«Я знаю, сколько ты получаешь»: как обеспечить конфиденциальность зарплат

«Я знаю, сколько ты получаешь»: как обеспечить конфиденциальность зарплат

Ответственные лица за расчет заработной платы оперируют большим количеством данных, включая конфиденциальную информацию. Например, задействованы:

  1. Информация о заработной плате сотрудников.
  2. Личная информация сотрудников (данные об отношениях, в том числе семейных, статус инвалидности, информация о членах семьи).
  3. Данные исполнительного производства в отношении сотрудников.
  4. Контактные данные (номер телефона, адрес и др.).
  5. Другие персональные данные сотрудников (номера паспорта, СНИЛС и прочее).
  6. Результаты оценки персонала (KPI, другая оценка компетенций сотрудника).

Почему важно соблюдать конфиденциальность всей этой информации при расчете заработной платы?

Это важный этический и юридический принцип, защищающий права и интересы сотрудников и компании. Несоблюдение конфиденциальности может привести к утечкам и злоупотреблению этой информацией, что может нанести вред сотрудникам и компании.

К каким негативным последствиям может привести нарушение принципа конфиденциальности по отношению к данным при расчете заработной платы?

  1. Поскольку большая часть данных защищена законодательством о персональных данных, разглашение охраняемых сведений может привести к административной ответственности компании или виновного лица. Штрафы варьируются от нескольких тысяч до сотен тысяч рублей в зависимости от вида нарушения.
  2. Разглашение сведений из внутренней политики компании в области кадровых ресурсов и системы вознаграждений может представлять угрозу для внутренней стабильности компании. Например, при высоком уровне дифференциации заработных плат компания рискует подвергнуть сомнению справедливость подхода при построении системы оплаты труда, что может привести к недовольству персонала, снижению мотивации и увольнениям.
  3. Раскрытие информации о размерах заработной платы и условиях трудовых отношений с сотрудниками компании для аналогичных компаний в той же профессиональной сфере может послужить поводом для компаний-конкурентов пересмотреть свою систему оплаты труда для привлечения опытных специалистов и получения конкурентного преимущества на рынке.

Для сотрудников нарушение законных прав на хранение в секрете персональных данных может нарушить неприкосновенность частной жизни. Известны случаи, когда полученные незаконным способом на работе контактные данные о номере телефона и адресе сотрудников дали возможность негативно настроенным лицам доставить этим сотрудникам неприятности.

Какие действия необходимо предпринимать для соблюдения конфиденциальности таких сведений?

К общим мерам можно отнести следующие:

  1. Необходимо разработать и утвердить правила конфиденциальности, которые должны регулировать обработку данных сотрудников, включая информацию о заработной плате. Эти правила устанавливают требования к обработке, использованию, передаче и хранению данных сотрудников. Правила могут быть оформлены в так называемую политику безопасности — комплект внутренних нормативных документов.

  2. Доступ к данным о заработной плате должен быть строго ограничен и находиться только у исключительного круга лиц, у которых есть необходимость в использовании этих данных для исполнения должностных обязанностей.

  3. Важна защита данных: нужно использовать безопасные программы и технологии для защиты от утечек, кражи и других видов нарушения конфиденциальности. В частности, данные о заработной плате должны храниться на защищенных серверах и компьютерах с ограниченным доступом.

  4. Обязательно разъяснять сотрудникам правила конфиденциальности - особенно тем, кто имеет доступ к данным о заработной плате.  Также в компании можно проводить обучающие мероприятия о требованиях закона о персональных данных, по кибербезопасности и др.

Помимо общих мер на уровне организации необходимо применять ряд практических правил в ежедневной работе:

  1. При отправке по электронной почте сведений, содержащих конфиденциальные данные, использовать пароль в качестве защиты. Паролем возможно защитить отдельные файлы в формате Excel, однако такая защита довольно легко снимается при наличии определенных навыков. Безопаснее использовать архиваторы с возможностью установки пароля. (ZIP, RAR). Пароль отправить необходимо как минимум отдельным письмом или предварительно обговорить устно.
  2. Не издавать распорядительные документы или иные внутренние нормативные документы, содержащие конфиденциальную информацию в отношении нескольких сотрудников одновременно. В таких случаях при ознакомлении с документом сотрудник автоматически получает несанкционированный доступ к информации (например, общие приказы на премии).
  3. Использовать файлообменники и сетевые диски для передачи документов, содержащих конфиденциальные данные. Данный способ является наиболее надежным для передачи данных, которые нужно защитить.
  4. Заключение договора зарплатного проекта с обслуживающим банком позволяет сузить круг лиц, имеющих доступ к информации о размерах заработной платы. Доступ в раздел онлайн-банка для выгрузки реестров на выплату заработной платы нужно предоставить специалисту по расчету зарплаты, освободив от участия в процессе сотрудника, отвечающего за все остальные банковские итерации.
  5. Организовать ограничение доступа к государственной отчетности по заработной плате, содержащей конфиденциальные данные (отчеты «Персонифицированные сведения», «РСВ» и другие). Возможность отправлять отчеты напрямую из базы данных 1С предоставляют некоторые операторы ЭДО. Также определенные ограничения можно настроить на онлайн-платформах операторов. Уточнить детали настроек и подключений можно напрямую у операторов электронной отчетности.
  6. Организовать хранение твердых копий документов, содержащих конфиденциальные данные, в надежно защищенных помещениях, использовать видеонаблюдение.
  7. Передача расчета заработной платы в аутсорсинговую компанию позволит максимально соблюсти режим конфиденциальности, полностью исключив возможность доступа сотрудников компании к защищаемым данным. В таком случае в процессе расчета могут быть задействованы только 2 ответственных лица на стороне компании – один сотрудник предоставляет данные для расчета (например, суммы премий), а руководитель согласует расчет и авторизует платежные поручения в онлайн-банке. Количество участников на стороне компании возможно также свести и к одному ответственному.

Если конфиденциальность была нарушена

План действий в компании на такой случай стоит продумать заблаговременно, а не когда утечка данных уже произошла. Он может включать следующие шаги:

  • Провести внутреннее расследование, чтобы выяснить причины и обстоятельства нарушения конфиденциальности, и принять меры по усилению контроля за обработкой данных сотрудников.
  • Уведомить всех сотрудников, чьи данные были нарушены, и сообщить, какие меры были приняты для устранения проблемы.
  • Если имеет место нарушение законных прав сотрудников на защиту персональных данных согласно законодательству, если пострадала неприкосновенность личной жизни, одним из решений для компании будет предложить пострадавшим сотрудникам определенную финансовую компенсацию. Сумма компенсации может быть определена в индивидуальном порядке в зависимости от масштаба нарушения и других обстоятельств. Ориентиром для определения суммы может служить судебная практика в области возмещения морального ущерба за разглашение персональных данных. В любом случае следует получить консультацию профильных юристов, чтобы узнать все возможные последствия для компании и совместно обозначить диапазон возможных компенсаций ущерба сотрудникам. 

Конфиденциальность в сфере расчета заработной платы – это вопрос, находящийся под пристальным вниманием в последнее время. С целью сохранения внутренней стабильности и внешней конкурентоспособности предприятия тщательно изучают способы повышения уровня защищенности данных. Высокого уровня конфиденциальности можно достичь при комплексном подходе – организации общих мер по защите всех видов носителей данных, ограничению доступа, применению в ежедневной работе сотрудников в процессе расчета заработной платы перечисленных выше практических способов, а также, безусловно, соблюдении законодательства РФ о защите персональных данных.

Источник: РБК Pro

Задать вопрос