Наверх

Кадровые документы в облаке — это законно? Ищем ответы в 152-ФЗ

Время чтения: 8 минут
0
Кадровые документы в облаке — это законно? Ищем ответы в 152-ФЗ

Представить бизнес без цифровизации уже очень сложно. Особенно она актуальна для кадрового документооборота — удалённая работа не предполагает визитов в офис и бумаг. Что делать ИТ-директору с персональными данными, если решение в облаке? Как обезопасить?

Представить бизнес-процессы без цифровизации уже очень сложно. Особенно она актуальна для кадрового документооборота — удалённая работа не предполагает визитов в офис и бумажной волокиты. Но что делать ИТ-директору с персональными данными, если хочется перенести HR-процессы в облако? Что об этом говорит закон?

Новые возможности всегда несут с собой риски. Так происходит и с переводом кадровых документов в электронный вид. Опасения вызывают меры безопасности, которые связаны с обработкой персональных данных (ПД) и соблюдением 152-ФЗ, а также других подзаконных актов.

Казалось бы, тема достаточно старая и хорошо проработанная практически всеми: как кадровыми службами, так и специалистами по безопасности. Обычно всё бывает в порядке, если HR-система расположена в информационном контуре организации. Но если компания решает использовать облачное решение, то кажется, что риски возрастут и кадровый электронный документооборот станет невозможным.

На рынке есть совершенно законные облачные решения, сочетающие в себе лёгкость и простоту. Подготовка к их использованию в компании не сложнее, чем в случае с локальным ПО. Хотя есть нюансы, которые следует учесть и предусмотреть.

Обработка персональных данных. Кто есть кто в этом процессе?

Действующие лица, которые предусмотрены 152-ФЗ:

  • субъект персональных данных — физическое лицо, а в нашем случае это работник или соискатель вакантной должности;
  • оператор персональных данных — работодатель (юридическое лицо или ИП);
  • уполномоченное лицо — провайдер облачной услуги.

Теперь рассмотрим, какие действия выполняют персонажи с этими ролями.

Субъект (работник или соискатель) — защищаемое лицо, все его действия сводятся к согласию на обработку персональных данных и дельнейшему подписанию документов.

Оператор (работодатель) — лицо, которое полностью отвечает за безопасность при обработке ПД. Он выполняет все 13 действий, входящих в понятие «обработка»:

Работодатель строит систему безопасности в полном объёме. Однако часть мер можно передать провайдеру. Например, всё, что касается серверной части, а это операционные системы, базы данных и физический доступ. Работодателю останутся только пользовательские устройства, находящиеся под его контролем. При этом организационные меры в части обслуживания серверов тоже будут у провайдера.

Уполномоченное лицо (провайдер облачного сервиса) получает данные от оператора. Кадровые специалисты работодателя вносят данные работника и его документы в информационную систему и используют их.

Провайдер выполняет не все действия, включенные в понятие «обработка». Ему достаются:

1. Хранение — данные находятся на серверах провайдера.

2. Уничтожение — как правило, пользователь облачного сервиса не может стереть данные без возможности восстановления (по соображениям всё той же безопасности). Причем в виртуальной инфраструктуре это действие будет выполнено автоматически при удалении виртуальной машины.

3. Доступ — администраторы провайдера могут в порядке техподдержки получить какие-то данные, особенно в модели услуг SaaS.

4. Обезличивание — статистика запросов, обрабатываемая провайдером, например, для контроля производительности, не должна и не будет содержать персональные данные. Хотя количество обработанных данных в ней вполне может быть.

Есть особенности по моделям предоставления услуг: если SaaS — необходимы все 4 действия, если PaaS или IaaS — могут остаться только хранение и уничтожение.

По 152-ФЗ передача данных в обработку (для выполнения части действий или полностью) должна быть зафиксирована соответствующим поручением. Поручение на обработку ПД — это отдельный договор или часть договора на оказание услуг о том, какие данные передаются и как распределяются действия между оператором (работодателем) и уполномоченным лицом (провайдером облачного сервиса).

Общая схема документов, фиксирующих отношения участников, выглядит так:

Документы, которые придётся составить и подписать:

  • Согласие на обработку. Содержит цели, список данных, время обработки, кому данные передаются и уведомление о хранении на территории РФ. Документ определяет отношения между работодателем и работником (или соискателем). И хотя в 152-ФЗ есть исключения, всё-таки стоит оформить согласие на обработку, так как трактовки исключений пока неоднозначны.
  • Соглашение об обмене в электронном виде — документ требуется для соблюдения 63-ФЗ «Об электронной подписи». Он определяет, какие виды подписи будут использованы (простая или усиленная неквалифицированная ЭП), порядок сопоставления подписавшего и конкретного документа. Заключается между работником и работодателем. Форма, как правило, предоставляется разработчиком системы и может заключаться в виде оферты при регистрации пользователя в системе. Здесь важно понимать, что это документ работодателя, а не провайдера услуг.
  • Поручение — заключается между работодателем и провайдером облачных услуг. Распределяет действия участников и данные, подлежащие обработке, а также обязанности по обеспечению безопасности, действия по сбору согласий и их предоставлению.

Роскомнадзор со ссылкой на закон однозначно уточняет, что согласие на обработку ПД от работников при такой схеме взаимоотношений должен собирать работодатель. Форму может предоставить любая из сторон. Шаблоны обычно есть у провайдера. В документе нужно обязательно указать территорию РФ как место хранения данных, так как штрафы за неисполнение этого требования огромны.

Если провайдер в свою очередь использует услуги по модели IaaS или, возможно, сервис облачной электронной подписи, то цепочка поручений может продолжиться. При этом следует иметь в виду, что всю цепочку лучше прописать в первичном согласии субъекта (работника).

В итоге получаем, что в законе предусмотрены необходимые возможности для построения взаимоотношений работник — работодатель — провайдер услуг.

Меры и средства безопасности. Памятка ИТ-специалисту

Если в компании выстраивается облачный электронный документооборот, то технические средства распределяются по уровням:

Сеть, аппаратное обеспечение

Системное и прочее ПО

Средства защиты

Оператор (работодатель)

Локальная сеть, десктопы, мобильные устройства

Клиентские ОС, браузер, «толстый клиент»

Клиентский антивирус, клиент VPN

Уполномоченное лицо 1 (поставщик услуг, SaaS)

APM администратора

Виртуальная машина, сервер ПД, сервер приложения, средства РК

Клиент VPN, серверный антивирус

Уполномоченное лицо 2 (облачный провайдер, IaaS)

Сеть администрирования, сетевая облачная инфраструктура, сервера, система хранения данных

Гипервизоры, управление виртуализацией, облачные средства РК

VPN, межсетевые экраны, антивирус для виртуальных сред

В первую очередь систему защиты информационной системы ПД должен строить оператор (работодатель). Ему нужно хорошо представлять, какие меры остаются за ним, а какие передаются провайдерам (поставщикам услуг).

Организационные меры при обработке ПД — набор локальных нормативных актов (ЛНА) и организационно-распределительных документов (ОРД), а также договоры и поручения. Все они принимаются провайдерами.

Оператор (работодатель) имеет право выполнить все действия самостоятельно, а может привлечь стороннюю организацию. Деятельность по оказанию таких услуг подлежит лицензированию. Поэтому обязательно надо проверить у подрядчика наличие лицензии.

Получается, что при переходе на облачный электронный документооборот можно распределить ответственность за соблюдение 152-ФЗ между всеми участниками обработки ПД. Более того, работодатель может поручить большую часть забот подрядчикам — поставщикам ПО и облачных услуг.

При этом законодательство подтверждает, что использовать облачное решение для организации электронного кадрового документооборота вполне реально. Построить систему безопасности будет несложно, главное — следовать советам из этой статьи.

Чтобы прочитать эту статью до конца,
или зарегистрируйтесь

Комментарии 0

Чтобы прокомментировать, или зарегистрируйтесь