Стремясь увеличить количество клиентов, приумножить прибыль, повысить привлекательность производимых продуктов и оказываемых услуг, предприниматели трудоустраивают новых сотрудников. Люди — главный актив. Взаимодействуя с человеческим капиталом, бизнесмены-работодатели вступают в отношения с сотрудниками как операторы персональных данных.
Данные принято разделять на:
- общие данные (ФИО, дата рождения, паспорт, место регистрации и работы, номер телефона, e-mail и др.);
- специальные (политические, религиозные и философские взгляды, состояние здоровья и др.);
- биометрические (физиологические особенности человека, которые используются для установления личности: фото, отпечатки пальцев, анализ ДНК, цвет глаз и др.)
Прежде, чем приступить к обработке персональных данных, компании обязаны уведомить Роскомнадзор. При трансграничной передаче — Роскомнадзор уведомляется дополнительно.
По условиям п.1 ч. 1 ст. 6, ч. 1 ст. 9 закона от 27.07.2006 № 152-ФЗ «О персональных данных», обработка персональных данных осуществляется только с согласия работника.
Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Для передачи информации о сотруднике сторонним организациям и третьим лицам, например, курьерской службе, компания оформляет отдельное согласие дополнительно.
Ч. 1. ст. 18.1. закона от 27.07.2006 № 152-ФЗ «О персональных данных», наделяет оператора правом самостоятельно определять состав и перечень мер, необходимых и достаточных для выполнения требований закона.
Работодатели обязаны уберечь персональные данные сотрудников от неправомерного или случайного доступа, от их уничтожения, изменения, копирования, распространения и иных неправомерных действий.
01 марта 2023 года приказом от 27.10.2022 № 178 Роскомнадзор ввел 3 вида рисков, которые должна оценить компания-оператор для определения вреда субъектам персональных данных: высокий, средний, низкий.
Например, обработка биометрических персональных данных — это высокая степень риска; получение согласия на обработку персональных данных через интернет без идентификации субъекта — это средняя степень; низкая степень вреда — общедоступные источники персональных данных.
Правительство в постановлении от 01.11.2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», установило 4 уровня защищенности информации, которые требуется обеспечить в организации.
При всех четырех уровнях защищенности необходимо соблюдать четыре общих требования к защите персональных данных сотрудников организации:
- обеспечить режим безопасности помещений, в которых размещаете информационную систему, чтобы не допустить проникновение посторонних;
- обеспечить сохранность носителей информации;
- утвердить перечень сотрудников, которых допустили к персональным данным;
- использовать средства защиты информации, которые прошли оценку соответствия требованиям закона в области обеспечения безопасности информации, если потребуется нейтрализовать угрозы безопасности.
В случае, когда оператор не использует автоматизированных программ, обрабатывает персональные данные сотрудников исключительно на бумажных носителях, компания обязана вести соответствующие журналы и книги с утвержденным порядком записей.
Выстраивая корпоративную систему защиты персональных данных на предприятиях, операторы, по возможности разрабатывают следующие документы:
- положение о работе с персональными данными;
- положение о защите персональных данных;
- положение о порядке уничтожения персональных данных;
- политика обработки персональных данных пользователей сайтов;
- положение о внутреннем аудите работы с персональными данными;
- регламент о допуске работников к обработке персональных данных;
- приказ о назначении ответственного по работе с персональными данными;
- обязательство сотрудников о неразглашении;
- уведомление о начале обработки данных;
- согласия субъектов персональных данных.
В отдельных случаях может потребоваться:
- уведомление об изменении сведений;
- уведомление о трансграничной передаче данных;
- уведомление о прекращении обработки данных;
- уведомление об уничтожении данных.
Часть предпринимателей издает Политику обработки персональных данных и включают в нее все вопросы.
Кроме обработки, операторы подтверждают уничтожение сведений о персональных данных. Уничтожение персональных данных на бумажных носителях фиксируются в актах. Удаление сведений из электронного хранилища информационной системы доказывает выгрузка из журнала, где зарегистрированы все события.
В соответствии с ч. 7 ст. 2, пп. 4 п. 2 ст. 4 закона от 27.11.2018 № 422-ФЗ «О проведении эксперимента по установлению специального налогового режима «Налог на профессиональный доход», физические лица, применяющие специальный налоговый режим «Налог на профессиональный доход», не имеют работодателя и не привлекают наемных работников.
В отсутствии сотрудников, самозанятый не обязан уведомлять Роскомнадзороб обработке персональных данных, но при осуществлении предпринимательской деятельности самозанятому могут быть доступны персональные данные, например, покупателей или заказчиков — физических лиц, в данных случаях самозанятый будет являться оператором.
ООО «ЯЗАНЯТ» является оператором персональных данных пользователей Платформы и предпринимает необходимые организационные и технические меры, чтобы защищать конфиденциальность персональных данных пользователей и предотвращать неавторизованный доступ к ним третьих лиц. Меры созданы в соответствии с применимым законодательством таким образом, чтобы обеспечить уровень безопасности, который отвечает рискам обработки персональных данных.
Таким образом работа через платформу «ЯЗАНЯТ» предоставляет гарантию отсутствия рисков, связанных с обработкой и защитой персональных данных и исключает риски претензий и штрафов со стороны контролирующих органов для всех сторон договорных отношений.