21 сентября 2017 г.

Роструд отказался от надзора за выполнением требований главы 14 Трудового кодекса

Писать в блог некогда совершенно, проектной работы выше крыши. Но парадокс в том, что она дает огромное количество тем для постов – это же практика, там все время что-то интересное и полезное всплывает. Выстроилась уже целая очередь тем – и GDPR для российских компаний, и пересмотр Европейским судом дела Богдана Барбулеску, и проблема получения согласий работников в рамках статьи 88 ТК РФ, и VPN на рабочем месте, и много чего другого.
А начнем, пожалуй, с мини-сенсации, вынесенной в заголовок поста.
Довольно длительная переписка с Рострудом через официальный сайт надзорного органа закончилась весьма неожиданно.
Я пытался выяснить мнение надзорного органа о том, что делать работодателю, если работник отказывается дать согласие в письменной форме на передачу его персональных данных третьему лицу, что является обязательным в соответствии со ст.88 Трудового кодекса РФ А случаи отказов становятся все чаще и чаще.
Вопрос касался передачи персональных данных в нескольких ситуациях:
1. Для направления в служебные командировки, связанные с выполнением работником трудовых обязанностей, на учебу и повышение квалификации, для проведения профилактического медицинского осмотра работника, арендодателю для обеспечения прохода работника в арендуемые производственные и офисные помещения.  
2.  Организациям, которым работодатель, в соответствии с заключенными договорами, поручает обработку персональных данных работников в целях ведения кадрового и бухгалтерского учета, а также выполнения иных функций, возложенных на него законодательством.
3.  Трансграничной передачи компаниям за рубежом с целью реализации корпоративной политики кадрового учета и карьерного роста персонала международных и иностранных компаний, имеющих дочерние предприятия и организации, а также представительства в России.
Как это часто бывает при общении с госорганами, ответ я получил ровно один и совсем не на тот вопрос, который задавал: «Работодатель не вправе принуждать работника дать согласие на обработку персональных данных. Обработка персональных данных работника без согласия работника возможна только в случаях, предусмотренных в законе».
Так что же делать в этом случае, выяснить не удалось.
Вскоре в одном из наших проектов всплыла похожая проблема. Работодатель общается с некоторыми «сложными» работниками посредством почтовых отправлений, направляемых им на рабочий или домашний адрес. Работники считают, что почтовому оператору переданы персональные данные без их согласия. Роструду был задан вопрос: должен ли работодатель получать согласие работника в письменной форме на передачу его персональных данных оператору почтовой связи в целях доставки корреспонденции, если оператор имеет лицензию, и его деятельность регулируется Федеральным законом от 17.07.1999 № 176-ФЗ «О почтовой связи»?
Ответ был лаконичный, и, если честно, меня не просто удивил, а ошеломил: «Консультирование граждан по вопросам соблюдения законодательства о персональных данных не входит в компетенцию Роструда. Вам следует обратиться в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций». Ошеломил, потому что на сайте Роструда дано уже более полутора тысячи ответов на вопросы, касающиеся получения согласия работников на обработку, в том числе передачу, персональных данных.
Вторая причина удивления была вызвана тем, что в соответствии со ст.3 «Принципы защиты прав юридических лиц, индивидуальных предпринимателей при осуществлении государственного контроля (надзора), муниципального контроля» Федерального закона от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», одним из основных принципов защиты прав юридических лиц при осуществлении государственного контроля является недопустимость проводимых в отношении одного юридического лица несколькими органами государственного контроля (надзора) проверок исполнения одних и тех же обязательных требований. В связи я попросил Роструд разъяснить, в компетенции какого надзорного органа находится проверка обязательных требований трудового законодательства, установленных статьей 88 Трудового кодекса РФ.
И вот ответ: Проверка требований, установленных статьей 88 ТК РФ, относится к компетенции Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций. За нарушение положений статьи 88 ТК РФ работодатель может быть привлечен к ответственности в соответствии со ст. 5.39 КоАП РФ, ст. 13.11 КоАП РФ и ст. 13.14 КоАП РФ. Государственные инспекторы труда привлекать работодателя к ответственности, установленной вышеуказанными статьями, не вправе».
Осталось только выяснить, что по этому поводу думает Роскомнадзор, чем и придется заняться в ближайшее время.

18 сентября 2017 г.

Вебинар 21 сентября: Информация о гражданах в ИС госсектора: хранение, защита и восстановление

В органах государственной власти и местного самоуправления, государственных и муниципальных учреждениях и предприятиях, решающих самый широкий спектр задач оказания услуг гражданам, хранится и обрабатывается огромный объем сведений о них, очень часто критических с точки зрения их доступности, целостности и конфиденциальности. Причем каждый из элементов этой триады безопасности становится более значимым в зависимости от характера сведений, обрабатываемых в государственных информационных системах.
Так, например, внесение несанкционированных изменений в Единый государственный реестр недвижимости чревато для граждан утратой прав на собственность, нарушение доступности Реестра отмененных доверенностей открывает лазейку для мошеннических действий, а несанкционированный доступ в личный кабинет налогоплательщика на сайте ФНС создает угрозу налоговой тайне и неприкосновенности частной жизни.
Безусловно, сведения и доступ к ним при случайных или преднамеренных действиях, приводящих к их уничтожению или модификации, должны быть в кратчайшие сроки восстановлены. В соответствии с законодательством РФ в ряде случаев для этих целей необходимо использовать сертифицированные ФСТЭК России средства резервного копирования
Ситуация стала более острой в связи с принятием ряда законодательных актов, выдвигающих требования к обеспечению безопасности критических объектов информационной инфраструктуры, за невыполнение которых грозит ответственность вплоть до уголовной.
Вступающий в силу с 1 января 2018 года Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» устанавливает, что одной их четырех основных задач системы безопасности значимого объекта критической информационной инфраструктуры является восстановление его функционирования, обеспечиваемого, в том числе за счет создания и хранения резервных копий необходимой для этого информации.
С этой же даты уголовным деянием становится нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре, информационных систем, информационно-телекоммуникационных сетей, относящихся к критической информационной инфраструктуре, либо правил доступа к ним, если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации.
На вебинаре, организованном компанией Veeam, мы рассмотрим более детально эти и другие требования, меры по их выполнению и реализации на примере сертифицированного ФСТЭК России решения Veeam Backup & Replication (версия 9).
Вебинар начнется в 11:00 в четверг 21 сентября. Предварительная регистрация на вебинар.