Главная > Блог > Управление данными сотрудников: как собирать и безопасно хранить персональные сведения

Управление данными сотрудников: как собирать и безопасно хранить персональные сведения

Мария Линева Автор Monitask

Уже при устройстве на работу, сотрудники передают работодателям много личных данных, которые должны оставаться конфиденциальными. ФИО, адреса, банковские реквизиты, адрес электронной почты и номер телефона – это лишь малая часть информации, которую получают компании. И, конечно, всё это требует соблюдения требований безопасности.

Если компания целенаправленно разглашает персональные данные сотрудников или допускает ошибки, из-за которых эти данные попадают к третьим лицам, ей грозит штраф от 60 000 до 100 000 рублей. А повторные утечки – наказанием в размере от 300 000 до 500 000 рублей.

И это далеко не все возможные санкции. К примеру, если работодатель разместит фотографию сотрудника на доске почета, не получив его письменное разрешение, он может быть оштрафован на 20 000 рублей. Таких нюансов в работе с персональными данными довольно много, поэтому команда Monitask решила разобраться в особенностях сбора и хранения личной информации. А ещё – подготовила несколько полезных советов на случай, если утечка данных всё-таки произошла.

Шаг №1. Определите сценарии передачи и хранения данных

В соответствии с законом о персональных данных, определяется 6 ключевых требований к сбору, обработке и хранению персональных данных:

1
Конкретные, законные цели и основание.
2
Отдельные базы данных для групп персональных данных с несовместимыми целями, например, данные сотрудников, клиентов, подрядчиков и так далее.
3
Обработка только тех данных, которые соответствуют поставленным целям.
4
Соответствующая форма хранения информации на протяжении чётко определенного срока, по истечении которого её следует уничтожить или обезличить.
5
Запрет на передачу персональных данных сотрудника без его согласия в письменном виде.
6
Получение конфиденциальных сведений напрямую от гражданина

В соответствии со статьей 87 Трудового кодекса РФ, работодатели обязаны ввести порядок хранения и использования персональных данных сотрудников. Следовательно, вам необходимо составить внутреннюю политику, регламенты, нормативно-правовые акты и завизировать их подписью собственника или генерального директора. И в дальнейшем следовать документам.

Следующий этап – определиться, каким образом вы будете собирать персональные данные и где они будут храниться. Здесь может быть несколько вариантов:

Традиционные личные дела в бумажном виде – самый ненадежный и трудоемкий формат. Документы на бумажных носителях быстро изнашиваются, часто теряются и просто занимают много места.
Электронный формат – например, хранение, обработка и использование персональных данных в бухгалтерских и кадровых системах, таких как 1С, корпоративный портал, система мониторинга работы сотрудников и так далее. Этот вариант более удобный, безопасный и надежный. А еще он позволяет быстрее находить нужные данные, экономя рабочее время бэк-офиса.

Конечно, вы можете вести кадровый учет в традиционном формате и хранить личные дела на бумажных носителях. Но в 2024 году большинство компаний переходят на электронный кадровый документ, который активно поддерживается государственными органами. И лучше автоматизировать этот процесс уже сейчас, чтобы избежать проблем и сложностей в будущем.

Шаг №2. Модернизируйте способы сбора данных

Продолжим тему работы с бумажными личными делами. Помимо очевидных рисков, есть и более тонкие моменты. К примеру, сотрудник увольняется, в отделе кадров остаются копии его документов на бумаге. И некоторые кадровики используют их в качестве черновиков, не подумав о последствиях сдают в макулатуру или просто относят к ближайшим мусорным бакам.

Так делать строго запрещено, ведь конфиденциальные данные в этом случае могут попасть к злоумышленникам. Поэтому всё больше компаний отходят от работы с бумажными носителями информации и автоматизируют этот процесс.

Чтобы начать работать в таком формате, стоит начать с выбора системы – в каком сервисе вы будете собирать, хранить и обрабатывать персональные данные сотрудников. Наиболее популярные решения – 1С и системы КЭДО (HRlink, СБИС, Контур и другие).

Затем определите ответственных лиц – кто именно будет отвечать за все процессы, связанные с персональными данными. Обычно это специалисты кадровой службы, охраны труда и службы безопасности. Закрепите их должностные обязанности в соответствующих корпоративных актах.

Не забудьте подготовить форму согласия сотрудников на обработку персональных данных. Без этого документа работодатель не имеет права использовать их личные сведения, фотографии и так далее.

И особый пункт для тех, кто только начинает принимать на работу первых сотрудников. Вы обязаны уведомить Роскомнадзор о том, что вы планируете работать с персональными данными. Для этого есть 2 простых способа – на сайте Госуслуг или сайте ведомства. Но для них вам потребуется квалифицированная электронная подпись.

Шаг №3. Регулярно проверяйте систему

ИТ-специалисты, отвечающие за стабильную работу электронных систем, должны регулярно проверять их. Они должны быть уверены, что системы управления данными сотрудников работают корректно и нет угроз для утечек информации. Если в вашей компании нет собственных экспертов, эти задачи стоит делегировать внешним подрядчикам.

Важно проверять не только сами сервисы, но и всё техническое оборудование. К примеру, в каком состоянии находятся серверы компании, хватает ли их мощностей для бесперебойной работы, кто из сотрудников имеет доступ к «железу» и так далее.

Наиболее надежной являются системы с закрытым контуром. Это значит, что сервис расположен в закрытой сети или ее отдельном сегменте, защищенном с помощью специальных технических и программных средств. Некоторые компании идут еще дальше и изолируют кадровые системы от доступа в интернет или делают доступ к ним только с офисных компьютеров.

Шаг №4. Обучайте сотрудников

В большинстве случаев утечки персональных данных происходят по внутренним причинам. Так, согласно данным InfoWatch, 55% случаев утечек связаны напрямую с недобросовестным отношением сотрудников к кибербезопасности.

Чтобы такого не происходило, работодатели должны проводить беседы со своим персоналом. Важно объяснить, чем чревато нарушения законодательства, даже если они были допущены по неосторожности.

А ещё – организовать обучение по цифровой гигиене и безопасности. К примеру, можно рассказать, почему важно регулярно менять пароли, как делать их надёжными, почему доступы к корпоративным ресурсам запрещено хранить «на стикере возле клавиатуры».

И не забывайте напоминать специалистам, с какими внешними угрозами они могут сталкиваться в ходе работы. Более подробно о кибербезопасности и особенностях работы с корпоративной информацией мы уже рассказывали в отдельной статье.

Шаг №5. Создайте план действий на случай утечки данных

Команда Monitask подготовила несколько советов, которые помогут вам создать план действий на случай утечки данных и действовать эффективно даже в такой непростой ситуации. Надеемся, вам никогда не придётся к ним прибегать, однако, предупреждён – значит вооружён.

1
Оцените масштаб – какими данными могли завладеть злоумышленники.
2
Закройте доступ к корпоративным системам на время разбирательств.
3
Измените все пользовательские пароли.
4
Сообщите об утечке персональных данных руководству и службе безопасности
5
Проверьте журнал событий и логи – возможно вам удастся увидеть аномальное пользовательское поведение.
6
Отсканируйте файлы с помощью антивируса.
7
Соберите доказательства – сохраните все данные, которые могут быть связаны с произошедшей ситуацией.
8
Сообщите об инциденте в соответствующие органы.
9
Введите в курс дела сотрудников – они должны понимать, что происходит, и более бдительно относится ко всем операциям со своими аккаунтами и финансовыми ресурсами в ближайшие несколько недель.

Ключевая задача любого работодателя – внимательно относиться к сбору, обработке и хранению персональных данных своих сотрудников. И это не только вопрос соблюдения законодательства, но и личная ответственность перед людьми, которые могут пострадать в случае утечек информации.

Будьте бдительны, консультируйтесь с юристами по всем вопросам, вызывающим сомнения, и, конечно, выбирайте проверенные системы и сервисы для работы с конфиденциальной информацией. Ведь профилактика всегда дешевле, чем устранение последствий сложных ситуаций.

Попробуйте Monitask

Отслеживание продуктивности сотрудников и упрощение работы с ними

Попробовать 10 дней бесплатно
19

Популярные статьи

Топ-17 самых востребованных удаленных профессий 2024 года | Monitask

Удаленная работа продолжает набирать обороты и становится всё более популярной в мире. 2023 год не стал исключением. Согласно исследованию, проведенному компанией Upwork, более 70% компаний в мире нанимают на работу удаленных сотрудников. При этом 80% работодателей считают, что удаленный формат приносит бизнесу пользу, позволяет экономить на содержании офиса и мотивирует людей к большей продуктивности. Удаленная…

Топ-12 полезных сервисов для бизнеса в 2024 году

Автоматизация рутинных процессов и оптимизация – залог успешного развития бизнеса в 2023 году. Технологии и современные сервисы не только высвобождают дополнительное время сотрудников, но и помогают избежать ошибок, сделать процессы более прозрачными и эффективно управлять командой.  Думаете, что внедрение сервисов – это дорого и подходит только для крупных компаний? На самом деле технологии позволяют экономить…

ТОП-12 BPM-систем в 2024 году

Начиная с 2020 года спрос на системы для автоматизации и оптимизации бизнес-процессов непрерывно растет. По разным оценкам выручка вендоров в данной сфере увеличилась на 42-45% к концу 2022 года. Это объясняется тем, что компании стремятся улучшить бизнес-процессы, повысить эффективность сотрудников и избежать ошибок в условиях кризиса. В статье мы собрали ТОП-12 BPM-систем в 2023 году,…

Попробуйте Monitask прямо сейчас.
Первые 10 дней бесплатно.

Кредитная карта не требуется