Кадровые документы в облаке — это законно? Ищем ответы в 152-ФЗ
Представить бизнес без цифровизации уже очень сложно. Особенно она актуальна для кадрового документооборота — удалённая работа не предполагает визитов в офис и бумаг. Что делать ИТ-директору с персональными данными, если решение в облаке? Как обезопасить?
Представить бизнес-процессы без цифровизации уже очень сложно. Особенно она актуальна для кадрового документооборота — удалённая работа не предполагает визитов в офис и бумажной волокиты. Но что делать ИТ-директору с персональными данными, если хочется перенести HR-процессы в облако? Что об этом говорит закон?
Новые возможности всегда несут с собой риски. Так происходит и с переводом кадровых документов в электронный вид. Опасения вызывают меры безопасности, которые связаны с обработкой персональных данных (ПД) и соблюдением 152-ФЗ, а также других подзаконных актов.
Казалось бы, тема достаточно старая и хорошо проработанная практически всеми: как кадровыми службами, так и специалистами по безопасности. Обычно всё бывает в порядке, если HR-система расположена в информационном контуре организации. Но если компания решает использовать облачное решение, то кажется, что риски возрастут и кадровый электронный документооборот станет невозможным.
|
На рынке есть совершенно законные облачные решения, сочетающие в себе лёгкость и простоту. Подготовка к их использованию в компании не сложнее, чем в случае с локальным ПО. Хотя есть нюансы, которые следует учесть и предусмотреть. |
Обработка персональных данных. Кто есть кто в этом процессе?
Действующие лица, которые предусмотрены 152-ФЗ:
- субъект персональных данных — физическое лицо, а в нашем случае это работник или соискатель вакантной должности;
- оператор персональных данных — работодатель (юридическое лицо или ИП);
- уполномоченное лицо — провайдер облачной услуги.
Теперь рассмотрим, какие действия выполняют персонажи с этими ролями.
Субъект (работник или соискатель) — защищаемое лицо, все его действия сводятся к согласию на обработку персональных данных и дельнейшему подписанию документов.
Оператор (работодатель) — лицо, которое полностью отвечает за безопасность при обработке ПД. Он выполняет все 13 действий, входящих в понятие «обработка»:
Работодатель строит систему безопасности в полном объёме. Однако часть мер можно передать провайдеру. Например, всё, что касается серверной части, а это операционные системы, базы данных и физический доступ. Работодателю останутся только пользовательские устройства, находящиеся под его контролем. При этом организационные меры в части обслуживания серверов тоже будут у провайдера.
Уполномоченное лицо (провайдер облачного сервиса) получает данные от оператора. Кадровые специалисты работодателя вносят данные работника и его документы в информационную систему и используют их.
Провайдер выполняет не все действия, включенные в понятие «обработка». Ему достаются:
1. Хранение — данные находятся на серверах провайдера.
2. Уничтожение — как правило, пользователь облачного сервиса не может стереть данные без возможности восстановления (по соображениям всё той же безопасности). Причем в виртуальной инфраструктуре это действие будет выполнено автоматически при удалении виртуальной машины.
3. Доступ — администраторы провайдера могут в порядке техподдержки получить какие-то данные, особенно в модели услуг SaaS.
4. Обезличивание — статистика запросов, обрабатываемая провайдером, например, для контроля производительности, не должна и не будет содержать персональные данные. Хотя количество обработанных данных в ней вполне может быть.
Есть особенности по моделям предоставления услуг: если SaaS — необходимы все 4 действия, если PaaS или IaaS — могут остаться только хранение и уничтожение.
|
По 152-ФЗ передача данных в обработку (для выполнения части действий или полностью) должна быть зафиксирована соответствующим поручением. Поручение на обработку ПД — это отдельный договор или часть договора на оказание услуг о том, какие данные передаются и как распределяются действия между оператором (работодателем) и уполномоченным лицом (провайдером облачного сервиса). |
Общая схема документов, фиксирующих отношения участников, выглядит так:
Документы, которые придётся составить и подписать:
- Согласие на обработку. Содержит цели, список данных, время обработки, кому данные передаются и уведомление о хранении на территории РФ. Документ определяет отношения между работодателем и работником (или соискателем). И хотя в 152-ФЗ есть исключения, всё-таки стоит оформить согласие на обработку, так как трактовки исключений пока неоднозначны.
- Соглашение об обмене в электронном виде — документ требуется для соблюдения 63-ФЗ «Об электронной подписи». Он определяет, какие виды подписи будут использованы (простая или усиленная неквалифицированная ЭП), порядок сопоставления подписавшего и конкретного документа. Заключается между работником и работодателем. Форма, как правило, предоставляется разработчиком системы и может заключаться в виде оферты при регистрации пользователя в системе. Здесь важно понимать, что это документ работодателя, а не провайдера услуг.
- Поручение — заключается между работодателем и провайдером облачных услуг. Распределяет действия участников и данные, подлежащие обработке, а также обязанности по обеспечению безопасности, действия по сбору согласий и их предоставлению.
|
Роскомнадзор со ссылкой на закон однозначно уточняет, что согласие на обработку ПД от работников при такой схеме взаимоотношений должен собирать работодатель. Форму может предоставить любая из сторон. Шаблоны обычно есть у провайдера. В документе нужно обязательно указать территорию РФ как место хранения данных, так как штрафы за неисполнение этого требования огромны. |
Если провайдер в свою очередь использует услуги по модели IaaS или, возможно, сервис облачной электронной подписи, то цепочка поручений может продолжиться. При этом следует иметь в виду, что всю цепочку лучше прописать в первичном согласии субъекта (работника).
В итоге получаем, что в законе предусмотрены необходимые возможности для построения взаимоотношений работник — работодатель — провайдер услуг.
Меры и средства безопасности. Памятка ИТ-специалисту
Если в компании выстраивается облачный электронный документооборот, то технические средства распределяются по уровням:
|
Сеть, аппаратное обеспечение |
Системное и прочее ПО |
Средства защиты |
|
|
Оператор (работодатель) |
Локальная сеть, десктопы, мобильные устройства |
Клиентские ОС, браузер, «толстый клиент» |
Клиентский антивирус, клиент VPN |
|
Уполномоченное лицо 1 (поставщик услуг, SaaS) |
APM администратора |
Виртуальная машина, сервер ПД, сервер приложения, средства РК |
Клиент VPN, серверный антивирус |
|
Уполномоченное лицо 2 (облачный провайдер, IaaS) |
Сеть администрирования, сетевая облачная инфраструктура, сервера, система хранения данных |
Гипервизоры, управление виртуализацией, облачные средства РК |
VPN, межсетевые экраны, антивирус для виртуальных сред |
В первую очередь систему защиты информационной системы ПД должен строить оператор (работодатель). Ему нужно хорошо представлять, какие меры остаются за ним, а какие передаются провайдерам (поставщикам услуг).
Организационные меры при обработке ПД — набор локальных нормативных актов (ЛНА) и организационно-распределительных документов (ОРД), а также договоры и поручения. Все они принимаются провайдерами.
Оператор (работодатель) имеет право выполнить все действия самостоятельно, а может привлечь стороннюю организацию. Деятельность по оказанию таких услуг подлежит лицензированию. Поэтому обязательно надо проверить у подрядчика наличие лицензии.
Получается, что при переходе на облачный электронный документооборот можно распределить ответственность за соблюдение 152-ФЗ между всеми участниками обработки ПД. Более того, работодатель может поручить большую часть забот подрядчикам — поставщикам ПО и облачных услуг.
При этом законодательство подтверждает, что использовать облачное решение для организации электронного кадрового документооборота вполне реально. Построить систему безопасности будет несложно, главное — следовать советам из этой статьи.
Комментарии 0