Новости образования
Здесь представлены наиболее актуальные новости бизнес – образования.
Законы, события, мероприятия, новые направления и технологии в образовательном процессе.
Интересные новые курсы, семинары, тренинги в России и Зарубежом.
|
Как закон о персональных данных повлияет на работу HR
|
Дата | 11.07.17 |
|
Город | Россия |
|
В начале июля в силу вступил закон о персональных данных, ужесточающий ответственность за несогласованное разглашение персональных данных граждан России. Зарплата.ру спросила экспертов, как это повлияет на работу HR.
Павел Новожилов, ведущий консультант по информационной безопасности Новожиловкомпании «Инфосистемы Джет»:
С 1 июля 2017 года вступил в силу законопроект, устанавливающий дополнительные составы административных правонарушений для Операторов персональных данных, а также ужесточающий ответственность за правонарушения в области защиты ПДн. Вместо «размытой» формулировки «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах» статья 13.11 КоАП РФ теперь изложена в новой редакции и содержит семь составов правонарушений.
Ужесточение ответственности связано с тенденцией значительного увеличения количества административных правонарушений, выявляемых в рамках контрольных мероприятий Роскомнадзором (РКН), а также утечек персональных данных граждан. Так публикуемая статистика показывает, что каждый новый год бьет рекорды предыдущего по количеству утечек информации, что говорит об общемировой тенденции к увеличению числа утечек и объемов скомпрометированных данных.
Административная ответственность за неправомерный или случайный доступ к персональным данным устанавливается новой частью 6 ст. 13.11 КоАП РФ. Однако тут не все так просто.
Зачастую забывают о еще нескольких важных моментах, связанных с наказанием за нарушения правил обработки ПДн:
‒ Нарушения, описанные в статье 13.11 КоАП, предполагают возможность наложения нескольких штрафов по одному типу нарушения за каждый выявленный факт отклонения от требований законодательства. Потенциально это может увеличить штрафы до астрономических сумм.
‒ Передача дел в суд теперь осуществляется РКН без привлечения органов прокураторы, то есть существенно упрощается.
‒ Ответственность за разглашение персональных данных предусмотрена также Трудовым Кодексом РФ и статьей КоАП 13.14 «Разглашение информации с ограниченным доступом», которые осталась без изменений.
‒ В настоящий момент в сфере работы HR есть следующие процессы («рисковые зоны»), которые практически всегда не соответствуют требованиям законодательства в области персональных данных (и, соответственно, проверяются в первую очередь): кадровый резерв.
‒ Оказание материальной помощи работникам и родственникам работников.
Как правило, многие организации сохраняют резюме интересных соискателей, чтобы пригласить их в дальнейшем. При этом в таких организациях отсутствует официально оформленный порядок ведения кадрового резерва, и резюме соискателей хранятся больше установленного срока обработки персональных данных. Для того, чтобы соответствовать требованиям законодательства в области персональных данных в организации, нужно: разработать и утвердить документ, определяющий порядок ведения кадрового резерва; ознакомить соискателя с этим документом; осуществлять сбор согласий на обработку ПДн с соискателя.
В случае тяжелых заболеваний работникам и родственникам работников может оказываться материальная помощь. Для принятия решения о дополнительных выплатах работнику (родственнику работника) запрашиваются документы, содержащие сведения о состоянии здоровья. В основном обработка организацией таких сведений осуществляется без необходимого согласия на обработку ПДн в письменной форме. Таким образом, мы получаем обработку специальных категорий персональных данных (сведения о состоянии здоровья) без согласия субъекта ПДн, что является грубым нарушением законодательства.
Также рекомендуем обратить внимание на копии документов, где может быть указана национальность (это также специальная категория ПДн). Эту информацию рекомендуется вымарывать. Та же проблема возникает и со старыми системами кадрового учета (например, Босс-Кадровик). Там зачастую со старых времен хранятся данные о национальности работников, а выгрузки из таких систем проверяются в рамках аудита РКН.
В целом же, какова бы не была специфика деятельности организации, проверяющие РКН, в первую очередь, всегда отправляются в отдел кадров. Поэтому работникам этого подразделения необходимо всегда быть готовыми к визиту проверяющих.
Елена Веляева, операционный директор международного кадрового холдинга Gi Group в России:
Веляева
Я думаю, что к началу действия Закона о персональных данных HR-менеджеры имели возможность подготовиться: разработаны и внедрены все необходимые процедуры, защищающие интересы кандидатов и сотрудников – соискатели заполняют соглашение, разрешающее обработку персональной информации.
Стоит отметить систему наказаний. За нарушение установленного порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) предусмотрена ответственность в виде предупреждения или штрафа от 300 до 500 руб. для граждан, от 500 до 1000 руб. — для должностных лиц, от 5 тыс. до 10 тыс. руб. — для юридических лиц (в соответствие с нормами действующей редакции ст.13.11 КоАП РФ). Размер штрафов вроде бы небольшой, но уже сейчас Госдума РФ обсуждает нормы ужесточения нарушений, финансовая часть будет значительно увеличена (законопроект ожидает голосования в третьем чтении).
Для того, чтобы избежать нарушений законодательства рекомендую рекрутерам не хранить резюме у себя в личном доступе, а пользоваться разработанными решениями сайтов по поиску кандидатов, там есть опция личного кабинета, в котором, среди прочего, можно сохранить анкету понравившегося соискателя, все манипуляции проводить удаленно. Так же настоятельно рекомендую потратить время на разработку соглашения об использовании персональных данных и внести всю используемую компанией информацию, для облегчения можно взять все пункты из карточки Т2. Это необходимо сделать один раз, а потом важно просто соблюдать и контролировать исполнение.
Я бы рассматривала закон о защите персональных данных как шаг к цивилизованному рынку, к ответственному отношению всех участников к персональным данным. На мой взгляд, этот закон некоторым образом позволит ограничить продажу баз данных с персональной информацией и накладывает ответственность на компании.
Татьяна Павличенко, HR-директор портала Банки:
ПавличенкоКак отразятся изменения в 152 ФЗ на работе HR-подразделений предсказать сложно. Во-первых, штрафы, который существенно возросли. Во-вторых, обеспечение такого качества сохранности и обработки данных посильно только для очень «прокачанных» IT-компаний. Много ли таких в российском МСБ? Не думаю.
Исключение прокуратуры из процесса восстановления прав, нарушенных оператором при обработке персональных данных, это, конечно, значительное упрощение процедуры самозащиты. Обращаться напрямую в Роскомназдор проще. С другой стороны, мне лично было бы очень интересно практикоприменение 152 ФЗ, чтобы понять на основании каких именно проблемных случаев они добились изменения закона в подобной трактовке.
Если говорить о нашем холдинге, то изменения коснутся подразделений по работе с персоналом не очень существенно: мы как запрашивали у кандидата согласие на обработку персональных данных через собственноручную подпись, которую человек оставляет в офисе, так и запрашиваем. При этом мы четко объясняем коллегам почему и зачем мы берем письменное согласие. Сканкопии документов через сайт – это не для отдела кадров. Мы так не можем работать. Но как быть туристическим агентствам или интернет-магазинам — тут разобраться не просто. Дело в том, что несмотря на относительно долгую жизнь закона, у нас еще мало судебной практики по применению 152 ФЗ.
И уж тем более непонятно, как именно Роскомнадзор будет регулировать отношения социально-трудового партнерства. Лично я хотела бы быть уверенной, что компетентности их специалистов в нормах трудового законодательства хватит для надзора за соблюдением прав граждан в области законов о труде в части сохранности их прав на обработку сведений персонального характера.
Увеличение штрафов почти в 15 раз (с 5000-10000 рублей до 75000 рублей), конечно, заставит бизнес задуматься о соблюдении новшеств в законе, но тут как всегда возникнет вопрос: что дешевле, соблюдать или платить штрафы? Я, к сожалению, вижу, при разработке законов больше желание запретить, чем предупредить риски. Почему бы законотворцам не пригласить бизнес для обсуждения предлагаемых ими изменений? Это вопрос без ответа.
Но у нас есть преимущество – мы диджитал-компания с миллионами посетителей, очень сильным департаментом IT и серверами на территории РФ. Это означает, что коллеги способны обеспечить сохранность данных на самом высшем уровне, даже если для этого нам придется закупить пару дополнительных серверов.
И все равно хочется знать, как именно массово люди пострадали от нарушения их прав в части некорректной обработки их сведений персонального характера?
Светлана
11.07.2017 В 10:44
Ответ для Татьяны Павличенко на вопрос: «Как массово пострадали россияне?»
Расхожая ситуация на рынке автострахования: Вы купили машину у официального дилера и оформили страховые полисы ОСАГО и КАСКО в отделе страхования у того же дилера. Живете спокойно около 8 месяцев, пользуетесь автомобилем, и Ваша страховая компания Вас устраивает. А ближе к окончанию срока страховки Вам начинают названивать какие-то люди из страховых компаний, страховые брокеры и просто мошенники с предложением застраховать машину у них. Причем эти люди знают Ваши номера телефонов, какую машину, по какой цене, когда и где Вы купили, где застраховали, когда страховка заканчивается. Откуда у них информация? От дилера? От страховщика? От ГАИ? Концов не найти. Все «белые и пушистые», активно охраняют персональные данные клиентов: «Нам же это не выгодно / Мы же соблюдаем 152-ФЗ». А Ваши персональные данные почему-то в руках у каких-то левых людей. И еще не известно, в каком объеме, потому что при покупке и страховании авто в договоры вписываются Ваши паспортные данные, данные из ПТС/ СТС и водительского удостоверения. И Вы точно знаете, что этим левым людям Вы ничего не передавали, и вообще их не знаете.
Со страховыми компаниями проще. Они хотя бы отказы воспринимают адекватно. А вот левые конторки могут представиться именем дилера, у которого машина была куплена, или позвонить от имени представительства автоконцерна. И при отказе иметь с ними дело могут начать угрожать снять машину с гарантии или отказать в сервисе. Вы с перепугу или соглашаетесь на их предложение, или тратите время на обращение к дилеру или в представительство автоконцерна с жалобой или за разъяснениями. Но это дополнительное время, нервы и т.п. И не факт, что после жалобы проблема будет решена. И не факт, что левые конторки Вам потом из мести не нагадят как-нибудь. Ведь у них в руках Ваши персональные данные.
Другой пример — недавний взлом базы данных сети лабораторий «Инвитро». После этого взлома увеличились сроки выдачи результатов, и «слетела» бонусная программа. Т.е. анализы людям обошлись дороже, и еще ожидать пришлось дольше. Хорошо, если человек здоров, и ему просто понадобилась справка для бассейна. А если у пациента, к примеру, онкология, и каждый день на счету?
Вот кому и для чего понадобились данные о чужих анализах? При том, что в «Инвитро» анализы берут и отдают результаты под письменное согласие и при предъявлении паспорта. |
|
Источник: Зарплата.ру |
Все новости
Новости образования
Здесь представлены наиболее актуальные новости бизнес – образования.
Законы, события, мероприятия, новые направления и технологии в образовательном процессе.
Интересные новые курсы, семинары, тренинги в России и Зарубежом.
|
|
Курсы в каких областях для Вас наиболее актуальны ?
|
