Приветствуем подписчиков PRO+
Подрядчик — это всегда повышенный риск, поэтому для подстраховки с них принято брать информацию по максимуму.
На предприятиях России не первый год идёт процесс масштабной цифровизации и сейчас заказчикам мало просто лицензий и документов по охране труда – большинству нужны персональные данные на каждого сотрудника.
Но помимо СУОТ и требований Минтруда существует закон о персональных данных и запрашивать всё, что хочу – нельзя.
«Содержание и объём обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки».
(п.5 ст.5 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»)
Нарушают закон в этом случае обе стороны: и заказчик (требуя лишнего), и подрядчик (предоставляя то, чего не должен был). Но подрядчик в этой ситуации находится в более трудном положении, обычно он слышит: «не предоставите – найдём других».
Ответственность за утечку данных от 1 000 человек:
(ч.15 ст.13.11 КоАП РФ)
- для должностных лиц – 200-400 тыс.руб.;
- для организаций – 3-5 млн. руб.
- за повторное нарушение для компаний — «оборотный» штраф 1-3% от годовой выручки, но не менее 20 млн.руб.
Но чаще подрядчики слышат: «Да кому это надо?». Поделитесь в комментариях, приходилось ли вам сталкиваться с такой ситуацией?
Проблемы у компании могут начаться уже на этапе сбора базового набора персональных данных.
Максимально актуальная тема. Меня безмерно удивляют комментарии в духе «не наше дело». В смысле? Ты становишься свидетелем нарушения закона и просто молчишь? Следующий статус? … соучастник. Уж лучше останусь «поклонником КБ».
Я сама работаю в крупной компании. В договоре у нас жесткие формулировки, есть стандарт по работе с подрядчиками. Но прочитает его контрагент, если я не начну спрашивать, как они по нему работают? Формулировки сами по себе не гарантируют защиту. Я вообще не хочу ввязываться в разбирательства и кому-то что-то доказывать. Толковые юристы любую бумагу перевернут как надо.
Поэтому намного комфортнее стараться не нарушать. Рекомендую не забывать про цифру: обучение по электробезопасности, например, легко проверить по реквизитам. Поэтому список запрашиваемой информации должен учитывать современные реалии. Возможность проявить свою квалификацию. Все стандарты в итоге применяют люди, а персональные данные — это сейчас сквозная тема для всех. Лучше сразу все делать по уму, чтобы нервы были целы. Толковые предложения в статье!
Марина, благодарю за понимание!
Про соучастника – в точку! У меня об этом ещё одна «больная» тема назрела, как раз думаю на днях рассказать.
Зачем СОТ заниматься ПДН?
А зачем некоторые СОТы их запрашивают в избытке? Для каких целей?
ну Вы же не первый год работаете.
Умные дяди в дирекции, поклонники КУБ, рисуют хорошие циферки и презенташки, что вот они управляют подрядчиками и не пускают нехороших. Получают неплохие деньги.
А Сот внизу бегает и собирает и собирает .
Сами работаем как подрядчики, да доков много. часть действительно бы запросил сам, остальные нафиг не нужны.
Но тут ничего не поделать.
СОТ не занимается ПДН, он является просто винтиком . Но сам порядок правила и т.д устанавливает оператор ПДН , через свои профильные отделы.
Иначе так скоро СОТ будет за всех думать за ИБ, за бухов и т.д
Но СОТ может донести эти проблемы до руководства или у него лапки?
намешано в статье все.. Все на уровне заказчика решается просто.
В договоре указывается что сторона 2 обеспечивает правовое основание обработке ПДН стороне 1 . Все сторона 1 не собирает согласие.
В части использования лк и приложение пользовательским соглашением.
В части данных заказчика в лк перевод ПДН в категорию общедоступных.
Да и в общем это вопросы других спецов, а никак не спецов по ОТ.
Не должен спец по от заниматься это хренью на крупных предприятиях.
Есть отделы ИБ, ответственный за орг обработки ПДН указанный в реестре РКН.
«В договоре указывается что сторона 2 обеспечивает правовое основание обработке ПДН стороне 1 » — а реально на практике обеспечивает или ограничимся тупо записью в договоре?
В статье описан исключительно практический опыт. Должен или нет, а вот так это работает.
на практике это часто встречается . Сильные ПДН у нас в основном в Фарме.
Если отношения между юрлицами оператор-оператор, то так часто прописывается. Конечно там есть допстроки к этой фразе.
Заказчики уходят от сбора согласий , а так это большой пул работы.
Надо отслеживать , надо смотреть не отозвал ли субъект согласие и т.д. Это все перевешивается на подрядчика.
Некоторые дергают и проверяют подрядчика, некоторые нет.
Иногда делаются отношения оператор -обработчик ( когда обработка по поручению ст 6 фз 152), но это редко встречается в ОТ.
ПДН вообще отдельная тема . она очень сложная и многогранная.
Кроме согласий есть же еще иные правовые основания обработки ПДН. В ОТ они тоже применимы если обработка ПДН необходима в силу Закона.