать конкретного человека.
В рамках трудовых отношений работодатель может запрашивать только те персональные данные, которые нужны для выполнения трудовой функции. К ним относятся ФИО, сведения о предыдущей работе, документы, которые необходимы для устройства на работу (паспорт, трудовая книжка и т.д.), сведения об образовании. Такие сведения, как вероисповедание, работодатель запрашивать не имеет права, так как они не требуются для выполнения трудовой функции.
Сложность обработки персональных данных заключается в том, что на разных этапах взаимодействия и при решении различных трудовых задач у работодателя могут возникнуть вопросы. Например, считается ли та информация, которая содержится в резюме кандидата, персональными данными? Должен ли он давать согласие в этом случае, даже если его не возьмут на работу? Нужно ли как-то согласовывать с работником факт передачи данных для оформления пропуска? Можно ли размещать фотографию работника на доске почета без его согласия? Допускается ли размещение «черных списков» сотрудников на сайте компании? Что делать с данными уволенных сотрудников?
На все эти вопросы важно знать ответы. Тем более что периодически разъяснения по ним публикуют Минтруд, Роструд, Роскомнадзор.
Что делать с персональными данными кандидата
Еще на этапе просмотра резюме компания начинает собирать персональные данные кандидатов. Она может сохранять резюме в специальных программах, распечатывать их, сохранять контакты для дальнейшей связи и т.д.
В резюме обычно представлен целый перечень персональных данных — от номера телефона до сведений об образовании и предыдущих местах работы.
Роскомнадзор предупреждает о том, что обработка персональных данных соискателей предполагает получение соответствующего согласия от них. Согласие следует оформлять на период принятия решения о приеме либо отказе в приеме на работу.
Но есть и исключения, когда такое согласие не требуется:
В согласии нужно обязательно указать цель получения персональных данных — рассмотрение кандидата на вакантную должность. Можно воспользоваться образцом согласия на обработку персональных данных.
Если работодатель получает резюме соискателя по электронной почте, ему нужно дополнительно провести мероприятия, которые бы служили подтверждением факта направления резюме самим соискателем. Например, это может быть приглашение соискателя на собеседование или ответ на его письмо по электронной почте.
Что делать, если персональные данные собираются с помощью анкеты
Нередко работодатель осуществляет сбор персональных данных кандидатов с помощью типовой анкеты. Во-первых, такая анкета должна содержать информацию о сроке её рассмотрения и принятия решения о приеме либо отказе в приеме на работу.
Обычно анкета размещается в электронном виде на сайте компании, и согласие на обработку персональных данных подтверждается с помощью проставления «галочки» в соответствующем поле.
Что делать с данными кандидата, которого не взяли на работу
В таком случае предоставленные соискателем данные нужно уничтожить в течение 30 дней.
Есть в этой ситуации исключения — случаи, предусмотренные законодательством о государственной гражданской службе. Тогда хранить персональные данные соискателя придется в течение 3-х лет.
Направление запросов на прежние места работы
На этапе собеседования работодателю может потребоваться уточнение некоторых данных о работнике или получение дополнительной информации у прежних работодателей.
Для этого ему обязательно нужно заручиться согласием соискателя.
Сбор и обработка персональных данных при приеме на работу
Трудовое законодательство определяет перечень документов, которые работодатель запрашивает у работника при приеме на работу. На этом этапе, согласно ст. 65 ТК РФ, запрашиваются:
На то, чтобы внести персональные данные из этих документов в трудовой договор, согласие работника не требуется. Когда он подписывает трудовой договор, то тем самым уже дает свое согласие.
Оформление зарплатной карты и персональные данные работника
Многие организации при приеме на работу оформляют работникам зарплатную карту. В связи с этим может возникнуть вопрос — нужно ли на передачу персональных данных работника банку получать согласие? Да, нужно.
При этом важно, чтобы:
Роскомнадзор определяет случаи, когда передача персональных данных работника банку для открытия зарплатных карт должна происходить без согласия:
Стоит учесть, что работник может отказаться подписать согласие на передачу данных банку, с которым работает компания. У него могут быть уже открыты счета и карты в другом банке, и поэтому для него удобнее продолжать обслуживаться в своем банке.
В прошлом году была установлена ответственность за «зарплатное рабство». Это значит, что сотруднику нельзя отказать в праве на изменение кредитной организации, в которую будет перечисляться зарплата.
Сотрудник сменил фамилию — что делать с трудовым договором?
В этом случае нужно обязательно внести изменения в трудовой договор. Главное — сделать это правильно.
Часто работодатели оформляют дополнительное соглашение, хотя им, как правило, меняются условия, а не сведения трудового договора. Фамилия относится именно к сведениям о работнике.
Правильно будет внести изменение непосредственно в текст трудового договора, вручную.
Размещение «черных списков» сотрудников на сайте
Иногда работодатель смело публикует в открытом доступе списки бывших работников, которые были уволены, например за утрату доверия или неоднократное неисполнение обязанностей.
Следует отметить, что это расценивается законом, как нарушение требований к обработке персональных данных. Об этом, в частности, предупреждает Минтруд в Письме от 08.10.2018 N 14-2/В-803.
В данном случае, публикуя причины увольнения, работодатель сообщает личную информацию сотрудника третьим лицам. Делать это без согласия работника нельзя.
Каким должно быть согласие на обработку персональных данных
Роскомнадзор в своих рекомендациях формулирует следующие требования:
Оформление доски почета
Противоположная ситуация — это поощрение работника в виде доски почета. Но и здесь есть свои тонкости.
Обычно на доске почета размещается фотография человека, указывается его ФИО. И всё это персональные данные, которые работодатель не имеет права выставлять на всеобщее обозрение у себя в офисе, даже если цель его действий — поощрить успешных сотрудников и мотивировать тем самым остальной коллектив.
Для использования фото сотрудника тоже придется заручиться согласием.
Персональные данные для пропуска
В большинстве организаций сейчас действует пропускной режим. Соответственно, новым работникам требуется оформление пропуска.
В данном случае нет необходимости в получении согласия на обработку персональных данных, если:
В том случае, если пропускной режим находится под контролем сторонней организации, то согласие обязательно.
Кадровый и бухгалтерский учет на аутсорсе и персональные данные
Если работодатель решает вопросы кадрового и бухгалтерского характера при помощи аутсорса, то есть силами сторонних организаций, то он должен соблюдать требования, обозначенные ч. 3 ст. 6 Закона о персональных данных.
Что делать с персональными данными уволенных сотрудников
Нужно учитывать, что существуют требования к обработке персональных данных в рамках бухгалтерского и налогового учета.
Так, например, работодатели обязаны в течение 4-х лет обеспечивать сохранность документов, необходимых для исчисления, удержания и перечисления налога (пп. 5 п. 3 ст. 24 НК РФ). И здесь согласия уже бывших сотрудников, хотят они того или нет, не требуется.
Роскомнадзор напоминает, что по истечении сроков, определенных законодательством, личные дела работников переходят на архивное хранение на срок 75 лет. Но на саму организацию хранения в архиве и использование архивных документов с персональными данными работников Закон о персональных данных не распространяется.
Не пропустите новые публикации
Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.