hours24
← Бесплатные инструменты

Бесплатно - GDPR + IKS

Чек-лист GDPR.

17 пунктов, 7 областей - основание обработки, информирование работника, хранение, безопасность, права, партнёры, инциденты. Отметьте, что на месте, а что требует работы. В конце оценка 0-100 и PDF-отчёт, который можно отправить руководству или юристу.

Оценка соответствия

0/ 100

Высокий риск - нарушение GDPR весьма вероятно

Отвечено

0 / 16

Основание для обработки

  • Высокая

    Правовое основание для каждой обработки данных

    Чётко ли определено для каждой обработки персональных данных основание по статье 6 GDPR (договор, законный интерес, согласие, юридическая обязанность)?

    GDPR ст. 6, IKS § 6

  • Высокая

    Особые категории данных обрабатываются отдельно

    Обрабатываются ли особые категории персональных данных (здоровье; личный код в Эстонии не считается особой категорией; членство в профсоюзе; данные о судимости) на основании ст. 9 с дополнительным правовым основанием?

    GDPR ст. 9

  • Средняя

    Правовое основание для данных при найме

    Является ли основанием для сбора CV кандидата и других данных при найме согласие кандидата либо шаги, необходимые для заключения договора (ст. 6 ч. 1 п. b)?

    GDPR ст. 6, рекомендации AKI

Информирование работника

  • Высокая

    Работнику предоставляется информация по ст. 13

    Получает ли каждый новый работник при заключении трудового договора письменную информацию о том, какие его данные собирает работодатель, с какой целью и как долго они хранятся?

    GDPR ст. 13

  • Средняя

    Работник знает свои права

    Знают ли работники, как запросить доступ к своим данным, их исправление, удаление или ограничение обработки - и к кому обращаться?

    GDPR ст. 13 ч. 2, ст. 15-22

Хранение и удаление

  • Высокая

    Сроки хранения зафиксированы

    Зафиксировано ли для каждой категории данных, как долго она хранится (например, табели учёта рабочего времени 7 лет, данные о найме 6 месяцев)?

    GDPR ст. 5 ч. 1 п. e

  • Средняя

    Данные уволившихся очищены

    Сохраняются ли из данных уволившихся работников только те, хранение которых обязательно (договоры, расчёт зарплаты 7 лет), а прочие (электронные письма, приглашения в календарь) удаляются?

    GDPR ст. 5 ч. 1 п. e

Безопасность

  • Высокая

    Доступы ограничены

    Видит ли каждый работник только те персональные данные, которые необходимы для выполнения его рабочих задач (например, не все руководители видят зарплаты всех)?

    GDPR ст. 32, ст. 5 ч. 1 п. f

  • Высокая

    Доступы уволившегося убраны в последний день

    Убираются ли все доступы уволившегося работника (электронная почта, внутренние системы, VPN, ключи, карты) в последний рабочий день, а не позже?

    GDPR ст. 32

  • Средняя

    Системы зашифрованы и защищены паролем

    Все ли рабочие компьютеры и телефоны зашифрованы и защищены паролем, и есть ли для критичных систем (зарплата, HR) двухфакторная аутентификация (2FA)?

    GDPR ст. 32

Права субъекта данных

  • Средняя

    Срок 30 дней на запросы данных

    Есть ли у вас процесс, при котором работник или бывший работник может запросить касающиеся его данные и получить ответ в течение 30 дней?

    GDPR ст. 15, ст. 12 ч. 3

  • Средняя

    Процесс обработки запроса на удаление

    Знаете ли вы, как действовать, когда работник просит удалить свои данные - какие данные должны остаться (по закону 7-10 лет), а какие следует удалить?

    GDPR ст. 17

Третьи стороны

  • Высокая

    Договор об обработке данных со всеми партнёрами

    Заключён ли с партнёрами по расчёту зарплаты, найму, бухгалтерии, IT-поддержке и другими, к которым попадают персональные данные, договор об обработке данных (DPA) на основании ст. 28?

    GDPR ст. 28

  • Средняя

    Данные остаются в ЕС или равнозначной стране

    Находятся ли все обработчики персональных данных (включая облачные сервисы) в ЕС/ЕЭП или в стране, признанной Европейской комиссией обеспечивающей достаточный уровень защиты (например, Великобритания, Швейцария)?

    GDPR ст. 44-49

Инциденты и реестр

  • Высокая

    План действий при утечке данных готов

    Есть ли у вас план действий при утечке данных - кто уведомляет Инспекцию по защите данных в течение 72 часов и как информировать работников?

    GDPR ст. 33-34

  • Высокая

    Ведётся реестр обработки данных

    Ведётся ли на основании ст. 30 реестр обработки данных (ответственные лица, цели обработки, категории, сроки хранения) и обновляется ли он при каждом изменении?

    GDPR ст. 30

Бесплатная загрузка

Скачайте отчёт в формате PDF

PDF содержит оценку, полный список контрольных пунктов и для каждого недостающего пункта конкретную рекомендацию по действию со ссылкой на статью GDPR. Вы можете отправить его руководству или юристу по защите данных.

Вы ответили на часть пунктов. Вы можете скачать PDF и сейчас - пункты без ответа отображаются как пробелы.

Скачать отчёт

Данные остаются только у Hours OÜ. Третьим сторонам они не передаются.

Чек-лист основан на GDPR (ЕС 2016/679) и руководствах Инспекции по защите данных (Andmekaitse Inspektsioon). Фактическое соответствие зависит от конкретного контекста обработки - при необходимости проконсультируйтесь с юристом по защите данных.

GDPR для работодателя в Эстонии - что важно знать

GDPR (ЕС 2016/679) и эстонский Закон о защите персональных данных (IKS) действуют для каждого эстонского предприятия, которое нанимает работников. Основные пункты:

  • Для каждой обработки данных должно быть правовое основание (ст. 6)
  • Работнику предоставляется информация о собираемых данных (ст. 13)
  • Данные хранятся только необходимое время (ст. 5 ч. 1 п. e)
  • Безопасность: 2FA, шифрование, управление доступами (ст. 32)
  • Право работника видеть, исправлять, удалять свои данные (ст. 15-22)
  • Договор об обработке данных с партнёрами (ст. 28)
  • При утечке данных - обязанность уведомления в течение 72 часов (ст. 33)
  • Реестр обработки данных, который обновляется (ст. 30)

Инспекция по защите данных (Andmekaitse Inspektsioon, AKI): aki.ee - проверки, руководства, рассмотрение жалоб.

Часто задаваемые вопросы

Действует ли GDPR и для малых предприятий в Эстонии?

Да. GDPR действует для каждого предприятия, которое обрабатывает персональные данные, независимо от размера. Данные работников и клиентов являются персональными данными. Исключение: реестр обработки данных (ст. 30) строго обязателен при численности более 250 работников, но в случае HR также и для меньших, так как обработка регулярна.

Какой самый большой штраф по GDPR назначала AKI в Эстонии?

Эстонская Инспекция по защите данных (Andmekaitse Inspektsioon) назначала предприятиям штрафы от нескольких сотен евро до нескольких десятков тысяч. Теоретический максимум - 20 млн € или 4 % оборота. На практике наказания в Эстонии мягче, чем в Германии или Италии, но тенденция к ужесточению.

Что AKI спрашивает при проверке в первую очередь?

Типичный порядок: 1) реестр обработки данных по ст. 30, 2) правовые основания для каждой обработки (ст. 6), 3) информация, предоставленная работникам (ст. 13), 4) сроки хранения, 5) договоры об обработке данных с партнёрами (ст. 28). Наш чек-лист покрывает все эти пункты.

Нужен ли мне специалист по защите данных (DPO)?

DPO обязателен, если (a) вы государственное учреждение, (b) основная деятельность требует регулярного и систематического мониторинга субъектов данных в большом объёме, или (c) вы обрабатываете особые категории данных в большом объёме (ст. 37). Большинству эстонских МСП он не нужен, но ответственное лицо всё равно должно быть назначено.

Что такое договор об обработке данных (DPA) и с кем его нужно заключать?

DPA (Data Processing Agreement, ст. 28) - это договор между ответственным обработчиком (вы) и уполномоченным обработчиком (например, расчётчик зарплаты, кадровое агентство, поставщик SaaS). В нём определяется, как обрабатываются ваши персональные данные. Для каждой третьей стороны, к которой попадают персональные данные, нужен отдельный DPA.

Как долго нужно хранить табели рабочего времени и данные о зарплате?

Табели рабочего времени: 7 лет (TLS § 28 и Закон о бухгалтерском учёте). Расчётные листки: 7 лет. Трудовые договоры: 10 лет после окончания. Для хранения сверх этих сроков должно быть правовое основание - иначе данные следует удалить (ст. 5 ч. 1 п. e).