Як захистити конфіденційну інформацію співробітників: правила та рішення

Ваша компанія збирає багато конфіденційної інформації про співробітників, зокрема номери соціального страхування, медичні записи, дати народження та щоденну активність на робочих комп’ютерах. Захист цих даних є не лише питанням етики та довіри; порушення даних означатиме значні юридичні та фінансові наслідки.

Отже, як захистити конфіденційну інформацію співробітників? Ви повинні почати з визначення повного обсягу конфіденційних даних, від очевидних, як-от персональні ідентифікаційні дані, до тих, які часто забувають, як-от аналітика моніторингу співробітників. Потім ви будуєте свою систему безпеки. Це означає дотримання суворих обмежень доступу, шифрування даних і перетворення вашої робочої сили з потенційної вразливості на першу лінію захисту за допомогою постійного навчання.

Шлях до надійного захисту даних є систематичним. Давайте розберемо основні категорії інформації, за яку ви несете відповідальність, законодавчу базу, яка вимагає захисту цих даних, і практичні дієві рішення, які допоможуть вам захистити їх.

Перш ніж будувати будь-яку оборону, ви повинні спершу скласти карту території. Що саме є конфіденційною інформацією співробітника? Зазвичай ми вважаємо це особистими ідентифікаційними даними, наприклад, номер соціального страхування або реквізити банківського рахунку. Однак на практиці конфіденційна інформація виходить далеко за межі цих меж.

Думайте не тільки про кадрову справу. Ви створюєте конфіденційні дані протягом усього періоду роботи людини, від дзвінка на роботу до остаточної співбесіди. Ці дані можна розділити на такі категорії:

Особиста інформація (PII)

Це одні з найбільш конфіденційних даних, за якими можна ідентифікувати особу. У разі зламу це може призвести до крадіжки особистих даних та інших серйозних наслідків. Це список обов’язкових захистів, який не підлягає обговоренню:

• Номери соціального страхування
• Домашня адреса та особиста контактна інформація
• Дата народження
• Банківські реквізити для нарахування заробітної плати
• Інформація про сімейний стан та залежність

Трудові книжки

На перший погляд ці записи можуть здатися незначними, але їхня конфіденційність є ключовою для збереження справедливості та довіри. Трудові книжки - це:

• Заявки на роботу та резюме
• Нотатки інтерв'ю
• Трудові договори
• Перевірки продуктивності, дисциплінарні рецензії та офіційні попередження.
• Записи про звільнення та заяви про звільнення.

Фінансові дані

Можливо, це найбільш делікатна тема для більшості співробітників, цю інформацію слід охороняти з особливою ретельністю, щоб запобігти внутрішньому конфлікту та зовнішньому нападу.

• Зарплата
• Деталі заробітної плати
• Бонуси
• Стимулююча оплата
• Форми реєстрації пільг (страхування здоров’я, стоматології, життя)
• Деталі рахунку пенсійного плану та внески

Інформація про здоров'я та медицину

Ця категорія регулюється мережею суворих правил, які можуть відрізнятися в різних країнах і включає:

• Залиште довідки та медичну документацію
• Записи про розумне пристосування
• Файли позовів про компенсацію працівникам
• Результати аналізів на наркотики та звіти про фізичний огляд
• Здані довідки лікаря про неявки

Найважливішою передовою практикою, яка часто вимагається законом, є зберігання цих записів в окремій захищеній медичній картці, повністю окремо від загальної персональної справи.

Протоколи розслідування

Розслідування переслідувань, дискримінації чи інших неправомірних дій створюють дуже конфіденційні дані. У разі виявлення ці дані можуть зруйнувати не лише розслідування, але й культуру на робочому місці та призвести до правових наслідків. Протоколи розслідування це:

• Письмові заяви про скарги
• Нотатки та резюме допиту свідків
• Зібрані докази (електронні листи, звіти)
• Остаточні звіти про розслідування та висновки

Дані моніторингу співробітників

Дані, зібрані програмним забезпеченням моніторингу, є детальним цифровим профілем вашого співробітника. Поставтеся до цих даних так само серйозно, як і до особистої справи.

• Журнали натискань клавіш і історія використання веб-сайту
• Знімки екрана та рівні активності
• Дані GPS про місцезнаходження транспортних засобів або пристроїв компанії
• Метадані електронної пошти та спілкування

Багато з перерахованих вище типів конфіденційної інформації про працівників захищені певними законами чи правилами. Проте обсяг захисту різниться від юрисдикції до юрисдикції та від країни до країни. У Сполучених Штатах, наприклад, роботодавці повинні дотримуватися Закону про американців з обмеженими можливостями (ADA), який вимагає, щоб медична інформація працівників була конфіденційною та зберігалася окремо від загальних картотек персоналу.

Інші важливі правила:

• Закон про сімейні та медичні відпустки (FMLA). Згідно з ним, медичні довідки та деталі, пов’язані з відпусткою працівника, повинні зберігатися в таємниці.
• Закон про недискримінацію генетичної інформації (GINA). Він захищає генетичну інформацію співробітників і сімейну історію хвороби.
• Закон про справедливу кредитну звітність (FCRA). Коли роботодавці перевіряють дані для прийняття рішень щодо працевлаштування, це положення накладає на них суворі зобов’язання.

Крім того, деякі штати прийняли комплексні закони про конфіденційність. Одним із прикладів є Каліфорнійський закон про конфіденційність споживачів (CCPA/CPRA), який надає додаткові права та захист даних працівників у цих регіонах.

У Європі Загальний регламент захисту даних (GDPR) є основним нормативним актом щодо конфіденційності. Будь-яка організація в ЄС, яка обробляє персональні дані (включаючи конфіденційні дані співробітників), повинна дотримуватися кількох ключових принципів: законна основа обробки, мінімізація даних, захист даних і повага до прав особи.

Якщо ваша робоча сила охоплює кілька юрисдикцій, ви повинні враховувати правила конфіденційності в кожній із цих юрисдикцій. Універсальний підхід — це рецепт невідповідності вимогам. Консультація експерта з правових питань, який спеціалізується на законодавстві про зайнятість і конфіденційність даних кожної країни, де ви працюєте, є мудрим вибором, який допоможе уникнути потенційних юридичних проблем.

Отже, як захистити конфіденційні дані співробітників? Ми пропонуємо п’ять основ, на яких можна побудувати надійну систему захисту даних.

Захист даних починається із зобов’язань. Комплексна політика безпеки даних є конституцією вашої організації щодо обробки інформації.

Що робити:

• Створіть чіткий, вичерпний документ. У ньому має бути чітко визначено конфіденційну інформацію, визначено чіткі процедури обробки та окреслено реальні наслідки порушень.
• Забезпечте підписані угоди. Це зробить політику обробки даних персональною. Підписання полісу перетворить загальне правило на особисте зобов’язання кожного працівника, за яке він відповідатиме.

База даних без контролю доступу схожа на будинок, у якому всі двері відчинені. У надійній системі захисту даних ніхто не повинен мати доступу до даних, якщо цього не вимагає його робота.

Що робити:

• Впровадити контроль доступу на основі ролей. Створіть дочірні облікові записи у своїх системах управління персоналом, програмному забезпеченні моніторингу співробітників та інших системах зберігання даних, щоб менеджери та співробітники відділу кадрів могли бачити лише ту інформацію, яка їм абсолютно необхідна. Команда маркетингу не має жодних справ у папці із заробітною платою, так само як бухгалтерія не потребує дорожньої карти розвитку продукту.
• Не нехтуйте фізичним світом. Для кожного замкненого цифрового файлу має бути відповідна замкнена картотека. Клавіші управління прискіпливо. Найскладніше шифрування марне, якщо хтось може просто піти з паперовою папкою.
• Ведіть журнали доступу до систем зберігання даних. Знання того, хто і коли отримав доступ до чого, створює безцінний контрольний слід.

Ви завжди повинні захищати конфіденційну інформацію співробітників, незалежно від того, як вона зберігається та використовується: на сервері, електронною поштою чи в папці на столі менеджера.

Що робити:

• Шифруйте всі конфіденційні дані. Використовуйте шифрування як стан за замовчуванням для всієї конфіденційної інформації співробітників, яка зберігається на ваших пристроях і передається через мережу.
• Використовуйте багатофакторну автентифікацію. Паролі самі по собі більше не є повним захистом. Багатофакторна автентифікація вимагає другого підтвердження особи та додає додатковий рівень безпеки. Це безкоштовний і ефективний спосіб знизити потенційні ризики.
• Дотримуйтесь політики чистого столу. Як би дивно це не здавалося, захаращене робоче місце або незаблокований комп’ютер є чудовою можливістю для витоку даних. Просте правило – захистити всі документи та вийти з системи, перш ніж піти – створює вашу першу лінію захисту та може значно знизити загрози безпеці.
• Проведіть жорстку лінію щодо персональних пристроїв. Зручність використання особистого телефону чи ноутбука для роботи – це троянський кінь. Заборонити це. Ви не можете контролювати, які потенційно небезпечні програми працівник встановлює на пристрій або кому вони їх позичають.

Технології можуть багато чого, але вони не можуть замінити людське судження. Ваша команда є або вашим найсильнішим щитом, або вашою найслабшою ланкою. Навчання – це те, що робить різницю.

Що робити:

• Зробіть навчання розповіддю, а не лекцією. Відмовтеся від слайдів із кульовою точкою. Використовуйте реальні історії, щоб навчити співробітників, як помітити хитрий фішинговий електронний лист або протистояти маніпулятивному виклику соціальної інженерії. З’єднайте їхні дії та безпеку компанії.
• Повторити, закріпити, нагадати. Навчання з безпеки не має бути одноразовим. Це має бути серія регулярних сесій (наприклад, щоквартальних або річних). Пильність згасає без підкріплення.
• Демократизувати відповідальність. Розгляньте захист даних як колективну місію, спільний обов’язок, і тоді ви досягнете успіху.

Дані мають тривалість життя. Ігнорувати його останній етап – безпечну утилізацію – це все одно, що ретельно замкнути документ у сховищі, а потім викинути ключ із вікна.

Що робити:

• Цілеспрямовано знищуйте папір. Не просто викидайте документи на переробку. Розріжте їх хрестиком і подрібніть. Зробіть урни для знищення такими ж звичайними, як і сміттєві баки в місцях, де працюють з конфіденційною документацією.
• Delete data for good. Dragging a file to your computer's trash bin does not erase it. It just hides it. Use digital "shredding" software that overwrites the information, making it truly unrecoverable.
• Опануйте мистецтво редагування. Якщо документ, яким ви збираєтеся поділитися, містить конфіденційну інформацію про співробітника, яку не можна переглядати, відредагуйте цю інформацію. Для фізичних копій можна використовувати чорний маркер, для електронних документів – спеціалізовані інструменти редагування на основі ШІ.

Загрози постійно розвиваються. Незважаючи на всі ваші зусилля, інциденти траплятимуться. Надійна стратегія захисту даних може мінімізувати ці інциденти та запропонувати план дій у разі порушення.

По-перше, регулярно перевіряйте свої засоби контролю. Правило, яке не виконується, швидко стає правилом, яке не має значення. Послідовність у підзвітності – це те, що відрізняє політичний документ від операційної реальності.

Second, create a breach response plan. It is not a matter of if the breach will happen; it is a matter of when. A breach response plan is a clear set of actionable steps that will make employees act in the right moment instead of panicking.

Ваш план має передбачати те, як стримувати збитки, оцінювати вплив, виконувати обов’язки щодо юридичного сповіщення та, що важливо, виправляти вразливість. Коли кожна секунда на рахунку, цей план — ваш компас.

Захист конфіденційної інформації співробітників є постійним зобов’язанням. Це вимагає впровадження комплексних заходів безпеки для всієї конфіденційної інформації, включно з тією, що окрім звичайних особистих даних, і створення надійного плану реагування на порушення. Роблячи це, ви не просто перевіряєте відповідність – ви створюєте більш безпечне робоче місце для всіх.