Atolstikov Mar 5 at 04:56

Подрядчик дорабатывает 1С — а вы оформили передачу данных сотрудников?

7 min

7.7K

1C * Information Security *

Comments 13

A1WEB Mar 5 at 05:22

Проще всего передать БД с обезличенной информацией. Обычно так и поступают, и для этого есть готовые инструменты.

Atolstikov Mar 5 at 06:15

Да, насколько помню внутри 1С есть готовые инструменты для обезличивания.

woodiron Mar 5 at 05:26

А как закон смотрит на работника - вот не подпишет он разрешение на обработку своих данных, просто не хочет, или на принцип пойдёт. Помню историю, как парень на автозаправке отказывался носить бейджик носить со своим именем, отбивался через суд - не помню, правда, результата.

Arhammon Mar 5 at 06:12

Хорошо смотрит, необходимые ПД можно обрабатывать без согласия, не необходимые требовать нельзя... в теории... ну например, не хочешь чтоб твои данные передавали страховой, ну не будет у тебя ДМС... а со всякими базами - тут же никто не проверит пока не утечёт... да и утечет никто же проверять подлинность подписи в куче бумажек не будет...

Roland21 Mar 5 at 06:34

Хорошо смотрит, необходимые ПД можно обрабатывать без согласия,

Необходимые для чего?
Доработка системы работодателя подрядчиком никак не соотносится с трудовыми функциями работника

Adgh Mar 5 at 07:03

Доработка в целях обеспечения ведения автоматизированного кадрового учета, предусмотренного законодательством

Atolstikov Mar 5 at 07:15

В законе нет такого основания - обеспечение ведения автоматизированного кадрового учета. Как писал выше, можно попробовать притянуть за уши в качестве основания исполнение трудового договора, но это очень очень за уши. Лучше так не делать.
Если сотрудник отказывается подписать согласие на передачу его ПДн третьим лицам тут вариант либо постараться уговорить его объяснив для чего. Либо убрать ПДн этого сотрудника и данных, которые передаете.

Shaman_RSHU Mar 5 at 07:58

Вообще-то уже несколько лет под каждую цель необходимо отдельное согласие

Arhammon Mar 5 at 07:31

Необходимые для налоговой, военкомата итп. Именно так, только если связана с прямыми обязанностями, например, если вы с этим подрядчиком напрямую работаете в рамках должностных обязанностей, тогда можно притянуть.

Atolstikov Mar 5 at 07:34

если вы с этим подрядчиком напрямую работаете в рамках должностных обязанностей, тогда можно притянуть. - Ну тогда это уже ваш сотрудник и передачи нет.

Shaman_RSHU Mar 5 at 08:03

Самое интересное в этой ситуации то, что вот подпишет сотрудник Поручение для того, чтобы работодатель не получил штраф. Работодатель передаст базу с ПДн подрядчику, а через него утекут данные. Получается, что с работодателя взятки гладки, потому что ответственности за то, что работодатель не проверил, как подрядчик защищает данные - нет.

Atolstikov Mar 5 at 08:27

Совсем не так. В статье специально отметил зоны ответственности.
Оператор отвечает перед субъектом (перед работником) за действия обработчика. Обработчик отвечает перед оператором (ч. 5 ст. 6 152-ФЗ).
И оператор обязан и имеет право контролировать, как подрядчик исполняет требование по защите ПДн.

Shaman_RSHU Mar 5 at 08:29

На бумаге всё гладко. И приложения к договорам по ИБ составляют и чек-листы заставляют подрядчиков заполнять. Но подобных судебных дел я не встречал.